| 摘要 | 第5-7页 |
| ABSTRACT | 第7-8页 |
| 符号对照表 | 第13-14页 |
| 缩略语对照表 | 第14-18页 |
| 第一章 绪论 | 第18-32页 |
| 1.1 课题研究背景及研究意义 | 第18-19页 |
| 1.2 国内外研究现状 | 第19-26页 |
| 1.2.1 行为数据采集 | 第19-22页 |
| 1.2.2 行为抽象 | 第22-24页 |
| 1.2.3 基于行为特征的恶意程序检测算法 | 第24-26页 |
| 1.3 论文的研究内容及主要研究工作 | 第26-28页 |
| 1.4 论文的组织与结构 | 第28-32页 |
| 第二章 相关理论基础 | 第32-46页 |
| 2.1 虚拟机理论基础 | 第32-36页 |
| 2.1.1 虚拟机监控器工作的三种模式 | 第32-35页 |
| 2.1.2 Qemu与动态二进制翻译 | 第35-36页 |
| 2.2 Boosting集成学习基础 | 第36-44页 |
| 2.2.1 分类问题的形式化描述以及最优解 | 第36-38页 |
| 2.2.2 Boosting问题起源 | 第38-40页 |
| 2.2.3 优化分类间隔指数损失函数的AdaBoost算法 | 第40-43页 |
| 2.2.4 AdaBoost算法训练误差与泛化误差分析 | 第43-44页 |
| 2.3 本章小结 | 第44-46页 |
| 第三章 虚拟机监控器层的程序行为监控 | 第46-68页 |
| 3.1 问题概述 | 第46-48页 |
| 3.2 虚拟机监控器层的程序行为监控系统Osiris | 第48-60页 |
| 3.2.1 Osiris系统概述 | 第48-49页 |
| 3.2.2 识别被分析程序主进程及创建的子进程 | 第49-51页 |
| 3.2.3 API调用监控框架 | 第51-54页 |
| 3.2.4 客户操作系统缺页异常处理 | 第54-55页 |
| 3.2.5 被注入进程及服务进程行为监控 | 第55-56页 |
| 3.2.6 网络环境与主机事件模拟 | 第56-60页 |
| 3.3 实验分析 | 第60-66页 |
| 3.4 本章小结 | 第66-68页 |
| 第四章 安全敏感最小行为抽象 | 第68-82页 |
| 4.1 问题概述 | 第68-69页 |
| 4.2 提取程序的安全敏感最小行为 | 第69-75页 |
| 4.2.1 抽象准则 | 第69-70页 |
| 4.2.2 API参数抽象 | 第70-72页 |
| 4.2.3 安全敏感最小行为抽象算法 | 第72-75页 |
| 4.3 实验分析 | 第75-81页 |
| 4.3.1 实验设置 | 第75-77页 |
| 4.3.2 程序相似性比较 | 第77-78页 |
| 4.3.3 聚类分析 | 第78页 |
| 4.3.4 分类问题 | 第78-81页 |
| 4.4 本章小结 | 第81-82页 |
| 第五章 基于Boosting特征选择的恶意程序行为检测算法 | 第82-98页 |
| 5.1 问题概述 | 第82-83页 |
| 5.2 动态与静态分析特征相结合 | 第83-85页 |
| 5.3 基于Boosting的不相关特征选择算法BoostFS | 第85-89页 |
| 5.3.1 特征选择方法概述 | 第85-86页 |
| 5.3.2 基于AdaBoost和Decision Stump的特征选择分析 | 第86页 |
| 5.3.3 不相关特征选择算法BoostFS | 第86-89页 |
| 5.4 实验分析 | 第89-96页 |
| 5.4.1 特征选择的必要性 | 第89-91页 |
| 5.4.2 基于BoostFS算法恶意程序检测 | 第91-96页 |
| 5.5 本章小结 | 第96-98页 |
| 第六章 基于代价敏感Boosting的恶意程序行为检测算法 | 第98-122页 |
| 6.1 问题概述 | 第98-100页 |
| 6.2 代价敏感Boosting算法分析 | 第100-105页 |
| 6.3 具有Fisher一致性的代价敏感Boosting算法 | 第105-110页 |
| 6.3.1 代价敏感损失函数 | 第105-107页 |
| 6.3.2 优化代价敏感指数损失函数的AsyB算法 | 第107-108页 |
| 6.3.3 优化代价敏感Logit损失函数的AsyBL算法 | 第108-110页 |
| 6.4 实验结果与分析 | 第110-121页 |
| 6.4.1 人工数据集实验 | 第110-111页 |
| 6.4.2 UCI数据集实验 | 第111-117页 |
| 6.4.3 恶意程序检测实验 | 第117-121页 |
| 6.5 本章小结 | 第121-122页 |
| 第七章 具有抗噪声能力的恶意程序行为检测算法:RBoost | 第122-146页 |
| 7.1 问题概述 | 第122-123页 |
| 7.2 现有抗噪声Boosting算法分析 | 第123-127页 |
| 7.3 基于抗噪声损失函数的RBoost算法 | 第127-135页 |
| 7.3.1 Savage2损失函数 | 第127-129页 |
| 7.3.2 RBoost算法 | 第129-133页 |
| 7.3.3 代价敏感的RBoost算法 | 第133-135页 |
| 7.4 实验分析 | 第135-143页 |
| 7.4.1 高斯人工数据集实验 | 第135-139页 |
| 7.4.2 UCI数据集实验 | 第139-141页 |
| 7.4.3 基于RBoost算法的恶意程序行为检测实验 | 第141-142页 |
| 7.4.4 代价敏感的RBoost算法评估 | 第142-143页 |
| 7.5 本章小结 | 第143-146页 |
| 第八章 总结与展望 | 第146-152页 |
| 8.1 论文工作总结 | 第146-149页 |
| 8.2 未来工作展望 | 第149-152页 |
| 参考文献 | 第152-162页 |
| 致谢 | 第162-164页 |
| 作者简介 | 第164-166页 |
| 1. 基本情况 | 第164页 |
| 2. 教育背景 | 第164页 |
| 3. 攻读博士学位期间的研究成果 | 第164-166页 |
