内容简介
伴随恶意代码种类和数量的不断增加,对恶意代码分析方法提出更高要求,在传统的特征码检测方法与启发式检测方法存在样本分析成本过高、无法有效检测未知恶意软件等问题;新型基于机器学习的恶意软件检测方法能够提高分析效率以及改善未知恶意软件检测性能,但存在软件特征语义信息不明显、特征数量庞大以及检测模型过度依赖训练样本等缺点。另一方面,对于感染后宿主软件中恶意注入代码的局部识别方面,现有技术有较高的恶意代码分析成本,且无法对未知感染的结果进行有效识别。本文重点以各类操作系统可执行代码为研究对象,提出的新方法能够在一定程度上解决恶意代码分析中所需要的通用化要求,为降低恶意代码分析成本、提高分析效率以及应对未知恶意代码提供新的解决方案。
目录
《信息科学技术学术著作丛书》序
前言
第1章 二进制可执行文件简介
1.1 Windows PE文件
1.1.1 PE文件结构
1.1.2 PE文件头结构
1.1.3 PE导入表
1.1.4 PE资源表
1.1.5 PE地址变换
1.1.6 PE重定位机制
1.1.7 PE文件变形机制
1.2 Linux ELF文件
1.2.1 ELF结构
1.2.2 ELF头结构
1.2.3 ELF节区
1.2.4 ELF字符串表
1.2.5 ELF符号表
1.2.6 ELF重定位机制
1.2.7 ELF动态链接机制
1.3 Android DEX文件
1.3.1 Android系统结构
1.3.2 Android DEX结构
1.3.3 Android ODEX结构
1.3.4 Android权限机制
参考文献
第2章 恶意软件检测基础
2.1 恶意软件抽象理论
2.2 机器学习基础
2.2.1 机器学习简介
2.2.2 分类算法
2.2.3 集成学习
2.2.4 特征选择与特征提取
2.2.5 性能评价
2.2.6 WEKA简介
2.3 本章小结
参考文献
第3章 加壳技术研究
3.1 引言
3.2 加壳原理
3.2.1 ELF文件的加载过程
3.2.2 加壳的方式
3.2.3 用户空间下加载器的设计
3.3 反跟踪技术
3.3.1 反调试技术
3.3.2 代码混淆技术
3.3.3 抗反汇编技术
3.4 本章小结
参考文献
第4章 加壳检测研究
4.1 引言
4.2 加壳检测常用方法
4.2.1 研究现状
4.2.2 常用方法归纳
4.3 基于机器学习的加壳检测框架
4.4 PE文件加壳检测
4.4.1 PE文件特征提取
4.4.2 PE加壳检测实验及分析
4.5 ELF文件加壳检测
4.5.1 ELF文件特征提取
4.5.2 ELF加壳检测实验及分析
4.6 本章小结
参考文献
第5章 基于函数调用图签名的恶意软件检测方法
5.1 引言
5.2 相关工作
5.3 定义
……
第6章 基于挖掘格式信息的恶意软件检测方法
第7章 基于控制流结构体的恶意软件检测方法
第8章 基于控制流图特征的恶意软件检测方法
第9章 软件局部恶意代码识别研究
第10章 基于多视集成学习的恶意软件检测方法
第11章 基于动态变长Native API序列的恶意软件检测方法
第12章 基于多特征的移动设备恶意代码检测方法
第13章 基于实际使用的权限组合与系统API的恶意软件检测方法
第14章 基于敏感权限及其函数调用图的恶意软件检测方法
第15章 基于频繁子图挖掘的异常入侵检测新方法
恶意软件分析与检测 电子书 下载 mobi epub pdf txt