از آن جایی که سیستم های کامپیوتری و اینترنت به صورت گسترده همه گیر شده است، زمینه تهدیدات امنیتی نیز از حملات غیر ساخت یافته و پراکنده که نیت اصلی آن تلاش برای بدست آوردن شهرت است، به سمت حملات گسترده چندجانبه سازمان دهی شده که هدف آن منافع مالی است، سوق داده شده است. کمبود روش های محافظتی پیشرفته در بسیاری از کامپیوتر های کاربران عادی و تعداد زیاد اهداف تجاری موجود، به بسیاری از مجرمان سایبری انگیزه داده که حملات گسترده ی امنیتی را سازمان دهی کنند. امروزه افزایش انفجارگونه ی انواع مختلف بدافزارها چالش بزرگی در صنعت آنتی ویروس ها ایجاد کرده است. برای محققان این موضوع که چگونه روند رو به رشد نمونه های بدافزارها را به صورت موثر پردازش کنند و تکنیکی سریع برای محافظت کاربران ارائه دهند، یک زمینه تحقیقاتی مهم محسوب می شود. شرکت های فعال در زمینه ی آنتی ویروس هر روز معمولاً هزاران نمونه مشکوک را دریافت می کنند که از طرق مختلفی مانند هانی پات ها و سنسورهای مانیتور جهانی [1] جمع آوری و یا توسط همکارانشان (برای مثال برخی از کمپانی های آنتی ویروس نمونه های بدافزاری را به اشتراک می گذارند)، یا کاربران و یا کانال های ثالث ثبت شده اند ]2، 3[. سپس این نمونه ها را با روش های دستی و با استفاده از نیروی انسانی، پردازش کرده، که این عملیات بسیار هزینه بر، زمان بر و مستعد خطا می باشد. تعداد زیاد گونه های بدافزاری جدید باعث شده که نیروهای انسانی شرکت های آنتی ویروس قادر به شناسایی بسیاری از بدافزارهای جدید نبوده و برخی از این بدافزارها برای مدت زمان زیادی تشخیص داده نشده، باقی می مانند. برای مثال به طور معمول، یک بازه زمانی 54 روزه بین زمان ایجاد بدافزارها و شناسایی آن ها توسط آنتی ویروس ها وجود دارد و 15% از نمونه ها حتی تا 180 روز بعد نیز تشخیص داده نمی شوند ]4[. در نتیجه، آنالیزهای دستی به عنوان یک مشکل اصلی در مسیر پردازش بدافزارها محسوب شده و احتیاج به ارائه تکنیک های پویا برای آنالیز نمونه ها و ایجاد امضاهایی با کیفیت بالا برای مقابله با روند رو به رشد بدافزارها احساس می شود. این تکنیک ها به شرکت های فعال در زمینه ی آنتی ویروس این امکان را می دهد خود را با این روند رو به رشد تولید بدافزارها هماهنگ کرده و زمان پاسخ خود به تهدید های جدید را کاهش دهند. 1-1- فرضیات و محدودیت های مسئله از آن جایی که بدافزارها برای اهداف مشخصی ایجاد می شوند این انتظار وجود دارد که رفتار آن ها با وجود اینکه از تکنیک های مختلف برای پنهان سازی خود استفاده می کنند، تقریباً ثابت بماند. برای مثال بدافزارهایی که هدفشان دزدیدن اطلاعات کارت های اعتباری است، برای این منظور عملکردهای مشابهی خواهند داشت. در این رساله به دنبال بررسی این رفتارها و یافتن الگویی از رفتارها برای شناسایی بدافزارها خواهیم بود. به دلیل محدودیت های موجود مانند نبود ابزارهای مناسب برای مانیتور کردن کامل رفتارهای یک برنامه، زمان بر و هزینه بر بودن این فرآیند، قادر به بررسی کامل تمامی جنبه-ها نبوده و احتمالا نمی توان به دقت صد در صد رسید. با این وجود تلاش می شود که مدلی با کم ترین میزان خطا ارائه گردد.