目錄
《信息科學(xué)技術(shù)學(xué)術(shù)著作叢書》序
前言
第1章 二進(jìn)制可執(zhí)行文件簡介 1
1.1 Windows PE文件 1
1.1.1 PE文件結(jié)構(gòu) 1
1.1.2 PE文件頭結(jié)構(gòu) 3
1.1.3 PE導(dǎo)入表 6
1.1.4 PE資源表 7
1.1.5 PE地址變換 10
1.1.6 PE重定位機(jī)制 10
1.1.7 PE文件變形機(jī)制 12
1.2 Linux ELF文件 14
1.2.1 ELF結(jié)構(gòu) 14
1.2.2 ELF頭結(jié)構(gòu) 15
1.2.3 ELF節(jié)區(qū) 16
1.2.4 ELF字符串表 17
1.2.5 ELF符號表 18
1.2.6 ELF重定位機(jī)制 19
1.2.7 ELF動(dòng)態(tài)鏈接機(jī)制 20
1.3 Android DEX文件 21
1.3.1 Android系統(tǒng)結(jié)構(gòu) 22
1.3.2 Android DEX結(jié)構(gòu) 25
1.3.3 Android ODEX結(jié)構(gòu) 27
1.3.4 Android權(quán)限機(jī)制 27
參考文獻(xiàn) 29
第2章 惡意軟件檢測基礎(chǔ) 30
2.1 惡意軟件抽象理論 30
2.2 機(jī)器學(xué)習(xí)基礎(chǔ) 34
2.2.1 機(jī)器學(xué)習(xí)簡介 34
2.2.2 分類算法 36
2.2.3 集成學(xué)習(xí) 38
2.2.4 特征選擇與特征提取 43
2.2.5 性能評價(jià) 44
2.2.6 WEKA簡介 46
2.3 本章小結(jié) 47
參考文獻(xiàn) 48
第3章 加殼技術(shù)研究 50
3.1 引言 50
3.2 加殼原理 51
3.2.1 ELF文件的加載過程 51
3.2.2 加殼的方式 53
3.2.3 用戶空間下加載器的設(shè)計(jì) 56
3.3 反跟蹤技術(shù) 58
3.3.1 反調(diào)試技術(shù) 58
3.3.2 代碼混淆技術(shù) 61
3.3.3 抗反匯編技術(shù) 63
3.4 本章小結(jié) 65
參考文獻(xiàn) 66
第4章 加殼檢測研究 67
4.1 引言 67
4.2 加殼檢測常用方法 68
4.2.1 研究現(xiàn)狀 68
4.2.2 常用方法歸納 69
4.3 基于機(jī)器學(xué)習(xí)的加殼檢測框架 78
4.4 PE文件加殼檢測 81
4.4.1 PE文件特征提取 81
4.4.2 PE加殼檢測實(shí)驗(yàn)及分析 83
4.5 ELF文件加殼檢測 84
4.5.1 ELF文件特征提取 84
4.5.2 ELF加殼檢測實(shí)驗(yàn)及分析 85
4.6 本章小結(jié) 85
參考文獻(xiàn) 86
第5章 基于函數(shù)調(diào)用圖簽名的惡意軟件檢測方法 87
5.1 引言 87
5.2 相關(guān)工作 88
5.3 定義 91
5.4 圖同構(gòu)算法 93
5.4.1 基于矩陣變換的圖同構(gòu)算法 93
5.4.2 Ullmann圖同構(gòu)算法 94
5.4.3 VF2圖同構(gòu)算法 95
5.4.4 FCGiso圖同構(gòu)算法 96
5.5 檢測方法框架 97
5.5.1 檢測方法概覽 97
5.5.2 檢測方法詳細(xì)描述 98
5.6 實(shí)驗(yàn) 100
5.6.1 已知惡意軟件檢測 101
5.6.2 加殼變種檢測 104
5.6.3 惡意軟件變種檢測 105
5.6.4 惡意軟件大樣本歸類 106
5.6.5 與圖編輯距離方法的對比 107
5.7 實(shí)驗(yàn)結(jié)果與分析 109
5.8 本章小結(jié) 111
參考文獻(xiàn) 111
第6章 基于挖掘格式信息的惡意軟件檢測方法 114
6.1 引言 114
