基于网络行为特征聚类分析的恶意代码检测方法技术

本发明专利技术提供的是一种基于网络行为特征聚类分析的恶意代码检测方法。步骤1，主要针对僵尸网络和木马的网络行为进行特征分析；步骤2，利用MFAM‑NB框架进行网络特征提取；步骤3，利用基于自适应权重的k‑Means聚类算法进行恶意代码检测。该方法能够解决恶意网络可以轻易地改变包内容和流特性，从而避开恶意代码的检测的问题，并且能够解决传统恶意代码检测方法对于手工特征提取的依赖性问题。该方法所采用的基于自适应权重的k‑Means恶意代码检测算法能够解决传统的k‑Means算法对于初始化中心选择不当导致恶意代码检测不准确的问题，并且能够解决k‑Means算法处理大数据量特征集过于耗时的问题。

【技术实现步骤摘要】
基于网络行为特征聚类分析的恶意代码检测方法
本专利技术涉及的是一种恶意代码检测方法。
技术介绍
随着网络信息技术的快速进步，人们无论是从生活、教育还是医疗都特别的依赖于计算机。开放性的计算机平台，使得每个人都能够从网络中获取自己需要的信息，人们可以任意的使用互联网络，也可以通过平台发布信息。正是这种绝对性的自由导致信息安全问题的日益严重。越来越多的开发人员在利益的驱使下，不断投入到恶意代码的研发中。这些恶意代码无论是从经济还是生活上都严重的影响了整个国家，乃至是整个世界的发展。恶意代码在网络安全事件中给整个国家造成了巨大的经济损失。恶意代码主要包括僵尸网络、蠕虫、木马、逻辑炸弹、计算机病毒、后门程序等。目前，恶意代码的分析技术主要包括静态分析技术和动态分析技术。常用的静态分析工具是W32DASM、IDAPro和HIEW。通常对恶意代码进行分析前，需要获得整个代码的功能模块划分图，具体的分析过程包括分析、抽象、建模、特征提取、特征分析等。动态分析是指在一个受保护的条件下，对含有恶意代码的可执行程序进行运行，从而得到恶意代码的行为特征。通常包括文件系统、API调用序列、注册表、以及网络的本文档来自技高网...

【技术保护点】
1.一种基于网络行为特征聚类分析的恶意代码检测方法，其特征是：步骤1特征分析，主要针对僵尸网络和木马的网络行为进行特征分析；步骤2特征提取，利用MFAM‑NB框架进行网络特征提取；步骤3聚类分析，利用基于自适应权重的k‑Means聚类算法进行恶意代码检测。

【技术特征摘要】
2018.04.11 CN 201810318680X1.一种基于网络行为特征聚类分析的恶意代码检测方法，其特征是：步骤1特征分析，主要针对僵尸网络和木马的网络行为进行特征分析；步骤2特征提取，利用MFAM-NB框架进行网络特征提取；步骤3聚类分析，利用基于自适应权重的k-Means聚类算法进行恶意代码检测。2.根据权利要求1所述的基于网络行为特征聚类分析的恶意代码检测方法，其特征是所述主要针对僵尸网络和木马的网络行为进行特征分析具体包括：(1)活跃行为对于存在可疑的活动外网IP地址到局域网IP地址的连接，由三个特征值进行描述，包括活跃时间、活跃比率和活跃权重；(2)故障行为所述故障行为是与所有可疑的外部网络服务器之间的连续连接失败的行为，故障时间、故障率和故障权重是局域网IP未能连接到可疑的不活跃的外网IP地址的时间特征值属于故障行为，故障流表示连接失败的数量是故障行为的一个特征值；(3)扫描行为所述扫描行为是进行可疑扫描的行为，目的端口的数量、失效匹配和端口不存在是扫描行为的主要特征值，根据使用端口的总数量来预测端口扫描行为；(4)页面行为1)GET请求方法的不重复页面的数量；2)出入流量比重；3)POST请求的平局数据量；4)URL的平均长度检测。3.根据权利要求1或2所述的基于网络行为特征聚类分析的恶意代码检测方法，其特征是所述利用MFAM-NB框架进行网络特征提取具体包括：MFAM-NB框架总共分为两个模块，分别是数据获取模块和网络行为特征提取模块，首先，MFAM-NB框架通过数据获取模块收集流经网络出入口内的数据流量；然后，将网络流量传输到网络行为特征提取模块。4.根据权利要求1或2所述的基于网络行为特征聚类分析的恶...

【专利技术属性】
技术研发人员：玄世昌，苘大鹏，王巍，杨武，张莹，
申请(专利权)人：哈尔滨工程大学，
类型：发明
国别省市：黑龙江,23