本发明公开了一种基于自省技术的虚拟机安全检测方法，包括：从虚拟机外部虚拟机管理器层采集虚拟机状态数据，通过对内存的自省采集虚拟机进程状态、文件和端口数据，通过寄存器采集虚拟机的系统调用数据；通过对系统数据结构和系统符号表的解析，结合外部采集的数据，恢复和关联虚拟机进程状态、文件、端口和系统调用信息；利用增量和时间片的方法对虚拟机的状态和进程信息进行特征处理；利用局部异常因子，实现对异常状态的检测，利用随机森林，实现对虚拟机中恶意进程的检测，针对虚拟机的流量信息，结合网络入侵检测工具，实现进程级别的网络入侵检测；针对检测结果，根据用户设置实现不同级别的响应，提高虚拟机的安全性。