1.一種識別惡意程序的方法，其特征在于，包括：

步驟1，獲取計算機系統中所有進程的信息和進程行為，根據進程之間的父子關系建立進程關系樹，對應每個進程保存進程的信息和進程行為的列表；

步驟2，將父進程的進程行為列表中的進程行為分類，按進程關系樹從上到下的順序，依據分類將父進程信息分配到子進程；

步驟3，按進程關系樹和進程信息進行符號化，依據預設的惡意行為閾值判斷出惡意程序，將惡意程序在計算機系統中運行，得到用于判斷惡意程序的專家系統；

步驟4，當新程序進程產生時，利用專家系統判斷新程序是否為惡意程序。

2.如權利要求1所述的識別惡意程序的方法，其特征在于，

所述步驟4還包括：

步驟21，當判斷新程序為惡意程序時，采用阻斷的方法阻止所述新程序的運行。

3.如權利要求1所述的識別惡意程序的方法，其特征在于，

所述步驟4還包括：

步驟31，當新程序被判斷為惡意程序時，依據所述新程序的進程行為更新專家系統。

4.如權利要求1所述的識別惡意程序的方法，其特征在于，

所述按進程關系樹和進程信息進行符號化進一步為

按進程關系樹和進程信息將操作標記為數字，操作對象標記為對象名稱的hash值。

5.如權利要求1所述的識別惡意程序的方法，其特征在于，

所述步驟2進一步為

步驟51，將父進程的進程行為的列表中的進程行為分類，產生進程類；

步驟52，將父進程的進程號與進程類作為一個單元放入一個數據結構中；

步驟53，將所有單元按進程號排列，含有同一進程號的不同單元按單元中進程類產生的先后順序排列；

步驟54，按進程關系樹從上到下的順序，將父進程的單元按子進程產生的先后順序分配給子進程。

6.如權利要求5所述的識別惡意程序的方法，其特征在于，

父進程每連接一個IP地址便產生一個子進程用來處理連接該IP地址所需要的服務；

所述步驟51進一步為，

步驟61，父進程的每一個IP連接對應一個進程類。

7.如權利要求1所述的識別惡意程序的方法，其特征在于，

所述步驟1中獲取計算機系統中所有進程的信息進一步為

步驟71，通過本地的獲取函數地址的系統調用函數獲取在遠程進程中需要執行的用于獲取進程信息的函數的地址；使用建立遠程線程函數啟動遠程線程，使遠程線程執行遠程函數；通過等待線程執行結束的函數等待遠程線程的結束；通過獲得遠程線程的退出碼函數獲得遠程線程的退出代碼；

步驟72，通過本地的獲取函數地址的系統調用函數獲取在遠程進程中需要執行的獲得字符串長度函數的函數地址，使用建立遠程線程函數啟動遠程線程，使遠程線程執行遠程函數，通過等待線程執行結束的函數等待遠程線程的結束，通過獲得遠程線程的退出碼函數獲得遠程線程的退出代碼；

步驟73，根據字符串返回值中已經返回值長度使用讀取系統內存信息的函數得到實際信息。

8.如權利要求1所述的識別惡意程序的方法，其特征在于，

所述獲取計算機系統中所有進程的進程行為進一步為，

步驟81，通過進程過濾驅動捕獲進程創建信息；

步驟82，通過文件系統過濾驅動捕獲文件系統操作行為的信息；

步驟83，若是在windows下，監控注冊表操作行為；

步驟84，使用鍵盤鉤子捕獲進程的用戶操作輸入信息；

步驟85，通過網絡過濾驅動捕獲網絡行為的信息。

9.一種識別惡意程序的系統，其特征在于，包括：

進程樹建立模塊，用于獲取計算機系統中所有進程的信息和進程行為，根據進程之間的父子關系建立進程關系樹，對應每個進程保存進程的信息和進程行為的列表；

進程信息分配模塊，用于將父進程的進程行為列表中的進程行為分類，按進程關系樹從上到下的順序，依據分類將父進程信息分配到子進程；

專家系統生成模塊，用于按進程關系樹和進程信息進行符號化，依據預設的惡意行為閾值判斷出惡意程序，將惡意程序在計算機系統中運行，得到用于判斷惡意程序的專家系統；

惡意程序判斷模塊，用于當新程序進程產生時，利用專家系統判斷新程序是否為惡意程序。