随着互联网的广泛应用,网络安全问题日益严峻,恶意代码已成为互联网最严重的安全威胁之一。当前恶意代码传播与攻击手段呈现复杂化、多样化的趋势。传播方面出现了新的传播方式,原有的木马等恶意代码改变了传播方式,开始大量利用广泛应用的客户端如浏览器等进行传播,甚至出现了P2P下载传播和Google Hacking这类利用搜索引擎的传播方式。随之而来出现了大量利用客户端软件漏洞进行攻击的新手段,如利用浏览器和Email客户端攻击。目前这类通过客户端应用进行传播的恶意代码已成为恶意代码主流,其中出现了不具备主动传播能力的恶意代码如网页夹带的脚本病毒等。蜜罐作为一种新兴的攻击诱骗技术,已在互联网安全威胁检测方向上得到了较为广泛的应用。但蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限。传统恶意代码检测系统如Nepenthes,单纯使用蜜罐技术吸引恶意代码,被动等待其入侵。对于借助于客户端应用漏洞或被动触发方式感染目标系统的恶意代码,传统检测系统无法有效地进行检测预警。由于传统的被动检测技术逐渐无法适应网络安全需要,恶意代码检测由被动转向主动。本文对恶意代码的传播原理和运行特性进行了深入分析,并在此基础上提出了基于主动检测的恶意代码检测模型。该模型与传统恶意代码检测模型根本区别在于添加了对夹带恶意代码的可疑目标进行主动发现与主动访问,主动诱使恶意代码攻击,进而实现检测捕获。本文对基于IE浏览器传播的恶意代码的传播过程和运行模式进行了深入分析,提出以IE浏览器为客户端软件对可疑数据源进行主动访问并采用基于监测点集合的行为监测方式进行监测。以上述理论为基础,结合爬虫与高交互式蜜罐,本文设计实现了面向IE浏览器的恶意代码检测系统Decoy。除具有传统检测系统的检测发现能力外,Decoy还通过主动访问夹带恶意代码的目标,触发恶意代码,诱导恶意代码实施攻击,利用行为特征监控进行实时检测,从而使恶意代码检测更具主动性、全面性和高效性。与传统检测系统一般需要部署在公网相比,Decoy仅需部署于局域网即可获得较高的捕获效率,具有较强的可用性。各项实验结果满足设计要求,实验数据验证了理论分析的正确性和实用性。最后本文对研究取得的成绩和存在的问题进行了分析和总结,针对一些未能实现的问题,提出了解决思路,提供了可供深入研究的几个方向。