1、信息技術(shù)的飛速發(fā)展給人們的生活和工作帶來了前所未有的便利，與此同時，一些不法分子也在利用互聯(lián)網(wǎng)平臺和相關(guān)技術(shù)對人們的合法權(quán)益進(jìn)行侵害。惡意程序通過在互聯(lián)網(wǎng)上傳播，使越來越多的人受到影響，如何鑒別偽裝成正常程序的惡意程序，成為了眾多安全公司以及科研組織的研究課題。
　　傳統(tǒng)的惡意程序檢測通常使用靜態(tài)檢測，即通過對程序的特征碼進(jìn)行匹配進(jìn)行識別，但隨著惡意程序數(shù)量的激增，惡意代碼的匹配特征庫變得越來越龐大，其檢測所需的時間也越來越長。伴

2、隨著靜態(tài)檢測技術(shù)的發(fā)展，惡意程序的作者也掌握了如何躲避靜態(tài)檢測的技術(shù)。經(jīng)過對惡意程序進(jìn)行加殼，加密，以及混淆就可以躲避過惡意程序的靜態(tài)檢測。動態(tài)分析技術(shù)的產(chǎn)生解決了靜態(tài)檢測的諸多問題，但對程序的行為描述以及檢測結(jié)果的準(zhǔn)確率也亟待提升。
　　本文基于動態(tài)分析技術(shù)捕獲到的程序的行為，提出了三種不同的方法對惡意程序進(jìn)行檢測。程序行為的捕獲是基于QEMU開源模擬器，對系統(tǒng)調(diào)用的API進(jìn)行監(jiān)控，得到以時序排列的API調(diào)用序列及其相關(guān)信息。對

3、得到的API信息進(jìn)行基本行為抽象，使API函數(shù)具有可讀性。為了更深層次的表達(dá)程序的行為，對基本行為進(jìn)行高階行為抽象，得到高階行為信息。本文提出的三種不同的檢測方法是基于程序的API調(diào)用信息，基本行為信息和高階行為信息實(shí)現(xiàn)的。
　　1.基于規(guī)則匹配的檢測方法：通過將所有的API信息，基本行為信息和高階行為信息分別劃分到惡意層、可疑層、敏感層以及正常層四種級別，并對每個層次的行為分別賦分值得到判定規(guī)則。將待檢測樣本的動態(tài)分析結(jié)果與規(guī)則

4、進(jìn)行匹配，若累計命中的分?jǐn)?shù)大于閾值則被判定為惡意樣本。
　　2.基于Adaboost的檢測方法：使用Adaboost算法作為集成框架，C4.5決策樹算法作為子分類器算法。每個子分類器以行為作為節(jié)點(diǎn)進(jìn)行分裂，由集成框架對多個子分類器的分類結(jié)果進(jìn)行加權(quán)得到最終的結(jié)果。
　　3.基于深度學(xué)習(xí)的檢測方法：通過使用word2vec訓(xùn)練出的模型將API名稱映射成詞向量，作為卷積神經(jīng)網(wǎng)絡(luò)的輸入矩陣。輸入矩陣經(jīng)過4層深度卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，提