随着人们对计算机网络的依赖性不断增强，网络安全越来越受到重视。网络中的入侵行为主要是指入侵者对计算机系统资源的非授权访问，可以造成系统数据的丢失和破坏、系统拒绝服务等危害的行为。入侵已经成为网络中一个越来越严重且日益普遍的问题。由于入侵检测能有效弥补传统防御技术的缺陷，近年来得到了学术界和业界的广泛关注。而随着入侵检测系统研究和应用范围的日益广泛，也造成了对其本身攻击方法的日益成熟。当今入侵检测的体系结构迫使入侵检测系统的设计者必须做出一个艰难的选择。如果将入侵检测系统置于被监控的主机之上，它对主机应用程序中的所有事件都能检测到。另一方面，如果将入侵检测系统放置在网络中，它的抗攻击能力将会更强，但是对主机的监控能力就相对下降，攻击者比较容易绕过入侵检测系统的检测。近年来沉寂已久的虚拟机监控器又重新成为了学术研究领域的热门话题。随着虚拟机监控器在安全领域的应用，针对现存入侵检测系统存在的问题，本文提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机监控器来虚拟硬件接口，在单一的硬件实体上运行多个系统实例。因为虚拟机监控器处于操作系统和硬件之间，从而使得这个入侵检测系统位于监控所有对操作系统的入侵事件的最佳位置，并处于一个独立于操作系统之外的受保护的空间内，增强了入侵检测系统的独立性、健壮性和检测能力，是传统的基于主机和网络的入侵检测系统优点的完美结合。本文主要做了以下工作：1)深入分析虚拟机监控器技术；介绍了UML的特点及配置过程。提出了一种在虚拟机监控器基础上的入侵检测体系结构，并对各个功能模块作了详细说明分析。2)本文在分析基于系统调用序列入侵检测系统原理及现有系统调用序列采集方法的基础上，实现了在虚拟环境下对虚拟机上的操作系统中运行的程序所产生的系统调用序列的采集。3)通过测试，证明了虽然运行虚拟环境对系统资源造成了一定的影响，但入侵检测系统仍然可以有效地工作。通过与一般计算环境下系统资源利用率的对比，证明了本文所提出的结构模型在实际应用中的可行性。总之，本文描述了一种使用虚拟机来增强计算环境安全性的结构模型。这个想法的基本原理是通过一个位于虚拟机之外的入侵检测系统来监控虚拟机上操作系统中进程的状态。入侵检测所使用的数据由虚拟机监控器来采集并由位于物理机器上的入侵检测系统来分析。虚拟机上的进程不能够访问检测系统，入侵者也就不能对检测系统造成破坏。实验证明，这种设想是合理的，也必将为提高入侵检测系统自身的安全性做出贡献。