基于程序语义的静态恶意代码检测系统的研究与实现
| 摘要 | 第1-5页 |
| Abstract | 第5-10页 |
| 第1章 绪论 | 第10-16页 |
| ·课题的背景和意义 | 第10-11页 |
| ·课题背景 | 第10-11页 |
| ·课题意义 | 第11页 |
| ·国内外研究现状 | 第11-14页 |
| ·论文的主要研究内容和组织结构 | 第14-16页 |
| 第2章 恶意代码分析与反分析技术 | 第16-24页 |
| ·背景知识 | 第16-18页 |
| ·PE文件格式 | 第16-17页 |
| ·加壳原理和壳的加载过程 | 第17-18页 |
| ·恶意代码的分析技术 | 第18-21页 |
| ·静态分析 | 第18-20页 |
| ·动态分析 | 第20-21页 |
| ·恶意代码的反分析技术 | 第21-23页 |
| ·反静态分析技术 | 第21-22页 |
| ·反动态分析技术 | 第22-23页 |
| ·本章小结 | 第23-24页 |
| 第3章 SMD系统的设计与整体框架 | 第24-29页 |
| ·程序语义的理解和抽象 | 第24-25页 |
| ·SMD系统整体框架 | 第25-27页 |
| ·SMD子模块功能介绍 | 第27-28页 |
| ·查壳与脱壳模块 | 第27页 |
| ·模型检测恶意行为模块 | 第27页 |
| ·基于OOA挖掘的恶意代码检测模块 | 第27页 |
| ·启发式检测模块 | 第27-28页 |
| ·本章小结 | 第28-29页 |
| 第4章 模型检测恶意行为 | 第29-42页 |
| ·引言 | 第29页 |
| ·CTL模型检测 | 第29-31页 |
| ·系统建模—迁移系统 | 第29-30页 |
| ·规范语言—CTL | 第30-31页 |
| ·验证—CTL模型检测算法 | 第31页 |
| ·CTL模型检测恶意行为 | 第31-38页 |
| ·待检测可疑程序的语义模型的建立 | 第32-34页 |
| ·恶意行为的提取和描述 | 第34-36页 |
| ·模型检测恶意行为算法实现 | 第36-38页 |
| ·实验与结论 | 第38-41页 |
| ·实验结果 | 第38-39页 |
| ·方法改进 | 第39-40页 |
| ·模型检测恶意行为的问题 | 第40-41页 |
| ·本章小结 | 第41-42页 |
| 第5章 改进的基于OOA挖掘的恶意代码检测 | 第42-57页 |
| ·引言 | 第42页 |
| ·OOA挖掘的概念和算法 | 第42-44页 |
| ·面向目标的关联规则挖掘 | 第42-43页 |
| ·OOA挖掘算法—OOApriori | 第43-44页 |
| ·基于关联规则的分类 | 第44页 |
| ·OOA规则挖掘 | 第44-50页 |
| ·API集合的获取 | 第45-46页 |
| ·候选一项集的筛选 | 第46-47页 |
| ·快速规则挖掘 | 第47-48页 |
| ·规则挖掘策略改进 | 第48-50页 |
| ·基于OOA规则的分类 | 第50-55页 |
| ·CBA算法的改进 | 第50-51页 |
| ·仲裁机制的引进 | 第51-52页 |
| ·实验结果及其因素分析 | 第52-55页 |
| ·本章小结 | 第55-57页 |
| 第6章 静态启发式恶意代码检测 | 第57-68页 |
| ·引言 | 第57页 |
| ·基于信息熵的壳判定 | 第57-60页 |
| ·信息熵 | 第57-58页 |
| ·基于信息熵的壳判定的基本思想 | 第58-59页 |
| ·基于信息熵的壳判定的结果 | 第59-60页 |
| ·基于PE文件结构异常的加壳/恶意代码检测 | 第60-67页 |
| ·PE文件异常信息的收集方法 | 第60-63页 |
| ·静态启发式恶意代码检测的分析方法 | 第63-65页 |
| ·启发式检测效果 | 第65-67页 |
| ·本章小结 | 第67-68页 |
| 结论 | 第68-70页 |
| 参考文献 | 第70-76页 |
| 致谢 | 第76页 |
