基于主机的入侵检测系统(HIDS)因其数据源来自于操作系统的反馈,因而具备良好的检测效率和数据源的可信度。但是在以往的HIDS设计中,比较偏重于“事前”防御(入侵者正在尝试入侵主机),对于“事后”(入侵者已经成功入侵主机)则考虑的较少,特别是对于HIDS自己的安全性考虑不足。如果入侵者已经入侵成功并强行中止HIDS等安全防护软件的进程,HIDS将不能发挥它应有的作用。为了解决这个问题,本文作者在参考了大量文献后,提出了一个实体间访问重定向的模型,在此模型的基础上给出了访问重定向发生的条件,并用该模型对rootkit恶意程序进行了分析。而后,将访问重定向技术应用到HIDS中,通过对HIDS等安全防护软件的进程进行隐藏,对重要的文件进行隐藏或限制访问,以及对系统调用函数进行监视,以阻止恶意软件对其进行破坏,从而增强了HIDS自身的安全性。最后,作者在传统隐蔽通道的基础上,提出了一种基于数据包长度的网络隐蔽通道,使HIDS与管理员之间的通信更为隐蔽,从而使入侵者很难发现主机上运行的HIDS,使HIDS能够更好的发挥它应有的作用。