基于结构和行为的恶意软件分析方法研究

论文创新点	第5-6页
摘要	第6-8页
Abstract	第8-9页
第一章绪论	第16-29页
1.1 研究意义	第16-17页
1.2 研究现状	第17-22页
1.2.1 恶意软件分析方法分类	第18页
1.2.2 静态分析方法	第18-20页
1.2.3 动态分析方法	第20-21页
1.2.4 分析方法小结	第21-22页
1.3 恶意软件反分析方法	第22-25页
1.3.1 反静态分析	第22-23页
1.3.2 反动态分析	第23-25页
1.4 研究内容	第25-27页
1.5 本文的贡献	第27-28页
1.6 论文组织结构	第28-29页
第二章基于文件结构特征的恶意软件分析方法	第29-54页
2.1 相关研究	第29-31页
2.2 PE文件概述	第31-35页
2.3 检测模型	第35-50页
2.3.1 数据集	第36-37页
2.3.2 特征项提取	第37-38页
2.3.3 关联分析	第38-40页
2.3.4 特征项选择	第40-47页
2.3.5 分类学习	第47-50页
2.4 实验分析	第50-53页
2.4.1 准确性	第51-52页
2.4.2 性能开销	第52-53页
2.5 讨论	第53页
2.6 本章小结	第53-54页
第三章基于内存结构特征的浏览器恶意软件分析方法	第54-72页
3.1 浏览器攻击	第54-55页
3.2 Heap Spraying攻击概述	第55-58页
3.2.1 堆溢出攻击	第55-56页
3.2.2 Heap Spraying攻击	第56-58页
3.3 相关研究	第58-59页
3.4 检测模型	第59-64页
3.4.1 NOP Sled	第60页
3.4.2 Sled Distance	第60-61页
3.4.3 Sled Distance与攻击成功率关系	第61-64页
3.4.4 基于抽样检测的Sled Distance测量	第64页
3.5 实现	第64-68页
3.5.1 跟踪String对象分配	第65-66页
3.5.2 Sled Distance计算	第66-67页
3.5.3 检测和报告	第67-68页
3.5.4 性能优化	第68页
3.6 实验	第68-71页
3.6.1 正常样本的抽样Sled Distance值	第68-69页
3.6.2 恶意样本的抽样Sled Distance值	第69页
3.6.3 检测准确率	第69-70页
3.6.4 性能开销	第70-71页
3.7 讨论	第71页
3.8 小结	第71-72页
第四章基于系统调用行为的恶意软件脱壳方法	第72-85页
4.1 加壳原理	第73页
4.2 通用脱壳原理	第73-74页
4.3 脱壳方法	第74-82页
4.3.1 系统设计	第74-76页
4.3.2 系统调用监控	第76-81页
4.3.3 Dump	第81-82页
4.4 实验	第82-83页
4.5 相关研究	第83-84页
4.6 讨论	第84页
4.7 小结	第84-85页
第五章基于对象操作行为的恶意软件行为分析	第85-105页
5.1 相关研究	第85-86页
5.2 系统调用混淆	第86-88页
5.3 系统设计	第88-99页
5.3.1 系统调用	第89页
5.3.2 对象操作	第89-94页
5.3.3 对象操作依赖图	第94-98页
5.3.4 家族依赖图	第98-99页
5.4 实验	第99-102页
5.4.1 数据集	第99-100页
5.4.2 检测准确率	第100-101页
5.4.3 性能测试	第101-102页
5.5 讨论	第102-104页
5.6 小结	第104-105页
第六章结束语	第105-108页
6.1 主要工作	第105-106页
6.2 下一步工作	第106-108页
参考文献	第108-125页
攻读博士学位期间发表的论文	第125-126页
博士学位期间参与或主持的科研工作	第126-127页
致谢	第127页