本发明提出了用于云计算环境的入侵检测系统、方法及设备。其中，所述方法包括：至少一个主机中的入侵检测客户端监控其驻留于其上的主机的预定类型的主机事件，并基于预定的监控规则执行下列操作以实施相关的入侵检测过程：将所监测到的主机事件传送到入侵检测服务器，或者基于所监测到的主机事件构造事件响应请求并将所述事件响应请求传送到所述入侵检测服务器；入侵检测服务器根据接收到的主机事件或事件响应请求并基于预定的入侵检测规则执行入侵检测过程。本发明所公开的用于云计算环境的入侵检测系统、方法及设备具有高的适配性、灵活性和扩展性并能够进行关联分析。