随着云计算技术发展越来越迅速,云安全变得越来越重要。云环境是由许多虚拟机组成的。因此,要保障云安全,就要保障云中虚拟机的安全。近年来,据调查显示,虚拟机安全面临的首要威胁来自于虚拟机中的恶意代码,恶意代码的存在使得虚拟机变得更加脆弱,进而使得云平台的安全变得岌岌可危。识别恶意代码是云安全中非常重要的任务。恶意代码识别方法分为静态和动态两类。动态分析方法需要创建虚拟环境来执行恶意代码以便观察恶意代码的行为,时间和资源的消耗是动态分析方法主要缺陷。静态分析方法在不执行恶意代码的情况下,通过分析恶意代码的显著共同特征来识别恶意代码。相比之下,静态分析具有简单、无需具体执行环境的优点,同时又能起到保护操作系统的作用。因此,本文从静态分析的角度出发,对恶意代码的识别方法进行研究。首先,本文选择恶意代码的操作码特征和二进制字节码特征这两种具有代表性的静态特征来分析恶意代码。由于恶意代码的操作码中有许多冗余的操作码,这些冗余的操作码并不具备区分恶意代码家族的明显特征,还会增加操作码特征生成的时间开销。因此,提出一种基于操作码主块选择的N-gram特征提取方法。针对许多恶意代码的特征维度过高,并且针对使用单一特征识别恶意代码存在识别准确率低的问题,提出一种基于级联SimHash的特征融合方法,该方法使用不同长度的SimHash函数对恶意代码的组合特征进行融合,提高恶意代码识别准确率。其次,随机森林算法目前在许多数据集上,相比较于其他算法在识别效果上有很大优势,被广泛应用于恶意代码识别问题上。但是,随机森林采用简单多数投票原则得到最终分类结果,忽略了各个决策树之间的分类能力差异,导致最终识别准确率的降低。因此,本文提出一种基于改进加权投票的随机森林恶意代码分析方法,该方法利用袋外样本来计算每棵决策树的权重,区分了每棵决策树的分类能力,进一步提高了随机森林整体的识别准确率。最后,使用不同来源的数据集,对本文提出的恶意代码识别方法进行了实验验证。实验结果表明,本文提出的恶意代码识别方法在减少恶意代码特征维度的同时,提高了恶意代码识别的准确率。