HIDS

由於HIDS動態地檢查網路數據包這一特性，它可以檢測到哪一個程式訪問了什麼資源以及確保文字處理器（Word-Processor）不會突然的、無緣無故的啟動並修改系統密碼資料庫。同樣的，不管是往記憶體、檔案系統、日誌檔案還是其它地方存儲信息，HIDS會一直監控系統狀態，並且核對他們是否和預期相同。

HIDS運行依賴於這樣一個原理：一個成功的入侵者一般而言都會留下他們入侵的痕跡。這樣，計算機管理員就可以察覺到一些系統的修改，HIDS亦能檢測並報告出檢測結果。

一般而言，HIDS使用一個它們所監視的目標系統以及檔案系統（非必需）的資料庫，HIDS也可以核對記憶體中未被非法修改的區域。對於每一個正被處理的目標檔案來說，HIDS會記錄下他們的屬性（如許可權、大小、修改時間等）然後，如果該檔案有其檔案內容的話，HIDS將會創建一個校驗碼（如SHA1，MD5或類似）。這個校驗碼信息將儲存在一個安全的資料庫中，即校驗碼資料庫，以便將來的核對。