随着计算机技术的发展和互联网的普及,计算机全面进入64位体系架构。尽管WINDOWS 64位操作系统系列产品采用了全新的操作系统内核,并加入了全新的安全机制KPP和DSE,但这些机制本身包含漏洞,并不能完全保证用户的终端信息安全。针对WINDOWS操作系统的安全漏洞的漏洞攻击却层出不穷,形成了一个庞大的黑色产业链,对系统安全构成了巨大威胁。基于特征码分析与对比技术的静态扫描技术已经无法实时地保障系统安全。而基于挂钩函数的进程行为监控技术已经无法满足64位WINDOWS系统下的安全监控需求。本文为了解决进程动态行为监控的问题,分析了安全监控的主要核心需求一进程行为、文件行为和网络行为的监控。研究了为实现进程枚举、进程行为监控、文件操作监控和网络连接监控所采用的主流安全监控技术。分析了驱动程序与应用程序的通信需求,研究了驱动程序与应用程序的通信机制。根据需求分析的结果和安全监控技术的研究成果,提出了一个全新的基于64位WINDOWS操作系统环境下的安全监控框架。该框架主要利用了事件通知与回调机制、文件系统微过滤框架和WFP网络过滤平台框架,实现进程行为的全面监控。本文对以上所述的安全监控框架内的安全监控算法详细的研究与设计,并实现了一套基于动态行为监测的安全监控软件,本系统主要分为三个模块:进程监控模块、文件监控模块和网络监控模块。其中进程监控模块负责进程的枚举以及进程行为的监控,通过设计进程枚举与可疑进程甄别算法,实现了全部进程信息的枚举与可疑进程的甄别,放弃了稳定性极差的钩子监控方案,在事件通知与回调机制框架下设计进程行为监控算法,有效控制进程的进程行为;文件监控模块负责监控进程的文件操作行为,摒弃了繁琐的传统文件过滤驱动,在MiniFilter文件过滤驱动框架下设计文件行为识别控制算法来实现文件操作的监控;网络监控模块负责网络连接的控制,淘汰了不再受支持的TDI框架,在WFP框架下,设计了基于异步机制的网络连接控制算法,主要利用WFP网络过滤平台来实现。本文最后的测试表明,本文设计的安全监控系统能够有效枚举出系统内的所有进程并识别出隐藏的可疑进程。由于利用了全新技术特性的底层监控框架,本系统能够准确捕捉被监控进程的操作行为信息,并对被监控进程的操作行为实现实时控制,提供进程操作行为日志,满足了安全人员对系统安全的进一步分析需求。