虚拟环境“数字脚印”提取与恶意行为分析技术研究

摘要	第4-6页
ABSTRACT	第6-7页
符号与专用词	第8-14页
第1章绪论	第14-20页
1.1 研究背景与意义	第14-15页
1.2 国内外研究现状	第15-17页
1.2.1 传统内存取证技术研究现状	第15-17页
1.2.2 虚拟环境内存取证技术研究现状	第17页
1.3 工作难点与创新点	第17-18页
1.4 内容组织结构	第18-20页
第2章虚拟环境内存取证的相关技术基础	第20-30页
2.1 虚拟环境内存取证的特异性	第20-21页
2.1.1 虚拟环境内存文件的可靠获取	第20-21页
2.1.2 虚拟环境内存地址的映射	第21页
2.1.3 虚拟环境内存结构的分析与重构	第21页
2.2 现有内存取证技术的原理	第21-27页
2.2.1 现有内存取证技术	第22-23页
2.2.2 现有内存取证模型	第23-24页
2.2.3 现有内存取证技术及模型的局限性	第24-27页
2.3 虚拟环境内存取证的关键技术	第27-30页
2.3.1 虚拟环境的“数字脚印”模型	第28页
2.3.2 虚拟内存数据结构的重构	第28-29页
2.3.3 虚拟环境隐藏证据的提取	第29页
2.3.4 虚拟环境专用内存取证模型设计	第29-30页
第3章基于VMware虚拟环境的内存取证模型设计	第30-42页
3.1 “数字脚印”的定义	第30-32页
3.2 取证的过程模型	第32-33页
3.3 模型的总体架构	第33-35页
3.4 交互与管理模型	第35-39页
3.4.1 分析管理模型	第35-37页
3.4.2 策略管理模型	第37-38页
3.4.3 系统交互模型	第38-39页
3.5 模型分析与可行性论证	第39-42页
第4章 VMware虚拟环境“数字脚印”的提取	第42-61页
4.1 VMware虚拟机内存镜像的获取	第42-43页
4.2 VMware虚拟机虚拟地址的转换	第43-49页
4.2.1 VMware虚拟机地址转换模型	第44-45页
4.2.2 基于IA-32的页转换	第45-46页
4.2.3 基于PAE的页转换	第46页
4.2.4 基于IA-32e的页转换	第46-48页
4.2.5 VMware虚拟机地址转换实例	第48-49页
4.3 基于内核对象的“数字脚印”提取	第49-61页
4.3.1 VMware虚拟机内存原理与管理机制分析	第49-52页
4.3.2 基于内核对象“魔数”的“数字脚印”提取	第52-58页
4.3.3 基于内核对象内联的“数字脚印”提取	第58-61页
第5章基于改进的K-means恶意进程多源聚类算法设计	第61-80页
5.1 K-means的恶意进程多源关联性分析算法设计	第61-71页
5.1.1 恶意进程的关系模型	第61-64页
5.1.2 改进的K-means多源关联性分析算法	第64-69页
5.1.3 改进的K-means算法仿真对比分析	第69-71页
5.2 恶意行为的多维检测与向量表示	第71-80页
5.2.1 可疑隐藏行为	第72-75页
5.2.2 可疑启动行为	第75-77页
5.2.3 可疑恶意行为	第77-78页
5.2.4 可疑通信行为	第78-80页
第6章 VMware虚拟环境内存取证系统的测试	第80-90页
6.1 测试方法与测试环境	第80页
6.2 测试环境	第80页
6.3 测试方法	第80-82页
6.4 测试过程与结果分析	第82-90页
6.4.1 虚拟环境内存取证模型可行性验证	第82-84页
6.4.2 虚拟环境“数字脚印”提取对比	第84-87页
6.4.3 虚拟环境恶意行为分析完整性验证	第87-90页
第7章总结与展望	第90-91页
7.1 工作总结	第90页
7.2 展望未来	第90-91页
参考文献	第91-95页
致谢	第95-96页
在校期间的科研成果	第96页