1.一種基于改進的聚類與自相似性的惡意程序檢測方法，其特征在于，包括：

步驟1對惡意程序集合，使用改進后的NIKClustering聚類算法來提取出惡意程序中的U2R類型的惡意程序；

步驟2對利用緩沖區溢出漏洞的惡意程序進行分析，提取出相關特征共性；

步驟3使用自相似性方法，計算出上述兩個步驟提出集合的自相關函數值；

步驟4提出RSS-IKClustering算法，對面向緩沖區溢出的惡意程序進行檢測；

步驟5根據上述步驟進行實驗測試，依據結果得到檢測報告；

所述RSS-IKClustering算法具體包括：

借助RSS-IKClustering算法，對提取到的惡意程序集合，首先使用改進后的NIKClustering算法進行聚類分析，接著分析現有的面向緩沖區溢出的惡意程序集合，獲取其共有的特征屬性，通過借助自相似性方法，計算聚類分析后得到的U2R類型的惡意程序集合與特征集合之間的自相關函數的值，從而得到RSS-IKClustering檢測算法，完成網絡流量中對面向緩沖區溢出的惡意程序檢測；

改進后的NIKClustering算法進行聚類分析的具體過程為：

(4.1)確定聚類個數K值

首先嘗試確定聚類個數的K值，在改進的聚類算法中，通過引入分類閾值，在處理不同數據包集合時，動態更新聚類個數K值，在對惡意程序數據包集合進行聚類分析時，給定一個閾值F_v，其值為對象到初始聚類中心的最大距離，然后計算其余各個對象距離聚類中心的距離，當大于設定的閾值時，動態新增一個聚類中心，并將該對象歸屬于該聚類中心，具體的計算方法為其中，為K-MEANS算法中的歐式距離計算公式，其為樣本點a₁到a_n的n維的歐氏距離，取d(a,b)的最大值并開方作為F_v，該閾值表示為某個簇的布局范圍，如果某個對象距離聚類中心大于了給定的閾值，那么就需要給該數據選取新的聚類，從而更新聚類個數K值；

(4.2)優化初始聚類中心

在隨機選取一些聚類中心之后，首先為了確保聚類結果的穩定性，便從優化初始簇之間的相似度出發，借助最遠距離來優化初始聚類中心，具體的實現方式如下所示，選取任意兩個數據對象r_i和r_j：

步驟4.2.1：計算r_i和r_j的歐式距離值；

步驟4.2.2：將求出的值進行排序；

步驟4.2.3：將r_i和r_j的之間歐式距離的最大值作為初始聚類中心；

步驟4.2.4：接著把剩余的對象繼續計算距離對應的聚類中心的距離；

步驟4.2.5：把當前對象歸屬于最近的聚類中心，然后繼續步驟四；

步驟4.2.6：當聚類中心不變后，停止聚類的距離計算，否則，繼續執行步驟四；

(4.3)優化對象的歸屬

在傳統的K-MEANS算法中，在每一次迭代過程中，通常是計算某個對象距離聚類中心的歐式距離，符合要求就歸屬該簇，不符合要求就得重新計算，為了更加精準的分類，提出歸屬方法，構造了誤差平方和準則函數：

其中v_ij表示某個樣本對象m_j是否屬于i類型，也就是歸屬度，當v_ij＝1時，m_j就是屬于i類型，當v_ij為0時，m_j就不是該i類型了，此時m_j取值范圍在0到1之間，t表示優化對象的加權指數，然后tv_ij就表示某一類型加權后的值，得到以自然指數e為底的值在對p個對象進行求和后，在此基礎上對k個求和值求和，S_t則是各個樣本對象到聚類中心的加權距離平方和，m_j表示某個樣本對象，n_i是聚類中心，該聚類過程就是在計算各個樣本對象的誤差平方和準則函數，當S_t最小時，將該樣本對象歸屬于該聚類中心。