随着计算机网络在全世界的普及,用户开始面对越来越多的网络安全问题,病毒传播和攻击者入侵的时间持续增长,社会、企业和个人的利益也因此造成了极大的损害。传统的防御技术在遭到攻击之后才寻求解决方案,早已不能有效面对当前的网络威胁。主动防御系统针对传统防御技术的不足之处,通过对网络的全面监控实现对计算机的实时保护以阻止计算机病毒的入侵、内部攻击以及误操作等危险行为,并且该系统可以和其他互联网安全防护产品相配合,对网络环境和用户主机提供主动性、实时性的全面防护。本文将Windows操作系统作为研究平台,深入研究了木马病毒的基本结构和攻击原理等,并在调研了已有的主动防御技术之后,提出了一套被动防御与基于行为分析的主动防御联合解决方案。具体的研究内容及成果如下:1、论文调研了主动防御技术的研究现状,收集大量的木马病毒样本,总结出木马病毒运行时的标志性行为,通过研究Windows系统调用将木马病毒行为抽象成API函数的调用,并利用API HOOK技术从文件操作、注册表和进程三个方面获取API函数调用次数。2、论文调研了能够应用在木马检测的分类算法,分析各个分类算法的优缺点,选取朴素贝叶斯分类算法为基础,提出基于结构扩展的加权贝叶斯分类算法,解决了朴素贝叶斯分类算法独立性假设的问题。最后针对样本不平衡问题,构建多通道AWB分类算法模型,进一步提高木马检测率。3、设计并实现了整个主动防御系统,系统分为三个模块:应用层模块主要展示电脑体检的界面、系统设置以及拦截病毒的日志查看等。被动防御模块构建静态特征码库,对已有的病毒能够做到快速准确的识别。主动防御模块对未知程序进行行为捕获,并根据改进的分类算法进行类别判断。4、为保证安全,在一台独立的物理机中对本文提出的主动防御系统进行测试。在测试实验上,从多个角度对系统进行测试,包括系统功能测试、不平衡方法测试、分类算法的性能对比以及不同数量样本集的测试。本文提出的多通道AWB分类算法与常见的分类算法的实验对比结果来看,多通道AWB分类算法在检测精度高于朴素贝叶斯分类算法和常见的分类算法,同时本文改进的分类算法在漏报率和误报率上也要低于朴素贝叶斯分类算法和常见的分类算法,因此本文改进的分类算法在木马检测上是有所提高。