现在计算机和通信基础设施非常容易遭遇不同类型的攻击。恶意软件(又称恶意代码)是这些不同攻击类型的统称,包括但不限于蠕虫、病毒和木马。恶意软件不仅传播快,而且会损害个人、商业公司和政府的利益。近年来,网络连接的高速发展使得恶意软件以更快的速度传播并感染主机。因此,非常有必要以一种迅速的方式检测并消除新型恶意软件。为了保护合法用户免受攻击,最重要的方法就是安装防病毒软件产品。这些防病毒软件主要采用基于签名的方式进行恶意软件检测。基于签名的方法是个极其繁重的工作,它不仅耗时、费用高,最重要的是需要专家。同时,基于签名的方法受限于只能识别已知的恶意软件,它无法可靠有效地识别新型恶意软件。为了解决上述问题,研究人员提出了启发式的检测方法。启发式的方法主要利用数据挖掘和机器学习,目的是学习可以表征恶意软件的特别模式。通常来讲,启发式的检测过程可以分为2个阶段:特征提取和分类。为此,本文研究了恶意代码相关技术,查壳与脱壳技术、反汇编技术、特征选择技术与分类器技术。本文设计并实现了基于操作码序列和机器学习的恶意程序检测方法和系统。首先收集大量恶意样本和正常样本,经查壳后,选择合适的样本进行反汇编,进而提取相应的操作码序列。然后比较信息增益IG和绝对比例区分CPD两种特征选择方法。最后进行分类器训练与测试。本文以全新的视角进行一系列实验和分析:当操作码序列n-gram大小较小(n小于8),恶意文件比例为50%,特征选择算法为信息增益,训练集规模较大时,恶意程序检测效果较好。