随着云计算技术的快速发展，越来越多的敏感数据将被迁移到平台上。虽然云计算可以提高资源的利用率，但云计算的开放性，又给恶意用户实施恶意攻击带来潜在可能。因此，如何保障服务性能的同时增强对恶意行为的检测能力是云计算领域亟待解决的问题之一。针对上述问题，本文结合云计算平台的特征，主要完成了如下的研究工作：　　（1）针对当前云平台的特征，论文借助基于硬件层抽象技术，构建了一种云平台下基于虚拟机技术的隔离运行模型（IMCPBVMT）。该模型通过在服务器集群中心加载异常行为分析系统，实现了云集群服务与异常行为分析隔离执行的目的。异常行为分析系统直接运行于虚拟机监控器上，借助虚拟机监控器的root权限，能够对运行异常行为的操作系统实施监控，并通过检测分析操作系统运行过程的进程调用行为，能够实现云服务端异常行为的恶意性分析；而对于不能确认的异常行为，异常行为分析系统通过向云间提交异常行为，来获取异常行为的恶意性检测。　　（2）针对IMCPBVMT模型，论文提出一种基于扩展攻击树的异常行为恶意性检测方法。该方法运用树形结构，能很好地反映异常行为运行过程，并针对云平台下可能存在的潜在威胁行为，改进了扩展攻击树节点权值的威胁度衡量指标和异常行为权值计算方法。　　论文在Ubuntu+Xen+Openstack云计算平台上对构建的隔离模型和检测方法进行了实验测试。实验结果表明，论文提出的隔离模型和检测方法可以实现对异常行为的隔离检测，在一定程度上能够提高云计算平台的安全性能。