HIDS - Host Intrusion detection system - O HIDS é instalado diretamente no ativo a ser monitorado, onde ocorrerão as análises de logs, messages, syslogs, wtmp, etc. Portanto, o monitoramento ocorre única e exclusivamente na plataforma em que ele está configurado.
Como vantagens, citamos:
- Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais específicos quando comparados com os NIDS.
- Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia e no destino, após a decriptação.
- Não são afetados por elementos de rede como switches ou roteadores.
- O HIDS pode verificar o sucesso ou a falha de um ataque, com base nos registros(logs) do sistema.
Como desvantagens, podemos citar:
- Difícil configuração pois se deve considerar as características de cada estação;
- Podem ser derrubados por DoS, pois se trata de uma solução centralizada.
- Degradação de desempenho na estação;