1、自從上世紀80年代Morris蠕蟲出現(xiàn)以來，計算機安全已成為學術界和業(yè)界的熱門領域之一。無論作為攻擊還是防御，惡意代碼都是該領域發(fā)展迅速的一個分支。網絡的迅速發(fā)展與軟硬件的同構化降低了攻擊難度，作為計算機攻擊的主要形式之一，惡意代碼給互聯(lián)網和用戶帶來了嚴重威脅，造成了巨大損失，使得安全愈來愈受人們重視，但也面臨前諸多挑戰(zhàn)。然而當前惡意代碼的檢測手段相對單一、缺乏深度，難以檢測遏制層出不窮和經過復雜變形的攻擊，高誤報率和漏報率嚴重制約了檢

2、測系統(tǒng)的廣泛使用，同時傳統(tǒng)防御體系難以應對大規(guī)模爆發(fā)的攻擊。主機型惡意代碼以木馬為典型代表，以竊取用戶敏感信息為目的，為目前所占比例最高的惡意代碼；蠕蟲是網絡型惡意代碼的代表，具有分布式特點、威脅大，易引起后續(xù)攻擊，因此它們都值得研究和關注。
　　本文綜述了惡意代碼相關原理、關鍵技術和檢測方法，以特洛伊木馬、病毒和蠕蟲為研究背景，從檢測和遏制角度出發(fā)，取得了以下三個方面的成果：
　　1．針對木馬/rootkit，研究并實現(xiàn)了

3、基于虛擬環(huán)境的行為分析檢測系統(tǒng)。行為主要包括影響操作系統(tǒng)的安全行為，并利用數(shù)據挖掘算法對未知程序的合法性進行判斷。虛擬的行為采集環(huán)境大大減小了惡意代碼給主機帶來的破壞，對用戶影響小。實驗結果表明，該同類系統(tǒng)相比，我們的系統(tǒng)能較準確的檢測出未知木馬/rootkit。
　　2．病毒的編寫技術已經被蠕蟲大量使用，經過高強度變形的蠕蟲攻擊越來越普遍。而作為目前對抗蠕蟲的主要技術，人工方式為主的特征碼提取耗時長、誤報率高。本文研究設計了一種

4、準確高效的蠕蟲特征碼提取技術，它能有效對抗變形攻擊，并首次將此技術應用于病毒和木馬。它采用變形引擎產生副本，無需多個原始樣本，實驗結果表明能在較短時間內提取出高質量的特征碼，誤報率、漏報率均較低，實驗同時給出了它們的定量分析。
　　3．為了快速遏制惡意代碼的大規(guī)模爆發(fā)，提出一種新型分布式惡意代碼檢測響應框架。該框架融合了基于行為分析的異常檢測和特征碼的誤用檢測機制，且具有良好擴展性；因此它不僅能檢測已知惡意代碼，而且能檢測未知惡意