恶意软件对网络安全的威胁备受关注,每天都有数百万个新的恶意软件出现,影响着成千上万的用户。但绝大多数的恶意软件都是基于原有恶意软件的重用或者复用。攻击者可以完全自动化的设计和重用恶意软件,这使得网络犯罪的门槛越来越低。对海量的恶意样本进行快速的分类和归档,可以加速对新的恶意软件的检测和对相同家族恶意软件的版本更新梳理。因此,我们迫切需要一种检测技术,可以应用于当前快速变化的恶意软件生态系统。本文针对恶意软件多分类问题进行深入研究,提出了一种二级融合框架,用于恶意软件功能和家族属性标签的预测,同时对相同家族相同功能恶意软件样本进行迭代分析,提出了恶意软件版本差异性分析模型,可以更好的检测两个版本之间程序化更改的能力。论文的主要工作如下:(1)针对恶意软件家族分类任务,根据相同家族的恶意软件会复用原有功能模块的事实。通过从恶意软件操作码,可见字符串,函数库调用,PE节,编译和数据目录表等方面构造特征库。(2)针对大多数Windows平台上的恶意软件,其软件行为功能的实现通常会使用Windows API调用实现,因此本文提取了API函数序列特征和API统计信息特征。其中在提取API统计信息特征过程中,对Text Rank抽取关键词方法进行了改进,选取了各个标签中更具代表性的API函数。(3)设计并实现了一种预测恶意软件功能和家族属性标签的二级融合算法框架,在第一级模型中分别使用了Light GBM,CNN,Fast Text三种分类算法对不同特征进行训练。在第二级模型中,采用了Stacking方法对上述模型进行融合,进一步提升了模型整体的精度和泛化能力。实验结果表明,该方法的准确率可以达到94.2%,并在CSDMC,Kim,Kaggle公开数据集中也有较好的表现。(4)为进一步分析恶意软件版本之间的差异,提出了恶意软件版本差异性分析模型。该模型弥补了Bindiff在函数匹配方面的不足,并通过判别函数调用流程的差异性来检测两个版本之间程序化更改能力。