互联网的安全问题已经成为人们正常生活中的一大威胁。特别是恶意代码,每年由于恶意代码而造成的经济损失高达数百亿美元。由于新的恶意代码出现的速度越来越快,传统的基于特征码的静态检测技术很难发现未知恶意代码,而基于行为检测的恶意代码检测技术则可以有效的检测出未知恶意代码,因此,开展恶意代码相关研究具有重要的理论和现实意义。开发恶意代码行为分析系统能够同实验室已有的蜜网系统结合起来,弥补蜜网无法识别恶意代码的不足之处,增强蜜网的功能,实现捕获和识别的全自动和无监管。本文的主要工作如下:(1)本文使用了基于调试器技术的行为获取技术,实现了对样本行为的准确获取。通过在虚拟机中使用调试器技术能够准确的获取样本的行为。在虚拟机中运行行为监控模块能够保证物理主机的安全而不用担心会被感染病毒,并获得详细和完整的行为监控报告。(2)本文使用了基于信息增益的特征权重调整算法选取关联度较高的行为,使用了朴素贝叶斯算法实现对样本性质的识别。本文将朴素贝叶斯算法和基于信息增益的特征权重调整算法结合起来,对已分类样本进行训练,建立行为特征库,使用权重调整算法选取有效的行为作为特征,通过朴素贝叶斯算法进行数据挖掘来识别恶意代码。(3)运用虚拟机的自动化技术实现不间断的自动化获取样本行为。通过使用VMware的VIX API使得获取样本行为时不需要人工操作,实现自动操作虚拟机,自动获取样本行为和自动获得行为监控报告的能力。通过在实际环境中的测试,本文设计的基于行为分析的恶意代码识别系统能够准确获取样本的行为,使用朴素贝叶斯算法对测试样本进行了测试。通过检验,该系统能够对样本的行为进行获取并识别样本的性质,但是在精确度上还需要进一步的提高。