IDS basado en host (HIDS)

También conocido como: HIDS, IDS de host

Agente de detección de intrusiones instalado en un servidor o endpoint que vigila archivos, procesos, registros y llamadas al sistema en busca de actividad maliciosa.

Un IDS basado en host (HIDS) se ejecuta como agente dentro del sistema operativo y observa artefactos locales —integridad de archivos, cambios en el registro, creación de procesos, llamadas al sistema, eventos de autenticación y logs— para detectar intrusiones que tal vez nunca aparezcan en la red. Ejemplos clásicos son OSSEC, Wazuh, Tripwire y AIDE; los productos modernos de EDR y XDR amplían el HIDS con telemetría rica, analítica de comportamiento y capacidad de respuesta. El HIDS ve lo que el NIDS no: acciones en el propio host, actividad local cifrada y comportamiento post-compromiso. Sus límites: sobrecarga de gestión de agentes, rendimiento en servidores cargados y manipulación si el host está completamente comprometido, por lo que conviene almacenar los logs fuera del host.

Ejemplos

El agente Wazuh alerta sobre un cron sospechoso creado en /etc/cron.d.
OSSEC detecta que el checksum de un binario crítico en /usr/bin ha cambiado.

IDS basado en host (HIDS)

Ejemplos

Términos relacionados

Sistema de detección de intrusiones (IDS)

IDS basado en red (NIDS)

EDR (Detección y Respuesta en Endpoints)

Detección basada en firmas

Detección basada en anomalías

Log Analysis

Definición

Ejemplos

Términos relacionados

Sistema de detección de intrusiones (IDS)

IDS basado en red (NIDS)

EDR (Detección y Respuesta en Endpoints)

Detección basada en firmas

Detección basada en anomalías

Log Analysis