恶意代码行为捕获是开展恶意代码行为分析,提高恶意代码防御能力的基础。当前,随着恶意代码技术的发展,恶意代码结构及其通信活动变的日益复杂,使得传统的恶意代码行为捕获技术难以有效应对恶意代码的攻击与破坏。如何更加有效地捕获恶意代码行为成了目前信息安全领域的研究热点。众所周知,恶意代码行为捕获关注的是恶意行为本身,如能对恶意行为进行全面准确描述,必将有效提高行为捕获效率与准确率。基于此目的,本文以全面描述恶意代码行为特征为切入点,设计并实现了恶意代码行为捕获原型系统,试图为恶意代码行为分析提供支持,主要做了以下几方面工作:第一,分析和研究了恶意代码相关技术,从恶意代码定义着手,重点介绍了典型恶意行为、已有行为分析方法及行为捕获技术,为行为捕获系统的设计奠定了基础。第二,提出一种基于多维特征的恶意代码行为描述方法,从恶意代码行为时序、行为类型、依赖特征等多个维度来描述恶意代码特征,更加有效地描述了恶意代码的本质特征,并将此方法应用于恶意代码检测。通过实例检测表明,该方法能有效降低恶意干扰的影响,提高恶意行为捕获效率和准确率。第三,提出一种基于多Agent的恶意代码行为捕获方案,充分利用agent的自主性和适应性,实时采集目标系统的状态信息,为行为捕获系统的实现提供了架构支撑。最后,设计并实现了恶意代码行为捕获原型系统。通过对代表性恶意代码样本进行捕获分析,从恶意行为捕获的准确率和AUC曲线精度两个角度,验证了本文方法优于已有的基于平均距离的恶意代码检测法。