本发明涉及操作系统内核数据攻击行为的检测方法，属于计算机与信息科学技术领域。本发明目的是解决现有操作系统内核数据攻击行为检测方法存在的检测全面性不足、无法拦截攻击行为、依赖内核源代码等问题。本发明首先利用同步检测机制和语义重构技术定位并劫持特定内核函数，从而准确获取内核运行状态，计算当前内核进程的合法数据访问范围；然后利用虚拟化影子页表权限管理机制设置内存页的读写访问权限，将合法访问范围外的内核数据设置为只读或不可读写，对内核进程的数据访问范围进行强约束；最后使用“内存页异常”机制实现对攻击行为的同步检测从而对抗瞬态攻击，并利用虚拟机监视器拦截检测到的内核数据攻击行为。