CN105376255A - 一种基于K-means聚类的Android平台入侵检测方法 - Google Patents

Abstract

本发明涉及一种基于K-means聚类的Android平台入侵检测方法。首先采用自适应阈值检测方法采集正常状态和异常状态下所监测的Android平台的使用情况，对异常的数据包进行预处理，构造检测向量；其次，采用改进K-means算法建立入侵检测模型，最后，对检测向量进一步解析，根据解析的结果判断异常入侵行为。本发明通过采用自适应阈值检测网络流量异常，采用K-means检测算法作为入侵检测的核心分析算法，并且对经典K-means算法进行改进，基于密度选取初始聚类中心。本发明能够精确的检测出网络流量异常的入侵行为，提高了Android平台的自主防御能力。

Description

一种基于K-means聚类的Android平台入侵检测方法

技术领域

本发明涉及网络信息安全领域，特别是一种基于K-means聚类的Android平台入侵检测方法。

背景技术

随着移动互联网和电子技术的发展，大量基于Android平台的应用和服务也被开发出来提供给用户使用。智能手机凭借其日益强大的功能、快速的多核处理器和便携的特点，给人们的生活带来了很大的便利。然而，当智能手机不仅仅提供简单的通话和短信功能，也要面对各种应用服务时，就不可避免地面临越来越多的安全问题。虽然Android平台提供的Linux内核安全机制、应用程序权限控制、沙箱机制等安全机制，有效地保护了Android平台安全，但是由于现有的安全机制具有局限性，而恶意软件不断变种、升级，新的攻击方法和攻击手段层出不穷，Android平台仍然面临巨大的安全威胁。

目前市场上常见的病毒查杀软件已经可以对平台内部数据交换的数据线/存储卡，数据传输的蓝牙/红外线以及外部网络进行连接的彩信/email/MMS等进行实施的安全隐患监控。众多的杀毒软件中，大部分都是依靠网络病毒库和远程服务器联网进行云查杀，没有从手机自身的主动防护能力方面进行考虑和设计，缺乏对未知病毒威胁的判断能力。

异常检测的方法已有很多，根据异常可能引起不同特征的变化，提出了不同的检测方法，如从数据流中提取服务请求，根据服务请求的三个属性：请求类型、请求长度和负载分布计算异常得分；利用网络流量异常会引起数据包头部特征的分布发生显著变化，引入特征熵作为异常检测的数据源。这些方法虽然采用了多个特征以提高检测率，但是没有融合多个特征进行综合评判，仅采用简单的选举法或简单的特征组合公式，而没有任何理论依据。本发明为了能够融合各维特征的检测信息，降低误报率，将各维特征排列成检测向量，采用由K-means聚类算法产生的检测模型对各维特征进行综合判断。

因此，为了应对Android系统的安全漏洞，提高对恶意软件的防御能力，需要研究新的Android平台入侵检测方法，该方法应该能够监控Android系统及应用程序的正常运行，发现网络流量异常时，能够提供报警、卸载恶意软件等反馈，并且能够根据攻击的方式和手段的变化，进行自适应处理，提高检测能力。

发明内容

有鉴于此，本发明的目的是提出一种基于K-means聚类的Android平台入侵检测方法，能够精确的检测出网络流量异常的入侵行为，提高了Android平台的自主防御能力。

本发明采用以下方案实现：一种基于K-means聚类的Android平台入侵检测方法，具体包括以下步骤：

步骤S1：Android流量获取：实时抓取Android手机端数据包，实时计算当前流量信息值，进而获取到瞬时流量值，构建流量包，建立K-means算法所需的检测向量；

步骤S2：采用自适应流量阈值算法：根据步骤S1获取的流量值观测值的历史数据建立数学模型、更新数学模型以及确定容许边界，通过所述容许边界来区分网络正常行为和网络异常行为；

步骤S3：进行数据抓包信息分析：采集Android手机端的数据包信息，对网络数据包的IP、端口、协议以及TCP标志位这四个维度进行预处理并构造检测向量；

步骤S4：进行基于改进的K-means算法的流量异常识别：采用基于密度选取初始聚类中心的改进K-means算法建立流量监控的检测模型对检测向量进行分类，计算出各数据对象所在区域的数据密度，依据计算出的数据密度将数据集中的数据对象分至k个不同的密度区域，并从各个密度区域内选出其代表的一个对象作为该密度区域的中心，这k个密度区域的中心就是初始聚类中心；

