随着科技的进步和经济的发展，计算机和计算机网络在人们的工作和生活中日趋普及。同时社会上的各个领域对计算机的依赖越来越强，随之而来的信息安全问题显得日益重要。计算机知识和网络的普及在带给人们便利和高效的同时，也降低了一些别有用心者搞破坏或恶作剧的门槛，形形色色的网络威胁接踵而至。　　 目前计算机病毒已成为一个社会性问题，给社会的信息化发展带来了巨大的麻烦，并催生了信息安全产业。随着病毒对计算机系统的破坏和威胁日益增大，人们对反病毒技术的研究也日趋重视。目前大多数病毒检测方法都属于静态检测法。静态检测法不会对系统造成破坏，且运行速度快。由于加密技术和变种技术在新型病毒中的广泛应用，静态检测法已不能够有效应对。考虑到恶意代码的普遍特性，开发关于执行代码的统计、结构模型是十分必要的。Geoffrey提出了概率后缀树(Probabilistic suffix tree，PST)在病毒检测中应用的理论模型。　　 本文研究在Windows平台下基于概率后缀树检测PE(Portable Executable, PE)病毒的具体方法。本文首先利用IDA工具实现了基于Windows环境下提取系统API(Application Programming Interface，API)调用序列，它们反映了一些特殊代码的行为。随后，利用概率后缀树分别建立良性程序和病毒的模型。最后，通过合理设计相似性度量的计算方法，计算PSTs间的相似性度量判断程序的种类，来有效检测未知病毒。　　 本文在虚拟机环境中运行病毒程序，基于病毒的行为特征建模，准确反映病毒的行为特点，克服了静态检测法的不足。本文对于其中直接影响检测结果的关键步骤-相似性度量方法的选取做了细致的研究。在相似性度量上计算PST间欧氏距离和自定义的归属值，并通过试验对比了两种方法的检测效果。　　 最后，试验结果表明利用归属值作为相似性度量的概率后缀模型具有更好的测试效果，并且易于实现。