CN108520178A - 一种基于CFSFDP聚类的Android平台入侵检测方法 - Google Patents
一种基于CFSFDP聚类的Android平台入侵检测方法 Download PDFInfo
- Publication number
- CN108520178A CN108520178A CN201810303607.5A CN201810303607A CN108520178A CN 108520178 A CN108520178 A CN 108520178A CN 201810303607 A CN201810303607 A CN 201810303607A CN 108520178 A CN108520178 A CN 108520178A
- Authority
- CN
- China
- Prior art keywords
- profile
- point
- sequence
- distance
- density
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Alarm Systems (AREA)
Abstract
一种基于CFSFDP聚类的Android平台入侵检测方法,涉及网络信息安全领域,解决现有静态特征检测方法存在占用大量系统资源,动态特征检测方法存在数据来源和模型构建方法不统一,不同方法的检测性能差异较大等问题,收集和抓取Android平台的静态特征和动态特征;对静态数据和动态特征数据进行归一化和离散化,获取正常行为特征数据,对正常行为特征数据进行标定;采用CFSFDP算法对特征数据进行聚类,生成轮廓;生成的行为轮廓,进行异常检测,判断当前点是否在轮廓中某点的截断距离内,如果在轮廓中,则认为是正常行为,否则为异常行为,异常行为实时推送报警,并将其当前特征状态信息反馈给用户。本发明在不降低轮廓精度的基础上,能够减少轮廓的存储量。
Description
技术领域
本发明涉及网络信息安全领域,一种基于快速寻找密度最高点的聚类方法(CFSFDP Clustering by Fast Search and Find of Density Peaks)聚类的Android平台入侵检测方法。
背景技术
入侵检测方法使保护信息安全,确保全球信息基础设施正常运行的一种常用手段,是信息安全领域的重要研究方向。近年来,随着Android平台及其服务广泛应用,其安全问题也受到了广泛地关注。现有Andriod平台的安全机制具有局限性,Android平台入侵检测是一种很好的补充和拓展。根据数据来源的不同,Android平台的入侵检测方法可以分为两类:静态特征和动态特征。
目前常见的主流杀毒软件都采用的静态特征,这种方法检测性能依赖病毒库质量,检测前需要连接网络,需要上传下载数据,检测时占用大量系统资源,缺乏对未知攻击的检测能力。这类方法比较成熟,改进的空间很小。采用动态特征的入侵检测方法检测性能依赖特征模型的精度,系统资源消耗取决于模型的复杂度,不消耗网络资源,能够发现未知攻击。这类方法的数据来源和模型构建方法不统一,不同方法的检测性能差异较大,消耗资源也有不同。因此,亟需一种检测性能高、实时性好、消耗资源少的动态特征入侵检测方法。
发明内容
本发明为解决现有静态特征检测方法存在占用大量系统资源,缺乏对未知攻击的检测能力,动态特征检测方法存在数据来源和模型构建方法不统一,不同方法的检测性能差异较大等问题,提供一种基于CFSFDP聚类的Android平台入侵检测方法,具体包括以下步骤:
步骤一、收集和抓取Android平台的静态特征和动态特征;
步骤二、对静态数据和动态特征数据进行归一化和离散化,获取正常行为特征数据,并且对正常行为特征数据进行标定;
步骤三、采用CFSFDP算法对特征数据进行聚类,生成轮廓;
生成轮廓的具体步骤为:
步骤三一、计算轮廓中心点选择因子γi,γi的定义如下:
式中,ρi是第i个点局部密度,表示i点截断距离内的点的个数,δi为距离,若i是最大局部密度点,则δi是i点到最远点的距离,若i不是最大密度聚类点,则δi是i点最近点的距离,θ是轮廓中心点选择系数,默认值为1;
步骤三二、生成轮廓中心点序列CPList:选择跳跃前的中心点作为轮廓中心点;设跳跃度JD,当跳跃度为1时,则当前中心点作为轮廓中心点,跳跃度JD的计算方式为:
JD=Sgn(γi-γi-1-κ)
其中Sgn为单位阶跃函数,κ为阶跃因子;
