[发明专利]一种基于改进的聚类与自相似性的恶意程序检测方法

说明书

本发明提供了一种基于改进的聚类与自相似性的恶意程序检测方法，包括：对恶意程序集合，使用改进后的NIKClustering聚类算法来提取出恶意程序中的U2R类型的恶意程序；对利用缓冲区溢出漏洞的恶意程序进行分析，提取出相关特征共性；使用自相似性方法，计算出上述两个步骤提出集合的自相关函数值；提出RSS‑IKClustering算法，对面向缓冲区溢出的恶意程序进行检测；根据上述步骤进行实验测试，依据结果得到检测报告。

技术领域

本发明属于网络流量安全检测领域，涉及一种基于改进的聚类与自相似性的恶意程序检测方法。

背景技术

近年来网络快速发展，给我们生活带来了许多便利，同时其中也充斥着各种漏洞，比如跨站脚本漏洞、SQL注入漏洞、HTTP报头追踪漏洞、私有IP地址泄露漏洞、缓冲区溢出漏洞、敏感信息泄露漏洞、URL重定向等，这些漏洞的出现，攻击者通过利用这些漏洞然后编写一些恶意程序，在网络中进行传输，对用户进行攻击，可能会导致硬盘破坏、系统崩溃、用户数据泄露、用户主机被劫持等一些重大安全隐患，而其中的缓冲区溢出漏洞被利用的概率非常高，所以说对网络流量中面向缓冲区溢出的恶意程序检测有重要意义。

虽然已有不少检测系统和平台出现，但是恶意程序依旧此消彼长，所以说对网络流量中恶意程序的检测是一个迫切的工作且会很有研究意义。到目前为止，已有不少学者对网络中存在的恶意程序进行研究。Ravi等人提出通过提取API调用序列，然后基于三阶马尔可夫链进行建模，相比其他的机器学习算法有更高的精度，而且通过删除冗余的规则，减少了生成规则的数量，实时的动态监视，调高了对恶意程序的检测效率。Chen等人提出以块方式计算各种统计和信息理论特征，量化字节级的文件内容，然后通过数据挖掘算法检测内容是否为恶意程序，实验证明具有较高的精度且优于其他方法。Iglesias等人分析了对于恶意程序的指数级增长导致签名数据库的激增情况，提出使用字符串签名，用以匹配恶意程序可能存在的变体，同时提出一个可伸缩的模型，基于启发式算法，实现对恶意程序的检查和识别，具有较低的漏报率。Bhuyan等人提出使用机器学习基于行为的恶意程序自动检测，在模拟环境中自动分析并生成行为报告，然后将这些报告预处理为稀疏向量模型，来进行分类检测，实验证明决策树获得了较好的总体性能，在漏报率和准确率上表现都不错。但是现有的一些方法其准确率和误报率不是很令人满意，为此提出本发明来解决上述的问题。

发明内容

基于现有技术在对网络流量中面向缓冲区溢出的恶意程序检测的研究较少，且一些方法的误报率和准确率不是很好，因此本发明提出了一种基于改进的聚类与自相似性的恶意程序检测方法来解决上述问题。

本发明提供了一种基于改进的聚类与自相似性的恶意程序检测方法，包括：

步骤1对恶意程序集合，使用改进后的NIKClustering聚类算法来提取出恶意程序中的 U2R类型的恶意程序；

步骤2对利用缓冲区溢出漏洞的恶意程序进行分析，提取出相关特征共性；

步骤3使用自相似性方法，计算出上述两个步骤提出集合的自相关函数值；

步骤4提出RSS-IKClustering算法，对面向缓冲区溢出的恶意程序进行检测；

步骤5根据上述步骤进行实验测试，依据结果得到检测报告。

第一方面，上述步骤1具体包括：

在现有K-MEANS算法的基础上，主要从以下两方面进行改进，一个是无法确定聚类个数的初始值，另一个是优化初始聚类中心的选择，从这两个角度出发来改进K-MEANS 算法。从确定聚类个数K值、优化初始聚类中心以及优化对象的归属三个方面提出了改进后的NIKClustering算法，借助该算法进行聚类分析，最终提取出恶意程序中的U2R类型的恶意程序。

第二方面，上述步骤2具体包括：