随着计算机技术的广泛应用,对计算机安全的要求也越来越高。由于攻击手段的多样化和攻击技术的发展,传统的被动防御措施已不足以保证主机系统的安全。作为一种新的防御手段,入侵防护系统具有主动检测、主动相应、主动保护的优势,可较好地满足个人,企业,政府组织等对信息安全的需要。主机安全威胁来源于各种攻击行为,在对威胁产生的机制、攻击的主要技术、攻击的流程等问题进行分析的基础之上,针对病毒、木马等通过逆向工程使防护软件失效的问题,设计了双层过滤协同检测的入侵识别与保护机制。针对传统防护机制规则描述不够精确的问题,阐述了一种新的基于行为要素关联的判别方案。该防护系统的设计采用主机一致性的思想,通过检测当前行为与正常行为是否一致、上层程序操作与下层中断调用是否一致,判断当前访问行为是否合法。利用形式化语言描述行为发起者、工具、操作对象、操作类型之间需要满足的关系,使访问控制策略具有较高的准确性和可实现性。在借鉴入侵检测系统的异常检测技术之上,设计的安全状态评估方案可较好的描述主机系统的安全性。采用网络驱动接口规范和中间层文件过滤驱动技术,在对应用层调用行为进行分析之后,对内核层中断调用作一致性检查。由于运用了两次过滤的检测机制,对主机性能造成了一定影响,但其增加的内核层过滤可以对抗内核态恶意软件对信息的窃取,在攻击技术不断提高的今天,可有效提高系统的安全性。最后的分析表明系统具有较好的安全性,在保护系统重要资源不受侵害的条件下,所带来的性能影响是较小的。