当今的Internet网络存在很多安全漏洞，其最根本的原因是日常使用的大部分应用程序都是不可靠的。这些程序从未经过认证，可能包含病毒、木马及其他潜在安全威胁。目前常用的防火墙、入侵检测等安全策略均不足以防范此类安全隐患。本文介绍的高性能沙箱系统(HPS)采用了一种限制型的安全策略，通过将不可靠应用程序运行在沙箱系统中，监视并控制其对于系统资源的访问，从而减轻或阻止不可靠应用程序对于系统的危害。 与其他经典的沙箱系统(如Janus和Java沙箱系统)相比，本文提出的HPS沙箱系统的主要设计目标是在不影响检测率的前提下，尽可能的提高系统运行速度，进而提高沙箱系统的可用性。因此，本文在设计数据收集器、规则集和检测器的时候采取了以下3个方法对经典沙箱系统进行了优化： 首先，HPS系统中的数据收集器通过减少与检测器之间传递的数据量来提高系统性能。数据收集器仅截取最小的必须的特征集合，减少了每一条被截获的系统调用包含的数据量。同时，数据收集器中添加的过滤器采用聚类过滤算法(Single-Linkage和K-Means)能够在不影响准确性的前提下去除近50％的无关系统调用。 其次，HPS系统采用了两种类型的规则集：专家规则集(如Snare规则集、Janus规则集和CERT规则集)和通过数据挖掘算法RIPPER得到的规则集。这两类分别具有通用性和特殊性的规则集相互补充，提高了检测的准确性。 最后，HPS系统中的检测器采用了机器学习中的决策树技术来提高匹配速度。决策树规则集结构和匹配算法使规则匹配速度不再与规则数目成线性关系，而仅仅与特征数目相关。同时，本文还提出了利用分类决策树方法解决单一决策树空间复杂度过高的问题。