步骤S5：进行异常报警：对每个聚类的簇所属的数据进行挖掘，监控到异常信息后进行自动推送，实现网络流量的实时监控和异常报警处理。

进一步地，所述步骤S2具体包括以下步骤：

步骤S21：数据模型的建立：采用平滑数据模型：

Z_t＝0.25y_t-1+0.5y_t+0.25y_t+1；

对上述数据模型建立的曲线作进一步的平滑处理，再经过中值滤波、求导、阈值处理、合成信号以及调整信号总体幅度后，获得一条与时间t相关的光滑拟合曲线p(t)，表示观测值的正常行为；

步骤S22：数据模型的更新：p(t)只能表示一天时间内的正常行为，但由于网络的动态变化特性，网络的正常行为也会因为网络环境的不同而不断变化，因此需要根据最近的观测值不断刷新网络正常行为的模型，将当天和前一天的网络行为进行融合，得到如下的关系式：

p(t)＝α[d(t)-p(t-1)]+p(t-1)；

其中，p(t)表示在t时刻的网络利用率预测值，即正常行为的模型，d(t)表示t时刻的网络利用率观测值，α是加权常数，可以用于调整数据模型适应局部行为的快慢程度；

步骤S23：确定容许范围：首先是统计一段时间内，每天同一时刻观测值的标准差，然后将正常行为模型加上该标准差得到正常行为的上边界，将正常行为模型减去该标准差得到正常行为的下边界；根据所加的标准差的个数不同，可以得到不同范围的边界。

进一步地，所述步骤S3具体包括以下步骤：

步骤S31：定义检测向量为

D_t＝＜H_ipH_portH_tcpH_syn＞；

H_ip＝D_sip/D_dip；

H_port＝D_spt/D_dpt；

H_tcp＝P_TCP/P_IP；

H_syn＝P_SYN/P_SYN+ACK；

其中，D_sip、D_dip分别为单位时间内不同的源IP地址数目、目的IP地址数目；D_spt、D_dpt分别为单位时间内不同的源端口号数目、目的端口号数目；P_TCP、P_IP分别表示在单位时间内TCP报文和IP报文的统计数；P_SYN、P_SYN+ACK分别为单位时间内SYN和SYN+ACK的报文数；

步骤S32：发生超出自适应阈值流量时，将抓取的最近的数据包，构建检测向量进行基于K-means的流量异常识别。

进一步地，所述步骤S4具体包括以下步骤：

步骤S41：在经典K-means算法的基础上，采用t-邻域密度的方法来选择初始聚类中心；用t-邻域密度方法选择k个初始聚类中心；

步骤S42：为样本集X中的每一个数据对象，找到与它距离最小的聚类中心，并将这个对象划分入该聚类中心所属的簇中；

步骤S43：等到样本集X中所有对象都各自划分入一个簇之后，对新得到的每个簇重新计算其新的聚类中心；一个簇的聚类中心计算公式如下：

$Z_j=\frac{1}{N_j}\Σy\∈M_{j}y;$

其中，M_j表示第j个簇，Z_j表示第j个簇的聚类中心，N_j表示第j个簇中的对象个数，y表示属于第j个簇的对象。

进一步地，所述步骤S41具体包括以下步骤：

步骤S411：计算搜索半径t，采用公式：

t＝D_max/(m*K)；

其中，D_max为数据样本集中对象间距离的最大值，m为一个调整的参数值，需通过实验进行调整，K为所要选择的初始聚类中心个数；

步骤S412：计算样本集中任意两个对象X_i与X_j的距离d_ij：

$d_{ij}=\sqrt{\left(\right|X_{i1}-X_{j1}{|}^2+|X_{i2}-X_{j2}{|}^2+\mathrm{...}|X_{ip}-X_{jp}{|}^2)};$

