基于函数调用图比对的恶意代码相似性分析技术研究与实现
| 摘要 | 第9-10页 |
| ABSTRACT | 第10页 |
| 第一章 绪论 | 第11-18页 |
| 1.1 研究背景与意义 | 第11-13页 |
| 1.2 国内外研究现状 | 第13-16页 |
| 1.2.1 恶意代码分析技术研究现状 | 第13-14页 |
| 1.2.2 恶意代码特征提取研究现状 | 第14页 |
| 1.2.3 恶意代码聚类分析及相似性分析研究现状 | 第14-16页 |
| 1.3 论文主要工作 | 第16-17页 |
| 1.4 论文结构 | 第17-18页 |
| 第二章 相关研究 | 第18-32页 |
| 2.1 恶意代码分析常用方法 | 第18-21页 |
| 2.1.1 静态分析方法 | 第18-19页 |
| 2.1.2 动态分析方法 | 第19页 |
| 2.1.3 聚类分析方法 | 第19-21页 |
| 2.2 生物信息学的序列比对算法 | 第21-23页 |
| 2.3 图的相似性及比对 | 第23-27页 |
| 2.3.1 图的相似性判断 | 第23-24页 |
| 2.3.2 图比对算法 | 第24-27页 |
| 2.4 基于距离的系统发生树构建方法 | 第27-28页 |
| 2.5 病毒分类与命名 | 第28-30页 |
| 2.5.1 病毒分类标准与命名规范 | 第29-30页 |
| 2.5.2 各反病毒厂商病毒名对比 | 第30页 |
| 2.6 本章小结 | 第30-32页 |
| 第三章 恶意代码特征表述与特征提取 | 第32-44页 |
| 3.1 静态信息标准化 | 第32-33页 |
| 3.1.1 XML语法 | 第32-33页 |
| 3.1.2 XML实现 | 第33页 |
| 3.2 二进制可执行样本反汇编 | 第33-37页 |
| 3.2.1 反汇编算法 | 第34-35页 |
| 3.2.2 IDA数据库文件 | 第35-36页 |
| 3.2.3 函数交叉引用图 | 第36-37页 |
| 3.3 基于IDC脚本的特征提取方法 | 第37-43页 |
| 3.3.1 IDC脚本 | 第37-38页 |
| 3.3.2 IDA插件 | 第38-40页 |
| 3.3.3 函数调用图和指令序列的提取和表述 | 第40-43页 |
| 3.4 本章小结 | 第43-44页 |
| 第四章 恶意代码相似性比对方法 | 第44-55页 |
| 4.1 函数指令的相似度计算方法 | 第44-47页 |
| 4.2 函数调用关系结构的相似度计算方法 | 第47-49页 |
| 4.3 恶意代码相似度计算方法 | 第49-53页 |
| 4.3.1 带权完全二分图的建立 | 第49-51页 |
| 4.3.2 带权完全二分图的最大权匹配 | 第51-52页 |
| 4.3.3 两恶意代码的相似度计算 | 第52-53页 |
| 4.4 本章小结 | 第53-55页 |
| 第五章 恶意代码相似性分析系统原型设计与实现 | 第55-69页 |
| 5.1 总体设计 | 第55-56页 |
| 5.2 关键功能实现 | 第56-65页 |
| 5.2.1 特征提取与存储 | 第57-59页 |
| 5.2.2 函数调用图比对 | 第59-61页 |
| 5.2.3 样本相似关系构建 | 第61-65页 |
| 5.3 实验与分析 | 第65-67页 |
| 5.4 本章小结 | 第67-69页 |
| 第六章 结束语 | 第69-71页 |
| 6.1 工作总结 | 第69-70页 |
| 6.2 工作展望 | 第70-71页 |
| 致谢 | 第71-72页 |
| 参考文献 | 第72-76页 |
| 作者在学期间取得的学术成果 | 第76页 |
