互联网的日益普及以及各种互联网技术的快速发展使得网络安全问题成为现今网络所要面临的一大难题。网络中的入侵行为主要是入侵者试图危害资源的完整性、保密性和可用性的活动集合。入侵包括企图攻击或实际攻击一个信息系统。由于入侵检测能有效弥补传统防御技术的缺陷，保证内部网络和主机的安全，近年来得到了学术界和业界的广泛关注。而随着入侵检测系统研究和应用范围的日益广泛，也造成了对其本身攻击方法的日益成熟。　　 然而，不同体系结构的入侵检测系统由于设计思想不同，决定了其优点与缺点并存、健壮性和脆弱性同在的性质。如果将入侵检测系统置于被监控主机之上，其对主机上的检测能力较强；但其作为被监控主机的一个部件或进程存在，容易受到入侵者的破坏。另一方面，如果将入侵检测系统放置在网络中，它的抗攻击能力将会更强，但是对主机的监控能力就相对下降，攻击者比较容易绕过入侵检测系统的检测。　　 虚拟机技术再次成为人们研究的热点，并逐渐成为计算机世界一个非常重要的概念。随着虚拟机监控器在安全领域的应用，针对现存入侵检测系统存在的问题，本文提出一个运行于虚拟机监控器之上的入侵检测系统。　　 因为虚拟机监控器处于操作系统和硬件之间，从而使得这个入侵检测系统位于监控所有对操作系统的入侵事件的最佳位置，并处于一个独立于操作系统之外的受保护的空间内，增强了入侵检测系统的独立性、健壮性和检测能力，是传统的基于主机和基于网络的入侵检测系统优点的完美结合。　　 本文主要做了以下工作：　　 (1)深入分析虚拟机技术的发展、现状、实际应用以及虚拟机技术的分类；阐述了入侵检测技术的分类及各自的优缺点；介绍了Xen的特点、配置过程以及基于Xen的各虚拟系统的体系结构。提出了一种在虚拟机监控器基础上的入侵检测体系结构，并对各个功能模块作了详细说明分析。　　 (2)本文在分析基于系统调用序列入侵检测系统原理及现有系统调用序列采集方法的基础上，实现了在虚拟环境下对虚拟机上的操作系统中运行的程序所产生的系统调用序列的采集。(3)通过测试，证明了本文提出的入侵检测体系虽然对系统资源造成了一定的影响，但与保证了入侵检测系统较高的安全性相比其影响可以忽略；同时，入侵检测系统仍然可以有效地工作。通过与一般计算环境下系统资源利用率的对比，证明了本文所提出的结构模型在实际应用中的可行性。　　 总之，本文描述了一种使用虚拟机来增强入侵检测系统安全性的结构模型。本课题的基本原理是通过一个位于虚拟机之外的入侵检测系统来监控虚拟操作系统中进程的状态。入侵检测所使用的数据由虚拟机监控器来采集并由位于物理机器上的入侵检测系统来分析。虚拟机上的进程不能够访问检测系统，入侵者也就不能对检测系统造成破坏。实验证明，这种设想是合理的，也必将为提高入侵检测系统自身的安全性做出贡献。