恶意软件分析与检测

图书标准信息

• 作者 王俊峰 著
• 出版社 科学出版社
• 出版时间 2017-03
• 版次 01
• ISBN 9787030513007
• 定价 98.00元
• 装帧 平装
• 开本 32开
• 页数 312页
• 字数 390千字
• 正文语种 简体中文

【内容简介】

伴随恶意代码种类和数量的不断增加，对恶意代码分析方法提出更高要求，在传统的特征码检测方法与启发式检测方法存在样本分析成本过高、无法有效检测未知恶意软件等问题；新型基于机器学习的恶意软件检测方法能够提高分析效率以及改善未知恶意软件检测性能，但存在软件特征语义信息不明显、特征数量庞大以及检测模型过度依赖训练样本等缺点。另一方面，对于感染后宿主软件中恶意注入代码的局部识别方面，现有技术有较高的恶意代码分析成本，且无法对未知感染的结果进行有效识别。本文重点以各类操作系统可执行代码为研究对象，提出的新方法能够在一定程度上解决恶意代码分析中所需要的通用化要求，为降低恶意代码分析成本、提高分析效率以及应对未知恶意代码提供新的解决方案。

【目录】

《信息科学技术学术著作丛书》序

前言

章 二进制可执行文件简介 1

1.1 windows pe文件 1

1.1.1 pe文件结构 1

1.1.2 pe文件头结构 3

1.1.3 pe导入表 6

1.1.4 pe资源表 7

1.1.5 pe地址变换 10

1.1.6 pe重定位机制 10

1.1.7 pe文件变形机制 12

1.2 linux elf文件 14

1.2.1 elf结构 14

1.2.2 elf头结构 15

1.2.3 elf节区 16

1.2.4 elf字符串表 17

1.2.5 elf符号表 18

1.2.6 elf重定位机制 19

1.2.7 elf动态机制 20

1.3 android dex文件 21

1.3.1 android系统结构 22

1.3.2 android dex结构 25

1.3.3 android odex结构 27

1.3.4 android权限机制 27

参文献 29

第2章 恶意软件检测基础 30

2.1 恶意软件抽象理论 30

2.2 机器学基础 34

2.2.1 机器学简介 34

2.2.2 分类算 36

2.2.3 集成学 38

2.2.4 特征选择与特征提取 43

2.2.5 能评价 44

2.2.6 weka简介 46

2.3 本章小结 47

参文献 48

第3章 加壳技术研究 50

3.1 引言 50

3.2 加壳 51

3.2.1 elf文件的加载过程 51

3.2.2 加壳的方式 53

3.2.3 用户空间下加载器的设计 56

3.3 反跟踪技术 58

3.3.1 反调试技术 58

3.3.2 代码混淆技术 61

3.3.3 抗反汇编技术 63

3.4 本章小结 65

参文献 66

第4章 加壳检测研究 67

4.1 引言 67

4.2 加壳检测常用方 68

4.2.1 研究现状 68

4.2.2 常用方归纳 69

4.3 基于机器学的加壳检测框架 78

4.4 pe文件加壳检测 81

4.4.1 pe文件特征提取 81

4.4.2 pe加壳检测实验及分析 83

4.5 elf文件加壳检测 84

4.5.1 elf文件特征提取 84

4.5.2 elf加壳检测实验及分析 85

4.6 本章小结 85

参文献 86

第5章 基于函数调用图的恶意软件检测方 87

5.1 引言 87

5.2 相关工作 88

5.3 定义 91

5.4 图同构算 93

5.4.1 基于矩阵变换的图同构算 93

5.4.2 ullmann图同构算 94

5.4.3 vf2图同构算 95

5.4.4 fcgiso图同构算 96

5.5 检测方框架 97

5.5.1 检测方概览 97

5.5.2 检测方详细描述 98

5.6 实验 100

5.6.1 已知恶意软件检测 101

5.6.2 加壳变种检测 104

5.6.3 恶意软件变种检测 105

5.6.4 恶意软件大样本归类 106

5.6.5 与图编辑距离方的对比 107

5.7 实验结果与分析 109

5.8 本章小结 111

参文献 111

第6章 基于挖掘格式信息的恶意软件检测方 114

6.1 引言 114

6.2 相关工作 116

6.3 检测架构 118

6.4 实验 119

6.4.1 实验样本 119

6.4.2 特征提取 119

6.4.3 特征选择 120

6.4.4 分类学 121

6.5 实验结果与分析 121

6.5.1 实验1结果 121

6.5.2 实验2结果 121

6.5.3 结果分析 122

6.5.4 特征分析 123

6.6 基于elf格式结构信息的恶意软件检测方 126

6.6.1 实验样本 127

6.6.2 提取特征 127

6.6.3 特征选择 128

6.6.4 实验结果 129

6.7 与现有静态方对比 130

6.8 本章小结 131

参文献 132

第7章 基于控制流结构体的恶意软件检测方 133

7.1 引言 133

7.2 相关工作 134

7.3 作码序列构造 135

