入侵检测系统（IDS）被广泛用于识别客户虚拟机（VM）中的潜在攻击。然而，传统的IDS无法满足高性能云的需求。首先，监控虚拟机事件会增加客户服务的延迟；其次，传统IDS的吞吐量无法满足高性能云的要求，导致事件丢失和检测准确性降低；最后，云提供商通常在虚拟机内部运行复杂的IDS工具，更新IDS功能需要修改客户虚拟机，这会影响可维护性。

为了解决这些挑战，本文提出了EIDS，这是一个具有高性能和良好可维护性的云IDS框架。我们发现主要的瓶颈在于收集虚拟机状态数据，这些状态数据可以分为基本状态和补充状态。EIDS将状态收集过程在空间和时间上进行分离：首先，我们提供了一个独立架构的状态监控器，将状态收集逻辑隔离在微虚拟机（microVM）中，从而减少了客户虚拟机中的代码量并提高了可维护性；其次，EIDS引入了一种两阶段的状态收集方法，可以异步批量处理多个事件，以提高IDS的吞吐量；一个使用eBPF实现的微型追踪器在用户虚拟机内部收集基本状态数据；复杂的状态收集器在隔离的微虚拟机中运行，它利用虚拟机监控（VMI）技术收集补充状态数据，并利用基本状态数据来弥合语义上的差距；状态收集器对多个事件的数据收集进行分批处理，以降低微虚拟机切换的固定开销并提高事件追踪的吞吐量；最后，为了最小化延迟开销，一个细粒度且考虑工作负载的调度器在用户虚拟机空闲期间以较小的时间片执行IDS逻辑。我们在Linux-KVM环境中实现了EIDS的原型，并进行了全面的评估。我们将EIDS的性能与Falco进行了比较，Falco是一个被Kubernetes和AWS广泛用于运行时安全监控的开源IDS。结果表明，与Falco相比，EIDS将99百分位延迟开销降低了97%，并在IDS事件处理吞吐量上实现了13.8倍的提升。