（一）HIDS

通过收集主机系统日志、系统调用及应用程序使用、系统资源、网络通信和用户使用等信息，分析是否包含攻击特征或异常情况，依此判断主机是否受到入侵。

网卡模式：一般为非混杂模式，可以精确制定所需规则，以提高工作效率。

（二）识别依据

1. CPU利用率
2. 内存利用率
3. 磁盘空间大小
4. 网络端口使用情况
5. 注册表
6. 文件完整性
7. 进程信息
8. 系统调用

（三）优点

1. 可检测基于网络的入侵检测系统不能检测的攻击
2. 可运行在应用加密系统网络上(到达主机前被解密)
3. 可以运行在交换网络中

（四）缺点

1. 必须在每个被监控主机上都安装和维护信息收集模块
2. 部分安装在被攻击主机上，可能受攻击并被攻击者破坏
3. 占用受保护主机系统资源，降低了主机系统性能
4. 不能有效检测针对网络中所有主机的网络扫描
5. 不能有效检测处理DDOS攻击
6. 只能使用所监控主机计算资源

（五）常用软件

（1）SWATCH（The Simple WATCHer and filer）

是Todd Atkins开发的用于实时监视日志的PERL程序。利用指定的触发器监视日志记录，会按预先定义好的方式通知系统管理员。安装配置简单。

（2）Tripwire

是一个文件和目录完整性检测工具软件包，用于协助管理员和用户监测特定文件变化。根据系统文件规则设置，将已破坏或被篡改文件通知系统管理员，常作为损害控制测量工具。

（3）网页防篡改系统

基本作用：防止网页文件被入侵者非法修改，被篡改后能及时发现产生报警、通知管理员自动恢复。

工作原理：将待监测网页文件生成完整性标记，一旦发现完整性受到破坏，则启动备份系统，恢复正常网页。