运行时恶意软件检测策略由于其有效性和鲁棒性已经引起了广泛的关注。 对于Windows操作系统,选择API(应用程序接口)来分析程序行为。 但是,狡猾的攻击者可以操纵API调用序列来规避检测。 为了解决此问题,我们提出了一种基于IRP(I / O请求包)的新颖的运行时恶意软件检测策略,并开发了一种基于内核驱动程序技术捕获IRP的工具。 利用一些经典方法对IRP序列进行分类以进行恶意软件检测,包括朴素贝叶斯,贝叶斯网络,支持向量机,C4.5决策树,Boosting和否定选择算法。 为了快速检测运行时恶意软件,我们还提出了一种新颖的人工免疫算法(NAIA),该算法通过仅存在于恶意IRP序列中的短IRP序列来实现。 最终,对于整个数据集,增强决策树以98.3%的真实阳性率胜过其他方法,而我们的NAIA在每个序列的前200个IRP中均胜过其他方法。