近年来,由于恶意代码的飞速发展,网络信息安全受到了前所未有的威胁。传统的恶意代码检测技术虽然能在一定程度上对恶意代码进行检测,但仍然依赖于使用手工进行特征分析。另外,由于恶意网络可以很轻易地改变包内容和流特性,从而避开恶意代码的检测。因此,需要一种更加准确高效的手段来对恶意代码的攻击进行检测。首先,本文提出一种基于网络行为的恶意代码特征提取框架MFAM-NB(Malicious Code Feature Analysis Model Based On Network Behavior)。本文通过从网络层的流动轨迹和网络设备提取的网络行为进行分析,确定了四种网络行为特征,分别是活跃行为、故障行为、网络扫描行为和页面行为,并利用MFAM-NB框架进行网络行为特征提取,为接下来的恶意代码检测做准备。其次,本文提出一种基于PSO-KM聚类分析的恶意代码检测算法,解决了传统的k-Means算法容易受到初始化中心选择不当,导致恶意代码检测结果不准确的问题。该算法对特征值进行归一化处理,利用适应度函数来判断粒子的优劣程度,通过不断的迭代来更新粒子当前最优解和全局最优解。在算法收敛后,继承全局最优位置并继续执行k-Means算法,从而得到聚类结果。从算法的准确率和执行效率两方面进行对比实验发现,本文提出的PSO-KM算法即继承了PSO算法的全局搜索能力,又保持了k-Means算法的快速搜索能力,因而这两方面都具有一定优势。再次,本文提出了一种基于自适应权重的k-Means聚类分析的恶意代码检测算法,解决了k-Means算法处理大数据量特征集过于耗时的问题。该算法通过小批量的计算类内误差平方和的大小来自适应分配各个聚类的权重,将加权距离作为重新分配实例的依据,并对目标函数中加权距离的参数进行优化,从而减少了计算时间并保证了类间差异的最大化。从算法的准确率和执行效率两方面进行对比实验发现,本文提出的AW-MMKM算法针对大数据量特征集的处理速度更快,准确率也相对较高。最后,本文将PSO-KM算法和AW-MMKM算法进行对比分析。通过实验结果可知:PSO-KM算法适用于对准确度要求更高、数据量相对较小的小型网络内的恶意代码检测。而AW-MMKM算法适用于对准确度要求不高但数据量更大的大型网络内的恶意代码检测。