随着计算机、网络等技术的迅猛发展,现实世界越来越依赖于计算机系统。一方面,人们享受着这些信息技术带来的巨大进步;另一方面,又不得不面对着越来越严重的信息安全威胁,特别是恶意代码(病毒、木马、蠕虫等)带来的安全威胁。本文讨论的基于Windows平台的主机入侵防御系统即WinHIPS(Windows-NT family Host Intrusion Prevention System),完全是在内核模式下进行控制以及援引关键系统调用来保证Windows操作系统的安全。它作为一个内核驱动程序,通过使用Windows操作系统的内核结构来实现。因为被集成在操作系统内,所以不需要更改内核的数据结构,或核心算法。对于应用进程来说,WinHIPS是透明的,它可以不用考虑源代码被修改或者重新编译而继续工作。本文实现的工作原型适用于所有的Windows NT系列的操作系统,如Windows 2000/XP/2003。本文从理论和实践两个方面,研究了基于行为的WinHIPS系统设计开发所涉及到的一些关键技术问题,取得了以下几个方面的工作成果:1.WinHIPS通过应用干预技术运用在不开放源代码的Windows操作系统中。因为Windows内核结构对于程序员来说是隐藏的,并且,它的内核说明文档也非常少,所以实现起来也相当的困难。2.针对目前基于行为的HIPS实现技术上存在的不足,结合Windows体系结构,将过滤器技术应用到对用户行为的拦截上。3.采用过滤器、系统调用“钩子”等技术,实现WinHIPS系统各功能组件。4.将安全模型应用到Windows系统中,把类、授权等映射到Windows的具体内核变量和系统调用函数上。5.通过对恶意代码作用机制、作用过程的分析,从操作系统访问控制的角度概括出基于行为HIPS的访问策略库。最后对系统进行了性能、攻击测试,希望在此基础上为主机入侵防御系统的研究和开发提供一定的技术和经验。