1、隨著計算機技術(shù)的高速發(fā)展及其在全球范圍內(nèi)各行各業(yè)中的迅速普及，互聯(lián)網(wǎng)已滲透到人們生活中的方方面面，成為人們生活中不可或缺的一部分。它能夠為人們提供快速及時的通信和數(shù)據(jù)傳輸。用戶通過互聯(lián)網(wǎng)可以自由地瀏覽和交換文件。毋庸置疑，互聯(lián)網(wǎng)給人們的工作和生活帶來許多便利，但同時也帶來了許多問題。尤其是近年來，惡意軟件不僅給企業(yè)和用戶造成了巨大的經(jīng)濟損失，甚至威脅的國家的安全，這給互聯(lián)網(wǎng)的應用帶來了嚴峻的挑戰(zhàn)。當前，由于國內(nèi)大多數(shù)用戶的網(wǎng)絡安全意識薄

2、弱，而惡意軟件給人們帶來的危害有增強的趨勢，因此，如何建立一個快速有效的網(wǎng)絡安全早期預警系統(tǒng)，已成為計算機安全領(lǐng)域的重要目標。
　　 與此同時，隨著惡意代碼作者技術(shù)水平的提高，他們通過使用加殼、反虛擬環(huán)境等技術(shù)，使得傳統(tǒng)的程序靜態(tài)分析法在應對未知惡意軟件時顯得乏力。當前，程序動態(tài)分析法在惡意代碼檢測中有著不可替代的作用。大多數(shù)的程序動態(tài)分析法用系統(tǒng)調(diào)用API函數(shù)模擬程序的行為，選擇適當?shù)乃惴▉磉x擇程序的特征向量，并利用支持向量機

3、來實現(xiàn)對程序的分類。
　　 在本文中，我們提出一個新的概念——偏差率，它反映了在支持向量機中，不同的特征對分類的影響。基于此，我們將本動態(tài)分析系統(tǒng)搭建如下:首先，我們利用基于虛擬環(huán)境XEN的分析工具Ether，來監(jiān)控程序的系統(tǒng)調(diào)用API函數(shù)序列。Ether采用硬件虛擬擴展技術(shù)，存在于目標操作系統(tǒng)的外部，能很好地規(guī)避惡意軟件對調(diào)試工具的檢測，從而能對惡意軟件保持透明。其次，根據(jù)得到的API函數(shù)序列，對于長度固定為1的API函數(shù)短序

4、列模式，我們利用序列前向特征選擇算法選擇特征向量。該特征選擇算法基于偏差率，優(yōu)先選用偏差率大的特征，直到選取的特征向量達到局部最優(yōu);對于可變長度序列模式，我們先通過Teiresias算法和精簡算法得到精簡模式集，然后再利用之前提到的特征選擇算法從精簡模式集中選取特征向量。從而，我們能夠得到兩個模式的局部最優(yōu)特征向量，并通過matlab中的libsvm工具成功搭建兩個支持向量機。最后，這兩個支持向量機同時工作，組成我們的分析系統(tǒng)，能夠?qū)ξ?/p>