HIDS es también conocido como Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras.
Las funciones de este tipo de software son muy similares a las de los IDS. Configuraciones típicas permiten varios HIDS repartidos por la red que envían sus resultados a un servidor centralizado que los analizará en busca de los riesgos y alertas antes mencionados.
Este fue el primer tipo de software de detección de intrusos que se diseñó, siendo el objetivo original el Mainframe, donde la interacción exterior era infrecuente.[1]
En comparación con los sistemas de detección de intrusiones basados en red, HIDS tiene la ventaja de su capacidad de identificar ataques internos. Mientras NIDS examina los datos del tráfico de la red, HIDS examina los datos que se originan en los sistemas operativos. En los últimos años, HIDS se ha enfrentado al desafío del big data, que puede atribuirse al mayor avance de las instalaciones y metodologías de los centros de datos.[2]Una desventaja de usar HIDS es que debe instalarse en todas y cada una de las computadoras que necesitan protección contra intrusiones. Esto puede provocar una ralentización del rendimiento del dispositivo y de los sistemas de detección de intrusos.[3]