6.2 相關(guān)工作 116
6.3 檢測架構(gòu) 118
6.4 實(shí)驗(yàn) 119
6.4.1 實(shí)驗(yàn)樣本 119
6.4.2 特征提取 119
6.4.3 特征選擇 120
6.4.4 分類學(xué)習(xí) 121
6.5 實(shí)驗(yàn)結(jié)果與分析 121
6.5.1 實(shí)驗(yàn)1結(jié)果 121
6.5.2 實(shí)驗(yàn)2結(jié)果 121
6.5.3 結(jié)果分析 122
6.5.4 特征分析 123
6.6 基于ELF格式結(jié)構(gòu)信息的惡意軟件檢測方法 126
6.6.1 實(shí)驗(yàn)樣本 127
6.6.2 提取特征 127
6.6.3 特征選擇 128
6.6.4 實(shí)驗(yàn)結(jié)果 129
6.7 與現(xiàn)有靜態(tài)方法對比 130
6.8 本章小結(jié) 131
參考文獻(xiàn) 132
第7章 基于控制流結(jié)構(gòu)體的惡意軟件檢測方法 133
7.1 引言 133
7.2 相關(guān)工作 134
7.3 操作碼序列構(gòu)造原理 135
7.3.1 操作碼信息描述 136
7.3.2 操作碼序列劃分 137
7.4 特征選 擇140
7.5 惡意軟件檢測模型 143
7.6 實(shí)驗(yàn)結(jié)果與分析 145
7.6.1 實(shí)驗(yàn)環(huán)境介紹 145
7.6.2 特征數(shù)量比較 146
7.6.3 惡意軟件檢測性能比較 147
7.7 本章小結(jié) 150
參考文獻(xiàn) 151
第8章 基于控制流圖特征的惡意軟件檢測方法 152
8.1 引言 152
8.2 相關(guān)工作 152
8.3 軟件控制流圖 153
8.3.1 基于單條指令的控制流圖 154
8.3.2 基于指令序列的控制流圖 155
8.3.3 基于函數(shù)的控制流圖 155
8.3.4 基于系統(tǒng)調(diào)用的控制流圖 156
8.4 基于函數(shù)調(diào)用圖的軟件特征 157
8.4.1 函數(shù)調(diào)用圖構(gòu)造 157
8.4.2 特征選擇 158
8.4.3 特征分析 162
8.5 語義特征和語法特征的比較 163
8.6 實(shí)驗(yàn)結(jié)果與分析 164
8.6.1 函數(shù)調(diào)用圖中軟件特征評價(jià) 165
8.6.2 分類器交叉驗(yàn)證 166
8.6.3 獨(dú)立驗(yàn)證 167
8.7 本章小結(jié) 169
參考文獻(xiàn) 170
第9章 軟件局部惡意代碼識別研究 172
9.1 引言 172
9.2 相關(guān)工作 173
9.3 惡意代碼感染技術(shù) 175
9.3.1 修改程序控制流 175
9.3.2 惡意注入代碼存儲位置 177
9.4 惡意代碼段識別 178
9.4.1 控制流結(jié)構(gòu)異常表現(xiàn) 179
9.4.2 控制流基本結(jié)構(gòu)BasicBlock識別 179
9.4.3 BasicBlock之間的聯(lián)系 182
9.4.4 控制流基本結(jié)構(gòu)合并 184
9.4.5 惡意代碼邊界識別 185
9.5 實(shí)驗(yàn)結(jié)果與分析 186
9.5.1 添加代碼型感染方式的檢測 187
9.5.2 覆蓋代碼型感染方式的檢測 187
9.6 本章小結(jié) 189
參考文獻(xiàn) 190
第10章 基于多視集成學(xué)習(xí)的惡意軟件檢測方法 191
10.1 引言 191
10.2 相關(guān)工作 192
10.3 實(shí)驗(yàn)概覽 195
10.4 實(shí)驗(yàn)與結(jié)果 195
10.4.1 實(shí)驗(yàn)樣本 195
10.4.2 單視特征提取 196
10.4.3 集成方案一 203
10.4.4 集成方案二 205
