Host IDSs
             Host-based  network  IDSs  có  thế  được phân chia  lỏng
        lẻo  thành  các  kiểm  soát  log,  kiểm  tra  độ  tích  hỢp  và  các
        module  nhân  của  hệ  thống.  Những  phần  sao  sẽ  miêu  tả
        từng phần của chúng với các ví dụ cụ thể.


             Giám sát Logtile
             Một  IDS  đơn  giản  nhất  là  thiết  bị  giám  sát  logíile
        (logíile monitors), thiết bị này sẽ cô" gắng phát hiện những
        sự xâm  nhập bằng cách  phân  tích  các  log sự kiện của  hệ
        thống. Ví dụ như, một thiết bị giám sát logTile sẽ tìm kiếm
        những logũle ghi nhận những truy cập Apache để truy cập
        tới Apache để tìm ra đặc điểm của yêu cầu /cgi-bin/.  Công
        nghệ  này bị  giới  hạn  bởi  vì  nó  chỉ  tìm  kiếm  trong các  sự
        kiện đã được log - là những thứ  mà kẻ tấn công rất dễ để
        thay thế. Thêm vào đó, hệ thống có thể bỏ qua các sự kiện
        hệ thống cấp thấp mà chỉ ghi lại các hoạt động cấp cao.Ví
        dụ như, HIDS sẽ bỏ qua nếu kẻ tấn công chỉ đọc nội dung
        file như file /etc/passwd chẳng hạn. Điều này sẽ xảy ra nếu
        bạn không đặt fĩle vào chế độ bảo vệ của hệ  thống.  Giám
        sát  Logílle  là  một ví  dụ  chính  cho  các  hệ  thông  IDS  dựa
        trên  host  bởi  chúng  thực  hiện  chức  năng  giám  sát  của
        chúng trên chỉ  1  máy.  Tuy nhiên,  một hệ  thốhg giám  sát
        host  logfile  hoàn  toàn  có  thể  giám  sát  trên  nhiều  host,
        thậm chí trên 1 loggging server tích hỢp. Sự phát triển của
        nền tảng host đưa lại một số thuận tiện cho việc giám sát
        với các công cụ hệ thốhg được xây dựng, bởi vì host IDSs có
        kênh chuyển dịch tổng hỢp an toàn tới 1 server trung tâm,
        không  giốhg  như  những  syslog  thông  thường  khác.  Nó
        cũng cho phép tích hỢp những logs mà không bình thường
        để tích  hỢp  trong  1  máy  đơn  (chẳng hạn  như log sự kiện
        của Windows).