目前主机入侵防御系统可提供三种防御帮你练就“金钟罩铁布衫”：应用程序防御体系AD、注册表防御体系RD、文件防御体系FD，这三种体系合称为“3D防御”，根据实际情况，并非所有HIPS都提供了完整的3D体系，例如文件防御体系就经常被取消。

　　1、应用程序防御体系(AD)：AD通过拦截系统调用函数来达到监视目的，当一个程序请求执行时，系统会记录该程序的宿主(即该程序的执行请求由哪个程序发出)，基于这个原理，许多伪造成系统程序的木马其实很容易被发现，HIPS的AD体系不仅能拦截到用户或某个程序产生的进程创建请求，它还能拦截到进程产生的所有操作，如DLL加载、组件调用等，这样我们也能用它来拦截一些DLL形态的进程注入。

　　当大部分木马病毒的来袭，只要用户选取了“拒绝执行”功能，这些潜在的木马就无法入侵用户的系统了——但是要注意一点，那就是木马本体已经被释放或下载回来了，只是它们无法被执行而已，HIPS不是杀毒软件，它不能阻止非法程序的下载和释放，更不提供自动删除文件的功能，它所做的，只是拦截进程操作而已，使用HIPS保护的系统安全取决于用户自身。

　　2、HIPS注册表防御体系(RD)：Windows系统结构中，注册表是比较危险的，许多非法程序和木马通过修改注册表达到入侵目的，如主页修改劫持等，而木马等程序的自启动也是由注册表的启动项负责的。早前用户用的注册表监视工具已经不能帮助用户保护注册表了，其调用的API函数也是经过层层封装返回的，在当前核心层的木马面前，程序容易掉落陷阱，要监视到注册表操作，必须进入核心层，抢先拦截到系统相关的底层注册表操作函数，这就是注册表防御体系的工作。

　　RD默认提供了对几个常见的系统敏感注册表项进行监视，如启动项、服务驱动项、系统策略项、浏览器设置项等，所有木马要自启动都必须经过启动项或服务驱动项的添加修改来实现，而要对浏览器进行劫持和主页修改就得通过修改浏览器设置项等，而这些操作默认都被RD视为敏感行为而拦截挂起，并弹出警告框报告用户该次操作的具体内容和发出操作请求的执行体，操作最终能否通过也同样取决于用户本身，由于它拦截了系统核心层导出的API函数，无论是木马还是用户程序的操作都逃不过法眼，从而实现了真正有效的监视和拦截。

　　3、文件防御体系(FD)，这个功能的作用是监视系统敏感目录的文件操作，如修改删除系统目录里的任何文件或创建新文件等，也可用来发现被驱动木马隐藏的文件本体，FD体系在许多杀毒软件里已经提供，一部分HIPS为了提高效率，并不具备FD，因为它相对要消耗的资源比较大，而前面的AD+RD+有一定经验的用户操作，就已经足够防止危害的文件操作产生了。

　　实现文件防御体系的要点同样也是拦截系统底层函数如NtOpenFile等，HIPS默认对系统敏感目录进行监控保护，一旦发现异常读写，则把相关操作挂起，并提示用户是否放行，FD不仅仅只有HIPS提供，其他安全工具如360安全卫士、超级巡警等也具备此功能，该功能运作起来要比前两者消耗的资源大些。