入侵检测系统(IDS)的结构对于入侵检测系统自身的安全性是非常重要的。当前的入侵检测系统或者基于主机，或者基于网络。虽然它们有不同的入侵检测目标，但是在功能和自身安全性上都有自己的缺点。如果一个入侵检测系统被设计放在主机上，它可以有一个非常好的视图来观察到在主机上的软件发生的行为，但是IDS自身也很容易受到黑客的攻击，从而可能使得IDS的作用完全丧失。如果将IDS设计成基于网络的，它就可以减少自身被攻击的风险，但是这样又使得对某些在网络数据流中很难被发现的攻击的监控能力大打折扣。　　 在本文中，我们提出了一个新的IDS结构，它即保持了基于主机的特性，又使得IDS在主机之外，从而减少IDS受到攻击的可能性。我们通过使用虚拟监控机的方法来实现该结构。使用这个方法使得我们可以隔离IDS和需要被监控的主机，同时又能保持对主机状态的良好的监控视图。虚拟监控机是唯一能完成被监控主机上运行软件和底层硬件交互的中介。我们对设计的结构进行了深入的研究，利用了虚拟监控机对运行在它上面的虚拟机的隔离，检查，插入性质和内存映像分析技术，实现了一个原型系统，并在此基础上完成了基于轮询和基于事件驱动的若干入侵检测策略模块，最后通过试验证明了利用这些策略能检测到常见攻击程序，并测量出在使用文章设计的系统后的性能下降在5％到10％。