其中，p表示数据对象的维数或属性数,X_ip表示第i个数据对象的第p个维值或属性值；

步骤S413：计算X_i的t-邻域密度a_i；

步骤S414：根据每个对象的a_i值大小，对对象按降序进行排序，得到新的样本集X'，其中，当i＜j时，必有a_i'≤a'_j；

步骤S415：令i＝1；

步骤S416：在X'中，找出第一个a'≠0的对象，将其作为第i个初始聚类中心，其中i≤k；

步骤S417：在X'中，找出第i个初始聚类中心及其t-邻域中的所有对象，并将它们的a'值置为0；

步骤S418：另i＝i+1；

步骤S419：若i>k，则跳至步骤S42；否则，则跳回步骤S416。

与现有技术相比，本发明有以下有益效果：

1、采用改进K-means聚类算法产生的检测模型对各维特征进行综合判断，能降低误报率，利用滑动窗口机制计算各维特征的局部均值偏差，保证在实时动态变化的网络流量中检测的准确性。

2、网络流量在不同时间内可能呈现出的流量突变情况，改进的自适应流量阈值算法，能够实时监测网络流量。

附图说明

图1为本发明的方法流程图。

图2为发明的自适应流量阈值算法的流程图。

图3为本发明改进的K-means算法流程图

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

如图1所示，本实施例提供了一种基于K-means聚类的Android平台入侵检测方法，具体包括以下步骤：

步骤S1：Android流量获取：实时抓取Android手机端数据包，实时计算当前流量信息值，进而获取到瞬时流量值，构建流量包，建立K-means算法所需的检测向量；

步骤S2：采用自适应流量阈值算法：根据步骤S1获取的流量值观测值的历史数据建立数学模型、更新数学模型以及确定容许边界，通过所述容许边界来区分网络正常行为和网络异常行为；

步骤S3：进行数据抓包信息分析：采集Android手机端的数据包信息，对网络数据包的IP、端口、协议以及TCP标志位这四个维度进行预处理并构造检测向量；

步骤S4：进行基于改进的K-means算法的流量异常识别：采用基于密度选取初始聚类中心的改进K-means算法建立流量监控的检测模型对检测向量进行分类，计算出各数据对象所在区域的数据密度，依据计算出的数据密度将数据集中的数据对象分至k个不同的密度区域，并从各个密度区域内选出其代表的一个对象作为该密度区域的中心，这k个密度区域的中心就是初始聚类中心；

步骤S5：进行异常报警：对每个聚类的簇所属的数据进行挖掘，监控到异常信息后进行自动推送，实现网络流量的实时监控和异常报警处理。

在本实施例中，所述步骤S2具体包括以下步骤：

步骤S21：数据模型的建立：采用平滑数据模型：

Z_t＝0.25y_t-1+0.5y_t+0.25y_t+1；

对上述数据模型建立的曲线作进一步的平滑处理，再经过中值滤波、求导、阈值处理、合成信号以及调整信号总体幅度后，获得一条与时间t相关的光滑拟合曲线p(t)，表示观测值的正常行为；

步骤S22：数据模型的更新：p(t)只能表示一天时间内的正常行为，但由于网络的动态变化特性，网络的正常行为也会因为网络环境的不同而不断变化，因此需要根据最近的观测值不断刷新网络正常行为的模型，将当天和前一天的网络行为进行融合，得到如下的关系式：

p(t)＝α[d(t)-p(t-1)]+p(t-1)；

其中，p(t)表示在t时刻的网络利用率预测值，即正常行为的模型，d(t)表示t时刻的网络利用率观测值，α是加权常数，可以用于调整数据模型适应局部行为的快慢程度；

步骤S23：确定容许范围：首先是统计一段时间内，每天同一时刻观测值的标准差，然后将正常行为模型加上该标准差得到正常行为的上边界，将正常行为模型减去该标准差得到正常行为的下边界；根据所加的标准差的个数不同，可以得到不同范围的边界。

在本实施例中，所述步骤S3具体包括以下步骤：

步骤S31：定义检测向量为

D_t＝＜H_ipH_portH_tcpH_syn＞；

H_ip＝D_sip/D_dip；

H_port＝D_spt/D_dpt；

H_tcp＝P_TCP/P_IP；

H_syn＝P_SYN/P_SYN+ACK；

其中，D_sip、D_dip分别为单位时间内不同的源IP地址数目、目的IP地址数目；D_spt、D_dpt分别为单位时间内不同的源端口号数目、目的端口号数目；P_TCP、P_IP分别表示在单位时间内TCP报文和IP报文的统计数；P_SYN、P_SYN+ACK分别为单位时间内SYN和SYN+ACK的报文数；

