3.1 引言

当前，恶意代码检测技术已经从传统的基于特征码的检测 ^[32] 、基于启发的检测 ^[33] 而发展到基于机器学习的检测阶段，研究人员已普遍使用机器学习技术提升恶意代码检测的自动化、智能化水平。智能化的恶意代码检测过程通常可认为包括两个阶段：特征提取和检测/分类。所以，恶意代码检测的效果也完全依赖于特征提取和检测/分类的实现方法。特征工程是实现机器学习自动化的关键阶段。其中，获取特征的实现方式尤为关键。为方便研究人员从已有成果中便捷地找到适合于自己的研究突破口，我们对基于机器学习的恶意代码检测过程进行总结，然后对基于不同特征工程的检测方法进行系统介绍，并对每一类型的典型方法的实现过程和创新点进行概要介绍，方便研究者像查阅字典一样快速有效地找到符合自己要求的参考方法。