| 摘要 | 第9-12页 |
| ABSTRACT | 第12-14页 |
| 第一章 绪论 | 第15-27页 |
| 1.1 问题背景 | 第15-22页 |
| 1.1.1 网络恶意代码及其主要特点 | 第17-18页 |
| 1.1.2 网络恶意代码的主要防护方法 | 第18-21页 |
| 1.1.3 网络恶意代码防护面临的主要技术挑战 | 第21-22页 |
| 1.2 本文主要研究内容和贡献 | 第22-24页 |
| 1.3 本文的组织结构 | 第24-27页 |
| 第二章 相关研究工作 | 第27-43页 |
| 2.1 恶意代码相关术语 | 第27-29页 |
| 2.2 恶意代码检测特征表示方法 | 第29-32页 |
| 2.2.1 基于句法的字节特征表示 | 第29-30页 |
| 2.2.2 基于行为的特征表示 | 第30-32页 |
| 2.3 分布式数据共享相关技术 | 第32-35页 |
| 2.3.1 基于应用层组播技术的分布式数据共享 | 第32-33页 |
| 2.3.2 基于DHT技术的分布式数据共享 | 第33-35页 |
| 2.4 网络恶意代码协同识别相关技术 | 第35-38页 |
| 2.4.1 入侵检测报警融合的相关研究 | 第35-37页 |
| 2.4.2 基于协同方式识别网络恶意代码的相关研究 | 第37-38页 |
| 2.5 恶意代码特征自动提取相关技术 | 第38-41页 |
| 2.5.1 句法字节特征提取相关技术 | 第38-39页 |
| 2.5.2 行为特征提取相关技术 | 第39-41页 |
| 2.6 本章小结 | 第41-43页 |
| 第三章 基于资源操作约束的恶意代码行为特征描述机制 | 第43-65页 |
| 3.1 行为图特征分析及存在的问题 | 第45-47页 |
| 3.2 基于资源操作约束的恶意代码行为特征描述机制RRMBR | 第47-48页 |
| 3.3 RRMBR行为特征提取系统 | 第48-59页 |
| 3.3.1 RRMBR行为特征提取系统的整体框架 | 第49-50页 |
| 3.3.2 资源区分方案 | 第50-53页 |
| 3.3.3 迭代序列联配 | 第53-57页 |
| 3.3.4 回溯精化 | 第57-59页 |
| 3.4 实验与评估 | 第59-63页 |
| 3.4.1 实验数据来源 | 第59-61页 |
| 3.4.2 性能评估 | 第61-62页 |
| 3.4.3 与行为图比较检测效果和匹配时间 | 第62-63页 |
| 3.5 本章小结 | 第63-65页 |
| 第四章 基于DHT汇聚点的全局属性统计与共享结构 | 第65-77页 |
| 4.1 RRMBR行为片段定义 | 第66-67页 |
| 4.2 协同共享结构Ren Share的基本框架与原理 | 第67-70页 |
| 4.3 协同共享结构Ren Share发布返回改进机制 | 第70-73页 |
| 4.4 协同共享结构Ren Share的性能评估 | 第73-76页 |
| 4.4.1 实验设置 | 第74页 |
| 4.4.2 与应用层组播通信开销比较 | 第74-75页 |
| 4.4.3 Ren Share发布返回改进机制性能评估 | 第75-76页 |
| 4.5 本章小结 | 第76-77页 |
| 第五章 主机与网络协作的网络恶意代码协同识别方法 | 第77-99页 |
| 5.1 系统概览 | 第78-80页 |
| 5.2 可疑程序发现守护程序 | 第80-82页 |
| 5.3 系统调用序列RRMBR行为表示 | 第82-84页 |
| 5.3.1 同社团可疑程序聚类 | 第83页 |
| 5.3.2 提取共同的本地RRMBR行为 | 第83-84页 |
| 5.4 基于Ren Share共享获得行为片段的全局网络分布统计 | 第84-88页 |
| 5.4.1 集合的LOGLOG表示 | 第85-86页 |
| 5.4.2 行为片段本地网络分布计算 | 第86页 |
| 5.4.3 行为片段全局网络分布计算 | 第86-88页 |
| 5.5 基于行为片段的全局网络分布统计识别恶意程序 | 第88-93页 |
| 5.5.1 LOGLOG表示的融合估算操作 | 第90-91页 |
| 5.5.2 恶意程序识别 | 第91-93页 |
| 5.6 实验与评估 | 第93-97页 |
| 5.6.1 与隔离检测引擎系统比较 | 第94页 |
| 5.6.2 与已有的分布式恶意代码识别系统比较 | 第94-97页 |
| 5.7 本章小结 | 第97-99页 |
| 第六章 全局融合的网络恶意代码行为特征协同提取方法 | 第99-109页 |
| 6.1 基于Cross-Association的恶意程序本地聚类 | 第99-103页 |
| 6.1.1 构造恶意程序行为片段哈希矩阵 | 第99-100页 |
| 6.1.2 基于Cross-Association的矩阵聚类原理 | 第100-103页 |
| 6.2 本地行为特征提取 | 第103页 |
| 6.3 本地行为特征全局融合 | 第103-106页 |
| 6.3.1 获得本地行为特征的远端邻居检测引擎节点集 | 第104-105页 |
| 6.3.2 在行为本地特征间构建分布式生成树 | 第105-106页 |
| 6.4 实验与评估 | 第106-109页 |
| 6.4.1 实验设置 | 第107-109页 |
| 第七章 总结与展望 | 第109-113页 |
| 7.1 论文总结 | 第109-111页 |
| 7.2 未来工作展望 | 第111-113页 |
| 致谢 | 第113-115页 |
| 参考文献 | 第115-127页 |
| 作者在学期间取得的学术成果 | 第127-129页 |
| 发表的学术论文 | 第127-128页 |
| 申请的国家专利 | 第128-129页 |
| 攻读博士学位期间参加的主要科研工作 | 第129页 |
