| 摘要 | 第1-7页 |
| ABSTRACT | 第7-10页 |
| 目录 | 第10-15页 |
| 表格目录 | 第15-16页 |
| 图目录 | 第16-18页 |
| 第1章 绪论 | 第18-34页 |
| ·恶意代码检测技术简介 | 第18-26页 |
| ·什么是恶意代码? | 第18-20页 |
| ·恶意代码检测技术简介 | 第20-22页 |
| ·代码分析技术 | 第22-25页 |
| ·恶意代码反检测技术 | 第25-26页 |
| ·统计机器学习相关技术简介 | 第26-28页 |
| ·核心思想 | 第26-27页 |
| ·概率图模型简介 | 第27页 |
| ·常用模型简介 | 第27-28页 |
| ·本论文工作 | 第28-34页 |
| ·研究问题 | 第28-29页 |
| ·问题细化 | 第29-31页 |
| ·本文研究内容和创新点 | 第31-32页 |
| ·本论文的组织结构和我们的工作 | 第32-34页 |
| 第2章 结合语义的多态蠕虫签名提取算法 | 第34-58页 |
| ·概述 | 第34-36页 |
| ·对签名提取技术的攻击 | 第36-38页 |
| ·规避检测的技术 | 第36页 |
| ·误导签名产生的技术 | 第36-38页 |
| ·我们的方法 | 第38-49页 |
| ·为什么STG签名有用? | 第38页 |
| ·系统架构 | 第38-39页 |
| ·反汇编模块算法 | 第39-41页 |
| ·有效指令提取算法 | 第41-44页 |
| ·负载聚类算法 | 第44-46页 |
| ·STG签名产生算法 | 第46-47页 |
| ·STG签名匹配算法 | 第47-49页 |
| ·安全分析 | 第49-51页 |
| ·优势 | 第50页 |
| ·限制性 | 第50-51页 |
| ·实验评估 | 第51-55页 |
| ·与Polygraph和Hamsa的比较 | 第52-54页 |
| ·每个多态引擎的评估 | 第54-55页 |
| ·性能评估 | 第55页 |
| ·相关工作 | 第55-56页 |
| ·基于模式的签名提取 | 第55-56页 |
| ·语义分析 | 第56页 |
| ·结论 | 第56-58页 |
| 第3章 体现语义的的多态shellcode归属性分析 | 第58-98页 |
| ·概述 | 第58-60页 |
| ·多态shellcode检测方法概述 | 第60-73页 |
| ·背景介绍 | 第60-61页 |
| ·针对Windows操作系统Shellcode检测思想概述 | 第61-62页 |
| ·基于启发式规则的Windows Shellcode检测策略 | 第62-70页 |
| ·讨论部分 | 第70-73页 |
| ·预备知识:污点分析算法 | 第73-83页 |
| ·污点分析算法概述 | 第73页 |
| ·动态污点分析算法 | 第73-78页 |
| ·静态污点分析算法 | 第78-81页 |
| ·污点分析算法的优点和挑战 | 第81-83页 |
| ·问题定义(Problem Formalization) | 第83页 |
| ·我们的解决方案 | 第83-89页 |
| ·方法概述 | 第83-85页 |
| ·混合Markov模型的建立 | 第85-87页 |
| ·混合Markov模型的求解 | 第87-89页 |
| ·实验及结果分析 | 第89-91页 |
| ·准确率检测 | 第89-90页 |
| ·性能分析 | 第90-91页 |
| ·工作进一步改进 | 第91-97页 |
| ·改进思路1 | 第91-95页 |
| ·改进思路2 | 第95-97页 |
| ·本章小结 | 第97-98页 |
| 第4章 提升多维特征检测迷惑恶意代码 | 第98-114页 |
| ·概述 | 第98-99页 |
| ·预备知识 | 第99-101页 |
| ·迷惑恶意代码定义和检测标准 | 第99-100页 |
| ·N-perm算法 | 第100-101页 |
| ·迷惑恶意代码检测原理 | 第101-104页 |
| ·检测系统架构 | 第101-102页 |
| ·待检测迷惑代码分析流程 | 第102-104页 |
| ·特征提取和检测中的核心算法 | 第104-109页 |
| ·n-perm特征提取和检测算法 | 第104-105页 |
| ·n-perm算法抗攻击性分析 | 第105-106页 |
| ·可执行文件函数调用流图分析算法 | 第106-107页 |
| ·系统调用流图特征提取和分析算法 | 第107-108页 |
| ·系统调用流图中相似性度量 | 第108-109页 |
| ·实验结果分析 | 第109-113页 |
| ·实验设置 | 第109-110页 |
| ·实验结果 | 第110-111页 |
| ·分析和不足 | 第111-113页 |
| ·相关工作比较 | 第113页 |
| ·总结和展望 | 第113-114页 |
| 第5章 多线程程序时序分析的隐Markov模型 | 第114-130页 |
| ·概述 | 第114-115页 |
| ·数据竞争程序实例和分析过程 | 第115-117页 |
| ·示例程序 | 第115-116页 |
| ·线程数据竞争时序图 | 第116-117页 |
| ·多线程程序时序影响因素分析 | 第117-119页 |
| ·时序因素分析 | 第117-118页 |
| ·进一步分析 | 第118-119页 |
| ·多线程程序实验结果分析 | 第119-121页 |
| ·优先级别影响的运行时序分布 | 第119-120页 |
| ·系统负载影响的运行时序分布 | 第120页 |
| ·系统运行时间影响的运行时序分布 | 第120-121页 |
| ·数据结果的分析和比较 | 第121页 |
| ·多线程程序时序分析的隐Markov模型 | 第121-124页 |
| ·隐Markov模型建立 | 第121-122页 |
| ·可见符号的模糊化过程 | 第122-123页 |
| ·HMM模型λ计算 | 第123-124页 |
| ·实验结果仿真 | 第124-128页 |
| ·两个线程程序仿真结果 | 第124-127页 |
| ·对n个线程的推广和不足之处 | 第127-128页 |
| ·相关工作 | 第128页 |
| ·结论 | 第128-130页 |
| 第6章 全文总结 | 第130-134页 |
| ·论文工作总结 | 第130-132页 |
| ·进一步的工作 | 第132-134页 |
| 参考文献 | 第134-146页 |
| 附录 Shellcode代码示例程序 | 第146-150页 |
| 在论文研究期间撰写的学术论文 | 第150-151页 |
| 在论文研究期间参与的科研项目 | 第151-152页 |
| 致谢 | 第152-154页 |
