| 摘要 | 第13-15页 |
| Abstract | 第15-17页 |
| 第一章 绪论 | 第18-34页 |
| 1.1 研究背景 | 第18-24页 |
| 1.1.1 恶意代码行为挖掘问题的研究意义 | 第18-21页 |
| 1.1.2 以完全性为目标挖掘恶意代码行为的重要性 | 第21-23页 |
| 1.1.3 恶意代码行为挖掘面临的技术挑战 | 第23-24页 |
| 1.2 研究重点 | 第24-26页 |
| 1.3 本文工作和贡献 | 第26-31页 |
| 1.4 本文的组织结构 | 第31-34页 |
| 第二章 恶意代码分析基础 | 第34-48页 |
| 2.1 基本概念 | 第34-37页 |
| 2.2 恶意代码类别 | 第37-38页 |
| 2.3 代码结构特征 | 第38-39页 |
| 2.4 恶意代码行为 | 第39-42页 |
| 2.4.1 典型恶意行为 | 第39-41页 |
| 2.4.2 恶意行为模型 | 第41-42页 |
| 2.5 恶意代码分析方法 | 第42-45页 |
| 2.5.1 基础分析技术 | 第42-44页 |
| 2.5.2 高级分析技术 | 第44-45页 |
| 2.6 恶意代码传播、收集和发展趋势 | 第45-47页 |
| 2.6.1 传播途径 | 第45-46页 |
| 2.6.2 收集方法 | 第46-47页 |
| 2.6.3 发展趋势 | 第47页 |
| 2.7 本章小结 | 第47-48页 |
| 第三章 对抗型加壳恶意代码检测技术 | 第48-70页 |
| 3.1 问题分析与方法概述 | 第49-53页 |
| 3.1.1 恶意代码加壳与脱壳典型过程 | 第49-50页 |
| 3.1.2 加壳恶意代码检测问题及已有方法介绍 | 第50-52页 |
| 3.1.3 已有方法的局限性分析 | 第52-53页 |
| 3.1.4 缺失ELM学习算法A-ELM概述 | 第53页 |
| 3.2 相关工作 | 第53-58页 |
| 3.2.1 恶意代码加壳模型 | 第53-54页 |
| 3.2.2 加壳代码的检测方法 | 第54-55页 |
| 3.2.3 脱壳方法、反脱壳方法和流行壳工具 | 第55-57页 |
| 3.2.4 相关工作小结 | 第57-58页 |
| 3.3 问题建模 | 第58-60页 |
| 3.3.1 检测模型 | 第58-59页 |
| 3.3.2 缺失数据及常见补救方法 | 第59页 |
| 3.3.3 样本结构信息异常与缺失数据学习问题 | 第59-60页 |
| 3.4 基于缺失ELM的加壳恶意代码检测算法 | 第60-64页 |
| 3.4.1 极限学习机ELM | 第60-61页 |
| 3.4.2 A-ELM学习算法 | 第61-63页 |
| 3.4.3 加壳恶意代码的特征选择 | 第63-64页 |
| 3.5 实验结果与分析 | 第64-68页 |
| 3.5.1 实验设置 | 第64-65页 |
| 3.5.2 实验结果 | 第65-67页 |
| 3.5.3 讨论 | 第67-68页 |
| 3.6 本章小结 | 第68-70页 |
| 第四章 恶意代码的分析环境感知行为对抗技术 | 第70-96页 |
| 4.1 问题分析与方法概述 | 第70-77页 |
| 4.1.1 恶意代码的分析环境感知行为 | 第71-74页 |
| 4.1.2 分析环境感知行为的已有对抗方法介绍 | 第74-75页 |
| 4.1.3 已有对抗方法的局限性分析 | 第75-76页 |
| 4.1.4 基于动态程序切片和代码模板的对抗方法概述 | 第76-77页 |
| 4.2 相关工作 | 第77-81页 |
| 4.2.1 恶意代码的分析环境感知方法 | 第77-79页 |
| 4.2.2 分析环境感知行为的对抗方法 | 第79-80页 |
| 4.2.3 相关工作小结 | 第80-81页 |
| 4.3 环境感知型恶意代码阻碍动态分析能力测试 | 第81-84页 |
| 4.3.1 测试样本 | 第81-83页 |
| 4.3.2 执行的指令覆盖率对比 | 第83页 |
| 4.3.3 讨论 | 第83-84页 |
| 4.4 基于动态程序切片的模拟环境感知行为检测方法 | 第84-90页 |
| 4.4.1 动态程序切片 | 第84-85页 |
| 4.4.2 环境指纹API函数 | 第85页 |
| 4.4.3 基于指纹API的动态状态修改点api-DSM | 第85-86页 |
| 4.4.4 DSlicingESBD方法 | 第86-89页 |
| 4.4.5 实验结果与分析 | 第89-90页 |
| 4.5 基于代码模板的调试环境感知行为检测方法 | 第90-94页 |
| 4.5.1 代码模板 | 第90页 |
| 4.5.2 CT-ESBD方法 | 第90-93页 |
| 4.5.3 实验结果与分析 | 第93-94页 |
| 4.5.4 讨论 | 第94页 |
| 4.6 本章小结 | 第94-96页 |
| 第五章 基于行为流图的恶意代码执行行为挖掘技术 | 第96-122页 |
| 5.1 问题分析与方法概述 | 第97-100页 |
| 5.1.1 APT攻击与现代恶意代码新特性 | 第97-98页 |
| 5.1.2 恶意代码分析应具有的新特性 | 第98-99页 |
| 5.1.3 行为流图BFG概述 | 第99-100页 |
| 5.2 相关工作 | 第100-104页 |
