信息系统恶意代码检测关键技术研究
| 摘要 | 第5-7页 |
| Abstract | 第7-8页 |
| 第1章 绪论 | 第13-25页 |
| 1.1 研究背景及意义 | 第13-15页 |
| 1.2 国内外研究现状 | 第15-22页 |
| 1.2.1 基于特征的检测技术 | 第15-17页 |
| 1.2.2 动态检测技术 | 第17-19页 |
| 1.2.3 蜜网检测系统 | 第19页 |
| 1.2.4 其他相关技术 | 第19-22页 |
| 1.3 论文的主要工作 | 第22-23页 |
| 1.4 论文的组织结构 | 第23-25页 |
| 第2章 恶意代码研究概述 | 第25-36页 |
| 2.1 恶意代码概述 | 第25-26页 |
| 2.2 恶意代码运行机理 | 第26-33页 |
| 2.2.1 病毒工作原理 | 第26-28页 |
| 2.2.2 木马运行机理 | 第28-29页 |
| 2.2.3 Rootkit运行机理 | 第29-31页 |
| 2.2.4 恶意代码传播特点 | 第31-33页 |
| 2.3 恶意代码攻击技术 | 第33页 |
| 2.4 恶意代码检测与分析 | 第33-35页 |
| 2.4.1 行为的检测 | 第33-34页 |
| 2.4.2 服务监控 | 第34页 |
| 2.4.3 通讯检测 | 第34-35页 |
| 2.5 恶意代码自我保护技术 | 第35页 |
| 2.6 本章小结 | 第35-36页 |
| 第3章 基于隐马尔科夫模型的恶意代码检测方法 | 第36-52页 |
| 3.1 马尔科夫模型的基本概念 | 第36-38页 |
| 3.2 行为的恶意度测算方法 | 第38-39页 |
| 3.3 算法优化策略与分析 | 第39-41页 |
| 3.4 检测流程的设计与分析 | 第41-43页 |
| 3.5 实验验证与分析 | 第43-51页 |
| 3.5.1 模型性能测试与分析 | 第44-45页 |
| 3.5.2 Rootkit代码测试 | 第45-48页 |
| 3.5.3 信息系统应用测试 | 第48-51页 |
| 3.6 本章小结 | 第51-52页 |
| 第4章 基于启发式特征的恶意代码检测技术 | 第52-79页 |
| 4.1 问题的提出 | 第52-53页 |
| 4.2 文件驱动过滤技术 | 第53-54页 |
| 4.3 启发式特征提取策略 | 第54-57页 |
| 4.3.1 基于贝叶斯后验概率的特征精简 | 第55-56页 |
| 4.3.2 基于SVM距离加权的特征分类 | 第56-57页 |
| 4.4 检测模型的设计与实现 | 第57-66页 |
| 4.4.1 模型体系结构设计 | 第57-58页 |
| 4.4.2 静态启发式检测模型 | 第58页 |
| 4.4.3 启发式检测引擎 | 第58-59页 |
| 4.4.4 检测规则定义 | 第59-62页 |
| 4.4.5 动态启发式检测模型 | 第62-66页 |
| 4.5 实验验证与分析 | 第66-78页 |
| 4.5.1 实验环境 | 第66-68页 |
| 4.5.2 分类算法K值的讨论 | 第68-70页 |
| 4.5.3 检测工具的对比分析 | 第70-71页 |
| 4.5.4 变形恶意代码的测试分析 | 第71-73页 |
| 4.5.5 信息系统应用测试 | 第73-74页 |
| 4.5.6 数字地图结构化文件测试 | 第74-78页 |
| 4.6 本章小结 | 第78-79页 |
| 第5章 基于主机的恶意代码检测技术 | 第79-99页 |
| 5.1 问题的提出 | 第79页 |
| 5.2 动态分析技术 | 第79-81页 |
| 5.3 基于层次树的疑似行为检测 | 第81-83页 |
| 5.3.1 层次树的定义 | 第81页 |
| 5.3.2 相似度计算 | 第81-82页 |
| 5.3.3 检测算法 | 第82-83页 |
| 5.4 基于主机的检测模型 | 第83-85页 |
| 5.5 实验分析与讨论 | 第85-98页 |
| 5.5.1 实验环境与设置 | 第85-87页 |
| 5.5.2 恶意文档结构分析 | 第87-92页 |
| 5.5.3 实验结果及分析 | 第92-95页 |
| 5.5.4 图片类恶意代码测试 | 第95-98页 |
| 5.6 本章小结 | 第98-99页 |
| 结论 | 第99-101页 |
| 参考文献 | 第101-111页 |
| 攻读博士学位期间发表的论文和取得的科研成果 | 第111-113页 |
| 致谢 | 第113页 |
