互联网数据量的飞速增长以及虚拟化技术的逐渐成熟使得越来越多的计算系统和后台程序被部署在虚拟化环境中。虚拟化技术凭借其高效的隔离性和动态性，能够有效的支撑庞大的互联网业务。由于虚拟化技术只是将不同的虚拟子系统进行隔离，而单个的子系统和传统的计算机系统一样会因为暴露在网络环境中而遭到攻击者的入侵。为了在虚拟化环境中检测黑客的入侵行为，必须要部署有效的安全监控系统。传统的方法是在每个虚拟子系统中分别部署监控系统，但是由于监控系统本身暴露在目标操作系统中，很容易被攻击者攻击或者绕过；此外，这种基于主机的监控系统往往还需要修改被监控系统的内核，这样可能会给运行在目标操作系统上的应用带来不稳定的因素。本论文在保证监控系统的安全性和不修改目标操作系统的基础之上，设计并实现了一个基于Xen虚拟机的安全监控系统。论文根据Xen虚拟机的特点，将安全监控系统部署在虚拟环境的一个特权域上，切断了攻击者和监控系统之间的攻击路径，保证监控系统本身的安全性。并且，通过在特权域部署一个监控系统，就可以对虚拟化环境中的所有子系统进行安全监控，提高了监控的可维护性和灵活性。为了从不同层面保护虚拟机的安全，本系统通过三个功能模块实现对虚拟子系统的监控，包括进程监控、文件监控和网络监控。首先，利用虚拟机监控器提供的特权指令接口，将虚拟子系统中进程结构体的虚拟地址转换成物理机器的内存地址，再通过迭代目标操作系统内核的进程树得到所有进程信息。其次，利用Xen虚拟机半虚拟化I/O驱动的机制，在特权域上对所有的I/O数据流进行截获和分析，达到文件监控和网络监控的目的。