随着互联网技术和数字经济的迅猛发展,以窃取用户敏感信息和损害网络为目的的间谍软件已经成为国家、企业和个人用户最常见的网络威胁之一。间谍软件是一种高威胁性、高隐蔽性的恶意软件,它收集个人信息并将其在用户不知情或不同意的情况下发送到网络罪犯手中,在各种隐私机密信息泄露事件中扮演着重要角色。针对目前频繁出现且危害极大的间谍软件,国内外研究者提出了多种间谍软件检测方法。但是基于静态的检测方法难以应对集成了代码混淆和加壳技术的间谍软件。基于动态的检测方法在应对采用了触发执行策略等动态逃避技术的间谍软件时,在检测时间和检测准确率方面均难以达到好的效果。因此如何有效解决集成了触发执行策略等技术的间谍软件检测问题是本文主要研究工作,具体包括以下两个部分:（1）集成触发执行策略的间谍软件具有极高的隐蔽性,传统的检测方法在面对该类间谍软件时,检测效率表现不佳,本文提出了一种基于软件“活跃度”的诱导式间谍软件检测方法（Inductive Spyware Detection Method based on Software Activity,ISDMSA）。该方法从主动诱导的角度出发,重点关注间谍软件被诱发窃密操作的应用程序编程接口（Application Programming Interface,API）,以间谍软件在诱导操作执行时间段和诱导操作未执行时间段中所表现出的API调用“活跃度”来进行间谍软件检测。实验结果表明,该方法对多种类型的间谍软件具有良好的检测效果。（2）基于诱导的检测方法中查杀类正常软件和间谍软件均会被诱导操作影响,产生相似的软件行为,导致方法的检测效果下降,本文提出了一种基于机器学习的诱导式间谍软件检测方法（Inductive Spyware Detection Method based on Machine Learning,ISDMML）。该方法采用连续诱导操作诱导间谍软件执行恶意行为,并利用自然语言处理技术将软件API调用序列的数量、类型和上下文关系融合为固定长度的特征向量,然后运用机器学习算法建立检测模型实现对多种类型间谍软件的准确检测。实验结果表明,该方法在具有较多查杀类正常软件的数据集中依然能够准确检测出多种类型的间谍软件。