当前,互联网的应用关系到社会发展与人民生活的方方面面,人们在享受互联网给生活带来的高效与便捷时,也需要时刻防范不法分子通过互联网对用户终端发起攻击,避免在未经用户授意的情况下非法收集用户信息,严重破坏主机完整性以及对用户隐私构成威胁。因此,设计一种高效的恶意软件检测技术对用户至关重要,其中恶意软件家族分类是恶意软件检测工作中的重要一步,在对抗恶意软件多样性和多态性具有重要意义。目前常用的恶意软件分类方法有两大类,分别是基于静态特征的恶意软件分类以及基于动态特征的恶意软件分类。基于静态特征的分类方法的特征提取阶段速度较快,但分类精度受限于文件加壳和代码混淆技术;基于动态特征的分类方法要求恶意样本在虚拟环境中运行,并通过相关监控工具对样本动态行为进行捕获,该方法的优势在于能够捕获大多数样本的真实操作,但由于该过程时间成本较大,不适合对大规模样本集进行分类,且受制于反虚拟机和反沙箱技术。针对恶意软件家族分类方法中存在的缺陷,本文提出一种基于多特征的恶意软件家族分类方法,该框架涉及的特征涵盖了静态与动态特征两大类,具体包括以下三种,分别是静态签名、样本灰度图以及行为路径树。该方法首先对公开病毒库进行抓爬,得到289万恶意样本的签名,并将其融合到开源查毒工具Clam AV的特征库中;然后使用扩展后的特征库对恶意样本集进行检测;其次,将未检出样本按照一定规则进行筛选,得到用于提取灰度图的样本集,并将这些恶意样本二进制文件转化为固定尺寸的灰度图,灰度图中每一个像素点的灰度值都作为样本的静态特征用于恶意样本分类;再次,筛选出上一阶段分类失败的样本,在虚拟环境中捕获样本动态行为,提取恶意样本行为路径作为样本动态特征,通过将恶意样本路径序列转化为树型结构的方式生成属性间的依赖关系,与传统基于系统调用的恶意软件分类方法相比,具有较低的结构复杂度和时间复杂度;最后使用动态特征进行恶意样本分类,完成行为路径树深度寻优,并结合前两个阶段的恶意样本分类结果得到最终的模型分类精度。实验部分使用46,893个恶意样本(包含77个恶意软件家族)对基于多特征的恶意软件分类方法的有效性进行验证,分类精度达到了82.06%。