近年来,随着互联网的高速发展,我们迎来了互联网信息时代。网络给人们的生活带来了极大的便利,人们的生活已经融入到互联网时代的大家庭当中了。然而互联网在提供便利的同时,存在着巨大的安全隐患。病毒、木马、蠕虫等恶意代码的肆意传播与发展,使得人们面临着无尽的烦恼和害怕。恶意代码编写者们只顾自身的利益,创造出各式各样的危害整个网络的代码程序,已经形成了一条顽固的黑色产业链。对恶意代码的分析与检测无疑成为了网络安全领域的研究焦点。大量的人员从事恶意代码的研究工作,已经取得了很多重要的研究成果。随着人们对本体的研究越来越深入,发现利用本体去描述一个领域内的知识具有很高的严密性与准确性。将本体运用到恶意代码领域上显得尤为重要。因此,本文将本体应用到恶意代码检测领域上,提出了一种基于内核对象行为的恶意代码检测及其本体表示方法。使用二进制分析组件TEMU获取恶意代码的内核对象行为信息,该方法是基于动态污点分析的,可以有效的获取对象信息的传播行为。本文通过解析这些行为构造出内核对象行为图,可以直观的从内核对象行为图中获得内核对象的字符串信息、对内核对象操作的信息以及内核对象之间的依赖关系信息。并运用图的剪枝技术对内核对象行为图进行优化,降低了内核对象行为图的规模,更好的反映出了对象之间的行为特征。同时,使用图聚类的方法抽取公共行为规则,最大公共行为超图与加权最小公共行为超图两种图聚类的方法可以有效的产生恶意代码家族的行为。本文采用了侧重于不同方面的两条行为规则实现了对恶意代码的分类与检测。并将获取的内核对象行为图中所有信息严格的按照本体的构建规则,构建成为恶意代码内核对象行为领域本体,分别描述出恶意代码个体的行为本体以及恶意代码家族的行为本体,利用本体对知识描述的准确性,使得本文的恶意代码检测方法取得了较好的精度与召回率。