步骤三三、选择轮廓中心点序列CPList中最大中心点CPmax,计算最大中心点CPmax类内所有点的密度,生成类内密度序列ICList;
设ICList:表示某个类中一个密度降序排列下标序,即它满足
步骤三四、选择类内密度序列ICList中的最小密度特征点ICmin,并存到轮廓中,生成特征点邻域距离序列FDList,
设定特征点邻域距离序列FDList:表示特征点间距离一个降序排列下标序,即它满足
步骤三五、删除轮廓中心点序列FDlist中小于截断距离的所有点;
步骤三六、保留轮廓中心点序列FDlist中大于截断距离的所有点;
步骤三七、从类内密度序列IClist中删除最小密度特征点ICmin,若类内密度序列IClist为空,则执行步骤三八,否则执行步骤三四;
步骤三八、从轮廓中心点序列CPlist中删除最大中心点CPmax,若轮廓中心点序列CPlist为空,则生成行为轮廓,否则执行步骤三三;
步骤四、对步骤三生成的行为轮廓,进行异常检测,
判断当前点是否在轮廓中某点的截断距离内,如果在轮廓中,则认为是正常行为,否则为异常行为,异常行为实时推送报警,并将其当前特征状态信息反馈给用户。
本发明的有益效果:本发明的目的在于提供一种轻量级、高精度的Android平台入侵检测方法。其主要思想是在原有密度聚类生成的形状作为轮廓的基础,选择聚类中有代表性点作为聚类轮廓的支撑,只用少数点和截断距离表示行为轮廓,将一个任意形状的轮廓转化为一定数量关键点构成的截断区域组合,这样能尽可能地保留原有聚类轮廓,还能降低聚类存储空间需求和检测计算资源需求。
1.将CFSFDP算法应用到入侵检测领域,填补了该算法在入侵检测领域中应用的空白。
2.创新设计了轮廓生成方法和异常检测方法,其中轮廓生成方法能够在保证已有轮廓精度不变的基础上,大幅度减少轮廓的存储空间,而且还降低了检测的计算复杂度。
3.将Android平台的两类特征静态特征和动态特征数据统一采集混合,能够更全面地表现Android平台当前状态信息,以便更精确地建立特征模型。
附图说明
图1为本发明所述的一种基于CFSFDP聚类的Android平台入侵检测方法的流程图;
图2为本发明所述的一种基于CFSFDP聚类的Android平台入侵检测方法中轮廓生成的流程图。
具体实施方式
下面结合附图及实施对本发明做进一步说明。
如图1所示,本实施例提供了一种基于CFSFDP聚类的Android平台入侵检测方法,具体包括以下步骤:
步骤1:收集和抓取Android平台的静态特征和动态特征。静态特征包括权限、Intent-filter、Java Code等,动态特征包括System Call、Network Traffic、SystemComponent和用户行为等。静态特征数据在较长的一个时间跨度内收集,动态特征数据在较短的一个时间跨度内进行分时抓取;
步骤2:对特征数据进行归一化和离散化,获取正常行为特征数据,并且对正常特征数据进行标定。我们使用机器人monkey程序点击原生Android系统,并记录其行为,这部分行为是在无病毒,无倾向性引导的环境下采集的,可以标定为正常行为特征数据;
步骤3:利用CFSFDP算法对特征数据进行聚类,由于一般正常行为是有规律的、重复的,所以在聚类上的表现为区域内的密度很高,CFSFDP算法能够生成任意形状的密度聚类,生成的轮廓具有很好的精度;
步骤4:轮廓生成部分是本发明的主要创新点,使用原算法聚类生成轮廓,存在很多冗余数据,这样导致轮廓存储过程中耗费大量的存储资源,而且检测过程中也会耗费大量计算资源。因此,我们使用少数点和它们的截断范围作为轮廓的支撑,不仅能够保留原有轮廓,还删除了冗余的特征点。轮廓生成主要包含三个子过程:轮廓中心点选择,密度特征点选择和邻域特征点选择。首先根据特征数据的特点,选择最优的轮廓中心点群,然后从中心点的密度边缘开始,依次进行邻域特征点选择,邻域特征点内的重复特征点将会被删除,最后只剩下支撑点及其截断范围作为行为轮廓;
步骤5:依据建立起来的轮廓,进行异常检测,由于轮廓模型简化,因此检测算法的计算也随之简化。只需要判断当前点是否在轮廓中某点的截断距离内,如果在轮廓中,则认为是正常行为,否则为异常行为。异常行为实时推送报警,并将其当前特征状态信息反馈给用户;
进一步地,如图2所示,所述步骤4具体可以包括以下步骤:
步骤41:计算轮廓中心点选择因子γi,γi的定义如下:
