| 摘要 | 第1-6页 |
| ABSTRACT | 第6-11页 |
| 第1章 绪论 | 第11-17页 |
| ·研究背景 | 第11-13页 |
| ·恶意程序高速增长 | 第11-12页 |
| ·恶意程序出现躲避查杀手段 | 第12-13页 |
| ·国内外相关工作 | 第13-14页 |
| ·本文研究内容 | 第14-15页 |
| ·论文结构 | 第15-17页 |
| 第2章 相关知识 | 第17-25页 |
| ·Android系统基础 | 第17-19页 |
| ·Android系统框架与四大组件 | 第17页 |
| ·Android的安全机制 | 第17-18页 |
| ·Android Binder机制(跨进程通讯机制) | 第18-19页 |
| ·基于Xposed框架劫持系统调用 | 第19-21页 |
| ·代码注入 | 第20页 |
| ·函数调用劫持 | 第20-21页 |
| ·基于函数调用的建模方法 | 第21-23页 |
| ·短序列列举法 | 第22页 |
| ·马尔科夫链模型 | 第22-23页 |
| ·隐马尔科夫模型(HMM) | 第23页 |
| ·随机森林(RF) | 第23-24页 |
| ·决策树生成算法 | 第24页 |
| ·Bagging算法 | 第24页 |
| ·本章小结 | 第24-25页 |
| 第3章 函数调用序列与事件序列 | 第25-45页 |
| ·Android恶意应用的行为模式分析 | 第25-28页 |
| ·远程控制类恶意应用行为模式分析 | 第25-26页 |
| ·恶意扣费类恶意应用行为模式分析 | 第26页 |
| ·隐私窃取类恶意应用行为模式分析 | 第26-27页 |
| ·恶意破坏类恶意应用行为模式分析 | 第27页 |
| ·恶意程序攻击行为模式总结 | 第27-28页 |
| ·函数调用序列与事件序列的定义与关系 | 第28-30页 |
| ·函数调用的定义 | 第28-29页 |
| ·事件的定义 | 第29页 |
| ·事件序列的定义 | 第29页 |
| ·组成结构 | 第29-30页 |
| ·基于Xposed框架的函数调用序列收集 | 第30-34页 |
| ·函数调用的劫持 | 第31-32页 |
| ·重复调用的过滤 | 第32-33页 |
| ·定时操作矫正 | 第33-34页 |
| ·事件触发 | 第34-41页 |
| ·Android设备中用户进程与系统进程的双向通信机制的建立 | 第36-37页 |
| ·事件触发器 | 第37-41页 |
| ·实验与结果说明 | 第41-44页 |
| ·DroidKungFu | 第41-42页 |
| ·counterclank | 第42-43页 |
| ·a.privacy.safesys | 第43-44页 |
| ·本章小结 | 第44-45页 |
| 第4章 基于事件序列的集成学习算法设计 | 第45-62页 |
| ·引言 | 第45页 |
| ·基于隐马尔科夫模型的函数调用序列异常检测算法设计 | 第45-49页 |
| ·基于函数调用序列的隐马尔科夫模型定义 | 第45-47页 |
| ·基于函数调用序列的隐马尔科夫模型问题描述 | 第47-49页 |
| ·RBMH(RF-Based-Muti-HMM)算法设计 | 第49-54页 |
| ·Muti-HMM思想 | 第49-50页 |
| ·数据降维 | 第50-51页 |
| ·RBMH集成学习算法描述 | 第51-53页 |
| ·分类算法 | 第53-54页 |
| ·实验设计与分析 | 第54-61页 |
| ·样本集介绍 | 第54-56页 |
| ·实验评价标准 | 第56-57页 |
| ·单个HMM与基于随机森林的RBMH比较 | 第57-60页 |
| ·数据集大小对RBMH的影响 | 第60-61页 |
| ·本章小结 | 第61-62页 |
| 第5章 Android恶意程序检测平台的设计与实现 | 第62-73页 |
| ·总体框架设计 | 第62-64页 |
| ·数据收集模块设计与实现 | 第64-71页 |
| ·轮询模块 | 第65-66页 |
| ·运行时模块 | 第66-68页 |
| ·轮询交互的实现 | 第68-70页 |
| ·轮询模块对模拟器的操作实现 | 第70-71页 |
| ·机器学习模块设计与实现 | 第71-72页 |
| ·本章小结 | 第72-73页 |
| 第6章 结论与展望 | 第73-75页 |
| ·结论 | 第73页 |
| ·展望 | 第73-75页 |
| 参考文献 | 第75-79页 |
| 致谢 | 第79-80页 |
| 攻读学位期间参加的科研项目和成果 | 第80页 |
