[发明专利]一种基于CFSFDP聚类的Android平台入侵检测方法

权利要求书

1.基于CFSFDP聚类的Android平台入侵检测方法，其特征是，该方法由以下步骤实现：

步骤一、收集和抓取Android平台的静态特征和动态特征；

步骤二、对静态数据和动态特征数据进行归一化和离散化，获取正常行为特征数据，并且对正常行为特征数据进行标定；

步骤三、采用CFSFDP算法对特征数据进行聚类，生成轮廓；

生成轮廓的具体步骤为：

步骤三一、计算轮廓中心点选择因子γ_i，γ_i的定义如下：

式中，ρ_i是第i个点局部密度，表示i点截断距离内的点的个数，δ_i为距离，若i是最大局部密度点，则δ_i是i点到最远点的距离，若i不是最大密度聚类点，则δ_i是i点最近点的距离，θ是轮廓中心点选择系数，默认值为1；

步骤三二、生成轮廓中心点序列CPList：选择跳跃前的中心点作为轮廓中心点；设跳跃度JD，当跳跃度为1时，则当前中心点作为轮廓中心点，跳跃度JD的计算方式为：

JD＝Sgn(γ_i-γ_i-1-κ)

其中Sgn为单位阶跃函数，κ为阶跃因子；

步骤三三、选择轮廓中心点序列CPList中最大中心点CP_max，计算最大中心点CP_max类内所有点的密度，生成类内密度序列ICList；

设定ICList:表示某个类中一个密度降序排列下标序，即它满足

步骤三四、选择类内密度序列ICList中的最小密度特征点IC_min，并存到轮廓中，生成特征点邻域距离序列FDList，

设定特征点邻域距离序列FDList:表示特征点间距离一个降序排列下标序，即它满足

步骤三五、标注特征点邻域距离序列FDlist中小于截断距离的所有点，并在轮廓中心点序列CPList中删除；

步骤三六、标注特征点邻域距离序列FDlist中大于截断距离的所有点，并在轮廓中心点序列CPList中保留；

步骤三七、从类内密度序列IClist中删除最小密度特征点IC_min，若类内密度序列IClist为空，则执行步骤三八，否则执行步骤三四；

步骤三八、从轮廓中心点序列CPlist中删除最大中心点CP_max，若轮廓中心点序列CPlist为空，则生成行为轮廓，否则执行步骤三三；

步骤四、对步骤三生成的行为轮廓，进行异常检测，

判断当前点是否在轮廓中某点的截断距离内，如果在轮廓中，则认为是正常行为，否则为异常行为，异常行为实时推送报警，并将其当前特征状态信息反馈给用户。

2.根据权利要求1所述的基于CFSFDP聚类的Android平台入侵检测方法，其特征在于，步骤三一中，ρ_i的计算公式为：

式中，为待聚类数据集，I_S＝{1,2,...,N}为相应的指标集，d_c0为截断距离，若d_ij≤d_c，则在截断邻域内，若d_ij＞d_c，则在截断邻域外；d_ij为任意两个点之间的距离，计算公式为：

式中，n表示点的维数或者属性数，X_in表示第i个点的第n维值；

设表示的一个降序排列下标序，即它满足

ρ_q1≥ρ_q2≥...≥ρ_qN

δ_i计算的公式采用的表述形式为：