Los sistemas de detección de intrusos basados en host residen en el propio host que monitorizan, por lo que tienen acceso a información recolectada por las propias herramientas de auditoría del host (registros de actividad, accesos al sistema de ficheros, logs de registro, etc.) Incluyen plantillas con los diferentes tipos de ataques predefinidos por ellas, pero que normalmente son también configurables para incluir nuevos ataques y variaciones de los antiguos.

Ventajas:

• Detecta mejor los ataques desde dentro de la red, ya que monitorizan inicios de sesión, cambios en ficheros, en el registro, etc.

• Son capaces de asociar usuarios y programas con sus efectos en un sistema (qué sistema ejecutó qué comando y cuándo).

• Los HIDS forman parte del propio blanco, por lo que pueden informar con gran precisión sobre el estado del blanco atacado.

• Solo se preocupan de proteger el host en el que residen sin necesitar monitorizar todo el tráfico que circula por la red, por lo que no consumen tantos recursos computacionales como el NIDS y no afectan (tanto) al rendimiento del sistema.

Desventajas:

• Su principal inconveniente es, sin duda, su lentitud de respuesta en comparación con los sistemas NIDS. Si se limitan a analizar los registros de actividad y cambios en el sistema de ficheros, descubren los ataques cuando ya han tenido lugar y puede ser demasiado tarde para actuar.

• Otro inconveniente es la dificultad de su implantación ya que al estar instalados en varias máquinas diferentes será necesario el desarrollo en distintas plataformas. Como consecuencia, la mayoría de los fabricantes ofrecen HIDS para una o dos plataformas (p.e. Solaris y Windows). No obstante, para paliar estos problemas muchos HIDS utilizan lenguajes multiplataforma como PERL o Java, aunque aun así el tipo de ficheros y registros a monitorizar sigue dependiendo de la plataforma.

• Al residir en el host, desde el momento en el que éste haya sido atacado con éxito, uno no puede confiar en sus informes, que podrían haber sido manipulados por un atacante excepcionalmente habilidoso.

• A diferencia de los NIDS, ante un ataque severo (p.e. denegación de servicio), si el host cae, el HIDS cae con él sin generar ninguna alerta.

• Dado que un HIDS sólo vigila el host en el que reside, para obtener una imagen global del estado del sistema es necesario agregar y correlacionar la información procedente de los distintos HIDS en uno o varios servidores centrales.