Insbesondere bei Windows-Systemen reicht das klassische Event-Logging nicht aus, Angriffe zuverlässig zu erkennen. So fehlen in den Log-Daten entscheidende Daten wie z.B. die IP-Adresse des Angreifers. Auch auf UNIX-Systemen fehlen ohne zusätzliche Software wichtige Daten. Hier setzen HIDS ein und schließen eine Lücke im Security Monitoring.

Die Frage, ob nun HIDS oder NIDS eingesetzt werden sollen, läßt sich nicht generell mit ja oder nein beantworten. Ein Vorteil hostbasierter Systeme sind zuverlässigere Events. Es werden deutlich weniger False Positives als bei netzwerbasierten Systemen verursacht. Zu einem umfassenden Monitoring bedarf es jedoch dem kombinierten Einsatz beider Systeme sowie der Auswertung der sicherheitsrelevanten System-Logs. Aufgrund der hohen Anzahl an False Positives bei NIDS muß ein höherer personeller Aufwand zur Bearbeitung der Alarme einkalkuliert werden. Deshalb fallen bei weniger kritischen Umgebungen NIDS häufig dem Rotstift zum Opfer.