| 摘要 | 第4-6页 |
| ABSTRACT | 第6-7页 |
| 第一章 绪论 | 第14-19页 |
| 1.1 研究背景 | 第14-15页 |
| 1.2 国内外研究现状 | 第15-17页 |
| 1.3 论文主要内容 | 第17-18页 |
| 1.4 本文的结构 | 第18-19页 |
| 第二章 相关技术分析 | 第19-28页 |
| 2.1 常用木马攻击技术 | 第19-21页 |
| 2.1.1 木马植入技术 | 第19页 |
| 2.1.2 通信隐藏技术 | 第19-20页 |
| 2.1.3 自启动技术 | 第20-21页 |
| 2.2 木马检测关键技术分类 | 第21-24页 |
| 2.2.1 特征码检测技术 | 第21-22页 |
| 2.2.2 虚拟机技术 | 第22页 |
| 2.2.3 实时监控技术 | 第22-23页 |
| 2.2.4 行为分析技术 | 第23页 |
| 2.2.5 沙箱技术 | 第23-24页 |
| 2.3 木马行为分析技术 | 第24-25页 |
| 2.3.1 行为分析技术在木马检测中的原理 | 第24页 |
| 2.3.2 行为分析特点 | 第24-25页 |
| 2.3.3 木马行为特征分析 | 第25页 |
| 2.4 相关算法介绍 | 第25-27页 |
| 2.5 本章小结 | 第27-28页 |
| 第三章 扩展攻击树模型的构建 | 第28-35页 |
| 3.1 攻击树概要 | 第28-29页 |
| 3.2 扩展攻击树模型的构建 | 第29-33页 |
| 3.2.1 扩展攻击树模型的提出 | 第29-30页 |
| 3.2.2 PE文件特征提取 | 第30-32页 |
| 3.2.3 原始扩展攻击树的构建方法 | 第32-33页 |
| 3.3 扩展攻击树模型定义 | 第33-34页 |
| 3.4 本章小结 | 第34-35页 |
| 第四章 基于扩展攻击树模型的木马检测方法 | 第35-46页 |
| 4.1 扩展攻击树的匹配 | 第35-37页 |
| 4.1.1 待检测程序API短序列提取 | 第35页 |
| 4.1.2 攻击子树的匹配与生成 | 第35-37页 |
| 4.2 算法研究与实例分析 | 第37-42页 |
| 4.2.1 改进危险指数算法 | 第37-39页 |
| 4.2.2 实例分析 | 第39-42页 |
| 4.3 动态调整扩展攻击树方法 | 第42-43页 |
| 4.4 静态检测木马程序的实验与测试 | 第43-45页 |
| 4.4.1 测量指标定义与阀值确定 | 第43-44页 |
| 4.4.2 静态检测实验与结果 | 第44-45页 |
| 4.5 本章小结 | 第45-46页 |
| 第五章 基于沙箱的木马检测系统设计与实现 | 第46-58页 |
| 5.1 系统设计要求 | 第46页 |
| 5.2 系统设计方案 | 第46-47页 |
| 5.3 系统执行流程 | 第47-48页 |
| 5.4 沙箱关键技术研究 | 第48-50页 |
| 5.4.1 API HOOK技术 | 第48-49页 |
| 5.4.2 重定向技术和虚拟执行技术 | 第49-50页 |
| 5.5 基于内核级API HOOK的木马行为监控技术 | 第50-55页 |
| 5.6 基于沙箱的木马检测实验与测试 | 第55-57页 |
| 5.6.1 系统实现环境 | 第55页 |
| 5.6.2 系统行为监控界面 | 第55-56页 |
| 5.6.3 动态检测实验与结果 | 第56-57页 |
| 5.7 本章小结 | 第57-58页 |
| 总结与展望 | 第58-60页 |
| 参考文献 | 第60-63页 |
| 攻读硕士学位期间发表的论文及著作权 | 第63-65页 |
| 致谢 | 第65页 |