步骤S32：发生超出自适应阈值流量时，将抓取的最近的数据包，构建检测向量进行基于K-means的流量异常识别。

在本实施例中，所述步骤S4具体包括以下步骤：

步骤S41：在经典K-means算法的基础上，采用t-邻域密度的方法来选择初始聚类中心；用t-邻域密度方法选择k个初始聚类中心；

步骤S42：为样本集X中的每一个数据对象，找到与它距离最小的聚类中心，并将这个对象划分入该聚类中心所属的簇中；

步骤S43：等到样本集X中所有对象都各自划分入一个簇之后，对新得到的每个簇重新计算其新的聚类中心；一个簇的聚类中心计算公式如下：

$Z_j=\frac{1}{N_j}\Σy\∈M_{j}y;$

其中，M_j表示第j个簇，Z_j表示第j个簇的聚类中心，N_j表示第j个簇中的对象个数，y表示属于第j个簇的对象。

在本实施例中，所述步骤S41具体包括以下步骤：

步骤S411：计算搜索半径t，采用公式：

t＝D_max/(m*K)；

其中，D_max为数据样本集中对象间距离的最大值，m为一个调整的参数值，需通过实验进行调整，K为所要选择的初始聚类中心个数；

步骤S412：计算样本集中任意两个对象X_i与X_j的距离d_ij：

$d_{ij}=\sqrt{\left(\right|X_{i1}-X_{j1}{|}^2+|X_{i2}-X_{j2}{|}^2+\mathrm{...}|X_{ip}-X_{jp}{|}^2)};$

其中，p表示数据对象的维数或属性数,X_ip表示第i个数据对象的第p个维值或属性值；

步骤S413：计算X_i的t-邻域密度a_i；

步骤S414：根据每个对象的a_i值大小，对对象按降序进行排序，得到新的样本集X'，其中，当i＜j时，必有a_i'≤a'_j；

步骤S415：令i＝1；

步骤S416：在X'中，找出第一个a'≠0的对象，将其作为第i个初始聚类中心，其中i≤k；

步骤S417：在X'中，找出第i个初始聚类中心及其t-邻域中的所有对象，并将它们的a'值置为0；

步骤S418：另i＝i+1；

步骤S419：若i>k，则跳至步骤S42；否则，则跳回步骤S416。

综上所述，本发明通过采用自适应阈值检测网络流量异常，采用K-means检测算法作为入侵检测的核心分析算法，并且对经典K-means算法进行改进，基于密度选取初始聚类中心，使之能够精确的检测出网络流量异常的入侵行为，提高了Android平台的自主防御能力。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。

Claims (5)

1.一种基于K-means聚类的Android平台入侵检测方法，其特征在于包括以下步骤：

步骤S1：Android流量获取：实时抓取Android手机端数据包，实时计算当前流量信息值，进而获取到瞬时流量值，构建流量包，建立K-means算法所需的检测向量；

步骤S2：采用自适应流量阈值算法：根据步骤S1获取的流量值观测值的历史数据建立数学模型、更新数学模型以及确定容许边界，通过所述容许边界来区分网络正常行为和网络异常行为；

步骤S3：进行数据抓包信息分析：采集Android手机端的数据包信息，对网络数据包的IP、端口、协议以及TCP标志位这四个维度进行预处理并构造检测向量；

步骤S4：进行基于改进的K-means算法的流量异常识别：采用基于密度选取初始聚类中心的改进K-means算法建立流量监控的检测模型对检测向量进行分类，计算出各数据对象所在区域的数据密度，依据计算出的数据密度将数据集中的数据对象分至k个不同的密度区域，并从各个密度区域内选出其代表的一个对象作为该密度区域的中心，这k个密度区域的中心就是初始聚类中心；

步骤S5：进行异常报警：对每个聚类的簇所属的数据进行挖掘，监控到异常信息后进行自动推送，实现网络流量的实时监控和异常报警处理。

2.根据权利要求1所述的一种基于K-means聚类的Android平台入侵检测方法，其特征在于：所述步骤S2具体包括以下步骤：

步骤S21：数据模型的建立：采用平滑数据模型：

Z_t＝0.25y_t-1+0.5y_t+0.25y_t+1；

对上述数据模型建立的曲线作进一步的平滑处理，再经过中值滤波、求导、阈值处理、合成信号以及调整信号总体幅度后，获得一条与时间t相关的光滑拟合曲线p(t)，表示观测值的正常行为；

