[发明专利]基于网络行为特征聚类分析的恶意代码检测方法

说明书

本发明提供的是一种基于网络行为特征聚类分析的恶意代码检测方法。步骤1，主要针对僵尸网络和木马的网络行为进行特征分析；步骤2，利用MFAM‑NB框架进行网络特征提取；步骤3，利用基于自适应权重的k‑Means聚类算法进行恶意代码检测。该方法能够解决恶意网络可以轻易地改变包内容和流特性，从而避开恶意代码的检测的问题，并且能够解决传统恶意代码检测方法对于手工特征提取的依赖性问题。该方法所采用的基于自适应权重的k‑Means恶意代码检测算法能够解决传统的k‑Means算法对于初始化中心选择不当导致恶意代码检测不准确的问题，并且能够解决k‑Means算法处理大数据量特征集过于耗时的问题。

技术领域

本发明涉及的是一种恶意代码检测方法。

背景技术

随着网络信息技术的快速进步，人们无论是从生活、教育还是医疗都特别的依赖于计算机。开放性的计算机平台，使得每个人都能够从网络中获取自己需要的信息，人们可以任意的使用互联网络，也可以通过平台发布信息。正是这种绝对性的自由导致信息安全问题的日益严重。越来越多的开发人员在利益的驱使下，不断投入到恶意代码的研发中。这些恶意代码无论是从经济还是生活上都严重的影响了整个国家，乃至是整个世界的发展。

恶意代码在网络安全事件中给整个国家造成了巨大的经济损失。恶意代码主要包括僵尸网络、蠕虫、木马、逻辑炸弹、计算机病毒、后门程序等。目前，恶意代码的分析技术主要包括静态分析技术和动态分析技术。常用的静态分析工具是W32DASM、IDA Pro和HIEW。通常对恶意代码进行分析前，需要获得整个代码的功能模块划分图，具体的分析过程包括分析、抽象、建模、特征提取、特征分析等。动态分析是指在一个受保护的条件下，对含有恶意代码的可执行程序进行运行，从而得到恶意代码的行为特征。通常包括文件系统、API调用序列、注册表、以及网络的访问情况等等。动态分析技术能够针对恶意代码的变形和加壳等行为做出准确的判定。动态分析主要包括沙箱技术、动态追踪法、虚拟机技术等。动态分析法经常结合代码的语义分析，可以更好的提高恶意代码的检测速度。但是传统的检测方式仍然还是存在很多的弊端和缺陷，比如针对恶意代码的变种、加壳等变形方式，它的检测效率的准确度都不理想。

传统的恶意代码检测技术虽然能在一定程度上对恶意代码进行检测，但仍然依赖于使用手工进行特征分析。另外，由于恶意网络可以很轻易地改变包内容和流特性，从而避开恶意代码的检测。因此，需要一种更加准确高效的手段来对恶意代码的攻击进行检测。

发明内容

本发明的目的在于提供一种能够更加准确高效地对恶意代码的攻击进行检测的基于网络行为特征聚类分析的恶意代码检测方法。

本发明的目的是这样实现的：

步骤1特征分析，主要针对僵尸网络和木马的网络行为进行特征分析；

步骤2特征提取，利用MFAM-NB框架进行网络特征提取；

步骤3聚类分析，利用基于自适应权重的k-Means聚类算法进行恶意代码检测。

本发明还可以包括：

1、所述主要针对僵尸网络和木马的网络行为进行特征分析具体包括：

(1)活跃行为

对于存在可疑的活动外网IP地址到局域网IP地址的连接，由三个特征值进行描述，包括活跃时间、活跃比率和活跃权重；

(2)故障行为

所述故障行为是与所有可疑的外部网络服务器之间的连续连接失败的行为，故障时间、故障率和故障权重是局域网IP未能连接到可疑的不活跃的外网IP地址的时间特征值属于故障行为，故障流表示连接失败的数量是故障行为的一个特征值；

(3)扫描行为