恶意软件检测目前仍然主要依赖于被动反应：机器学习模型在已知样本上训练，但随着威胁演化，模型性能会下降。理解恶意软件家族之间的进化关系可以促进主动防御，但传统的逆向工程可能需要数月甚至数年才能揭示这种谱系关系。本文提出 MalTree 框架，该框架受生物信息学启发，大规模应用系统发育技术（UPGMA 和 Neighbor-Joining），利用结构、行为和图像特征自动建模恶意软件进化。作者引入了基于 VirusTotal 时间戳的时间验证，以评估推断出的进化树是否反映真实的出现顺序。MalTree 达到了 87% 的时间一致性，表明推断的进化关系与真实世界的时间线高度吻合。分析显示，某些家族的变异速度比其他家族快 10 倍以上，这表明检测策略应根据家族特定的进化速度进行定制。案例研究（包括 Mirai 僵尸网络）证实，从系统发育树推断出的关系与已有威胁情报记录一致。该框架为将恶意软件分析从基于样本的分类转向谱系感知的进化建模奠定了基础。