1.一種基于行為特征相似性的惡意代碼同源性分析方法，包括指令和數據記錄模塊、特征提取模塊和同源性判別模塊，其特征在于，分析過程如下：

首先，指令和數據記錄模塊以動態二進制插樁平臺為基礎，在一個受保護的虛擬環境中執行惡意代碼樣本，通過插樁分析關鍵指令，記錄程序在函數入口點、返回點和內存讀寫點關鍵位置上的數據，結合API參數格式解析庫，得到庫中定義的關鍵API的調用序列和參數信息；

然后，特征提取模塊以API調用序列及其參數信息作為輸入，結合行為規則庫，在構建API關聯關系樹的基礎上提取行為特征；

最后，同源性判別模塊將兩個惡意代碼的行為特征作為輸入，通過對行為特征相似性比較來對惡意代碼的同源性進行判別最終得到結果分析報告，并將不同樣本的特征寫入惡意代碼特征庫中；

所述特征提取模塊包括提取API序列、API關聯算法和行為提取；提取API序列：定義一個API為一個具有四個屬性的向量：首先是API的名稱，一個確定的API對應一個唯一的函數名稱，調用時可以實現一個具體的功能；其次是API的對象，是API實現功能的目標客體；然后是與API函數有關的數據，是對其實現功能的補充說明；最后是調用時間，在實際的代碼運行過程中，調用的多個API有執行的先后順序。

2.根據權利要求1所述的基于行為特征相似性的惡意代碼同源性分析方法，其特征在于，所述指令和數據記錄模塊以記錄為主，通過對call指令進行插樁，獲取函數調用前的信息，包括調用點地址及函數的輸入參數信息；同時對ret指令進行插樁，獲取函數調用后的信息，包括函數返回地址以及函數的輸出信息。

3.根據權利要求1所述的基于行為特征相似性的惡意代碼同源性分析方法，其特征在于，API關聯算法：根據在動態二進制插樁平臺下執行惡意代碼的記錄可以獲得一組API序列，行為特征提取的目標，就是從惡意代碼執行的API序列中，抽取出對應的行為信息；行為特征提取的過程可以分為兩步，首先是利用關聯關系對API集合進行劃分，劃分的目的是將對特定對象操作的API劃分到一個集合中，然后根據行為規則對每個子集進行行為提取。

4.根據權利要求3所述的基于行為特征相似性的惡意代碼同源性分析方法，其特征在于，將API分為5大類：創建型API是指新建一個對象，該對象會被后續的API引用；引用創建型API是一種過渡創建型API，在引用某個對象的同時，以此為基礎新建另一個對象；引用型API是最常見的API，使用對象進行操作，不創建新的對象；結束型API表示當前的對象操作結束；獨立型API不涉及對象信息，能夠獨立完成某項功能；對5種類型的API采取不同的處理方法。