在传统安全领域，恶意代码查杀主要依靠特征码匹配以及无特征码技术，前者快速准确但存在特征码滞后和膨胀问题，后者则存在较高的误报率和虚警率。凭借云自身强大的计算和处理能力，云安全技术使得查杀更加及时可靠。但是，云查杀本质上仍然属于静态特征码扫描。而计算机处理性能的提升远远跟不上恶意代码的增长速度，云端特征库急剧膨胀，到最后仍会出现更新滞后和效率下降的问题。针对恶意程序主要依靠变形免杀技术实现快速增长的特点，提出在云防御系统中自动分类检测的机制，减少系统的上传和计算负荷，有效提高系统的查杀效率。在客户端模拟操作系统载入可执行程序的过程，定位到程序在磁盘中的入口地址，提取有效特征代码，从而识别是否属于某一类别恶意程序，或是某种编译器编译代码。如果判断为某一类别的恶意程序，反汇编调试执行程序，通过对代码段设置断点或是堆栈平衡原理找到原始程序入口点，并从入口点将原始程序转存到磁盘，以此实现对原始程序的扫描。在减少上传和计算的同时，提高了杀毒引擎对免杀过的恶意程序的查杀效率。为了验证自动分类功能的有效性，分别检测了常见恶意程序和免杀过的恶意程序，结果表明云端都能扫描出来并返回给客户端。测试3105个恶意程序样本，总的检测率为90.3%，对免杀应用的检测率为84.7%，均高于常见杀毒软件检测率。总体测试结果表明，自动分类功能有效减少了性能消耗，提高了检测率。