[发明专利]一种基于近邻传播聚类算法的多步异常点检测方法

摘要

本发明公开一种基于近邻传播聚类算法的多步异常点检测方法，通过挖掘正常应用程序以获取到正常数据流模式，然后采用多步异常点检测方法来检测恶意软件，最终实现不依赖已知恶意软件模型可以在Android恶意软件出现初期做到有效预警的目的。本发明可有效解决异常点检测时所面临的“维数灾难”问题，从而避免冗余特征或过多的无关特征的数据噪音对异常点检测技术的干扰；同时克服传统的基于聚类或基于距离的异常点检测技术对初始值选择的过度依赖，通过Virusshare与Google Play获取的实际数据集结合十折交叉验证法验证本发明的有效性，综上，本发明在网络安全领域具有广阔的应用前景。

主权项

1.一种基于近邻传播聚类算法的多步异常点检测方法，其特征在于：包括以下步骤：步骤1、从Android官方网站Google Play获取正常Android应用程序，并从病毒数据样本库中获取恶意App，构建应用程序App样本集，该样本集中包括正常样本和恶意样本分别为训练集和测试集；步骤2、使用FLOWDROID工具提取样本集中的数据流，从而构造数据流频率的高维数据集X＝(x₁,x₂,...,x_n)∈R^m×n，m是指统计出来的数据流个数，即数据集的原始特征维度，n表示样本集中样本的数量；步骤3、以数据流为特征构建特征向量，将每个样本App中调用对应数据流特征的频率作为特征值，若该样本App没有调用某个数据流的对应特征值则标记为0；步骤4、采用EsttSNE降维技术对步骤3的高维数据进行降维；步骤5、划分App样本入13个涉及到用户敏感信息的子类；步骤6、对于每一个子类中取部分正常App采用近临传播算法AP进行聚类，即将App划分为不同的主题来挖掘该类主题的正常模式，并计算该主题的参考点；步骤7、采用NPOD方法计算候样本集的异常得分，即依据步骤6计算到的13组参考点集合计算候选App在这13个子类中的异常得分，如果App没有划分入对应的子类则其异常得分标记为0，并构建异常得分向量；步骤8、采用预先划分好的训练集训练1SVM分类器模型；步骤9、采用预先划分好的测试集，然后通过步骤8训练出的1SVM分类器来对Android应用程序是否为恶意软件进行预测。