其中,ρi是第i个点局部密度,表示i点截断距离内的点的个数,δi是距离,若i是最大局部密度点,则δi是i点到最远点的距离,若i不是最大密度聚类点,则δi是i点最近点的距离。具体的ρi计算方法可以参照步骤411,δi计算方法可以参照步骤412,θ是轮廓中心点选择系数,默认值为;。
步骤42:生成轮廓中心点序列CPList:我们可以分析得出,Android平台正常特征行为数据的中心点选择因子满足幂次规律,平滑的中心点不适合作为轮廓中心,而在非平滑中心点过渡到平滑中心点之前,中心点选择因子γi存在一个明显跳跃,因此我们选择跳跃前的中心点作为轮廓中心点。设跳跃度JD,当跳跃度为1时,则当前中心点可以作为轮廓中心点,否则不可作为。跳跃度的计算方式为:
JD=Sgn(γi-γi-1-κ)
其中Sgn为单位阶跃函数,κ为阶跃因子;
步骤43:选择CPList中最大值CPmax,计算CPmax中心点类内所有点的密度,生成类内密度序列ICList。设ICList:表示某个类中一个密度降序排列下标序,即它满足类内密度和点距离的计算方法与步骤411、412相同;
步骤44:选择ICList中的最小值ICmin,将它保存到轮廓中,生成特征点邻域距离序列FDList,设FDList:表示特征点间距离一个降序排列下标序,即它满足
步骤45、删除FDlist中小于截断距离的所有点;
步骤46、保留FDlist中大于截断距离的所有点;
步骤47、从IClist中删除ICmin,若IClist为空,则执行步骤48,否则执行步骤44;
步骤48、从CPlist中删除CPmax,若CPlist为空,则生成行为轮廓,否则执行步骤43。
进一步地,所述步骤41具体可以包括以下两个步骤:
步骤411:计算ρi,ρi表示第i个点的局部密度,其具体计算方式为:
其中,为待聚类数据集,IS={1,2,...,N}为相应的指标集,dc>0为截断距离,若d≤dc,则在截断邻域内,若d>dc,则在截断邻域外。dij为任意两个点之间的距离,其计算方式为:
其中,n表示点的维数或者属性数,Xin表示第i个点的第n维值。
步骤412:计算δi,δi是距离,若i是最大局部密度点,则δi是i点到最远点的距离,若i不是最大密度聚类点,则δi是i点最近点的距离。设表示的一个降序排列下标序,即它满足
ρq1≥ρq2≥...≥ρqN
则δi具体计算方式为:
综上所述,本发明改进CFSFDP算法,设计了轮廓生成算法和异常检测算法,使其能够应用到入侵检测领域。通过将少数点及其截断距离作为轮廓,取代了原有聚类中所有点作为轮廓,在不降低轮廓精度的基础上,能够减少轮廓的存储量,降低检测时的计算开销。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
Claims (2)
1.基于CFSFDP聚类的Android平台入侵检测方法,其特征是,该方法由以下步骤实现:
步骤一、收集和抓取Android平台的静态特征和动态特征;
步骤二、对静态数据和动态特征数据进行归一化和离散化,获取正常行为特征数据,并且对正常行为特征数据进行标定;
步骤三、采用CFSFDP算法对特征数据进行聚类,生成轮廓;
生成轮廓的具体步骤为:
步骤三一、计算轮廓中心点选择因子γi,γi的定义如下:
式中,ρi是第i个点局部密度,表示i点截断距离内的点的个数,δi为距离,若i是最大局部密度点,则δi是i点到最远点的距离,若i不是最大密度聚类点,则δi是i点最近点的距离,θ是轮廓中心点选择系数,默认值为1;
步骤三二、生成轮廓中心点序列CPList:选择跳跃前的中心点作为轮廓中心点;设跳跃度JD,当跳跃度为1时,则当前中心点作为轮廓中心点,跳跃度JD的计算方式为:
JD=Sgn(γi-γi-1-κ)
其中Sgn为单位阶跃函数,κ为阶跃因子;
步骤三三、选择轮廓中心点序列CPList中最大中心点CPmax,计算最大中心点CPmax类内所有点的密度,生成类内密度序列ICList;
设ICList:表示某个类中一个密度降序排列下标序,即它满足
步骤三四、选择类内密度序列ICList中的最小密度特征点ICmin,并存到轮廓中,生成特征点邻域距离序列FDList,
设定特征点邻域距离序列FDList:表示特征点间距离一个降序排列下标序,即它满足
步骤三五、删除轮廓中心点序列FDlist中小于截断距离的所有点;
步骤三六、保留轮廓中心点序列FDlist中大于截断距离的所有点;
步骤三七、从类内密度序列IClist中删除最小密度特征点ICmin,若类内密度序列IClist为空,则执行步骤三八,否则执行步骤三四;
