1.一種基于數據挖掘的多軌跡惡意程序特征檢測方法，其特征是：含有行為軌跡獲取步驟、分片步驟、特征提取與特征庫構建步驟、度量檢測步驟；行為軌跡獲取步驟獲取程序動態運行的系統調用序列；

分片步驟對獲取到的程序行為軌跡進行分片，以適應挖掘過程的需要；

特征提取與特征庫構建步驟采用數據挖據中改進的序列模式挖掘算法獲取文件流、網絡流和資源流行為頻繁子序列集，并剔除正常程序行為軌跡片段，構造惡意行為特征庫；改進的序列模式挖掘算法通過在搜索滿足最小支持度的序列時用AC自動機進行優化，并在構造投影數據庫過程中舍棄不滿足最小長度的頻繁序列，從而優化挖掘過程中的時空開銷；

度量檢測步驟依據構建的三維特征庫對實時運行的程序進行度量檢測。

2.根據權利要求1所述的基于數據挖掘的多軌跡惡意程序特征檢測方法，其特征是：所述行為軌跡獲取步驟采用linux系統工具strace對程序進行動態跟蹤，并獲取其運行時的執行軌跡。

3.根據權利要求1所述的基于數據挖掘的多軌跡惡意程序特征檢測方法，其特征是：所述特征提取與特征庫構建步驟中：特征庫是由一系列表現惡意程序的特征構成的數據庫，特征庫由三維特征向量空間構成：文件流特征向量空間、網絡流特征向量空間和資源流特征向量空間。

4.根據權利要求3所述的基于數據挖掘的多軌跡惡意程序特征檢測方法，其特征是：所述特征庫構建分為兩個階段，階段一是基于改進的序列模式挖掘算法的頻繁子序列的挖掘，階段二為對階段一提取的頻繁子序列集進行精簡；

階段一的具體過程如下：對給定訓練集中的惡意程序，獲取惡意程序的文件流行為軌跡、網絡流行為軌跡、資源控制流行為軌跡，并分別初始化文件流行為軌跡訓練集、網絡流行為軌跡訓練集、資源控制流行為軌跡訓練集；采用改進的序列模式挖掘算法挖掘出頻繁子序列集；

階段二是對正常行為軌跡片段的過濾，在階段一中提取的頻繁子序列集中不但包含了惡意行為軌跡的片段，也包含了正常行為軌跡的片段，過濾掉正常行為軌跡片段，可生成惡意行為特征向量空間；正常行為軌跡的數據集采用初始操作系統中正常的程序運行后的行為軌跡。

5.根據權利要求1所述的基于數據挖掘的多軌跡惡意程序特征檢測方法，其特征是：所述度量檢測步驟采用多軌跡度量算法，依據程序運行時的文件操作軌跡、網絡訪問軌跡和內存資源使用軌跡對獲取到的行為序列實時度量，根據度量結果，依據評估標準與準則對程序的實時行為進行評估，評估結果反饋至系統管控進程，實現對于惡意程序的動態檢測。