近年来，虚拟化技术以其资源利用率高和隔离封装等特性得到了广泛应用。同时，研究主动防御的网络安全仿真技术，却因成本、对真实环境破坏性及检测系统可靠性等因素难以大规模应用。由此，基于虚拟化的网络安全仿真应运而生。虚拟化设施能大幅降低成本及破坏性。并且，由于虚拟机管理器具有特权功能及可靠性，可以对其添加检测等功能来实现虚拟机内部事件行为监控，这就是虚拟机自省技术(Virtual MachineIntrospection，VMI)。然而，目前该技术的虚拟机监控对象粒度粗，灵活性低，监控面不全，不能按需定制，对虚拟机性能开销较大，难以控制。　　 针对此问题，本文提出一种细粒度可定制的虚拟机自省技术。其核心为基于硬件辅助虚拟化平台的按需指令替换技术。此技术研究内容包括：(1)分析选取被替换指令和替换指令的模拟性、种类、长度等特征及原则，并为Intel VT-x平台选取了INVD作为可行替换指令。该技术可解决VMI中如何获取指定的细粒度对象监控权的关键问题，主要优势为监控粒度细，灵活可定制，适用范围广。(2)建立基于虚拟机“减速比”概念的性能开销模型，推导出被替换指令种类个数、各监控点执行次数及vMI操作平均指令数的三大影响因素，此模型表明该技术开销可控，并可用于开销对比与预测。　　 基于此核心技术，本文以虚拟机内核函数和进程为监控对象，研究细粒度可定制VMI。其内容包括：(1)对内核函数，提出一种监控点自动选择算法，将指令按照对上下文操作分类，通过定值类指令识别出可行监控区间，选择目标被替换指令，实现VMI指令替换自动化。构建了基于X86平台应用程序二进制接口的函数调用信息读取模型，可进行有效信息读取。(2)对于进程监控，区分虚拟机中进程或线程的可变监控粒度，确定各粒度进程生命周期及行为的可行监控点及监控方式。(3)为实现干涉控制，制定虚拟机简单访问控制策略，实现对函数及进程的多层次干涉机制。由于函数和进程是基本执行单位和主体，故其VMI可作为对其他虚拟机对象进行VMI的基础。　　 在具体实现过程中，本文对主流KVM虚拟机管理器进行修改，设计开发了细粒度可定制的VMI监控平台。实验表明，本平台能够对虚拟机内核函数及进程进行有效灵活按需监控，高频度单内核函数监控性能开销约为8.5％，进程及线程监控开销为10.4%，与开销模型对比预测结果一致，在可接受范围内。本文研究内容可应用于网络安全仿真中，作为按需虚拟机监控审计、入侵检测和攻击防御等功能的共性技术。