步骤S22：数据模型的更新：根据最近的观测值不断刷新网络正常行为的模型，将当天和前一天的网络行为进行融合，得到如下的关系式：

p(t)＝α[d(t)-p(t-1)]+p(t-1)；

其中，p(t)表示在t时刻的网络利用率预测值，即正常行为的模型，d(t)表示t时刻的网络利用率观测值，α是加权常数，可以用于调整数据模型适应局部行为的快慢程度；

步骤S23：确定容许范围：首先是统计一段时间内，每天同一时刻观测值的标准差，然后将正常行为模型加上该标准差得到正常行为的上边界，将正常行为模型减去该标准差得到正常行为的下边界；根据所加的标准差的个数不同，可以得到不同范围的边界。

3.根据权利要求1所述的一种基于K-means聚类的Android平台入侵检测方法，其特征在于：所述步骤S3具体包括以下步骤：

步骤S31：定义检测向量为

D_t＝＜H_ipH_portH_tcpH_syn＞；

H_ip＝D_sip/D_dip；

H_port＝D_spt/D_dpt；

H_tcp＝P_TCP/P_IP；

H_syn＝P_SYN/P_SYN+ACK；

其中，D_sip、D_dip分别为单位时间内不同的源IP地址数目、目的IP地址数目；D_spt、D_dpt分别为单位时间内不同的源端口号数目、目的端口号数目；P_TCP、P_IP分别表示在单位时间内TCP报文和IP报文的统计数；P_SYN、P_SYN+ACK分别为单位时间内SYN和SYN+ACK的报文数；

步骤S32：发生超出自适应阈值流量时，将抓取的最近的数据包，构建检测向量进行基于K-means的流量异常识别。

4.根据权利要求1所述的一种基于K-means聚类的Android平台入侵检测方法，其特征在于：所述步骤S4具体包括以下步骤：

步骤S41：在经典K-means算法的基础上，采用t-邻域密度的方法来选择初始聚类中心；用t-邻域密度方法选择k个初始聚类中心；

步骤S42：为样本集X中的每一个数据对象，找到与它距离最小的聚类中心，并将这个对象划分入该聚类中心所属的簇中；

步骤S43：等到样本集X中所有对象都各自划分入一个簇之后，对新得到的每个簇重新计算其新的聚类中心；一个簇的聚类中心计算公式如下：

$Z_j=\frac{1}{N_j}\mathrm{\Σ}y\∈M_{j}y;$

其中，M_j表示第j个簇，Z_j表示第j个簇的聚类中心，N_j表示第j个簇中的对象个数，y表示属于第j个簇的对象。

5.根据权利要求4所述的一种基于K-means聚类的Android平台入侵检测方法，其特征在于：所述步骤S41具体包括以下步骤：

步骤S411：计算搜索半径t，采用公式：

t＝D_max/(m*K)；

其中，D_max为数据样本集中对象间距离的最大值，m为一个调整的参数值，需通过实验进行调整，K为所要选择的初始聚类中心个数；

步骤S412：计算样本集中任意两个对象X_i与X_j的距离d_ij：

$d_{ij}=\sqrt{\left(\right|X_{i1}-X_{j1}{|}^2+|X_{i2}-X_{j2}{|}^2+...|X_{ip}-X_{jp}{|}^2)};$

其中，p表示数据对象的维数或属性数,X_ip表示第i个数据对象的第p个维值或属性值；

步骤S413：计算X_i的t-邻域密度a_i；

步骤S414：根据每个对象的a_i值大小，对对象按降序进行排序，得到新的样本集X'，其中，当i＜j时，必有a_i'≤a'_j；

步骤S415：令i＝1；

步骤S416：在X'中，找出第一个a'≠0的对象，将其作为第i个初始聚类中心，其中i≤k；

步骤S417：在X'中，找出第i个初始聚类中心及其t-邻域中的所有对象，并将它们的a'值置为0；

步骤S418：另i＝i+1；

步骤S419：若i>k，则跳至步骤S42；否则，则跳回步骤S416。