Хостовая IDS (HIDS)

Хостовая система обнаружения вторжений (HIDS) работает как агент внутри ОС и наблюдает за локальными артефактами: целостностью файлов, изменениями реестра, созданием процессов, системными вызовами, событиями аутентификации и журналами, — выявляя вторжения, которые могут вовсе не появиться в сети. Классические примеры — OSSEC, Wazuh, Tripwire, AIDE; современные EDR/XDR расширяют HIDS богатой телеметрией, поведенческой аналитикой и ответными действиями. HIDS видит то, что недоступно NIDS: действия на самом хосте, локальную зашифрованную активность и поведение после компрометации. Ограничения — затраты на управление агентами, нагрузку на сервер и возможность фальсификации при полной компрометации хоста, поэтому критично надёжное хранение логов вне хоста.