1、由于計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展以及惡意程序編碼水平的提高，傳統(tǒng)的惡意程序檢測(cè)技術(shù)的不足已經(jīng)越來越明顯，很難滿足人們對(duì)信息安全的需求?；谛袨榈膼阂獬绦驒z測(cè)技術(shù)是利用惡意程序的特有行為特征來檢測(cè)程序惡意性的方法，它能很好地檢測(cè)未知惡意程序。這種惡意程序檢測(cè)技術(shù)可以很好地適應(yīng)惡意程序逐漸呈現(xiàn)的新特點(diǎn)，無疑具有巨大的優(yōu)越性和廣闊的發(fā)展空間，應(yīng)該在今后相當(dāng)長(zhǎng)時(shí)間內(nèi)代表著惡意程序檢測(cè)技術(shù)的發(fā)展趨勢(shì)。
　　本文從樣本程序的API調(diào)用信息中提取出惡意程序

2、行為特征，實(shí)現(xiàn)了一個(gè)基于行為特征的惡意程序檢測(cè)與分類系統(tǒng)。本文從系統(tǒng)的需求出發(fā)，設(shè)計(jì)了系統(tǒng)的體系結(jié)構(gòu)和各個(gè)模塊的功能接口，并對(duì)系統(tǒng)中的系統(tǒng)管理與調(diào)度模塊、預(yù)處理與靜態(tài)分析模塊、部分動(dòng)態(tài)分析模塊和部分檢測(cè)分類模塊的內(nèi)容進(jìn)行了實(shí)現(xiàn)。其中系統(tǒng)管理和調(diào)度模塊負(fù)責(zé)對(duì)樣本文件的管理和樣本分析過程中各個(gè)功能模塊的調(diào)度；預(yù)處理與靜態(tài)分析模塊負(fù)責(zé)將用戶導(dǎo)入的粗糙的樣本處理成系統(tǒng)可以直接分析的樣本，并在不運(yùn)行樣本的情況下提取其靜態(tài)文件信息；動(dòng)態(tài)分析模塊中使

3、用QEMU作為樣本運(yùn)行的沙盒環(huán)境，并在QEMU的虛擬機(jī)監(jiān)控層采集樣本的API調(diào)用信息，解決了傳統(tǒng)的API hook機(jī)制捕獲API的不足；檢測(cè)分類模塊中采用決策樹算法來構(gòu)建分類器，模擬了智能的決策過程并有效解決了多分類的問題。此外，本文還從軟件工程的角度對(duì)系統(tǒng)的用戶交互和數(shù)據(jù)庫進(jìn)行了規(guī)范化的設(shè)計(jì)與實(shí)現(xiàn)，并且詳細(xì)描述了數(shù)據(jù)在系統(tǒng)內(nèi)部的邏輯流向和邏輯變換過程。
　　通過大量的惡意程序樣本對(duì)系統(tǒng)進(jìn)行測(cè)試的結(jié)果表明，本系統(tǒng)具有較高的分類準(zhǔn)確