随着计算机技术和互联网的高速发展,计算机系统和网络的安全问题受到人们越来越多的关注。而计算机系统和网络安全的诸多威胁中,恶意代码无疑是危害最大的,这也成为网络安全领域的研究焦点。现有的恶意代码检测方法主要分为静态检测和动态检测两类。静态主要是通过对代码本身的内容或者是结构进行分析,而不用去执行代码来确定所要检测的代码是否是恶意代码;动态主要是根据代码运行时的行为来判断代码是否是恶意代码。目前,恶意代码的静态检测方法和动态检测方法都有很广泛的应用,这两种方法有各自的优点。但是随着恶意代码变形和多态技术的发展,大量的恶意代码变形工具出现,使得传统的基于特征码的静态方法受到很大挑战;而通常要借助虚拟环境的动态方法也对一些在虚拟环境下隐藏自身恶意行为的代码无能为力。在本文中,研究了基于系统调用序列的恶意代码静态检测方法,与传统的在虚拟环境中执行代码,来获取代码的系统调用序列不同,本文中系统调用序列的获取是通过对代码的可执行文件静态反汇编,从反汇编后的汇编代码中遍历程序运行时候的所有可能路径来提取系统调用序列。然后通过N-Gram的方法来进行特征的提取与选择,最后通过有监督的分类方法实现对恶意代码的检测。本系统通过对收集到的正常样本和恶意代码样本进行实验,对恶意代码的检测具有很高的正确率和很低的漏报率、误报率,能够实现对多态、变形代码以及未知恶意代码的检测。