CN108520178A - 一种基于CFSFDP聚类的Android平台入侵检测方法 - Google Patents

Abstract

一种基于CFSFDP聚类的Android平台入侵检测方法，涉及网络信息安全领域，解决现有静态特征检测方法存在占用大量系统资源，动态特征检测方法存在数据来源和模型构建方法不统一，不同方法的检测性能差异较大等问题，收集和抓取Android平台的静态特征和动态特征；对静态数据和动态特征数据进行归一化和离散化，获取正常行为特征数据，对正常行为特征数据进行标定；采用CFSFDP算法对特征数据进行聚类，生成轮廓；生成的行为轮廓，进行异常检测，判断当前点是否在轮廓中某点的截断距离内，如果在轮廓中，则认为是正常行为，否则为异常行为，异常行为实时推送报警，并将其当前特征状态信息反馈给用户。本发明在不降低轮廓精度的基础上，能够减少轮廓的存储量。

Description

一种基于CFSFDP聚类的Android平台入侵检测方法

技术领域

本发明涉及网络信息安全领域，一种基于快速寻找密度最高点的聚类方法(CFSFDP Clustering by Fast Search and Find of Density Peaks)聚类的Android平台入侵检测方法。

背景技术

入侵检测方法使保护信息安全，确保全球信息基础设施正常运行的一种常用手段，是信息安全领域的重要研究方向。近年来，随着Android平台及其服务广泛应用，其安全问题也受到了广泛地关注。现有Andriod平台的安全机制具有局限性，Android平台入侵检测是一种很好的补充和拓展。根据数据来源的不同，Android平台的入侵检测方法可以分为两类：静态特征和动态特征。

目前常见的主流杀毒软件都采用的静态特征，这种方法检测性能依赖病毒库质量，检测前需要连接网络，需要上传下载数据，检测时占用大量系统资源，缺乏对未知攻击的检测能力。这类方法比较成熟，改进的空间很小。采用动态特征的入侵检测方法检测性能依赖特征模型的精度，系统资源消耗取决于模型的复杂度，不消耗网络资源，能够发现未知攻击。这类方法的数据来源和模型构建方法不统一，不同方法的检测性能差异较大，消耗资源也有不同。因此，亟需一种检测性能高、实时性好、消耗资源少的动态特征入侵检测方法。

发明内容

本发明为解决现有静态特征检测方法存在占用大量系统资源，缺乏对未知攻击的检测能力，动态特征检测方法存在数据来源和模型构建方法不统一，不同方法的检测性能差异较大等问题，提供一种基于CFSFDP聚类的Android平台入侵检测方法，具体包括以下步骤：

步骤一、收集和抓取Android平台的静态特征和动态特征；

步骤二、对静态数据和动态特征数据进行归一化和离散化，获取正常行为特征数据，并且对正常行为特征数据进行标定；

步骤三、采用CFSFDP算法对特征数据进行聚类，生成轮廓；

生成轮廓的具体步骤为：

步骤三一、计算轮廓中心点选择因子γ_i，γ_i的定义如下：

式中，ρ_i是第i个点局部密度，表示i点截断距离内的点的个数，δ_i为距离，若i是最大局部密度点，则δ_i是i点到最远点的距离，若i不是最大密度聚类点，则δ_i是i点最近点的距离，θ是轮廓中心点选择系数，默认值为1；

步骤三二、生成轮廓中心点序列CPList：选择跳跃前的中心点作为轮廓中心点；设跳跃度JD，当跳跃度为1时，则当前中心点作为轮廓中心点，跳跃度JD的计算方式为：

JD＝Sgn(γ_i-γ_i-1-κ)

其中Sgn为单位阶跃函数，κ为阶跃因子；

步骤三三、选择轮廓中心点序列CPList中最大中心点CP_max，计算最大中心点CP_max类内所有点的密度，生成类内密度序列ICList；

设ICList:表示某个类中一个密度降序排列下标序，即它满足

步骤三四、选择类内密度序列ICList中的最小密度特征点IC_min，并存到轮廓中，生成特征点邻域距离序列FDList，

设定特征点邻域距离序列FDList:表示特征点间距离一个降序排列下标序，即它满足

步骤三五、删除轮廓中心点序列FDlist中小于截断距离的所有点；

步骤三六、保留轮廓中心点序列FDlist中大于截断距离的所有点；

步骤三七、从类内密度序列IClist中删除最小密度特征点IC_min，若类内密度序列IClist为空，则执行步骤三八，否则执行步骤三四；

步骤三八、从轮廓中心点序列CPlist中删除最大中心点CP_max，若轮廓中心点序列CPlist为空，则生成行为轮廓，否则执行步骤三三；

步骤四、对步骤三生成的行为轮廓，进行异常检测，

判断当前点是否在轮廓中某点的截断距离内，如果在轮廓中，则认为是正常行为，否则为异常行为，异常行为实时推送报警，并将其当前特征状态信息反馈给用户。

本发明的有益效果：本发明的目的在于提供一种轻量级、高精度的Android平台入侵检测方法。其主要思想是在原有密度聚类生成的形状作为轮廓的基础，选择聚类中有代表性点作为聚类轮廓的支撑，只用少数点和截断距离表示行为轮廓，将一个任意形状的轮廓转化为一定数量关键点构成的截断区域组合，这样能尽可能地保留原有聚类轮廓，还能降低聚类存储空间需求和检测计算资源需求。

