声明
摘要
第1章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.2.1 基于特征的检测技术
1.2.2 动态检测技术
1.2.3 蜜网检测系统
1.2.4 其他相关技术
1.3 论文的主要工作
1.4 论文的组织结构
第2章 恶意代码研究概述
2.1 恶意代码概述
2.2 恶意代码运行机理
2.2.1 病毒工作原理
2.2.2 木马运行机理
2.2.3 Rootkit运行机理
2.2.4 恶意代码传播特点
2.3 恶意代码攻击技术
2.4 恶意代码检测与分析
2.4.1 行为的检测
2.4.2 服务监控
2.4.3 通讯检测
2.5 恶意代码自我保护技术
2.6 本章小结
第3章 基于隐马尔科夫模型的恶意代码检测方法
3.1 马尔科夫模型的基本概念
3.2 行为的恶意度测算方法
3.3 算法优化策略与分析
3.4 检测流程的设计与分析
3.5 实验验证与分析
3.5.1 模型性能测试与分析
3.5.2 Rootkit代码测试
3.5.3 信息系统应用测试
3.6 本章小结
第4章 基于启发式特征的恶意代码检测技术
4.1 问题的提出
4.2 文件驱动过滤技术
4.3 启发式特征提取策略
4.3.1 基于贝叶斯后验概率的特征精简
4.3.2 基于SVM距离加权的特征分类
4.4 检测模型的设计与实现
4.4.1 模型体系结构设计
4.4.2 静态启发式检测模型
4.4.3 启发式检测引擎
4.4.4 检测规则定义
4.4.5 动态启发式检测模型
4.5 实验验证与分析
4.5.1 实验环境
4.5.2 分类算法K值的讨论
4.5.3 检测工具的对比分析
4.5.4 变形恶意代码的测试分析
4.5.5 信息系统应用测试
4.5.6 数字地图结构化文件测试
4.6 本章小结
第5章 基于主机的恶意代码检测技术
5.1 问题的提出
5.2 动态分析技术
5.3 基于层次树的疑似行为检测
5.3.1 层次树的定义
5.3.2 相似度计算
5.3.3 检测算法
5.4 基于主机的检测模型
5.5 实验分析与讨论
5.5.1 实验环境与设置
5.5.2 恶意文档结构分析
5.5.3 实验结果及分析
5.5.4 图片类恶意代码测试
5.6 本章小结
结论
参考文献
攻读博士学位期间发表的论文和取得的科研成果
致谢
