本发明提供一种基于主机的入侵检测方法及装置，方法包括：建立正常行为模式规则库和入侵行为模式规则库；检测当前主机行为的行为样本数据信息，将所述行为样本数据信息分别与正常行为模式规则库和入侵行为模式规则库进行匹配；判断出所述行为样本数据信息与所述正常行为模式规则库和所述入侵行为模式规则库均不匹配，则分别计算所述样本行为分别与所述正常行为模式和所述入侵行为模式的亲和度；根据所述亲和度判断所述样本行为是否为入侵行为。本发明能够根据亲和度大小推断样本行为属于正常行为或是入侵行为，提高主机的入侵检测的准确性和合理性。