主机恶意代码检测系统的设计与实现
| 摘要 | 第1-7页 |
| Abstract | 第7-14页 |
| 第1章 绪论 | 第14-24页 |
| ·研究背景 | 第14-19页 |
| ·恶意代码的危害 | 第14-17页 |
| ·恶意代码的概念 | 第17-18页 |
| ·恶意代码的发展历程 | 第18-19页 |
| ·检测技术现状 | 第19-21页 |
| ·特征码扫描技术 | 第19-20页 |
| ·完整性检查技术 | 第20-21页 |
| ·启发式技术 | 第21页 |
| ·研究意义及目标 | 第21-22页 |
| ·研究成果和章节安排 | 第22-24页 |
| 第2章 恶意代码原理研究 | 第24-43页 |
| ·病毒的机制 | 第24-27页 |
| ·蠕虫的机制 | 第27-28页 |
| ·木马后门机理 | 第28-31页 |
| ·木马的分类 | 第29-30页 |
| ·木马的隐藏性 | 第30-31页 |
| ·Rootkit机理 | 第31-42页 |
| ·用户模式Rootkit隐藏技术 | 第32-36页 |
| ·内核模式Rootkit隐藏技术 | 第36-40页 |
| ·固件/硬件型Rootkit | 第40-42页 |
| ·流氓软件 | 第42-43页 |
| 第3章 恶意代码信息捕获 | 第43-82页 |
| ·常规行为截获方法 | 第43-48页 |
| ·系统服务截获 | 第43-45页 |
| ·驱动间通讯截获 | 第45页 |
| ·行为痕迹扫描 | 第45-48页 |
| ·程序控制流动态记录 | 第48-51页 |
| ·x86/x86_64 cpu的硬件支持 | 第48-50页 |
| ·记录机制的设计 | 第50页 |
| ·记录数据预处理 | 第50-51页 |
| ·基于环境虚拟化的信息获取 | 第51-63页 |
| ·虚拟化技术与虚拟机概念 | 第52-53页 |
| ·CPU的模拟方法 | 第53-56页 |
| ·进程虚拟化方法 | 第56-57页 |
| ·环境虚拟化设计实现 | 第57-63页 |
| ·基于硬件虚拟化支持的信息捕获 | 第63-82页 |
| ·AMD虚拟化技术 | 第64-77页 |
| ·Intel虚拟化技术 | 第77-80页 |
| ·捕获方法设计实现 | 第80-82页 |
| 第4章 检测算法研究 | 第82-94页 |
| ·基于HMM的异常检测算法 | 第82-89页 |
| ·隐马尔可夫模型的基本概念 | 第82-83页 |
| ·隐马尔可夫模型的建立 | 第83-84页 |
| ·观测序列概率的计算 | 第84-85页 |
| ·模型的训练 | 第85-86页 |
| ·检测算法 | 第86页 |
| ·实验方法、结果与分析 | 第86-89页 |
| ·基于调用层次树的异常检测 | 第89-94页 |
| ·树的编辑距离 | 第89-90页 |
| ·调用层次树的相似度 | 第90-91页 |
| ·异常检测方法 | 第91页 |
| ·实验方法、结果与分析 | 第91-94页 |
| 第5章 基于专家系统的检测模块设计 | 第94-105页 |
| ·专家系统原理 | 第94-100页 |
| ·专家系统的特征 | 第94-95页 |
| ·专家系统的基本结构 | 第95-96页 |
| ·专家系统知识表示方式 | 第96-98页 |
| ·基于规则的专家系统 | 第98-100页 |
| ·基于专家系统的恶意代码检测模块 | 第100-103页 |
| ·捕获信息的规格化子模块 | 第100-101页 |
| ·事实表 | 第101-102页 |
| ·推理引擎 | 第102-103页 |
| ·知识库 | 第103页 |
| ·模块检测效果 | 第103-105页 |
| 第6章 综合、结论与展望 | 第105-108页 |
| ·主机恶意代码检测系统综合 | 第105-106页 |
| ·论文工作总结 | 第106页 |
| ·进一步的研究 | 第106-108页 |
| 参考文献 | 第108-117页 |
| 致谢 | 第117-118页 |
| 在读期间发表的学术论文与取得的科研成果 | 第118-119页 |
