1、隨著計算機病毒數(shù)量的增多以及變形病毒、新型病毒的千變?nèi)f化著實給特征碼檢測等傳統(tǒng)技術(shù)帶來了嚴峻的挑戰(zhàn)：特征碼技術(shù)只能使得“殺毒”永遠落后于病毒，對未知病毒即病毒庫中沒有特征的病毒幾乎不能檢測。人們一直在尋找一種根本的、普遍適用的病毒查殺方法，以有效應對每日俱增病毒的數(shù)量。 行為分析由于具有識別未知惡意代碼的能力，從而成為本領(lǐng)域的研究熱點?；谛袨榉治龅陌踩浖邆渥晕覍W習功能，能夠自動擴展提高自身的防護能力。基于行為分析的安全軟件

2、密切跟蹤所在系統(tǒng)的行為模式，確定并記錄下系統(tǒng)的正常模式。當實際系統(tǒng)行為發(fā)生的變化超過設(shè)定的閾值時，安全軟件就會分析發(fā)生異常的原因以判斷是否遭到惡意攻擊或病毒感染，并根據(jù)情況采取相應措施。 確定病毒的行為特征是行為分析之前必需的準備，本文根據(jù)人工反病毒經(jīng)驗歸納了病毒在注入、安裝和運行時的35種行為特征，以及由這些行為所組成的行為特征向量的形式，并介紹了捕獲這些行為的方法。 同時，考慮每日海量新增病毒樣本需要分析的需求，本文

3、基于虛擬機控制技術(shù)設(shè)計并實現(xiàn)了海量樣本自動化行為分析系統(tǒng)，該系統(tǒng)屬于一種聯(lián)機處理系統(tǒng)，從實際上解決了人們對海量病毒分析的需求。 本文基于樣本程序的行為數(shù)據(jù)構(gòu)建分類算法，并結(jié)合訓練樣本的多個屬性的取值構(gòu)建學習器，使得它能夠?qū)ξ粗獦颖具M行有效分類。同時，針對惡意代碼的黑白檢測和黑灰檢測，分別提出最小距離分類器和AdaBoost分類器。本文使用上述兩類分類器對黑灰樣本進行了分類實驗，證明了AdaBoost分類器算法在降低灰名單樣本誤報