10.4.5 泛化性能對比 207
10.5 實(shí)驗(yàn)結(jié)果對比分析 209
10.6 本章小結(jié) 211
參考文獻(xiàn) 212
第11章 基于動(dòng)態(tài)變長Native API序列的惡意軟件檢測方法 214
11.1 引言 214
11.2 相關(guān)工作 215
11.3 Win32 API調(diào)用機(jī)制 219
11.4 檢測方法架構(gòu) 220
11.5 實(shí)驗(yàn) 221
11.5.1 實(shí)驗(yàn)樣本 221
11.5.2 分析平臺搭建 221
11.5.3 特征提取和選擇 225
11.5.4 分類 226
11.6 實(shí)驗(yàn)結(jié)果與分析 226
11.6.1 實(shí)驗(yàn)結(jié)果分析 226
11.6.2 特征分析 229
11.7 本章小結(jié) 232
參考文獻(xiàn) 233
第12章 基于多特征的移動(dòng)設(shè)備惡意代碼檢測方法 235
12.1 引言 235
12.2 相關(guān)工作 236
12.3 檢測模型設(shè)計(jì) 237
12.3.1 檢測模型整體框架 237
12.3.2 惡意代碼特征提取 238
12.4 實(shí)驗(yàn)與分析 240
12.4.1 實(shí)驗(yàn)樣本準(zhǔn)備 240
12.4.2 實(shí)驗(yàn)主要算法 240
12.4.3 實(shí)驗(yàn)結(jié)果分析 242
12.4.4 實(shí)驗(yàn)結(jié)論 243
12.5 本章小結(jié) 244
參考文獻(xiàn) 244
第13章 基于實(shí)際使用的權(quán)限組合與系統(tǒng)API的惡意軟件檢測方法 246
13.1 引言 246
13.2 相關(guān)工作 247
13.3 檢測架構(gòu) 248
13.3.1 權(quán)限組合特征提取 249
13.3.2 系統(tǒng)API特征提取 252
13.4 實(shí)驗(yàn)與分析 253
13.4.1 實(shí)驗(yàn)樣本 253
13.4.2 實(shí)驗(yàn)環(huán)境 254
13.4.3 實(shí)驗(yàn)結(jié)果與分析 254
13.4.4 檢測方法對比 257
13.5 本章小結(jié) 260
參考文獻(xiàn) 260
第14章 基于敏感權(quán)限及其函數(shù)調(diào)用圖的惡意軟件檢測方法 262
14.1 引言 262
14.2 相關(guān)工作 263
14.3 檢測架構(gòu) 264
14.3.1 提取敏感權(quán)限 265
14.3.2 構(gòu)建函數(shù)調(diào)用圖 266
14.3.3 圖編輯距離算法 269
14.4 實(shí)驗(yàn)與分析 271
14.4.1 實(shí)驗(yàn)樣本 271
14.4.2 實(shí)驗(yàn)環(huán)境 271
14.4.3 實(shí)驗(yàn)結(jié)果與分析 272
14.4.4 檢測方法對比 274
14.5 本章小結(jié) 275
參考文獻(xiàn) 276
第15章 基于頻繁子圖挖掘的異常入侵檢測新方法 277
15.1 引言 277
15.2 相關(guān)工作 279
15.3 基本思想及檢測模型 281
15.4 特征模式構(gòu)造算法 282
15.4.1 相關(guān)概念與定義 282
15.4.2 數(shù)據(jù)預(yù)處理 283
15.4.3 子圖特征值設(shè)定 285
15.4.4 子圖擴(kuò)展與剪枝 285
15.4.5 PatternsMining算法實(shí)現(xiàn) 286
15.5 實(shí)驗(yàn)數(shù)據(jù)描述 290
15.6 實(shí)驗(yàn)結(jié)果與分析 290
15.7 本章小結(jié) 293
參考文獻(xiàn) 294