恶意代码检测是安全防御体系中继防火墙、数据加密等传统安全保护措施后又一项重要的安全保障技术,可以在恶意代码攻击的全过程对系统进行实时检测与监控。恶意代码检测系统能在恶意代码攻击过程中,及时报警,并将攻击造成的损失减至最小,还可与防火墙等防御系统联动,彻底阻止攻击行为。随着网络规模的不断扩大和攻击手段的不断更新,恶意代码检测技术也面临着诸多挑战,例如:如何对未知的恶意代码进行有效的检测;如何提高恶意代码检测系统的检测效率,以适应网络流量日益增大的要求;如何减少恶意代码检测系统的漏报和误报来提高其安全性和准确度等。本文的研究目的:(1)深入研究恶意代码的攻击原理、攻击方法和发展方向;(2)研究现有恶意代码检测系统采用的检测技术、存在的问题和发展方向;(3)研究并实现基于网络行为分析的未知恶意代码检测系统,有效地对未知恶意代码进行检测。本文的主要工作和贡献包括:1.研究恶意代码的定义及分类,详细的研究计算机病毒、蠕虫、木马、间谍软件这四种恶意代码的攻击原理及攻击方法,并研究恶意代码技术的现状和未来可能出现的变化及发展方向。2.研究恶意代码检测系统的定义及分类,恶意代码检测系统所采用的主要检测技术及发展方向。详细研究网络行为分析的理论基础以及主要方法,并研究如何将网络行为分析方法应用与未知恶意代码检测系统,以达到对未知恶意代码的有效检测。3.设计并实现基于网络行为分析的未知恶意代码检测系统,设计本系统的系统结构以及所运行的环境,对系统的所有模块的功能进行详细的阐述,设计各个模块的流程图,完成本系统的具体实现,在构建的网络环境中对本系统进行测试,并对测试结果进行详细的分析。