1.将CFSFDP算法应用到入侵检测领域，填补了该算法在入侵检测领域中应用的空白。

2.创新设计了轮廓生成方法和异常检测方法，其中轮廓生成方法能够在保证已有轮廓精度不变的基础上，大幅度减少轮廓的存储空间，而且还降低了检测的计算复杂度。

3.将Android平台的两类特征静态特征和动态特征数据统一采集混合，能够更全面地表现Android平台当前状态信息，以便更精确地建立特征模型。

附图说明

图1为本发明所述的一种基于CFSFDP聚类的Android平台入侵检测方法的流程图；

图2为本发明所述的一种基于CFSFDP聚类的Android平台入侵检测方法中轮廓生成的流程图。

具体实施方式

下面结合附图及实施对本发明做进一步说明。

如图1所示，本实施例提供了一种基于CFSFDP聚类的Android平台入侵检测方法，具体包括以下步骤：

步骤1：收集和抓取Android平台的静态特征和动态特征。静态特征包括权限、Intent-filter、Java Code等，动态特征包括System Call、Network Traffic、SystemComponent和用户行为等。静态特征数据在较长的一个时间跨度内收集，动态特征数据在较短的一个时间跨度内进行分时抓取；

步骤2：对特征数据进行归一化和离散化，获取正常行为特征数据，并且对正常特征数据进行标定。我们使用机器人monkey程序点击原生Android系统，并记录其行为，这部分行为是在无病毒，无倾向性引导的环境下采集的，可以标定为正常行为特征数据；

步骤3：利用CFSFDP算法对特征数据进行聚类，由于一般正常行为是有规律的、重复的，所以在聚类上的表现为区域内的密度很高，CFSFDP算法能够生成任意形状的密度聚类，生成的轮廓具有很好的精度；

步骤4：轮廓生成部分是本发明的主要创新点，使用原算法聚类生成轮廓，存在很多冗余数据，这样导致轮廓存储过程中耗费大量的存储资源，而且检测过程中也会耗费大量计算资源。因此，我们使用少数点和它们的截断范围作为轮廓的支撑，不仅能够保留原有轮廓，还删除了冗余的特征点。轮廓生成主要包含三个子过程：轮廓中心点选择，密度特征点选择和邻域特征点选择。首先根据特征数据的特点，选择最优的轮廓中心点群，然后从中心点的密度边缘开始，依次进行邻域特征点选择，邻域特征点内的重复特征点将会被删除，最后只剩下支撑点及其截断范围作为行为轮廓；

步骤5：依据建立起来的轮廓，进行异常检测，由于轮廓模型简化，因此检测算法的计算也随之简化。只需要判断当前点是否在轮廓中某点的截断距离内，如果在轮廓中，则认为是正常行为，否则为异常行为。异常行为实时推送报警，并将其当前特征状态信息反馈给用户；

进一步地，如图2所示，所述步骤4具体可以包括以下步骤：

步骤41：计算轮廓中心点选择因子γ_i，γ_i的定义如下：

其中，ρ_i是第i个点局部密度，表示i点截断距离内的点的个数，δ_i是距离，若i是最大局部密度点，则δ_i是i点到最远点的距离，若i不是最大密度聚类点，则δ_i是i点最近点的距离。具体的ρ_i计算方法可以参照步骤411，δ_i计算方法可以参照步骤412，θ是轮廓中心点选择系数，默认值为；。

步骤42：生成轮廓中心点序列CPList：我们可以分析得出，Android平台正常特征行为数据的中心点选择因子满足幂次规律，平滑的中心点不适合作为轮廓中心，而在非平滑中心点过渡到平滑中心点之前，中心点选择因子γ_i存在一个明显跳跃，因此我们选择跳跃前的中心点作为轮廓中心点。设跳跃度JD，当跳跃度为1时，则当前中心点可以作为轮廓中心点，否则不可作为。跳跃度的计算方式为：

JD＝Sgn(γ_i-γ_i-1-κ)

其中Sgn为单位阶跃函数，κ为阶跃因子；

步骤43：选择CPList中最大值CP_max,计算CP_max中心点类内所有点的密度，生成类内密度序列ICList。设ICList:表示某个类中一个密度降序排列下标序，即它满足类内密度和点距离的计算方法与步骤411、412相同；

