1.一種基于函數特征的惡意程序檢測方法，其特征是步驟如下：

（1）惡意程序的功能函數選擇：通過對惡意程序樣本的選取，經反匯編和人工分析，指定與惡意行為緊密關聯的函數為功能函數；

（2）函數特征的提取：對與惡意行為緊密關聯函數的函數體代碼進行處理，去除干擾指令，識別條件判斷語句、循環語句，轉換為其等價的表示形式，作為函數特征；

（3）惡意程序特征庫的建立：利用惡意程序樣本庫，將提取到的各惡意程序樣本的功能函數的函數特征，建立一個作為惡意程序模型的惡意程序特征庫；

（4）惡意程序檢測：依據惡意程序特征庫，對待測程序分析其所有函數的函數特征集合，判斷是否與惡意程序特征庫中特征模型相一致，以識別待測程序是否惡意程序。

2.根據權利要求1所述的基于函數特征的惡意程序檢測方法，其特征是惡意程序特征庫的建立的程序是：步驟20是開始狀態，步驟21從惡意程序樣本集合中取惡意程序樣本，步驟22判斷惡意程序樣本是否取到，若取到轉步驟23,否則轉步驟26；

步驟23選擇惡意程序的功能函數，通過人工選取功能函數、對功能函數提取函數特征；具體處理流程如下：功能函數指對惡意行為起主要作用的函數，由分析人員指定；從惡意程序樣本庫中取一個惡意程序樣本，經過反匯編得到惡意程序樣本的匯編程序；為保證反匯編結果的質量，選用2個反匯編工具分別處理，當結果一致時，該樣本為有效樣本；選取其中的功能函數提取程序特征，進入惡意程序特征庫；具體流程如下：步驟30是初始動作，步驟31使用objdump對取得的惡意程序樣本反匯編；執行命令“objdump-M?intel-d惡意程序樣本名>obj.out.txt”，所得反匯編結果保存obj.out.txt文件中；步驟32，打開IDA?pro工具，將惡意程序樣本拖拽入工程區，選取默認的二進制形式，等待IDA自動處理完成后，將顯示的反匯編保存到ida.out.txt中；步驟33，以上述兩個工具生成的代碼體為字符串，比較這兩個字符串是否相同，是則轉步驟35，否則轉步驟34；步驟34設置返回值為Nofunc，取值為0、表示沒取到功能函數，轉步驟37；步驟35，指定選好的功能函數的函數體代碼；步驟36，設置返回值為Okfunc，取值為1，表示取到功能函數；步驟37是結束狀態；

步驟24判斷是否取到惡意程序的功能函數，若取到，轉步驟25，否則返回步驟21；

步驟25功能函數的函數特征提取，具體處理流程如下，對于需提取特征的函數，經過預處理、去混淆、條件語句和循環語句處理、嵌套調用的函數處理等，獲取函數特征；步驟40開始動作；步驟41對待提取特征的函數進行預處理，生成預處理后的函數代碼；步驟42對預處理后的函數代碼去混淆處理，生成去混淆的精簡代碼；步驟43對去混淆的精簡處理條件語句，生成去條件語句的精簡代碼；步驟44對去條件語句的函數代碼處理其中的循環語句，生成去循環語句的精簡代碼；步驟45處理函數之間的調用；步驟46為結束狀態；

步驟26將生成的函數特征計算SHA-1哈希值，存入惡意程序特征庫中；步驟27是結束狀態。

3.根據權利要求2所述的基于函數特征的惡意程序檢測方法，其特征是步驟41對待提取特征的函數進行預處理，生成預處理后的函數代碼：步驟50是初始動作；步驟51在功能函數的函數體中取一條指令；步驟52判斷是否取到指令，是則轉步驟53，否則轉步驟57；步驟53判斷取得的指令是否在有效指令集合中，是則轉步驟55，否則轉步驟54；步驟54是將該指令以NOP代替；步驟55對指令執行去混淆操作；步驟56執行指令壓縮，去掉所有的NOP指令；步驟57為結束狀態，執行至此，初始化過程結束,生成精簡代碼。