恶意代码演化与检测方法

第1章绪论1

1.1研究背景和意义1

1.2本书脉络及内容4

1.3本书组织结构10

第2章相关基础13

2.1引言13

2.2恶意代码的概念、类型和危害13

2.3PE文件基本结构15

2.4恶意代码动态分析环境——沙箱17

2.5恶意代码防御主要任务及常用分析方法24

2.6常用机器学习分类算法及评价指标25

2.7常用机器学习工具26

2.8小结27

第3章恶意代码检测领域研究综述28

3.1引言28

3.2基于机器学习的恶意代码检测基本过程28

3.3基于不同特征的恶意代码检测方法29

3.4基于不同分析环境的恶意代码检测方法46

3.5从不同角度开展恶意代码检测的选择49

3.6典型的恶意代码家族分类方法50

3.7恶意代码研究常用数据集51

3.8小结53

第4章恶意代码演化方式分析55

4.1引言55

4.2恶意代码演化模型56

4.3恶意代码主要的演化方式58

4.4恶意代码演化给检测工作带来的挑战71

4.5小结73

第5章基于综合画像的恶意代码检测及恶意性定位74

5.1引言74

5.2研究动机76

5.3设计总览77

5.4实现过程78

5.5评价84

5.6小结94

第6章基于动静态特征关联融合的恶意代码检测及恶意性解释95

6.1引言95

6.2研究动机96

6.3面临挑战97

6.4设计总览98

6.5实现过程100

6.6评价108

6.7小结123

第7章基于全局可视化和局部特征融合的恶意代码家族分类124

7.1引言124

7.2研究动机125

7.3设计总览126

7.4恶意代码可视化和分类128

7.5评价135

7.6小结145

第8章基于样本抽样和并行处理的恶意代码家族分类146

8.1引言146

8.2研究动机147

8.3设计总览149

8.4实现过程151

8.5评价156

8.6小结175

第9章基于攻击传播特征分析的恶意代码蠕虫同源检测176

9.1引言176

9.2研究动机177

9.3蠕虫特征工程分析178

9.4设计总览188

9.5实现过程195

9.6评价204

9.7小结207

第10章基于系统调用和本体论的APT恶意代码检测与认知208

10.1引言208

10.2研究动机209

10.3APTMalInsight设计214

10.4验证223

10.5小结245

第11章基于APT代码行为特征和YARA规则的APT攻击检测246

11.1引言246

11.2研究动机247

11.3设计总览248

11.4详细实现250

11.5评价262

11.6小结268

第12章本书总结及未来研究展望269

12.1本书主要工作及创新之处269

12.2未来研究展望273

参考文献275

支撑本书的主要学术成果295