基于主机的入侵检测，这种类型的入侵检测系统运行在需要监视的系统上。它们监视系统并判断系统上的活动是否可接受。如果一个网络数据包已经到达它要试图进入的主机，要想准确地检测出来并进行阻止，除防火墙和网络监视器外，还可用第三道防线，即“基于主机的入侵检测”，其入侵检测结构如下图所示。

基于主机的入侵检测结构

两种基于主机的入侵检测类型如下。

● 网络监视器。它监视进来的主机的网络连接，并试图判断这些连接是否是一个威胁，

并可检查出网络连接表达的一些试图进行的入侵类型。记住，这与基于网络的入侵

检测不同，因为它只监视它所运行的主机上的网络通信，而不是通过网络的所有通

信。基于此种原因，它不需要网络接口处于混杂模式。

● 主机监视器。它监视文件、文件系统、日志或主机其他部分，查找特定类型

的活动，进而判断是否是一个入侵企图（或一个成功的入侵），之后通知系

统管理员。

1．监视进来的连接

在数据包到达主机系统的网络层之前，检查试图访问主机的数据包是可以的。这种机制试图在到达的数据包能够对主机造成破坏之前，截获该数据包而保护该主机。

可以采取的活动主要有以下两种。(www.daowen.com)

● 检测试图与未授权的TCP或UDP端口进行的连接。如果试图连接没有服务的端口，

这通常表明入侵者在搜索查找漏洞。

● 检测进来的端口扫描，并给防火墙发警告或修改本地的IP配置以拒绝从可能的入

侵者主机来的访问。

可以执行这种监视类型的两种软件产品分别是ISS公司的Real Secure和Port Sentry。

2．监视登录活动

尽管管理员已经尽了最大努力，同时刚刚配置并不断检查入侵检测软件，但仍然可能有某些入侵者采取未知的入侵攻击方法来进入系统。一个攻击者可以通过各种方法（包嗅探器或其他）获得一个网络密码，从而有可能进入该系统。

查找系统上的异常活动是Host Sentry类软件的工作。这种类型的包监视器尝试登录或退出，从而给系统管理员发送警告，该活动是不一般的或不希望的。

3．监视Root的活动

获得要进行破坏的系统超级用户（Root）或管理员的访问权限，是所有入侵者的目标。除了在特定的时间内对系统进行定期维护外，对如Web服务器或数据库服务器进行良好的维护和在可靠的系统上对超级用户进行维护，通常是几乎没有或很少进行的活动。但入侵者不信任系统维护，他们很少在定期的维护时间工作，而是经常在上面进行很长时间的活动。他们在该系统上执行很多异常操作，有时候比系统管理员的都多。

4．监视文件系统

一旦有入侵者侵入了系统，就要改变系统的文件。如：一个成功入侵者可能想要安装一个包嗅探器或者端口扫描检测器，或修改一些系统文件或程序，以躲避对他在周围进行的入侵活动的检测。在一个系统上安装软件通常包括修改系统的某些部分，这些修改通常是要修改系统上的文件或库。