随着计算机的广泛应用和网络的不断普及,来自网络内部与外部的危险和犯罪也日益增多。一方面网络感染病毒、遭受攻击的速度日益加快;另一方面网络受到攻击后作出响应的时间却越来越滞后,再加上Windows操作系统最初并没有太多地考虑到相关的安全性问题,混合威胁不断发展,传统的防火墙,入侵检测技术(IDS)和反病毒防御措施已经无能为力,如此迫切的形势要求我们果断采取措施,保护主机的安全性。信息安全防御体系要迫切呼唤与实现其主动防御功能,这既是计算机与网络安全发展的趋势所在,也是信息安全防御与保障系统的时代需要。主机的安全性主要体现在主机的防御系统方面,因此解决这一矛盾需要我们将网络安全研究方向的重点转移到主机入侵防御系统,其核心技术就是行为监控技术。本篇论文中首先总结了现有网络安全威胁的情况,分析了安全行业针对现有网络安全威胁提出的网络安全解决方案,详细阐述了其不能完全满足现有网络安全需求的缘由。从分析恶意程序的一次简单攻击过程入手,详细说明了伴随此次攻击过程的Windows XP操作系统的底层驱动、内核服务、系统调用等一系列的操作。以此为基础全面剖析了在Windows XP操作系统下API的钩子技术,并且将工作重心紧紧集中于文件、注册表、进程等经常被病毒、木马、恶意软件、流氓软件等利用的系统资源监控方面。以上述内容为依托,研究了系统行为监控中涉及文件、注册表、进程等相关的具体细节与关键技术,提出了一种新的安全解决方案,即主机入侵防御系统。本项目依托于信息安全中心2007-2008年度的一项预研性的研究项目,从Windows XP操作系统平台上的安全技术研究入手,以此为基础提出了具有应用程序防御体系、注册表防御体系、文件防御体系的主机入侵防御系统,用户可以通过定制的规则对本地运行的进程、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。结合项目实践,对上面的研究成果进行了设计、实现,包括总体框架的设计,各个模块实现和最终的验证测试工作等等。最后,对系统行为监控的新技术与研究方向进行了展望。