随着互联网的高速发展,各种软件成为社会生活中不可缺少的一部分,为生活提供了各种便利,但是恶意软件横行也时刻威胁着网络与信息安全,各种恶意软件给企业和个人造成损失的事件屡见不鲜,依靠恶意软件检测及时发现并有效控制恶意软件的传播是保证网络与信息安全的重要手段。本文从恶意软件行为入手,将动态分析方法与本体和机器学习算法相结合,基于软件运行过程中的系统调用信息实现对恶意软件行为的检测。本文主要开展了以下研究工作:（1）针对恶意软件语义方法中的描述困难和检测难等问题,提出了一种基于多类本体的恶意软件语义描述模型,基于OWL本体的知识表示方法,通过软件运行过程中的系统调用信息和软件结构信息实现对恶意软件语义的描述。该模型将面向对象的知识表示方法和本体相结合,定义恶意软件相关本体的概念类、对象属性以及恶意软件行为语义的本体表示方法,使用多类软件本体自动生成软件的语义描述本体,既可以表示恶意软件的语义信息,也可以使用混合推理方法标记软件的恶意行为。（2）提出一种基于系统调用和机器学习算法的软件行为检测模型,将隐马尔科夫模型（HMM）和循环神经网络（RNN）用于软件行为检测。借鉴HMM模型在中英文分词的应用,对软件行为之间的上下文信息进行挖掘并拆分系统调用序列,有效解决了基于系统调用序列的软件行为检测方法中定长截取短序列进行检测的方法存在的上下文信息缺失问题。然后借鉴RNN模型在情感分析方面的应用对HMM模型处理过的系统调用短序列进行处理,在RNN中加入注意力机制提高模型对局部特征信息的提取能力,通过完备的信息提高模型对恶意行为倾向预测的准确度。最后根据阈值判断系统调用短序列是否为存在恶意行为。为了提高模型的检测效果,本文通过多批次训练的方法动态建立模型的阈值,通过不同训练集的ROC曲线找到批次最佳阈值,然后计算阈值中相关参数的方差求得最佳阈值,有效提高了模型的适用范围和检测准确率。实验结果展示使用多类本体的语义描述进行恶意软件行为检测的可行性,不但能够保证被检测软件的语义描述本体的生成质量和效率,并能通过本体推理方法有效地完成对恶意软件行为的标记。在基于HMM-RNN的恶意软件行为检测方法中HMM和RNN可以有效发挥在序列式信息挖掘和倾向性预测方面的优势,该方法能够通过系统调用序列有效检测恶意软件行为。