●譯者序
序
前言
致謝
作者簡介
評審專家簡介
第1章惡意軟件靜態分析基礎1
1.1微軟Windows可移植可執行文件格式2
1.1.1PE頭3
1.1.2可選頭3
1.1.3節頭3
1.2使用pefile解析PE文件格式5
1.3檢查惡意軟件的圖片7
1.4檢查惡意軟件的字符串8
1.4.1使用字符串程序8
1.4.2分析鏡像字符串8
1.5小結10
第2章基礎靜態分析進階：x86反彙編11
2.1反彙編方法11
2.2x86彙編語言基礎12
2.2.1CPU寄存器13
2.2.2算術指令14
2.2.3數據傳送指令15
2.3使用peffile和capstone反彙編ircbot.exe19
2.4靜態分析的因素21
2.4.1加殼21
2.4.2資源混淆22
2.4.3反彙編技術22
2.4.4動態下載數據22
2.5小結23
第3章動態分析簡介24
3.1為什麼使用動態分析24
3.2惡意軟件數據科學的動態分析25
3.3動態分析的基本工具25
3.3.1典型的惡意軟件行為26
3.3.2在malwr.com上加載文件26
3.3.3在malwr.com上分析結果27
3.4基本動態分析的局限32
3.5小結32
第4章利用惡意軟件網絡識別攻擊活動33
4.1節點和邊34
4.2二分網絡35
4.3惡意軟件網絡可視化37
4.3.1失真問題37
4.3.2力導向算法38
4.4使用NetworkX構建網絡38
4.5添加節點和邊39
4.5.1添加屬性40
4.5.2將網絡保存到磁盤41
4.6使用GraphViz實現網絡可視化41
4.6.1使用參數調整網絡42
4.6.2GraphViz命令行工具43
4.6.3向節點和邊添加可視屬性47
4.7構建惡意軟件網絡50
4.8構建共享圖像關繫網絡53
4.9小結57
第5章共享代碼分析58
5.1通過特征提取對樣本進行比較61
5.1.1特征袋模型如何工作61
5.1.2N-gram62
5.2使用Jaccard繫數量化相似性63
5.3使用相似性矩陣評價惡意軟件共享代碼估計方法65
5.3.1基於指令序列的相似性66
5.3.2基於字符串的相似性68
5.3.3基於導入地址表的相似性69
5.3.4基於API動態調用的相似性70
5.4構建相似圖71
5.5擴展相似性比較76
5.5.1minhash概述77
5.5.2minhash詳述77
5.6構建持續的惡意軟件相似性搜索繫統79
5.7運行相似性搜索繫統84
5.8小結86
第6章理解基於機器學習的惡意軟件檢測方法87
6.1基於機器學習的檢測引擎構建步驟88
6.1.1收集訓練樣本88
6.1.2提取特征89
6.1.3設計好的特征90
6.1.4訓練機器學習繫統90
6.1.5測試機器學習繫統91
6.2理解特征空間和決策邊界91
6.3是什麼決定了模型的好和壞：過擬合與欠擬合96
6.4機器學習算法的主要類型99
6.4.1邏輯回歸100
6.4.2k近鄰算法103
6.4.3決策樹106
6.4.4隨機森林112
6.5小結114
第7章評價惡意軟件檢測繫統115
7.1四種可能的檢測結果115
7.1.1檢出率和誤報率116
7.1.2檢出率和誤報率之間的關繫117
7.1.3ROC曲線118
7.2在評價中考慮基準率119
7.2.1基準率如何影響準確度120
7.2.2在部署環境中評價準確度120
7.3小結122
第8章構建基於機器學習的檢測器123
8.1術語和概念124
8.2構建一個基於決策樹的檢測器雛形125
8.2.1訓練你的決策樹分類器126
8.2.2可視化決策樹127
8.2.3完整的示例代碼129
8.3使用sklearn構建實際的機器學習檢測器130
8.3.1實際的特征提取130
8.3.2為什麼不能使用所有可能的特征134
8.3.3使用哈希技巧壓縮特征134
8.4構建工業級的檢測器138
8.4.1特征提取138
8.4.2訓練檢測器139
8.4.3運行檢測器檢測新的二進制文件141
8.4.4至此我們實現了什麼142
8.5評價檢測器的性能144
8.5.1使用ROC曲線評價檢測器的功效144
8.5.2計算ROC曲線144
8.5.3將數據拆分為訓練集和測試集146
8.5.4計算ROC曲線147
8.5.5交叉驗證148
8.6下一步工作151
8.7小結152
第9章可視化惡意軟件趨勢153
9.1為什麼可視化惡意軟件數據很重要153
9.2理解我們的惡意軟件數據集155
9.2.1將數據加載到pandas中156
9.2.2使用pandasDataFrame157
9.2.3使用條件過濾數據159
9.3使用matplotlib可視化數據160
9.3.1繪制惡意軟件大小和反病毒引擎檢測之間的關繫161
9.3.2繪制勒索軟件檢出率162
9.3.3繪制勒索軟件和蠕蟲檢測率163
9.4使用seaborn可視化數據166
9.4.1繪制反病毒引擎檢出的分布圖167
9.4.2創建小提琴圖170
9.5小結172
第10章深度學習基礎173
10.1深度學習的定義174
10.2神經網絡是如何工作的175
10.2.剖析175
10.2.網絡178
10.2.3通用近似定理178
10.2.4構建自己的神經網絡179
10.2.5向網絡中添加一個新182
10.2.6自動生成特征184
10.3訓練神經網絡185
10.3.1利用後向傳播優化神經網絡186
10.3.2路徑爆炸188
10.3.3梯度消失189
10.4神經網絡的類型189
10.4.1前饋神經網絡189
10.4.2卷積神經網絡190
10.4.3自編碼神經網絡191
10.4.4生成式對抗網絡192
10.4.5循環神經網絡192
10.4.6殘差網絡193
10.5小結193
第11章使用Keras構建神經網絡惡意軟件檢測器194
11.1定義模型的架構195
11.2編譯模型197
11.3訓練模型198
11.3.1提取特征198
11.3.2創建數據生成器199
11.3.3與驗證數據協作203
11.3.4保存和加載模型204
11.4模型評價205
11.5使用回調強化模型訓練過程206
11.5.1使用內置回調207
11.5.2使用自定義回調函數208
11.6小結210
第12章成為數據科學家211
12.1成為安全數據科學家之路211
12.2安全數據科學家的一天212
12.3高效安全數據科學家的特征214
12.3.1開放的心態214
12.3.2無窮的好奇心214
12.3.3對結果的痴迷215
12.3.4對結果的懷疑215
12.4未來的工作215
附錄數據集和工具概述217

本書的第1~3章涵蓋了理解本書後面討論惡意軟件數據科學技術所必需的基本逆向工程概念。第4章和第5章重點關注惡意軟件的關繫分析，其中包括查看惡意軟件集合之間的相似性和差異性，以識別針對組織的惡意軟件攻擊活動。第6~9章涵蓋了需要了解的關於理解、應用和實現基於機器學習惡意軟件檢測繫統的所有內容。這些章節的內容還為將機器學習應用於其他網絡安全場景提供了基礎。第10~12章介紹深度學習的內容。本書的目標讀者是那些有興趣學習更多關於如何使用數據科學技術解決計算機安全問題的安全專業人士。