Un sensore di rilevamento delle intrusioni di host (o sistema) fornisce protezione contro intrusioni locale e online e infiltrazione. Un sistema di rilevamento delle intrusioni rileva e risolve tutto anomala (devianza dalla norma), attività non corretta e inappropriata. È un sistema che gestisce le reti e i loro componenti, raccogliendo informazioni ed effettuare la scansione per rilevare violazioni della sicurezza. Un sensore di rilevamento delle intrusioni host opera su un host (computer) e idealmente è installato su ogni singolo host sulla rete. Monitora le azioni dell'utente, i file di registro, file system del computer e l'attività complessiva della rete. Sono esempi di sistemi di rilevamento delle intrusioni host AIDE, IDS ibrido Preludio e Tripwire.
Controlla tutte le attività di sistema
Un sensore di rilevamento delle intrusioni host controlla il comportamento a livello di sistema e gestisce tutti i file utente e accesso attività eseguita su un computer, un certo livello di protezione del sistema intricato. Monitora l'attività specifiche, tra cui appena installati programmi/software/file eseguibili, lo stato di autorizzazione file e/o modifiche e informazioni di accesso di file. È in grado di monitorare quando un utente accede su un sistema, quando lui/lei si disconnette e quali programmi sono stati eseguiti e come è stati manipolati i dati. Un sensore di rilevamento delle intrusioni di host è in grado di monitorare i nuovi account, account eliminati e informazioni di account modificato-- funzioni chiave eseguite da un amministratore di sistema. Esso controlla anche le modifiche a file eseguibili e file di sistema importanti. Questo livello di dettaglio assicura che qualsiasi tentativo di installare una backdoor o Trojan horse è rilevato e adeguatamente affrontato.
Adatto per ambienti Switched
Un interruttore è un dispositivo che permette una più ampia rete sia suddiviso in molte reti più piccole, facilmente gestibile. Un sensore di rilevamento delle intrusioni di host può essere installato su tutti gli host come richiesto, a seconda del numero di reti più piccole che sono state prodotte. Si tratta di un vantaggio sopra un sistema di rilevamento delle intrusioni basati sulla rete (un sensore fisico che analizza e controlla tutti i pacchetti di dati che scorre dentro e fuori di una rete), che trova difficile monitorare dati che fluisce attraverso una rete commutata isolata.
Adatto per ambienti crittografati
Un network basato intrusion detection system è limitato nell'ambito se dati che scorre dentro e fuori di una rete sono crittografati. È quindi in grado di leggere e rilevare anomalie, quindi mettere la rete a rischio nel caso in cui un virus o codice dannoso trova la sua strada alla rete. Un sensore di rilevamento delle intrusioni host-based non è limitato dal cifrature. Legge tutto il traffico in entrata e in uscita di specifiche del sistema ed è in grado di rilevare in modo efficace le anomalie, se presente.