步骤44：选择ICList中的最小值IC_min，将它保存到轮廓中，生成特征点邻域距离序列FDList，设FDList：表示特征点间距离一个降序排列下标序，即它满足

步骤45、删除FDlist中小于截断距离的所有点；

步骤46、保留FDlist中大于截断距离的所有点；

步骤47、从IClist中删除IC_min，若IClist为空，则执行步骤48，否则执行步骤44；

步骤48、从CPlist中删除CP_max，若CPlist为空，则生成行为轮廓，否则执行步骤43。

进一步地，所述步骤41具体可以包括以下两个步骤：

步骤411：计算ρ_i，ρ_i表示第i个点的局部密度，其具体计算方式为：

其中，为待聚类数据集，I_S＝{1,2,...,N}为相应的指标集，d_c>0为截断距离，若d≤d_c，则在截断邻域内，若d＞d_c，则在截断邻域外。d_ij为任意两个点之间的距离，其计算方式为：

其中，n表示点的维数或者属性数，X_in表示第i个点的第n维值。

步骤412：计算δ_i，δ_i是距离，若i是最大局部密度点，则δ_i是i点到最远点的距离，若i不是最大密度聚类点，则δ_i是i点最近点的距离。设表示的一个降序排列下标序，即它满足

ρ_q1≥ρ_q2≥...≥ρ_qN

则δ_i具体计算方式为：

综上所述，本发明改进CFSFDP算法，设计了轮廓生成算法和异常检测算法，使其能够应用到入侵检测领域。通过将少数点及其截断距离作为轮廓，取代了原有聚类中所有点作为轮廓，在不降低轮廓精度的基础上，能够减少轮廓的存储量，降低检测时的计算开销。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。

Claims (2)

1.基于CFSFDP聚类的Android平台入侵检测方法，其特征是，该方法由以下步骤实现：

步骤一、收集和抓取Android平台的静态特征和动态特征；

步骤二、对静态数据和动态特征数据进行归一化和离散化，获取正常行为特征数据，并且对正常行为特征数据进行标定；

步骤三、采用CFSFDP算法对特征数据进行聚类，生成轮廓；

生成轮廓的具体步骤为：

步骤三一、计算轮廓中心点选择因子γ_i，γ_i的定义如下：

式中，ρ_i是第i个点局部密度，表示i点截断距离内的点的个数，δ_i为距离，若i是最大局部密度点，则δ_i是i点到最远点的距离，若i不是最大密度聚类点，则δ_i是i点最近点的距离，θ是轮廓中心点选择系数，默认值为1；

步骤三二、生成轮廓中心点序列CPList：选择跳跃前的中心点作为轮廓中心点；设跳跃度JD，当跳跃度为1时，则当前中心点作为轮廓中心点，跳跃度JD的计算方式为：

JD＝Sgn(γ_i-γ_i-1-κ)

其中Sgn为单位阶跃函数，κ为阶跃因子；

步骤三三、选择轮廓中心点序列CPList中最大中心点CP_max，计算最大中心点CP_max类内所有点的密度，生成类内密度序列ICList；

设ICList:表示某个类中一个密度降序排列下标序，即它满足

步骤三四、选择类内密度序列ICList中的最小密度特征点IC_min，并存到轮廓中，生成特征点邻域距离序列FDList，

设定特征点邻域距离序列FDList:表示特征点间距离一个降序排列下标序，即它满足

步骤三五、删除轮廓中心点序列FDlist中小于截断距离的所有点；

步骤三六、保留轮廓中心点序列FDlist中大于截断距离的所有点；

步骤三七、从类内密度序列IClist中删除最小密度特征点IC_min，若类内密度序列IClist为空，则执行步骤三八，否则执行步骤三四；

步骤三八、从轮廓中心点序列CPlist中删除最大中心点CP_max，若轮廓中心点序列CPlist为空，则生成行为轮廓，否则执行步骤三三；

步骤四、对步骤三生成的行为轮廓，进行异常检测，

判断当前点是否在轮廓中某点的截断距离内，如果在轮廓中，则认为是正常行为，否则为异常行为，异常行为实时推送报警，并将其当前特征状态信息反馈给用户。

2.根据权利要求1所述的基于CFSFDP聚类的Android平台入侵检测方法，其特征在于，步骤三一中，ρ_i的计算公式为：

式中，为待聚类数据集，I_S＝{1,2,...,N}为相应的指标集，d_c>0为截断距离，若d≤d_c，则在截断邻域内，若d＞d_c，则在截断邻域外；d_ij为任意两个点之间的距离，计算公式为：

式中，n表示点的维数或者属性数，X_in表示第i个点的第n维值；

设定表示的一个降序排列下标序，即它满足

ρ_q1≥ρ_q2≥...≥ρ_qN，δ_i计算的公式为：