摘要：针对Rootkit恶意代码动态检测技术进行研究．总结出典型Rootkit恶意程序动态行为所调用的系统API函数．实时统计API调用序列生成元并形成特征向量，通过模糊隶属函数和模糊权向量，采用加权平均法得到模糊识别的评估结果；基于层次的多属性支持向量机分析法构建子任务；基于各个动态行为属性的汉明距离定位Rootkit的类型．提出的动态检测技术提高了自动检测Rootkit的准确率，也可以用于检测未知类型恶意代码．

关键词：网络安全 恶意代码 模糊识别 支持向量机 api系统调用 

单位：南京邮电大学计算机学院; 江苏南京210003; 江苏省无线传感网高技术研究重点实验室; 江苏南京210003; 宽带无线通信与传感网技术教育部重点实验室; 江苏南京210003