Desde sistemas generales hasta sistemas críticos para la misión en instituciones financieras y gubernamentales, el alcance de aplicación de los servicios de computación en la nube está en constante expansión. Por lo tanto, existe la necesidad de mejores métodos para garantizar la estabilidad y seguridad de los datos y servicios en la nube. El monitoreo del comportamiento anormal de las máquinas virtuales (VMs) es uno de los medios más importantes para identificar las causas de los incidentes de seguridad relacionados con la nube. Sin embargo, los métodos actuales de detección de comportamiento anormal para VMs en plataformas en la nube enfrentan múltiples desafíos como la protección de la privacidad y la brecha semántica. La tecnología de virtualización juega un papel clave en la computación en la nube. Mientras tanto, la seguridad de la virtualización es también el problema central de la seguridad de la computación en la nube. Para abordar estos problemas, este documento propone un método de detección de comportamiento anormal basado en la fusión de características (FFABD) en un entorno de virtualización. Este método adquiere las características de hardware y syscalls de la VM a nivel de máquina física y nivel de virtualización, respectivamente. Por lo tanto, este método no está limitado por el sistema operativo que se ejecuta en la VM. Esto hace que nuestro método sea más eficiente y universalmente aplicable en comparación con los métodos tradicionales de detección de VM anormales. El modelo de aprendizaje en conjunto es el que mejor se desempeña entre todos los modelos, logrando una precisión del 99.7%.