恶意代码分析的目标通常是为一起网络入侵事件的响应提供所需信息。任务之一是获取恶意代码的特征码,包括基于主机的特征码和基于网络的特征码,服务于恶意代码检测。高级持续性威胁APT的出现,不仅要求恶意代码分析能够掌握恶意行为,而且要求能够分析事件背后的目的与意图,为安全态势评估提供所需信息。论文首先介绍了恶意代码的定义及分类,然后介绍了恶意代码分析的目标和基本方法,并分析了这些方法的优缺点。在此基础上,根据恶意代码分析系统的应用环境和分析需求,提出了论文的研究目标和主要研究内容,为用户提供一个恶意代码分析系统,提取恶意代码的通信对象与通信特征,为NBOS提供黑名单,为CHAIRS的关联分析提供依据,为MONSTER提供新的规则源,为CERNET主干网的安全保障提供支撑。其次,介绍了三个开源流行的恶意代码分析系统TWMAN、CUCKOO和BitBlaze,并从静态分析、动态分析、网络行为分析三个方面分析了系统需求。根据系统的需求分析设计了系统的总体结构,主要包括恶意代码分析模块,通信对象提取模块和通信特征提取模块。再次,介绍了恶意代码分析模块的实现,通信对象提取的实现,并结合典型实例对黑名单的设计和管理、恶意代码的通信特征提取进行了研究。最后,论文对系统实现的关键问题进行了讨论,包括任务管理、数据管理和结果管理。根据系统用户接口需求,提出基于B/S的架构设计用户界面,并最终实现了一个侧重于样本通信对象与通信特征提取的恶意代码分析系统。