基于网络行为特征聚类分析的恶意代码检测技术研究

发布时间：2020-06-25 05:45

【摘要】：近年来,由于恶意代码的飞速发展,网络信息安全受到了前所未有的威胁。传统的恶意代码检测技术虽然能在一定程度上对恶意代码进行检测,但仍然依赖于使用手工进行特征分析。另外,由于恶意网络可以很轻易地改变包内容和流特性,从而避开恶意代码的检测。因此,需要一种更加准确高效的手段来对恶意代码的攻击进行检测。首先,本文提出一种基于网络行为的恶意代码特征提取框架MFAM-NB(Malicious Code Feature Analysis Model Based On Network Behavior)。本文通过从网络层的流动轨迹和网络设备提取的网络行为进行分析,确定了四种网络行为特征,分别是活跃行为、故障行为、网络扫描行为和页面行为,并利用MFAM-NB框架进行网络行为特征提取,为接下来的恶意代码检测做准备。其次,本文提出一种基于PSO-KM聚类分析的恶意代码检测算法,解决了传统的k-Means算法容易受到初始化中心选择不当,导致恶意代码检测结果不准确的问题。该算法对特征值进行归一化处理,利用适应度函数来判断粒子的优劣程度,通过不断的迭代来更新粒子当前最优解和全局最优解。在算法收敛后,继承全局最优位置并继续执行k-Means算法,从而得到聚类结果。从算法的准确率和执行效率两方面进行对比实验发现,本文提出的PSO-KM算法即继承了PSO算法的全局搜索能力,又保持了k-Means算法的快速搜索能力,因而这两方面都具有一定优势。再次,本文提出了一种基于自适应权重的k-Means聚类分析的恶意代码检测算法,解决了k-Means算法处理大数据量特征集过于耗时的问题。该算法通过小批量的计算类内误差平方和的大小来自适应分配各个聚类的权重,将加权距离作为重新分配实例的依据,并对目标函数中加权距离的参数进行优化,从而减少了计算时间并保证了类间差异的最大化。从算法的准确率和执行效率两方面进行对比实验发现,本文提出的AW-MMKM算法针对大数据量特征集的处理速度更快,准确率也相对较高。最后,本文将PSO-KM算法和AW-MMKM算法进行对比分析。通过实验结果可知:PSO-KM算法适用于对准确度要求更高、数据量相对较小的小型网络内的恶意代码检测。而AW-MMKM算法适用于对准确度要求不高但数据量更大的大型网络内的恶意代码检测。
【学位授予单位】：哈尔滨工程大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08
【图文】：

区间分布,流量,后门程序,情况

图 1.1 2016 年网站漏洞类型分布图1854 台扫描网站服务器进行后门程序统计，能够很容易的发现者留下后门程序。这些后门程序主要包括 PHP 木马、ASP 木马些事先布置好的后门来控制主机服务器，从而实现自己的恶意门程序外，DDOS 也经常被攻击用于攻陷目标主机。从防护角报告给出了 DDOS 攻击的流量和带宽分布，如图 1.2、1.3 所 5~10G 流量，Q1-Q3 大流量攻击次数甚至高达 90%。当网站站会直接导致无法访问，而仅有 18%的网站还可以勉强访问，响。

漏洞,类型分布,网站

报告显示，在对 197.9 万的网络漏洞检查中，发现国内有安全漏洞，其中高危漏洞竟高达 7.1%。由此可知，网站的安全形.1 所示，在 2016 年的网站漏洞类型分布中，24.4%来自于应用程序异常页面导致服务器路径泄露，16%是由于跨站脚本攻击导致的，漏洞，还有 21%是由其他恶意代码导致的。

【参考文献】