主机入侵检测系统(host—based IDS,HIDS)的检测目标主要是主机系统和本地用户。检测原理是在每个需要保护的端系统(主机)上运行代理程序(agent),以主机的审计数据、系统日志、应用程序日志等为数据源,主要对主机的网络实时连接以及主机文件进行分析和判断,发现可疑事件并作出响应。基本思想是将入侵检测模块安装于网络中的主动节点上,这些主动节点可以是需要重点保护的主机,也可以是关键路由节点。安装于主机上的入侵检测模块主要通过对主机的审计日志进行分析来发现针对主机的可疑行为,而运行于路由节点上的入侵检测模块通过对经过该节点转发的数据包文进行特征分析,通过模式识别来发现其中的入侵行为。