互联网技术的快速发展及其在各行业的广泛应用,给人们带来便利的同时也带来巨大安全隐患,近年来随着震网、火焰等重大网络安全事件曝光,信息安全越来越受到重视,国家已把信息安全上升到国家安全战略层的高度。在信息安全领域中,恶意代码威胁程度最大,并向长期隐蔽性、高度针对性和较高攻击技巧等特点发展,已然成为信息安全领域中研究的热点,因此研究恶意代码检测技术在信息安全领域具有十分重要的意义。本文主要研究的是基于行为的恶意代码检测技术,目标为构建一个能对恶意代码进行行为监控和检测分类的自动化系统。本文主要工作有：(1)对当前主流的恶意代码技术进行分析研究,归纳总结了恶意代码的行为特征,基于Windows内核安全技术,研究在内核层实现对恶意代码行为的监控技术。(2)研究虚拟化技术以避免在检测过程中恶意代码破坏或泄露系统资源,对于文件资源采用内核级钩子技术实现虚拟化,对于网络资源通过添加设备驱动对网络传输数据进行过滤从而实现虚拟化。(3)在分析目前隐藏进程检测技术存在不足的基础上,本文提出了一种改进的隐藏进程检测技术,该技术能有效检测出操作系统中的隐藏进程,进而用于检测恶意代码进程的隐藏属性。(4)采用层次分析法(AHP)对代码进行恶意性检测,建立基于AHP的恶意代码评估模型。在此基础上,用BP神经网络进行改进,实现对恶意代码评估结果进行种类细分,具体可分为病毒、木马、蠕虫和其它四类,提出一种改进的基于AHP的BP神经网络恶意代码分类方法,并通过实验证明该方法的有效性。(5)根据基于行为的恶意代码检测方法设计并实现了基于虚拟化技术的恶意代码检测系统,实验结果表明该系统能有效地监控到运行在操作系统中恶意代码的行为并做出判断。本文创新点主要体现在以下几个方面：(1)在研究几种隐藏进程检测技术的基础之上,提出了一种改进的隐藏进程检测技术,能有效地检测出操作系统中隐藏进程,用于检测恶意代码的进程隐藏属性。(2)提出一种改进的基于AHP的BP神经网络恶意代码检测方法,该方法通过建立AHP恶意代码评估模型并使用BP神经网络进行改进,实现对恶意代码评估结果进行种类细分。(3)运用Windows驱动开发和C++编程技术,设计实现了基于虚拟化的恶意代码检测系统原型,既能有效地检测恶意代码,又能对恶意代码种类进行细分。