前言

作为发起网络攻击的主要武器，恶意代码已成为当前网络空间面临的一个主要安全威胁。并且为了对抗检测，恶意代码在持续地演化升级。恶意代码制作者普遍采用加壳、多态、变形、环境侦测等手段，在保持恶意性的同时不断改变恶意代码的结构特征，规避分析与检测，给恶意代码防护带来严峻挑战。

本书围绕恶意代码演化与检测方法研究这一主题，通过分析恶意代码当前主要的演化方式，对混淆规避型恶意代码检测、恶意代码恶意性定位、恶意代码恶意性解释、恶意代码变种家族分类、恶意代码同源分析、APT恶意代码的检测与认知及APT攻击的检测等关键技术问题进行了深入研究，以图为构建恶意代码防护体系提供理论和方法支撑。

本书的主要内容包括：

（1）恶意代码检测领域相关基础和研究综述

系统介绍了开展恶意代码检测研究所需掌握的相关基础理论、方法和工具，并对本领域的研究成果进行梳理和综述，为研究恶意代码建立一个全面、清晰的框架，辅助研究人员快速步入恶意代码研究领域。

（2）恶意代码演化方式综合分析

系统分析了恶意代码当前主要采用的演化方式，包括加壳、多态、变形、环境侦测及无文件攻击等，并分析了恶意代码演化给检测工作带来的挑战和双方博弈的态势，为开展恶意代码检测研究明确了方向。

（3）针对恶意代码演化的检测方法

针对恶意代码的主要演化方式，系统介绍了作者在检测方面的研究成果，包括：基于综合画像的恶意代码检测与恶意性部位定位、基于动静态特征关联融合的恶意代码检测与恶意性解释、基于全局可视化和局部特征相结合的恶意代码家族分类、基于样本抽样和并行处理的恶意代码家族分类、基于攻击传播特征的恶意代码蠕虫同源检测、基于动态系统调用信息和本体论的APT恶意代码检测与认知，及基于APT恶意代码行为特征和YARA规则的APT攻击检测等。

该部分内容是本书的重点，融合了作者在此领域积累的研究成果，可为读者开展恶意代码检测研究提供一些有价值的参考。

（4）总结及未来研究展望

总结了本书的主要工作及创新之处，列出了本书所取得的相关研究成果（包括学术论文和国家发明专利），并对未来研究方向进行了展望。

本书是在国家重点研发计划课题（2016YFB0801304）和山东省重点研发计划（重大科技创新工程）项目（2020CXGC010116）的资助下所完成，书中内容详细介绍了作者对恶意代码演化与检测方向所做的探索和研究。希望本书成果可为作者提供新的研究思路，为促进本领域研究的发展贡献绵薄力量。同时也希望各界学者不吝赐教，对本书内容提出意见和建议。

在此书成稿过程中，航天工程大学航天信息学院和北京理工大学计算机学院给予了大力支持，在此表示衷心感谢！

感谢北京理工大学出版社为本书的出版所做出的大量工作！

此外，感谢所有的亲人和朋友在作者辛勤研究和戮力撰写过程中所给予的关心和照顾！

没有网络安全，就没有国家安全！网络空间安全的战略地位决定了网络攻防双方将一直处于博弈的前沿，作为网络攻击者武器的恶意代码也将持续地升级演化，必将给检测工作带来了诸多新的挑战，而网络安全研究人员也需对其进行持续的探索和研究。在恶意代码攻防这个领域，我们将永远在路上！

由于作者水平有限，书中内容难免存在错误和缺点之处，恳请广大读者多提宝贵意见。谢谢！

关键词： 恶意代码；演化；同源分析；家族分类；高级持续性威胁攻击