7.3.1 作码信息描述 136

7.3.2 作码序列划分 137

7.4 特征选 择140

7.5 恶意软件检测模型 143

7.6 实验结果与分析 145

7.6.1 实验环境介绍 145

7.6.2 特征数量比较 146

7.6.3 恶意软件检测能比较 147

7.7 本章小结 150

参文献 151

第8章 基于控制流图特征的恶意软件检测方 152

8.1 引言 152

8.2 相关工作 152

8.3 软件控制流图 153

8.3.1 基于单条指令的控制流图 154

8.3.2 基于指令序列的控制流图 155

8.3.3 基于函数的控制流图 155

8.3.4 基于系统调用的控制流图 156

8.4 基于函数调用图的软件特征 157

8.4.1 函数调用图构造 157

8.4.2 特征选择 158

8.4.3 特征分析 162

8.5 语义特征和语特征的比较 163

8.6 实验结果与分析 164

8.6.1 函数调用图中软件特征评价 165

8.6.2 分类器交验证 166

8.6.3 独立验证 167

8.7 本章小结 169

参文献 170

第9章 软件局部恶意代码识别研究 172

9.1 引言 172

9.2 相关工作 173

9.3 恶意代码感染技术 175

9.3.1 修改程序控制流 175

9.3.2 恶意注入代码存储位置 177

9.4 恶意代码段识别 178

9.4.1 控制流结构异常表现 179

9.4.2 控制流基本结构basicblock识别 179

9.4.3 basicblock之间的联系 182

9.4.4 控制流基本结构合并 184

9.4.5 恶意代码边界识别 185

9.5 实验结果与分析 186

9.5.1 添加代码型感染方式的检测 187

9.5.2 覆盖代码型感染方式的检测 187

9.6 本章小结 189

参文献 190

0章 基于多视集成学的恶意软件检测方 191

10.1 引言 191

10.2 相关工作 192

10.3 实验概览 195

10.4 实验与结果 195

10.4.1 实验样本 195

10.4.2 单视特征提取 196

10.4.3 集成方案一 203

10.4.4 集成方案二 205

10.4.5 泛化能对比 207

10.5 实验结果对比分析 209

10.6 本章小结 211

参文献 212

1章 基于动态变长native api序列的恶意软件检测方 214

11.1 引言 214

11.2 相关工作 215

11.3 win32 api调用机制 219

11.4 检测方架构 220

11.5 实验 221

11.5.1 实验样本 221

11.5.2 分析台搭建 221

11.5.3 特征提取和选择 225

11.5.4 分类 226

11.6 实验结果与分析 226

11.6.1 实验结果分析 226

11.6.2 特征分析 229

11.7 本章小结 232

参文献 233

2章 基于多特征的移动设备恶意代码检测方 235

12.1 引言 235

12.2 相关工作 236

12.3 检测模型设计 237

12.3.1 检测模型整体框架 237

12.3.2 恶意代码特征提取 238

12.4 实验与分析 240

12.4.1 实验样本准备 240

12.4.2 实验主要算 240

12.4.3 实验结果分析 242

12.4.4 实验结论 243

12.5 本章小结 244

参文献 244

3章 基于实际使用的权限组合与系统api的恶意软件检测方 246

13.1 引言 246

13.2 相关工作 247

13.3 检测架构 248

13.3.1 权限组合特征提取 249

13.3.2 系统api特征提取 252

13.4 实验与分析 253

13.4.1 实验样本 253

13.4.2 实验环境 254

13.4.3 实验结果与分析 254

13.4.4 检测方对比 257

13.5 本章小结 260

参文献 260

4章 基于敏感权限及其函数调用图的恶意软件检测方 262

14.1 引言 262

14.2 相关工作 263

14.3 检测架构 264

14.3.1 提取敏感权限 265

14.3.2 构建函数调用图 266

14.3.3 图编辑距离算 269

14.4 实验与分析 271

14.4.1 实验样本 271

14.4.2 实验环境 271

14.4.3 实验结果与分析 272

14.4.4 检测方对比 274

14.5 本章小结 275

参文献 276

5章 基于频繁子图挖掘的异常入侵检测新方 277

15.1 引言 277

15.2 相关工作 279

15.3 基本思想及检测模型 281

15.4 特征模式构造算 282

15.4.1 相关概念与定义 282

15.4.2 数据预处理 283

15.4.3 子图特征值设定 285

15.4.4 子图扩展与剪枝 285

15.4.5 patternsmining算实现 286

15.5 实验数据描述 290

15.6 实验结果与分析 290

15.7 本章小结 293

参文献 294