随着网络应用的普及，网络安全问题逐渐被人们所重视。目前防火墙、入侵检测、防病毒软件已经成为广泛应用的安全防护解决方案，但由于它们自身存在的不可克服的缺点，以及对网络环境下日新月异的攻击手段缺乏主动的反应，因此急需一种新的主动入侵防护解决方案。为此，我们对主机入侵防护系统(HIPS)展开了研究。 本文从理论和实践两个方面，研究了基于行为的HIPS设计开发所涉及到的一些关键技术问题，取得了以下几个方面的工作成果：第一，通过对大量攻击实例的分析，概括了恶意代码的攻击生命周期及其表现，由此归纳出基于行为的HIPS的工作原理。第二，针对目前基于行为的HIPS实现技术上存在的不足，结合Windows2000体系结构，将过滤器技术应用到对用户行为的拦截上。第三，通过对恶意代码作用机制、作用过程的分析，从操作系统访问控制的角度概括出基于行为HIPS的内涵。第四，提出一个集成的安全模型(基于DTE、BLP模型)，用于描述系统安全策略所反映的机密性、完整性需求，并通过使用DTEL语言，减少了策略定义的复杂性以及策略之间的冲突。第五，将安全模型应用到Windows2000系统中，给出模型中类、属性、授权的具体定义，并把类、授权等映射到Windows2000的具体内核变量和系统调用函数上。第六，系统采用Flask安全结构，从而对多安全策略提供有效的支持。第七，采用过滤器、系统调用“钩子”等技术，实现了系统各组件，并根据Windows2000的启动步骤，确定了各组件的加载时机和次序。利用实验室环境对原型系统进行了性能、攻击测试。总之，本文的工作为主机入侵防护系统的研究和开发提供了一定的技术和经验。