近年来，云计算得到了广泛应用和发展，并支撑着政府、电子商务、金融等关键业务。云计算的安全性引起了学术界和工业界的广泛关注。安全监控能力成为虚拟化平台重要的需求，同时也面临着新的挑战和机遇。一方面，由于云计算平台的不断推广，虚拟机及其承载的业务成为犯罪分子重点攻击的目标。另一方面，虚拟化技术作为云计算的重要支撑技术之一，特别是硬件辅助虚拟化技术，能为安全监控工具提供高特权级别，为云计算平台安全带来了变革。　　在现有研究基础上，本文提出了一种主被动结合的集中式虚拟机行为监控方法HCVMI(Hybrid Centralized Virtual Machine Introspection)，能够满足透明性、实时性、灵活性和集中式等要求。一方面，从系统架构角度来看，监控系统通常与被监控虚拟机部署于同一物理机器，采用主动获取或被动拦截的方式来监控虚拟机的执行。这种分布式架构不利于统一管理计算资源，同时监控系统会大量地消耗服务器上有限的计算资源，导致虚拟机性能下降。另一方面，从监控系统如何获取信息的角度来看，现有的虚拟机监控方案可以分为主动方式和被动方式两种。主动方式能获得某时刻系统运行的完整状态，但其实时性较差;被动方式能实时地监控，但其获取的信息过于碎片化，在建立完整的语义视图上缺乏灵活性。综上所述，这两种机制各有优缺点。因此，本文提出混合自省机制来兼顾两者优点，并采用集中式架构，其工作流程如下所述:首先，混合自省机制利用主动方式获取全面的虚拟机运行状态并建立一个初始化的语义视图。随后，通过被动方式拦截虚拟机中相应的事件来实时更新该视图，并保证该视图与虚拟机内部状态视图的一致性。最后，将各个虚拟机的状态视图统一传输到安全监控服务器上，集中执行对监控信息的分析和安全事件的识别操作。　　本文在Xen虚拟化平台上实现了原型系统，并对其进行评估和测试。实验结果表明，HCVMI机制能够有效地监控虚拟机上的状态，满足透明性、实时性、灵活性等要求，并且不会带来较大的性能损失。同时，相比于分布式部署方式，集中式的监控架构能有效地缓解虚拟机自省系统与虚拟机之间的资源竞争问题。