它也能够检测出那些加过壳或加过密的恶意代码。

4结语

本文将专家系统应用到主机恶意代码检测中，检测时主 要根据知识库中的可疑行为特征进行推理检测。本文研究表 明，可疑行为可作为检测未知恶意代码的特征，即使是不同 的恶意程序，例如木马，它们也有相似的行为，将这些行为 表示成规则的形式，即可进行推理检测。根据实验，本文系 统可以检测采用了底层技术的恶意代码，如RootI【it，以及 加过壳或加过密的恶意代码，而且其检测率比一些知名的反 病毒工具的检测率要高。但该方法的缺点是只能够检测正在

82  I凹凹凹。cisma玑④①叨。④田
万方数据
运行的恶意代码，对处于不活动状态的恶意代码无能为力。

参考文献
【1】Preda   M D，Christodorescu  M，Jha S，et aL A
Semantics—Ba∞d Approach tO Malware DetectiOn
【J】．PoPL’07 January l  7一19，2007，Nice，France．
【2】szor Peter．The Art of Computer Viru8 Re∞arch and Defence【s】．AddiS0n   Wesley  Pro触潞ional，lSBN O一32l一30454—3，February 2005，Chapter l 1．
【3】FRANS VELDMAN，Why Do We Need HeLlristics

【C】．Virus BuUetin Conference，1995：XI—XV．
【4】What is  CLIPS【EB／oL】．http：／／clips九工les．source—
forge．net／WhatIsCLIPS．ht皿．岱