[发明专利]一种基于CFSFDP聚类的Android平台入侵检测方法

说明书

一种基于CFSFDP聚类的Android平台入侵检测方法，涉及网络信息安全领域，解决现有静态特征检测方法存在占用大量系统资源，动态特征检测方法存在数据来源和模型构建方法不统一，不同方法的检测性能差异较大等问题，收集和抓取Android平台的静态特征和动态特征；对静态数据和动态特征数据进行归一化和离散化，获取正常行为特征数据，对正常行为特征数据进行标定；采用CFSFDP算法对特征数据进行聚类，生成轮廓；生成的行为轮廓，进行异常检测，判断当前点是否在轮廓中某点的截断距离内，如果在轮廓中，则认为是正常行为，否则为异常行为，异常行为实时推送报警，并将其当前特征状态信息反馈给用户。本发明在不降低轮廓精度的基础上，能够减少轮廓的存储量。

技术领域

本发明涉及网络信息安全领域，一种基于快速寻找密度最高点的聚类方法(CFSFDP Clustering by Fast Search and Find of Density Peaks)聚类的Android平台入侵检测方法。

背景技术

入侵检测方法使保护信息安全，确保全球信息基础设施正常运行的一种常用手段，是信息安全领域的重要研究方向。近年来，随着Android平台及其服务广泛应用，其安全问题也受到了广泛地关注。现有Andriod平台的安全机制具有局限性，Android平台入侵检测是一种很好的补充和拓展。根据数据来源的不同，Android平台的入侵检测方法可以分为两类：静态特征和动态特征。

目前常见的主流杀毒软件都采用的静态特征，这种方法检测性能依赖病毒库质量，检测前需要连接网络，需要上传下载数据，检测时占用大量系统资源，缺乏对未知攻击的检测能力。这类方法比较成熟，改进的空间很小。采用动态特征的入侵检测方法检测性能依赖特征模型的精度，系统资源消耗取决于模型的复杂度，不消耗网络资源，能够发现未知攻击。这类方法的数据来源和模型构建方法不统一，不同方法的检测性能差异较大，消耗资源也有不同。因此，亟需一种检测性能高、实时性好、消耗资源少的动态特征入侵检测方法。

发明内容

本发明为解决现有静态特征检测方法存在占用大量系统资源，缺乏对未知攻击的检测能力，动态特征检测方法存在数据来源和模型构建方法不统一，不同方法的检测性能差异较大等问题，提供一种基于CFSFDP聚类的Android平台入侵检测方法，具体包括以下步骤：

步骤一、收集和抓取Android平台的静态特征和动态特征；

步骤二、对静态数据和动态特征数据进行归一化和离散化，获取正常行为特征数据，并且对正常行为特征数据进行标定；

步骤三、采用CFSFDP算法对特征数据进行聚类，生成轮廓；

生成轮廓的具体步骤为：

步骤三一、计算轮廓中心点选择因子γ_i，γ_i的定义如下：

式中，ρ_i是第i个点局部密度，表示i点截断距离内的点的个数，δ_i为距离，若i是最大局部密度点，则δ_i是i点到最远点的距离，若i不是最大密度聚类点，则δ_i是i点最近点的距离，θ是轮廓中心点选择系数，默认值为1；

步骤三二、生成轮廓中心点序列CPList：选择跳跃前的中心点作为轮廓中心点；设跳跃度JD，当跳跃度为1时，则当前中心点作为轮廓中心点，跳跃度JD的计算方式为：

JD＝Sgn(γ_i-γ_i-1-κ)

其中Sgn为单位阶跃函数，κ为阶跃因子；

步骤三三、选择轮廓中心点序列CPList中最大中心点CP_max，计算最大中心点CP_max类内所有点的密度，生成类内密度序列ICList；