随着虚拟化技术的不断发展，虚拟机软件扮演着基础平台的角色。KVM(Kernel-based Virtual Machine)是一种基于硬件的完全虚拟化的系统仿真器，自Linux2.6.20之后，它被集成在Linux内核的各个主要发行版本中。它的高性能和易管理使其被广泛应用于系统仿真领域。　　 与入侵检测不同，系统行为分析侧重追查系统行为的执行用户、发生时间、地点及周边事实等，使得目标系统具有事后分析能力。不仅可以还原目标系统所发生的用户操作行为，而且能够分析其中的异常行为。　　 针对KVM虚拟化环境，本文设计并实现了基于动态指令插入的虚拟化审计系统vForensics，在宿主机层面完成对KVM客户机系统的数据采集并对系统行为进行分析。　　 具体完成了以下几方面工作：　　 第一、围绕虚拟化环境下的客户机系统行为采集，对Intel VT技术及KVM的架构、工作原理、关键源码进行了研究，为找到控制KVM模式跳转的解决方案打下了理论基础。　　 第二、通过插入动态指令的方式使KVM跳出non-root模式，结合Kgdb内核远程调试技术，在无需对客户机内核做任何修改的情况下采集客户机系统数据。　　 第三、在一般系统数据采集的基础上，本文提出并实现了隐蔽通道识别方法(CovertChannel Identification Method，CCIM)，用于检测是否存在违反安全策略的隐蔽通道，从而实现了对隐蔽通道数据的采集。　　 第四、根据vForensics所采集到的客户机系统数据，本文在系统调用短序列分析的基础上进行了系统调用参数长度分析和系统调用参数字符特征分析，提高了客户机系统异常行为的识别率。