基于决策树的恶意程序行为检测系统Malware Sandbox设计与实现
| 摘要 | 第1-4页 |
| Abstract | 第4-8页 |
| 1 绪论 | 第8-18页 |
| ·恶意程序的危害 | 第8-9页 |
| ·病毒和反病毒技术的发展 | 第9-12页 |
| ·恶意程序行为检测技术研究现状 | 第12-13页 |
| ·本系统应用背景及意义 | 第13-15页 |
| ·课题研究目标和研究主题 | 第15-16页 |
| ·论文组织 | 第16-18页 |
| 2 恶意程序检测的理论和关键技术 | 第18-38页 |
| ·PE 文件结构 | 第18-22页 |
| ·基本机构 | 第18-19页 |
| ·导出表 | 第19-21页 |
| ·获取 API 函数地址 | 第21-22页 |
| ·Hook 原理和Detours 技术 | 第22-28页 |
| ·API hook 原理 | 第22-23页 |
| ·Detour 技术 | 第23-26页 |
| ·Detours 技术的改进方法 | 第26-28页 |
| ·程序特征定义 | 第28-32页 |
| ·程序特征收集及其相关 API 集合 | 第28-30页 |
| ·行为特征的结构化描述 | 第30-32页 |
| ·决策树理论 | 第32-34页 |
| ·分类问题简述 | 第32-33页 |
| ·决策树与决策树的建立 | 第33-34页 |
| ·VMWare 虚拟机控制技术Vix | 第34-38页 |
| ·Vix 简述 | 第34-35页 |
| ·Vix 常用功能 | 第35-38页 |
| 3 系统设计和实现 | 第38-59页 |
| ·系统概述 | 第38-39页 |
| ·系统开发目标和要求 | 第39页 |
| ·系统总体设计 | 第39-42页 |
| ·API 调用序列采集程序的实现 | 第42-48页 |
| ·TraceMaster | 第43-44页 |
| ·采集模块 Detect.dll | 第44-45页 |
| ·通用hook 函数 | 第45-47页 |
| ·API 调用记录输出模块 | 第47-48页 |
| ·程序特征提取 | 第48-56页 |
| ·行为特征提取 | 第48-50页 |
| ·文件特征提取 | 第50-54页 |
| ·虚拟环境行为特征采集系统 | 第54-55页 |
| ·建立特征库 | 第55-56页 |
| ·基于决策树的恶意程序判定 | 第56-59页 |
| ·决策树创建 | 第56-57页 |
| ·系统输出模块 | 第57-59页 |
| 4 系统评测 | 第59-62页 |
| ·效率分析 | 第59页 |
| ·准确率测评 | 第59-62页 |
| 5 全文总结 | 第62-64页 |
| ·本文的主要贡献和亮点 | 第62页 |
| ·下一步的工作 | 第62-64页 |
| 参考文献 | 第64-66页 |
| 致谢 | 第66页 |
