随着国家信息技术的快速发展和综合国力的提升,商业秘密信息和国家秘密信息成为了窃密者的重要攻击对象。由于信息系统外部软硬件国产化进程还无法适应当前的技术发展和需要,因而为窃密者提供了大量的可利用的系统漏洞和攻击途径,其中,以恶意代码为典型代表的攻击方式在信息系统内屡见不鲜,且攻击方式不断优化。对于这些恶意代码,一旦无法及时检测和清除,轻者破坏信息系统的部分功能和应用环境,重者则直接窃取敏感的涉密信息,给国家安全和经济建设造成严重的损失。为此,恶意代码检测技术已成为我国政府、军队和科研院所重点关注的研究问题。虽然人们对恶意代码特征以及信息系统安全防护等相关技术进行了长期研究,提出了各类有效技术及机制并试图解决信息系统内恶意代码检测与清除研究中所遇到的各类安全问题,但这些技术并没有很好地适应信息系统的综合环境和特性。本文以信息系统内恶意代码基本特征为研究对象,以信息系统安全为研究内容,从恶意代码检测的实用角度出发,深入研究了可适应信息系统环境,具有特殊攻击性、潜伏性等特点的恶意代码行为方式,并提出了综合性的恶意代码检测方法。首先,以信息系统为例,应用程序、进程和服务比较单一,特别是文件、网络、注册表等访问行为。为此,针对恶意代码善于伪装以及添加无序行为的方式来逃避检测的情况,提出了运用齐次隐马尔可夫模型提高判断恶意行为准确性的方法。该方法通过对于危险行为特征的概率计算,能够准确地识别恶意代码程序加壳以及无序干扰的伪装方式,提高信息系统环境恶意代码的检测率。其次,在信息系统中,为了混淆恶意特征以及行为,恶意代码往往会通过变种的方式,为此,提出了基于启发式的恶意代码检测方法,通过静态的行为特征,按照特征的判别熵进行特征精简,来比较所有与正常样本存在差异的样本。对于通过采用自修改代码技术隐藏自身逻辑的恶意代码,提出了使用虚拟机技术新生恶意代码位置的方法,并调用静态检测部分进行检测,达到检测自修改代码未知恶意代码的目的。最后,在信息系统中,恶意代码最显著的特征是自身隐蔽性,为了达到事前预防的最佳效果,提出了基于主机检测的恶意代码检测方法,获取常规情况下系统服务或应用程序对象对系统函数的调用层次树,将实时情况下检测得到的调用层次树与常规模式下的调用层次树进行相似度比较,当相似度超出阂值,则判定目前函数的调用行为是恶意的。特别对于利用一些常见应用程序漏洞,而植入恶意代码的可疑目标,能够实现主动发现,并主动诱使恶意代码进行攻击,进而实现检测。