互联网技术的出现使人们的生活和工作方式发生了巨大转变，人们在享受着Internet提供的便利的同时，也承受着恶意程序带来的威胁，在数字化时代的今天，与恶意程序的对抗已成为信息领域的焦点。传统的恶意程序检测技术是基于静态特征码的检测，而恶意程序采用的混淆、加密、加壳等技术，使基于静态特征码的检测技术变得无能为力。恶意程序动态分析技术解决了混淆、加密、加壳等技术问题，但恶意程序的多态性及变种病毒却是动态分析无法解决的问题。为了解决多态性与变种的问题，恶意程序分析领域出现了基于行为的分析技术，通过行为抽象技术把低层语义的数据信息抽象为高层行为，从而很好的解决了多态性与变种病毒的问题。但在安全领域却没有具体给出行为的概念，且没有明确规定行为粒度的大小，无法充分发挥行为分析的优势。另外，针对恶意程序及其新种类的大量出现，使得恶意程序的自动化分析技术成为必然趋势。基于以上问题，本文实现了基于最小行为的恶意程序自动化检测系统的原型。整个检测系统分为三个关键模块：恶意程序API(Application Programming Interface)信息监控模块，通过对模拟器QEMU修改，完成对恶意程序的API信息捕获；恶意程序行为特征向量生成模块，通过行为抽象算法将低层语义的API抽象为高层语义的最小行为，并生成行为特征向量；恶意代码分类检测及自学习模块，通过结合聚类分析与分类分析的优点完成了对未知恶意程序的分类，并实现恶意程序特征库的自动演化。文章最后给出了该系统的实验分析结果，实验结果表明，该方法与传统的基于API频率统计的方法相比，恶意代码的检出率更高，误检率更低，且能够及时发现新出现的恶意程序类别。