IDS basado en host (HIDS)
¿Qué es IDS basado en host (HIDS)?
IDS basado en host (HIDS)Agente de detección de intrusiones instalado en un servidor o endpoint que vigila archivos, procesos, registros y llamadas al sistema en busca de actividad maliciosa.
Un IDS basado en host (HIDS) se ejecuta como agente dentro del sistema operativo y observa artefactos locales —integridad de archivos, cambios en el registro, creación de procesos, llamadas al sistema, eventos de autenticación y logs— para detectar intrusiones que tal vez nunca aparezcan en la red. Ejemplos clásicos son OSSEC, Wazuh, Tripwire y AIDE; los productos modernos de EDR y XDR amplían el HIDS con telemetría rica, analítica de comportamiento y capacidad de respuesta. El HIDS ve lo que el NIDS no: acciones en el propio host, actividad local cifrada y comportamiento post-compromiso. Sus límites: sobrecarga de gestión de agentes, rendimiento en servidores cargados y manipulación si el host está completamente comprometido, por lo que conviene almacenar los logs fuera del host.
● Ejemplos
- 01
El agente Wazuh alerta sobre un cron sospechoso creado en /etc/cron.d.
- 02
OSSEC detecta que el checksum de un binario crítico en /usr/bin ha cambiado.
● Preguntas frecuentes
¿Qué es IDS basado en host (HIDS)?
Agente de detección de intrusiones instalado en un servidor o endpoint que vigila archivos, procesos, registros y llamadas al sistema en busca de actividad maliciosa. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa IDS basado en host (HIDS)?
Agente de detección de intrusiones instalado en un servidor o endpoint que vigila archivos, procesos, registros y llamadas al sistema en busca de actividad maliciosa.
¿Cómo defenderse de IDS basado en host (HIDS)?
Las defensas contra IDS basado en host (HIDS) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para IDS basado en host (HIDS)?
Nombres alternativos comunes: HIDS, IDS de host.