1.3 本书组织结构

本书整体结构按照“提出问题→分析问题→解决问题→结论及展望”的脉络展开介绍和叙述，其各章内容安排及章节关系如图1-11所示。

具体章节内容组织如下：

第1章 绪论 介绍了论文的研究背景，指出当前网络空间环境下开展恶意代码检测研究工作的重要意义。

第2章 相关基础 对恶意代码检测领域的相关基础概念、理论、方法和工具做以简要介绍。

第3章 恶意代码检测领域研究综述 对本领域的研究现状及趋势进行了综述，在此基础上简要介绍了本文的研究思路及主要研究工作。

第4章 恶意代码演化方式分析 基于对恶意代码演化历程的简要分析，简要构建了恶意代码的演化模型，并对恶意代码当前主要的演化方式进行了系统分析，最后提出了恶意代码演化给检测工作带来的挑战和问题。

第5章 基于综合画像的恶意代码检测及恶意性定位 针对当前恶意代码采用混淆方式躲避静态和动态检测的现状，提出从基本结构、底层行为和高层行为等三个角度对恶意代码进行“三位一体”综合画像和特征融合，克服混淆方式带来的影响。并通过对三个画像角度的恶意性进行评价，实现对代码恶意性部位的定位。

第6章 基于动静态特征关联融合的恶意代码检测及恶意性解释 针对当前检测方法普遍将程序的动态特征和静态特征分开使用，难以有效应对混淆方式影响，并且检测过程“重视检测结果、忽视解释原因”的现状，通过定义行为语义类型，提出采用语义映射的方式实现程序动静态特征的关联融合，并实现对程序恶意性的解释。

第7章 基于全局可视化和局部特征融合的恶意代码家族分类 提出了一种新的恶意代码可视化方法，将恶意代码全局特征和局部特征相结合，对恶意代码进行综合性的特征描述和分类，从而达到高效分析、高精度分类的目的。

第8章 基于样本抽样和并行处理的恶意代码家族分类 针对当前恶意代码变种规模剧增，恶意代码分析工作量繁重的现状，提出采用样本抽样的方式从大规模样本集合中选取一小部分样本构建建议特征向量表征原始集合，并采用并行处理方式实现对大量样本的并行分析和家族分类，提升处理大规模样本分析的效率。

第9章 基于攻击传播特征分析的恶意代码蠕虫同源检测 通过研究现有同源分析方法的优势与不足，以蠕虫的攻击传播特性作为切入点，结合关联分析算法提出了一种基于随机森林与敏感行为匹配的蠕虫同源分析方法。

第10章 基于系统调用和本体论的APT恶意代码检测与认知 针对当前网络攻击行为向APT攻击方式演化的现状，提出通过检测和认知APT恶意代码来研究APT攻击行为。首先通过分析程序的系统调用信息表征APT恶意代码的行为特征，实现对APT恶意代码的检测与家族分类；在此基础上引入本体论模型，构建关于APT恶意代码的本体知识表示，实现对APT恶意代码恶意性的理解和解释，最终实现对APT攻击行为的认知。

第11章 基于APT代码行为特征和YARA规则的APT攻击检测 以动态分析APT恶意样本作为切入点，建立基于APT攻击行为的机器学习模型，提出一种结合模型可解释性与关联分析思想，创建YARA规则以检测APT攻击的方法。

第12章 本书总结及未来研究展望 对本书内容和创新点进行总结，并对未来研究方向进行展望。