随着互联网技术及应用的不断发展,企业和用户面临着越来越多的信息安全问题。近年来,特别是恶意代码在网络中的泛滥,对网络安全造成了很大的威胁,也造成了很大的经济损失。特别是僵尸工具类的恶意代码融合了许多病毒,木马,蠕虫的特性,并且可以接受攻击者的控制命令,控制成千上万台主机同时向一个目标发动攻击,对安全的威胁极大。这类恶意代码也引起了网络安全领域的广泛关注。本文针对恶意代码的安全威胁和当前检测技术存在的问题,提出了基于BP网络的恶意代码行为特征检测方法。该方法弥补了当前检测方法存在的一些问题,包括特征码匹配检测方法不能检测未知恶意代码,行为分析方法不能有效判断恶意代码,以及模式识别方法会遭遇一些反检测方法的影响。然后利用这种方法实现了恶意代码检测系统,最后测试了检测恶意代码样本的准确性。本文在方法研究和系统实现过程中完成了以下工作:(1)收集了大量的僵尸工具类以及其他类型恶意代码的样本。研究了恶意代码的样本收集技术,并搭建样本收集平台来收集恶意代码样本,然后建立恶意代码特征库。(2)重点分析了几种典型的僵尸工具样本,对于其他类型的恶意代码也做了一些分析,并按照恶意代码的行为在传播,控制,攻击等各个阶段的特征进行分类分析,并建立基于自动状态机的恶意代码特征模型。(3)研究BP网络和机器学习的方法,对分析出来的僵尸工具特征进行定义和量化,然后设计出针对恶意代码检测的BP网络结构。输入学习样本让检测网络进行学习,得出理想的网络模型。该恶意代码监测网络除了可以检测出僵尸工具类恶意代码以外,还可以对一部分木马和蠕虫进行检测。(4)根据上述的研究结果设计恶意代码的检测系统,实现了恶意代码的分类和识别功能。在恶意代码检测系统的实现中,解决了2个关键的问题,分析样本在运行过程中对系统影响的行为特征,以及捕获样本在网络传输中的控制信息和攻击信息。该系统主要实现了行为监控,网络监控和系统恢复这三个模块。对恶意代码系统进行功能测试,测试样本检测的准确率,并进行结果分析。