| 摘要 | 第1-7页 |
| ABSTRACT | 第7-12页 |
| 第1章 绪论 | 第12-17页 |
| ·研究意义 | 第12-13页 |
| ·研究现状 | 第13-15页 |
| ·研究内容 | 第15-16页 |
| ·论文组织 | 第16-17页 |
| 第2章 恶意软件的类别及检测技术机理概述 | 第17-36页 |
| ·常见恶意代码分类 | 第17-22页 |
| ·恶意代码常见类别 | 第17-20页 |
| ·常见恶意代码攻击手段 | 第20-21页 |
| ·恶意代码的类别命名方法 | 第21-22页 |
| ·常见恶意代码技术特征 | 第22-31页 |
| ·常见恶意代码静态结构信息 | 第23-24页 |
| ·恶意代码自启动行为特征 | 第24-27页 |
| ·恶意代码进程隐藏行为特征 | 第27-29页 |
| ·恶意代码通信隐藏行为特征 | 第29-31页 |
| ·恶意代码的分析技术 | 第31-36页 |
| ·恶意代码静态分析方法 | 第31-32页 |
| ·恶意代码动态检测方法 | 第32-34页 |
| ·恶意代码分类方法 | 第34-36页 |
| 第3章 恶意代码组合检测特征定义 | 第36-46页 |
| ·恶意代码静态特征定义 | 第36-41页 |
| ·PE 文件结构介绍 | 第36-38页 |
| ·PE 文件重要数据结构介绍 | 第38-40页 |
| ·静态特征定义 | 第40-41页 |
| ·恶意代码动态行为特征定义 | 第41-45页 |
| ·恶意代码动态行为描述 | 第41-42页 |
| ·动态行为特征定义 | 第42-45页 |
| ·恶意代码检测组合特征向量表 | 第45-46页 |
| 第4章 恶意代码特征提取技术与实现 | 第46-60页 |
| ·系统架构及部署环境 | 第46-50页 |
| ·整体架构 | 第46-47页 |
| ·Vmware 虚拟机技术 | 第47-49页 |
| ·分析系统运行配置环境 | 第49-50页 |
| ·AMIAS 控制模块 | 第50-51页 |
| ·AMIAS 静态信息分析模块 | 第51-54页 |
| ·文件静态特征提取流程 | 第51-53页 |
| ·文件静态特征提取 | 第53-54页 |
| ·AMIAS 行为信息分析模块 | 第54-60页 |
| ·动态行为分析技术原理 | 第54-55页 |
| ·动态行为分析技术实现 | 第55-56页 |
| ·HOOK DLL 实现机制 | 第56-58页 |
| ·行为特征提取与分析报告 | 第58-60页 |
| 第5章 一种新的基于支持向量机模型的恶意代码检测方法 | 第60-72页 |
| ·支持向量机在恶意代码检测中的应用原理 | 第60-61页 |
| ·模型检测性能指标定义 | 第61-62页 |
| ·检测实验与结果分析 | 第62-68页 |
| ·实验样本集描述 | 第62-64页 |
| ·噪声数据消除 | 第64-65页 |
| ·实验方法 | 第65-66页 |
| ·实验改进分析 | 第66-67页 |
| ·组合特征检测实验效果对比分析 | 第67-68页 |
| ·灰色样本检测模型改进方法 | 第68-72页 |
| ·特征属性重要性度量方法 | 第69-70页 |
| ·实验方法与结果分析 | 第70-72页 |
| 第6章 恶意代码分类改进方法研究 | 第72-83页 |
| ·两种常用恶意代码分类方法 | 第72-75页 |
| ·基于不透明信息块描述的分类方法 | 第73-74页 |
| ·基于向量描述的分类方法 | 第74-75页 |
| ·基于恶意代码行为信息单元的分类模型 | 第75-79页 |
| ·恶意代码行为单元定义 | 第75-77页 |
| ·特征向量空间生成方法 | 第77-78页 |
| ·特征词预处理 | 第78-79页 |
| ·恶意代码分类实验与结果分析 | 第79-83页 |
| ·实验数据集描述 | 第79-80页 |
| ·实验结果分析 | 第80-83页 |
| 第7章 总结与展望 | 第83-86页 |
| ·总结 | 第83-84页 |
| ·展望 | 第84-86页 |
| 致谢 | 第86-87页 |
| 参考文献 | 第87-91页 |
| 附录 | 第91-92页 |
| 详细摘要 | 第92-94页 |