随着信息化技术的日益更替,针对信息系统的恶意攻击愈来愈频繁。恶意攻击的对象已不仅局限于个人用户,攻击者的攻击目标逐渐深入到企业、政府等关键组织和机构,对金融、交通、通信、医疗等重要行业都造成大量损失,严重危害社会的稳定。为阻止攻击事件的发生,针对恶意攻击的测试和研究成为网络安全专业人员的关注重点。为更好的测试和研究攻击,采集恶意攻击产生的数据信息是非常有效的手段和必要的基础。然而,现存的数据采集系统存在两点明显的技术缺陷。第一,攻击测试的区分通常以经验术语为标准,测试结果难以为其他种类或家族的恶意攻击测试提供理论和经验上的支持;第二,恶意攻击实例和数据采集程序通常运行在同一个系统环境中,恶意攻击实例可能通过提权等恶意操作,绕过数据采集程序的监控和信息收集,使其失效。针对问题一,本文提出了新的攻击分类方式,将恶意攻击按照其涉及的主要技术分为不同种类,并以此作为数据采集的理论基础;针对问题二,本文提出了一种基于虚拟机带外采集方式的数据采集系统,能够有效的实现攻击实例与采集程序的分离。两者的结合具有如下优势:第一,根据不同的攻击分类,它能够快速解释需要采集的主要数据类别,为多种攻击的测试研究提供理论上的参考依据;第二,使用虚拟机带外数据采集技术,将攻击测试使用的攻击实例放置在虚拟机中运行,而将数据采集程序运行在虚拟机下面的宿主机中,数据采集程序通过虚拟机自省技术完成对攻击实例所产生数据的采集,能有效的防止数据采集功能被攻击者绕过。本文以KVM（Kernel-based Virtual Machine）作为虚拟机管理器设计了虚拟机带外数据采集系统。该系统能解决带外数据采集中的“语义间隙”问题,实现在宿主机上采集客户机内部程序所产生数据的功能。本系统通过获取并在语义上还原虚拟机中内存页面、寄存器、I/O设备上的抽象数据内容,以及虚拟机内产生的系统调用、中断、异常等事件,在宿主机完成对相关数据信息的采集。为此,该系统需要在KVM中设置钩子函数,以实现对上述设备状态的检查,并分析和解释特定事件,如系统调用、中断、磁盘输入输出等。本文基于Linux 5.4.24内核版本,在Ubuntu 20.04-desktop-amd64上实现了面向攻击测试的虚拟机带外数据采集系统,为数据采集提供了完整的API接口函数。这些接口函数即包含对虚拟机中静态数据内容的采集,如进程列表、已加载内核模块、磁盘设备数据、寄存器等,又包含对虚拟机内所发生的动态事件数据内容的采集,如系统调用、中断等。与现有的数据采集方案相比,该系统具有隔离性高,扩展性好的优势。最后,为验证系统数据采集的准确性和针对攻击测试的真实性,本文基于Windows客户机,选择近两年具有代表性的两种网络攻击方式,即勒索软件和挖矿软件,完成了对系统的功能和性能测试,测试结果验证了系统的可用性和高效性。