本發明提供了一種基于改進的聚類與自相似性的惡意程序檢測方法，包括：對惡意程序集合，使用改進后的NIKClustering聚類算法來提取出惡意程序中的U2R類型的惡意程序；對利用緩沖區溢出漏洞的惡意程序進行分析，提取出相關特征共性；使用自相似性方法，計算出上述兩個步驟提出集合的自相關函數值；提出RSS?IKClustering算法，對面向緩沖區溢出的惡意程序進行檢測；根據上述步驟進行實驗測試，依據結果得到檢測報告。

技術領域

本發明屬于網絡流量安全檢測領域，涉及一種基于改進的聚類與自相似性的惡意程序檢測方法。

背景技術

近年來網絡快速發展，給我們生活帶來了許多便利，同時其中也充斥著各種漏洞，比如跨站腳本漏洞、SQL注入漏洞、HTTP報頭追蹤漏洞、私有IP地址泄露漏洞、緩沖區溢出漏洞、敏感信息泄露漏洞、URL重定向等，這些漏洞的出現，攻擊者通過利用這些漏洞然后編寫一些惡意程序，在網絡中進行傳輸，對用戶進行攻擊，可能會導致硬盤破壞、系統崩潰、用戶數據泄露、用戶主機被劫持等一些重大安全隱患，而其中的緩沖區溢出漏洞被利用的概率非常高，所以說對網絡流量中面向緩沖區溢出的惡意程序檢測有重要意義。

雖然已有不少檢測系統和平臺出現，但是惡意程序依舊此消彼長，所以說對網絡流量中惡意程序的檢測是一個迫切的工作且會很有研究意義。到目前為止，已有不少學者對網絡中存在的惡意程序進行研究。Ravi等人提出通過提取API調用序列，然后基于三階馬爾可夫鏈進行建模，相比其他的機器學習算法有更高的精度，而且通過刪除冗余的規則，減少了生成規則的數量，實時的動態監視，調高了對惡意程序的檢測效率。Chen等人提出以塊方式計算各種統計和信息理論特征，量化字節級的文件內容，然后通過數據挖掘算法檢測內容是否為惡意程序，實驗證明具有較高的精度且優于其他方法。Iglesias等人分析了對于惡意程序的指數級增長導致簽名數據庫的激增情況，提出使用字符串簽名，用以匹配惡意程序可能存在的變體，同時提出一個可伸縮的模型，基于啟發式算法，實現對惡意程序的檢查和識別，具有較低的漏報率。Bhuyan等人提出使用機器學習基于行為的惡意程序自動檢測，在模擬環境中自動分析并生成行為報告，然后將這些報告預處理為稀疏向量模型，來進行分類檢測，實驗證明決策樹獲得了較好的總體性能，在漏報率和準確率上表現都不錯。但是現有的一些方法其準確率和誤報率不是很令人滿意，為此提出本發明來解決上述的問題。

發明內容

基于現有技術在對網絡流量中面向緩沖區溢出的惡意程序檢測的研究較少，且一些方法的誤報率和準確率不是很好，因此本發明提出了一種基于改進的聚類與自相似性的惡意程序檢測方法來解決上述問題。

本發明提供了一種基于改進的聚類與自相似性的惡意程序檢測方法，包括：

步驟1對惡意程序集合，使用改進后的NIKClustering聚類算法來提取出惡意程序中的 U2R類型的惡意程序；

步驟2對利用緩沖區溢出漏洞的惡意程序進行分析，提取出相關特征共性；

步驟3使用自相似性方法，計算出上述兩個步驟提出集合的自相關函數值；

步驟4提出RSS-IKClustering算法，對面向緩沖區溢出的惡意程序進行檢測；

步驟5根據上述步驟進行實驗測試，依據結果得到檢測報告。

第一方面，上述步驟1具體包括：

在現有K-MEANS算法的基礎上，主要從以下兩方面進行改進，一個是無法確定聚類個數的初始值，另一個是優化初始聚類中心的選擇，從這兩個角度出發來改進K-MEANS 算法。從確定聚類個數K值、優化初始聚類中心以及優化對象的歸屬三個方面提出了改進后的NIKClustering算法，借助該算法進行聚類分析，最終提取出惡意程序中的U2R類型的惡意程序。

第二方面，上述步驟2具體包括：