1、惡意代碼生成技術的不斷推陳出新，使得惡意代碼制造者可以輕松的生產出大量可以逃避傳統(tǒng)偵測手段的變種惡意代碼，給反惡意代碼工作帶來了極大的挑戰(zhàn)。變種惡意代碼與其母體代碼雖然在語法結構上的差異很大，但在功能上往往存在相似性。本文在基于靜態(tài)方法的基礎上，對惡意代碼的匯編指令進行特征提取、惡意代碼個體之間的相似性分析、及惡意代碼的分類與檢測等方面展開研究。
　　首先，建立一個能反映程序功能的惡意代碼特征模型。在深入研究代碼復用和變形這兩種常

2、用的惡意代碼生成技術的基礎上，針對其改變程序代碼而保持功能不變的特點，以能刻畫惡意代碼指令集合分布和結構特性的隨機指令輪廓和函數調用圖特征向量來構造惡意代碼的特征模型。提出的特征模型能夠建立起指令代碼和功能之間的聯系，反映出惡意代碼的功能特性。
　　其次，提出一種基于隨機測試的惡意代碼分類與檢測方法。該方法采用兩種隨機測試算法，把連續(xù)的指令序列作為處理單元，刻畫程序的隨機指令輪廓描述樣本特征，利用相似性計算方法比較個體間的相似性，

3、運用智能分類工具實現惡意代碼分類與檢測。實驗結果表明，該方法可以有效提取出惡意代碼演化中的穩(wěn)定特征，在惡意代碼個體間相似性分析、分類和檢測等方面有很強的可行性，對代碼復用技術和字節(jié)級的變形技術有很好的抵制作用，但此方法對樣本文件大小有很強的依賴性，影響了檢測效果。
　　最后，提出了一種基于圖特征向量的惡意代碼分類與檢測方法。該方法以產生調用關系的指令為出發(fā)點，提取函數調用圖作為惡意代碼的特征，再把函數調用圖轉化為線性特征向量，采用

4、基于最長公共子序列的方法對個體間的相似性進行分析，同樣運用智能分類工具實現惡意代碼分類與檢測。實驗結果表明，該方法能有效的抵抗復雜變形技術帶來的混淆影響，更準確地處理個體間相似性分析、惡意代碼分類和檢測等問題。相對于現存的圖匹配技術，在保證較高正確率的前提下，有效的降低了時間復雜度，同時擴大了適用性。
　　本文針對惡意代碼的生成技術，分別提出基于隨機測試和基于圖特征向量的惡意代碼分類與檢測方法。研究結果表明，這些基于指令分析的方法