| 5.2.1 恶意代码行为描述模型及挖掘方法 | 第100-101页 |
| 5.2.2 多路径探测方法用以挖掘完全的恶意行为 | 第101-102页 |
| 5.2.3 新型恶意代码行为挖掘方法 | 第102-103页 |
| 5.2.4 相关工作小结 | 第103-104页 |
| 5.3 问题假设与BFG构造基础 | 第104-106页 |
| 5.3.1 基本假设 | 第104页 |
| 5.3.2 二进制指令动态执行模型 | 第104-105页 |
| 5.3.3 程序执行行为的本质 | 第105-106页 |
| 5.4 行为流图模型BFG | 第106-112页 |
| 5.4.1 BFG的定义 | 第106-109页 |
| 5.4.2 BFG的性质 | 第109-110页 |
| 5.4.3 BFG示例 | 第110-112页 |
| 5.5 行为流图挖掘方法 | 第112-117页 |
| 5.5.1 基于强制执行的行为流图挖掘方法BFG-E | 第112-113页 |
| 5.5.2 模块设计及功能 | 第113-117页 |
| 5.5.3 BFG-E的实现 | 第117页 |
| 5.6 试验结果与分析 | 第117-120页 |
| 5.6.1 实验数据集 | 第118页 |
| 5.6.2 路径覆盖结果 | 第118-119页 |
| 5.6.3 BFG挖掘结果 | 第119-120页 |
| 5.6.4 讨论 | 第120页 |
| 5.7 本章小结 | 第120-122页 |
| 第六章 恶意代码典型网络协议行为挖掘技术 | 第122-152页 |
| 6.1 问题分析与方法概述 | 第122-128页 |
| 6.1.1 恶意代码的网络行为及其功能 | 第123-124页 |
| 6.1.2 僵尸类恶意代码网络通信的典型模式 | 第124-126页 |
| 6.1.3 WHILE-SWITCH结构给网络协议行为挖掘造成的影响 | 第126页 |
| 6.1.4 基于二进制分析的网络协议行为挖掘方法概述 | 第126-128页 |
| 6.2 相关工作 | 第128-130页 |
| 6.2.1 恶意代码的网络流捕获与分析方法 | 第128-129页 |
| 6.2.2 基于网络流的恶意代码网络协议行为研究 | 第129页 |
| 6.2.3 基于二进制分析的恶意代码网络协议行为研究 | 第129-130页 |
| 6.3 辅助二进制分析的协议状态模型bPSM | 第130-138页 |
| 6.3.1 bPSM的定义 | 第130-133页 |
| 6.3.2 bPSM的性质与定理 | 第133-136页 |
| 6.3.3 bPSM典型示例 | 第136-138页 |
| 6.4 基于二进制分析的恶意代码网络协议行为挖掘方法 | 第138-147页 |
| 6.4.1 BANTIonBotSC方法框架 | 第138-139页 |
| 6.4.2 模块设计及功能 | 第139-147页 |
| 6.5 实验结果与分析 | 第147-150页 |
| 6.5.1 实验设置 | 第147-148页 |
| 6.5.2 网络行为的普遍性实验结果 | 第148页 |
| 6.5.3 W-S结构识别和bPSM构造方法的有效性 | 第148-149页 |
| 6.5.4 报文捕获的完全性和加速情况 | 第149-150页 |
| 6.5.5 讨论 | 第150页 |
| 6.6 本章小结 | 第150-152页 |
| 第七章 恶意代码综合分析系统iPanda的设计与实现 | 第152-174页 |
| 7.1 问题分析与方法概述 | 第152-155页 |
| 7.1.1 现有分析系统及其优缺点 | 第152-154页 |
| 7.1.2 iPanda系统概述 | 第154-155页 |
| 7.2 相关工作 | 第155-156页 |
| 7.2.1 恶意代码分析平台 | 第155-156页 |
| 7.2.2 恶意代码动态分析的分析能力增强技术 | 第156页 |
| 7.3 面向现代恶意代码的分析系统的性质分析 | 第156-158页 |
| 7.4 iPanda系统及其实现技术 | 第158-168页 |
| 7.4.1 QEMU模拟器与BitBlaze分析平台 | 第158-161页 |
| 7.4.2 iPanda系统结构 | 第161-162页 |
| 7.4.3 模块设计及功能 | 第162-165页 |
| 7.4.4 核心实现技术 | 第165-168页 |
| 7.5 应用示例 | 第168-172页 |
| 7.5.1 实验样本集 | 第168-169页 |
| 7.5.2 属性分析结果示例 | 第169页 |
| 7.5.3 行为分析结果示例 | 第169-170页 |
| 7.5.4 部分属性的统计结果及其分析 | 第170-172页 |
| 7.6 本章小结 | 第172-174页 |
| 第八章 总结与展望 | 第174-178页 |
| 8.1 工作总结 | 第174-176页 |
| 8.2 研究展望 | 第176-178页 |
| 致谢 | 第178-180页 |
| 参考文献 | 第180-198页 |
| 作者在学期间取得的学术成果 | 第198-200页 |
| 作者在学期间参加的主要科研工作 | 第200-202页 |
| 附录A A-ELM算法使用的PE文件属性特征列表 | 第202-203页 |
| 附录B Stuxnet中的逃避分析方法示例 | 第203-204页 |
| 附录C典型恶意代码样本分析结果展示 | 第204-206页 |
