随着计算机在社会生活各个领域的广泛运用,计算机在人们生活中扮演着越来越重要的角色,改变着人们的生活和工作方式。但是恶意代码同时又威胁着计算机系统的安全,严重影响了人们的正常生活。据国家互联网应急中心（CNCERT）2010年上半年安全报告显示,国家中心和各分中心处理各类网络安全事件共784件,与2009年上半年相比增长92.2%,其中,恶意代码所占比例为57.57%。因此,对恶意代码检测技术的研究具有重要意义。本文首先介绍了恶意代码的分类、特点及其实现机理,然后在研究了现有的恶意代码分析技术和检测方法的基础上,提出了基于子行为的恶意代码检测技术。所谓子行为,就是恶意代码运行时对某种资源操作的API子集。传统的基于API频率统计的恶意代码检测方法主要是基于单个系统调用的结构特性,无法抵抗恶意代码的混淆变形等技术干扰。本文提出的方法,在恶意代码动态分析的基础上,提取程序系统调用之间的依赖关系进行检测,一方面防止了恶意代码的反监控技术,另一方面增强提取特征的语义性,有效的克服了传统检测方法的不足。根据上述设计思想,实现了基于子行为的恶意代码检测系统的原型。整个检测系统分为三个模块,恶意代码行为监控模块,主要完成在恶意代码监控平台APICapture上动态捕获系统调用的功能;恶意代码特征提取模块,通过分析系统调用之间的def-use依赖,提取恶意代码的子行为特征;恶意代码分类检测模块,由于现有的检测算法都是针对单个样本进行分析,本文通过提取一个恶意程序家族的子行为特征轮廓,利用卡方校验算法进行检测,提高了对恶意代码的检测能力。文章最后给出了该系统的实验分析结果,实验结果表明,该方法与传统的基于API频率统计的方法相比,恶意代码的检出率更高,误检率更低。