El sistema de detección de intrusos basado en host (HIDS ) es un sistema de detección de intrusos que monitorea y analiza los eventos que ocurren dentro del sistema (a diferencia del IDS de red , que monitorea principalmente el tráfico de red )
El propósito de un IDS de host es realizar un seguimiento de todos los eventos que ocurren en un sistema informático y compararlos con el modelo de seguridad. Mientras que el IDS de la red monitorea el paso de los paquetes de red , el IDS del host verifica qué programa está accediendo a qué recursos y puede detectar que, por ejemplo, un procesador de textos repentinamente comenzó a cambiar la base de datos de contraseñas del sistema. El host IDS simplemente monitorea el estado actual del sistema, la información almacenada (tanto en la RAM como en el sistema de archivos ), los datos de registro del sistema y verifica si este estado corresponde a "normal".
Podemos decir que el host IDS es un agente que vigila que nadie pueda violar (desde fuera o desde dentro del sistema) la política de seguridad establecida por el sistema operativo .