21世纪是计算机网络高速发展的世纪,伴随大量电子设备被设计、生产和销售,接入计算机网络的设备数量呈现出爆发增长的态势。与此同时,大量计算机网络配套设施和服务被广泛布署,以便为不断膨胀的用户群体提供多样的网络服务。正是由于看到其中的巨大利益,厂商为了快速占领市场,导致其所销售的设备通常含有产品缺陷和漏洞,另外,一些非法组织或个人通过开发恶意代码攻击他人网络或设备的方式获取利益,从而导致目前网络上存在大量针对多种类型设备的恶意代码。然而考虑到在设备中布署反恶意代码程序会因设备性能、系统和硬件架构等因素而受到限制,因此,使得通过检测网络通信以识别恶意代码行为的方法优势被突显出来。然而此方法依赖充足的恶意流量作为数据支撑,故如何高效可靠的收集恶意流量成为解决上述问题的关键。为了高效可靠的采集针对不同设备厂商、设备硬件架构和设备类型的恶意流量,此课题依托上游蜜罐技术研究所捕获到的恶意代码作为数据基础,研究并设计了面向恶意代码流量采集的分布式沙箱系统,使其能够从恶意代码运行过程中提取并采集恶意流量,以此为基于恶意流量的相关研究提供充足的数据支撑。为了实现对大量多硬件架构恶意代码的网络行为提取和采集,本文主要进行了如下研究:（1）针对需要对恶意代码进行流量提取和采集问题,本文研究了一种针对多硬件架构恶意代码流量采集的沙箱系统。该系统能够以不同硬件架构恶意代码为输入,以恶意流量为输出,配合沙箱系统对恶意代码处理任务的自动管理、分配和调度,并依托对系统资源的协调,实现恶意流量的自动提取和采集。（2）针对恶意代码流量提取过程中网络资源分配和恶意流量无法被应答的问题,本文以恶意代码运行过程中所需网络功能为依据,提出并设计了能够为沙箱提供网络接入功能,包含相关虚拟网络服务的沙箱虚拟网络,配合防火墙功能,实现在尽可能确保安全的情况下对恶意代码运行过程中产生的网络通信进行处理或应答,同时利用沙箱虚拟网络欺骗恶意代码使其认为自身处于真实网络环境中,以提升恶意代码激活概率。（3）针对传统恶意流量采集方式在大型网络和高任务密度场景中适应能力不佳的问题,本文设计了一种分布式恶意流量采集架构。其能够在恶意代码流量采集沙箱基础上实现有序组织多个沙箱系统同时工作,使其具备跨节点沙箱任务调度的能力,进而实现各节点压力平衡,从而提升沙箱系统工作稳定性,并使沙箱系统在真实生产环境中拥有一定的适应能力。