Các Host-based IDS ngày nay thường sử dụng các tệp phương pháp theo dõi nhật ký của hệ thống giúp cho việc phát hiện các xâm nhập, nhưng chúng được tự động hóa, mềm dẻo, và làm việc thời gian thực trong việc phát hiện và phản ứng lại với các tấn công. Các hệ thống Host-based IDS dùng phần mềm để giám sát các tệp nhật ký của hệ thống. Ngay khi có bất kỳ thay đổi nào tới các tệp đó, Host-based IDS sẽ so sánh thông tin với những gì được cấu hình trong chính sách được thiết lập hiện tại và sau đó sẽ sinh ra các phản ứng lại với sự thay đổi đó. Một phương thức của Host-based IDS là quan sát các hành động trong thời gian thực. Một vài Host-based IDS sẽ lắng nghe trên các cổng và đưa ra các hành động, cảnh báo cho phép phát hiện tấn công mạng.
Hệ thống phát hiện xâm nhập cho các máy trạm (HIDS) khác so với hệ thống phát hiện xâm nhập cho mạng ở 2 điểm chính sau:
Thứ nhất, HIDS được cài đặt trên các máy trạm và bảo vệ cho chính hệ thống này. Nó không bảo vệ cho toàn bộ mạng con như NIDS.
Thứ hai, Card mạng của hệ thống mà được cài đặt HIDS thì hoạt động ở chế độ bình thường (nonpromiscuous). Với đặc điểm này có ưu điểm là nó không tiêu tốn thời gian xử lý CPU của máy (dẫn tới hệ thống hoạt động chậm).
Một ưu điểm khác của HIDS là khả năng tạo các nguyên tắc phù hợp cho một hệ thống cụ thể. Ví dụ, ta không cần cấu hình các nguyên tắc để phát hiện các xâm nhập vào một máy trạm sử dụng hệ thông file mạng (Network File System - NFS) cho một máy mà không sử dụng hệ thống tệp NFS. Tuy nhiên ưu điểm chính của HIDS lại nằm trong khả năng của nó là để phát hiện thay đổi trên các tệp và trên hệ điều hành. Nó có thể giám sát kích thước và
tổng kiểm tra (checksum) của các tệp để đảm bảo rằng các tệp hệ thống không bị thay đổi. Ngoài ra nó có thể ngăn chặn các cuộc gọi hệ thống (system calls) không hợp lệ mà đang cố gắng tìm kiếm các lỗ hổng của hệ thống. HIDS còn có thể kiểm tra truyền thông bên trong một hệ thống - truyền thông không bao giờ đi ra ngoài mạng, và do vậy truyền thông này sẽ không bao giờ NDIS thấy được.
Ưu điểm của Host-based IDS: Do Host-based IDS được cài đặt trên một máy trạm cụ thể và dùng thông tin cung cấp bởi Hệ điều hành (OS) nên nó sẽ có những khả năng mà Netword-based IDS không thể có, đó là:
Kiểm tra tấn công: Vì HIDS sử dụng các tệp nhật ký của hệ thống để phát hiện xâm nhập, những tệp này chứa các sự kiện đã xảy ra, do vậy HIDS có thể biết được cuộc tấn công có thành công hay không. Rõ ràng NIDS rất khó có thể biết được điều này.
Giám sát các hành động đăng nhập và truy nhập tệp tin: HIDS có thể giám sát các hành động của người dùng, cũng như hành động truy nhập các tệp tin (file). Mỗi khi các thủ tục đăng nhập (Login) hoặc thoát ra (Logoff) được thực hiện, chúng sẽ được ghi lại ở trong nhật ký, sau đó HIDS có thể giám sát các tệp nhật ký đó dựa trên các chính sách hiện hành. Ngoài ra, HIDS có thể giám sát sự truy nhập vào tệp tin và biết được thời điểm đóng, mở tệp tin đó. Những hành động này, NIDS sẽ không thể thực hiện được.
Giám sát các thành phần hệ thống: Host-based IDS cho ta khả năng giám sát các thành phần hệ thống quan trọng như các thành phần hệ thống có thể thực thi, chẳng hạn là các file DLL và NT Registry. Những file đó có thể gây ảnh hưởng đến an toàn của hệ thống và mạng. Host-based IDS có thể đưa ra các cảnh báo mỗi khi các file đó được thực thi. Tương tự như thế việc dùng không gian đĩa cứng cũng
có thể được giám sát nhằm phát hiện các cuộc tấn công của Hacker có ý dùng đĩa cứng Server làm kho lưu trữ.
Phát hiện và phản ứng gần thời gian thực: Hiện tại các Host-based IDS có khả năng phát hiện và phản ứng ở “gần thời gian thực”. Thay vì phải sử dụng một tiến trình để kiểm tra trạng thái và nội dung của các tệp nhật ký ở một khoảng thời gian xác định trước, ngày nay các HIDS có thể phát hiện và phản ứng ngay sau khi các tệp nhật ký được cập nhật. Phát hiện “gần thời gian thực” có thể giúp tìm ra các kẻ phá hoại trước khi hắn có thể làm thiệt hại và xoá bỏ dấu vết trên hệ thống.
Không cần bổ sung phần cứng: HIDS không cần bổ xung thêm một thiết bị phần cứng nào để thực hiện các phát hiện xâm nhập. Nó được cài đặt trên chính máy mà cần bảo vệ. Do vậy, trong một số trường hợp HIDS hiệu quả hơn NIDS về mặt chí phí.
Nhược điểm của Host-based IDS:
Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.
Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
HIDS phải được thiết lập trên từng host cần giám sát .
HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
HIDS cần tài nguyên trên host để hoạt động.
HIDS có thể không hiệu quả khi bị DOS.
Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được trên UNIX và những hệ điều hành khác.
Vì hệ thống IDS dựa trên máy chủ đòi hỏi phần mềm IDS phải được cài đặt trên tất cả các máy chủ nên đây có thể là cơn ác mộng của những nhà
trở thành công việc tốn nhiều thời gian và là những việc làm phức tạp. Bởi vì hệ thống dựa trên máy chủ chỉ phân tích những lưu lượng được máy chủ nhận được, chúng không thể phát hiện những tấn công thăm dò thông thường được thực hiện nhằm chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống IDS dựa trên máy chủ sẽ không phát hiện được những chức năng quét ping hay dò cổng (ping sweep and port scans) trên nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì các máy chủ sẽ không thể tạo ra được cảnh báo nào cả.
Phần mềm IDS phải được cài đặt trên mỗi hệ thống trên mạng nhằm cung cấp đầy đủ khả năng cảnh báo của mạng. Trong một môi trường hỗn tạp, điều này có thể là một vấn đề bởi vì phần mềm IDS phải tương ứng nhiều hệ điều hành khác nhau. Do đó trước khi chọn một hệ thống IDS, chúng ta phải chắc là nó phù hợp và chạy được trên tất cả các hệ điều hành.