恶意代码是故意编制的、对终端计算机造成威胁或破坏的计算机代码,可用于进行勒索、破坏和间谍活动。可见,恶意代码对计算机的安全带来了巨大的威胁。尽管众多研究人员努力减轻恶意代码威胁,但是恶意代码仍在不断地扩散,每天都会产生大量新的恶意代码样本。因此,加强对恶意代码的检测是亟需解决的问题。传统的基于签名和启发式的检测方法只能够检测已知的威胁,无法检测未知的威胁。为此,研究人员提出了基于系统调用的检测方法。本文在该方法的基础上研究使用系统调用记录分析来检测恶意进程的问题。该研究的目标是采用“轻量级”的技术保证方法的实用性,并且保证检测系统在实际环境中具有较低的误报率。因此,本文的主要研究内容如下:1.为了更加有效地获取实验样本,构建了一个实用的恶意代码测试平台。该平台基于系统调用服务SCS实现对良性软件和恶意软件系统调用记录的采集以及恶意代码样本的收集。2.为了从大量系统调用中提取有效的恶意代码特征,提出了基于n-gram的特征提取技术。该技术从信息检索、特征选择、特征缩放和特征降维等四个方面讨论了特征的提取策略和提取过程,保证提取的特征能够检测出恶意代码。3.针对恶意进程检测需要满足实时性、低误报率的问题,提出了四种恶意代码检测算法,实现对主机中恶意进程和良性进程的区分;然后采用序贯恶意代码检测方法实现尽可能快的恶意进程检测,以减轻恶意代码执行带来的不利影响;最后通过实验评估了检测技术的误报率。实验结果表明,本文研究的检测技术达到95%的检测率,并具误报率仅为10^-5。