随着信息共享技术的发展及使用,恶意代码的发展速度和更新频率变得越来越快,各种未知恶意代码层出不穷,给分析人员带来巨大的挑战。传统的基于特征匹配的检测方法对于各种变形的恶意代码显得无能为力。近年来机器学习和数据挖掘技术快速发展,已经有许多研究将这些技术用于恶意代码的实际检测环境中,并且取的了不错的效果。如何应对恶意代码的爆发式增长,尤其是对未知恶意代码及其变种得到较好的检测效果成为恶意代码检测技术的研究重点。本文首先对传统的基于机器学习算法的恶意代码检测技术做了研究,分析了传统方法的不足。传统方法大多数提取汇编操作码作为特征表示,由于汇编操作码自身的特点,使得少量的汇编操作码很难去表示程序的行为特征,所以近年来有学者尝试对汇编操纵码进行抽象,以期望获得更加有意义的行为特征。其次,本文对加入了抽象化操作的恶意代码检测技术提出了一种改进方法。抽象化方式多种多样,如何让检测系统始终选择最合适的抽象化方式是本文要解决的问题。首先使用多种抽象化方式得到中间码特征序列,然后使用Eclat算法对中间码序列特征进行频繁项集的分析,接着使用本文定义的平均相似度作为衡量标准,选择最合适的中间码特征序列,最后根据此中间码特征序列构造概率矩阵,完成恶意代码的特征表示。然后对本文方法进行实验仿真,通过准确率、精确率和召回率三个指标对实验结果进行评估。实验结果表明,本文方法提取的特征和其他同类方法提取的特征相比,对于恶意代码分类具有更加明显的效果。最后设计并实现了一个恶意代码的在线检测系统。