当前网络环境下,计算机病毒的迅速演化导致了反病毒技术的不断发展,反病毒史上病毒查杀技术层出不穷,其中传统的特征码技术是最基础的技术。特征码技术主要是将被测程序具有的特征与特征库中已知的特征进行匹配,从而实现对病毒的检测。但是,病毒的发展也给传统的特征码技术带来了新的挑战。特征码技术的滞后性使得特征杀毒方法落后于病毒的产生,对于病毒库中不存在特征的未知病毒无法进行有效检测。随着云安全技术的发展并广泛运用于实际中,反病毒技术也拥有着更大的发展空间,行为分析技术因为能够识别未知恶意代码,而成为反病毒领域的研究热点。对病毒进行行为分析之前必须要确定它所具备的动态行为规则(特征),本文引入了病毒在植入、安装以及运行等阶段的35种行为特征。借用特征向量的形式对这35种行为特征进行描述,并在此基础上设计实现捕获恶意行为的方法。本文针对样本程序的动态行为特征建立分类算法,并根据训练样本多个属性的取值设计学习器,使算法能够更好地对样本进行分类。而且,根据恶意代码的黑白检测与黑灰检测技术,分别提出了基于最小距离分类器的黑白检测模型以及基于AdaBoost分类器的黑灰检测模型,并使用这两种模型对样本进行分类。实验结果表明经过改进的最小距离分类器除了良好的分类精度外,其计算代价较其它非线性方法也要小得多,因此该模型在实际的反病毒工作中有较高的实用价值,而且AdaBoost分类器对降低灰名单样本的误报率效果显著。此外,本文设计并实现了恶意代码样本自动行为分析系统,有效解决了海量样本上报处理问题,该联机处理系统以虚拟机控制技术为基础,很好地满足了海量样本的分析需求。