Afin de pouvoir protéger des machines virtuelles (VM) contre des intrusions, il est possible de placer un système de détection d'intrusion directement au niveau de l'hyperviseur. Dans cette situation, même si un attauant arrive à comprommettre intégralement une VM, il ne pourra pas désactiver l'IDS. Une difficulté se posant alors est celle du fossé sémantique : l'IDS à accès a toutes les informations propres à une VM, mais ne sait pas comment les interpréter. Pour franchir ce fossé sémantique, nous proposons alors de créer un langage permettant à la VM de communiquer à l'hyperviseur comment interpréter les données et dans quelles situations il est nécessaire de lever une alerte.
Nous avons alors implémenté deux attaques et leur détection au niveau de l'hyperviseur grâce à l'envoi d'informations de la VM sur les régions de sa mémoire qui doivent êtres surveillées par l'hyperviseur.