文摘
英文文摘
论文说明:图表目录
声明
第1章绪论
1.1 恶意代码检测技术简介
1.1.1 什么是恶意代码?
1.1.2 恶意代码检测技术简介
1.1.3 代码分析技术
1.1.4 恶意代码反检测技术
1.2 统计机器学习相关技术简介
1.2.1 核心思想
1.2.2 概率图模型简介
1.2.3 常用模型简介
1.3 本论文工作
1.3.1 研究问题
1.3.2 问题细化
1.3.3 本文研究内容和创新点
1.3.4 本论文的组织结构和我们的工作
第2章结合语义的多态蠕虫签名提取算法
2.1 概述
2.2 对签名提取技术的攻击
2.2.1 规避检测的技术
2.2.2 误导签名产生的技术
2.3 我们的方法
2.3.1 为什么STG签名有用?
2.3.2 系统架构
2.3.3 反汇编模块算法
2.3.4 有效指令提取算法
2.3.5 负载聚类算法
2.3.6 STG签名产生算法
2.3.7 STG签名匹配算法
2.4 安全分析
2.4.1 优势
2.4.2 限制性
2.5 实验评估
2.5.1 与Polygraph和Hamsa的比较
2.5.2 每个多态引擎的评估
2.5.3 性能评估
2.6 相关工作
2.6.1 基于模式的签名提取
2.6.2 语义分析
2.7 结论
第3章体现语义的的多态shellcode归属性分析
3.1 概述
3.2 多态shellcode检测方法概述
3.2.1 背景介绍
3.2.2 针对Windows操作系统Shellcode检测思想概述
3.2.3 基于启发式规则的Windows Shellcode检测策略
3.2.4 讨论部分
3.3 预备知识:污点分析算法
3.3.1 污点分析算法概述
3.3.2 动态污点分析算法
3.3.3 静态污点分析算法
3.3.4 污点分析算法的优点和挑战
3.4 问题定义(Problem Formalization)
3.5 我们的解决方案
3.5.1 方法概述
3.5.2 混合Markov模型的建立
3.5.3 混合Markov模型的求解
3.6 实验及结果分析
3.6.1 准确率检测
3.6.2 性能分析
3.7 工作进一步改进
3.7.1 改进思路1
3.7.2 改进思路2
3.8 本章小结
第4章提升多维特征检测迷惑恶意代码
4.1 概述
4.2 预备知识
4.2.1 迷惑恶意代码定义和检测标准
4.2.2 N-perm算法
4.3 迷惑恶意代码检测原理
4.3.1 检测系统架构
4.3.2 待检测迷惑代码分析流程
4.4 特征提取和检测中的核心算法
4.4.1 n-perm特征提取和检测算法
4.4.2 n-perm算法抗攻击性分析
4.4.3 可执行文件函数调用流图分析算法
4.4.4 系统调用流图特征提取和分析算法
4.4.5 系统调用流图中相似性度量
4.5 实验结果分析
4.5.1 实验设置
4.5.2 实验结果
4.5.3 分析和不足
4.6 相关工作比较
4.7 总结和展望
第5章多线程程序时序分析的隐Markov模型
5.1 概述
5.2 数据竞争程序实例和分析过程
5.2.1 示例程序
5.2.2 线程数据竞争时序图
5.3 多线程程序时序影响因素分析
5.3.1 时序因素分析
5.3.2 进一步分析
5.4 多线程程序实验结果分析
5.4.1 优先级别影响的运行时序分布
5.4.2 系统负载影响的运行时序分布
5.4.3 系统运行时间影响的运行时序分布
5.4.4 数据结果的分析和比较
5.5 多线程程序时序分析的隐Markov模型
5.5.1 隐Markov模型建立
5.5.2 可见符号的模糊化过程
5.5.3 HMM模型λ计算
5.6 实验结果仿真
5.6.1 两个线程程序仿真结果
5.6.2 对n个线程的推广和不足之处
5.7 相关工作
5.8 结论
第6章全文总结
6.1 论文工作总结
6.2 进一步的工作
参考文献
附录Shellcode代码示例程序
在论文研究期间撰写的学术论文\参与的科研项目
致谢