摘要
第一章 绪论
1.1 研究背景
1.2 国内外研究现状
1.3 论文主要内容
1.4 本文的结构
第二章 相关技术分析
2.1 常用木马攻击技术
2.1.1 木马植入技术
2.1.2 通信隐藏技术
2.1.3 自启动技术
2.2 木马检测关键技术分类
2.2.1 特征码检测技术
2.2.2 虚拟机技术
2.2.3 实时监控技术
2.2.4 行为分析技术
2.2.5 沙箱技术
2.3 木马行为分析技术
2.3.1 行为分析技术在木马检测中的原理
2.3.2 行为分析特点
2.3.3 木马行为特征分析
2.4 相关算法介绍
2.5 本章小结
第三章 扩展攻击树模型的构建
3.1 攻击树概要
3.2 扩展攻击树模型的构建
3.2.1 扩展攻击树模型的提出
3.2.2 PE文件特征提取
3.2.3 原始扩展攻击树的构建方法
3.3 扩展攻击树模型定义
3.4 本章小结
第四章 基于扩展攻击树模型的木马检测方法
4.1 扩展攻击树的匹配
4.1.1 待检测程序API短序列提取
4.1.2 攻击子树的匹配与生成
4.2 算法研究与实例分析
4.2.1 改进危险指数算法
4.2.2 实例分析
4.3 动态调整扩展攻击树方法
4.4 静态检测木马程序的实验与测试
4.4.1 测量指标定义与阀值确定
4.4.2 静态检测实验与结果
4.5 本章小结
第五章 基于沙箱的木马检测系统设计与实现
5.1 系统设计要求
5.2 系统设计方案
5.3 系统执行流程
5.4 沙箱关键技术研究
5.4.1 API HOOK技术
5.4.2 重定向技术和虚拟执行技术
5.5 基于内核级API HOOK的木马行为监控技术
5.6 基于沙箱的木马检测实验与测试
5.6.1 系统实现环境
5.6.2 系统行为监控界面
5.6.3 动态检测实验与结果
5.7 本章小结
总结与展望
参考文献
攻读硕士学位期间发表的论文及著作权
声明
致谢