随着计算机应用的逐渐普及,各种商业利益驱动下计算机病毒编写和传播已经渐渐形成一条完整的产业链,病毒的数量以及破坏程度都远远超过以往。面对计算机病毒所造成的安全威胁,研发病毒防御技术就成了人们的当务之急。而病毒检测作为病毒防御的第一步,在应对计算机病毒的威胁上起着至关重要的作用。传统的病毒检测技术多采用特征码检测技术,由于特征码检测存在的不足,近年来计算机病毒行为检测技术获得了长足的发展。行为检测的依据在于:比之普通的软件程序,病毒具有一些特定的行为,一个病毒的运作,必然会伴随这些特定行为,这就使得病毒的行为与正常程序的行为存在区别。本课题采取API作为病毒行为特征,运用支持向量机的方法构建出病毒的特征行为空间,采用信息熵来放大病毒行为与正常程序的区别,通过学习分类寻找并建立空间中将病毒行为与正常软件行为切分的超平面,再对不同类型病毒的特征行为进行区分,进而利用“一对一”的多类支持向量机分类方法对不同病毒进行分类。然而这种方法仅截取程序API调用序列作为行为特征,并未区分不同API在病毒检测中所起到的不同作用。因此本课题进一步引入动态链接库将病毒行为分解为大量功能模块,不同模块中API重要程度不同,并将DLL与API共同看作程序调用的资源。根据DLL之间调用以及DLL调用API的关系将程序调用资源绘制成树状结构,称为程序行为资源树,再截取树中重要结构块作为程序行为特征,并建立了一种针对行为资源树的病毒检测模型。最后,本课题收集了大量程序其中包括许多病毒程序,通过对这些程序调用资源的统计、分析和计算,验证了思路的可性行,为病毒行为检测技术提供了有益的参考。