随着网络应用日益普及，网络安全正在成为人们不断关注的焦点。网络安全问题不仅涉及人们的隐私，而且已经威胁到国家的政治、经济、军事、文化、意识形态等诸多领域。 针对来自网络的各种安全问题，如何保证网络上存储和传输信息的安全性成了新的安全研究热点。国内外很多研究机构在这方面做了很多工作，然而，总的来说这些技术都属于一种静态的防御系统。在这些静态防御中过于严格的安全策略是以牺牲用户的方便性为代价的，与目前网络的开放、共享发展不相容，很难做到一个好的利弊权衡；同时安全系数非常高的加密技术、防火墙技术，却很难防止密码失窃和内部人员攻击。因此，为了保证计算机系统的安全，需要一种能及时发现入侵，成功阻止黑客入侵，并在事后对入侵进行分析，查明系统漏洞并及时修补的网络安全技术，即入侵检测系统。 本文首先介绍了入侵检测系统的特点和发展现状。通过对各种入侵检测技术的分析和比较，确定了在Windows系统中采用基于内核调用的主机入侵检测的方案。 然后分析了Windows操作系统的结构和特点，介绍了操作系统的多任务实现、虚拟内存、用户模式和内核模式、环境子系统。重点介绍了Windows系统下用户态和内核态之间系统调用的流程和环境。接着介绍了设备驱动程序的类型和WDM驱动程序设计理论。深入讨论了WDM驱动程序模型的特点、主要的数据结构和驱动程序中常用的函数例程。 参考通用入侵检测公共框架(CIDF)介绍了Windows平台下基于主机的入侵检测系统的体系结构。讨论了基于主机的入侵检测系统的各功能模块(事件监控模块、安全扫描模块接口、综合分析引擎、安全事件日志库和图形用户界面)的设计与实现。重点讨论了事件监控模块中的文件监控模块、进程监控模块、性能监控模块、日志监控模块、网络连接监控模块、注册表监控模块和启发式分析引擎的原理与实现。 综合分析引擎采用了多模式匹配算法和多模式规则库以提高入侵检测系统的效率。 最后对实现的主机入侵检测系统进行了测试，得到了较好的检测率和较低的误报率和漏报率。