在计算机信息技术快速发展的同时，计算机信息安全问题也得到越来越广泛的重视。针对操作系统的各种攻击技术层出不穷，屡屡导致信息丢失、窃取等安全事故的发生。对于这些攻击，传统入侵检测系统(Intrusion Detection System，IDS)起到了一定的防御作用，但其框架本身也存在一些局限性。　　 传统入侵检测框架使得IDS面临一个艰难的抉择。一方面，如果让IDS寄宿于被检测系统之上，那么它对主机上软件运行信息有很好的了解，但是这样会降低它与被监控系统间的隔离，使得易于遭受直接攻击，安全性不高。另一方面，如果让IDS通过网络来进行监控，这使得它具有很好的抗攻击性能，但是只能获取很少的主机内部信息，对检测入侵的范围和准确性不高。在本文中我们提出了一种入侵检测框架，它能够将IDS剥离出被监控系统，并保持着与基于主机的IDS(Host-based Intrusion Detection System，HIDS)具有相同或者更高的可见性。　　 近年来云计算的兴起，使得虚拟化技术得到了快速的发展和广泛的应用。而且随着计算机硬件的购买成本不断下降，和运维成本不断上升，虚拟化技术作为解决该问题的核心技术，将会得到更广泛的应用。虚拟化技术的成熟以及它能在多个虚拟机之间提供很强的隔离性，同时又能保持对虚拟机内部信息的完全可见性，使它可以很好的满足一些入侵检测系统的需求，并能保持与被监控系统的高隔离性。　　 本文设计的入侵检测系统框架，是建立在虚拟化技术之上的。虚拟化监控器可以使入侵检测系统与被监控虚拟机运行在同一物理机上，同时又让入侵检测系统与被监控虚拟机保持很好的隔离。入侵检测系统可以利用虚拟机监控器提供的机制，直接观察被监控系统的硬件状态和事件，然后用该信息推断出被监控系统之上的软件状态，这可以获得与HIDS相近的可见性。而且直接观察硬件状态能够获取比HIDS获取的系统视图更加真实可靠。基于虚拟机的入侵检测系统在被监控虚拟机被完全绑架的情况下，依然能够维持系统的某些可见性。　　 本文在Xen虚拟化平台之上，实现了入侵检测系统fortis。fortis能够获取被监控系统的内核空间和所有进程空间的所有内存信息，进而利用这些信息对被监控系统状态进行判断。实验证明fortis对被监控系统具有很好的入侵检测效果。