步骤三八、从轮廓中心点序列CPlist中删除最大中心点CPmax,若轮廓中心点序列CPlist为空,则生成行为轮廓,否则执行步骤三三;
步骤四、对步骤三生成的行为轮廓,进行异常检测,
判断当前点是否在轮廓中某点的截断距离内,如果在轮廓中,则认为是正常行为,否则为异常行为,异常行为实时推送报警,并将其当前特征状态信息反馈给用户。
2.根据权利要求1所述的基于CFSFDP聚类的Android平台入侵检测方法,其特征在于,步骤三一中,ρi的计算公式为:
式中,为待聚类数据集,IS={1,2,...,N}为相应的指标集,dc>0为截断距离,若d≤dc,则在截断邻域内,若d>dc,则在截断邻域外;dij为任意两个点之间的距离,计算公式为:
式中,n表示点的维数或者属性数,Xin表示第i个点的第n维值;
设定表示的一个降序排列下标序,即它满足
ρq1≥ρq2≥...≥ρqN,δi计算的公式为:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810303607.5A CN108520178B (zh) | 2018-04-08 | 2018-04-08 | 一种基于CFSFDP聚类的Android平台入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810303607.5A CN108520178B (zh) | 2018-04-08 | 2018-04-08 | 一种基于CFSFDP聚类的Android平台入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108520178A true CN108520178A (zh) | 2018-09-11 |
CN108520178B CN108520178B (zh) | 2020-06-16 |
Family
ID=63431472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810303607.5A Active CN108520178B (zh) | 2018-04-08 | 2018-04-08 | 一种基于CFSFDP聚类的Android平台入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108520178B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112307475A (zh) * | 2020-09-29 | 2021-02-02 | 北京软慧科技有限公司 | 一种系统检测方法及装置 |
CN115001866A (zh) * | 2022-08-01 | 2022-09-02 | 成都市以太节点科技有限公司 | 一种基于免疫机制的安全防护方法、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104517052A (zh) * | 2014-12-09 | 2015-04-15 | 中国科学院深圳先进技术研究院 | 一种入侵检测方法及装置 |
CN105376255A (zh) * | 2015-12-08 | 2016-03-02 | 国网福建省电力有限公司 | 一种基于K-means聚类的Android平台入侵检测方法 |
CN105577679A (zh) * | 2016-01-14 | 2016-05-11 | 华东师范大学 | 一种基于特征选择与密度峰值聚类的异常流量检测方法 |
-
2018
- 2018-04-08 CN CN201810303607.5A patent/CN108520178B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104517052A (zh) * | 2014-12-09 | 2015-04-15 | 中国科学院深圳先进技术研究院 | 一种入侵检测方法及装置 |
CN105376255A (zh) * | 2015-12-08 | 2016-03-02 | 国网福建省电力有限公司 | 一种基于K-means聚类的Android平台入侵检测方法 |
CN105577679A (zh) * | 2016-01-14 | 2016-05-11 | 华东师范大学 | 一种基于特征选择与密度峰值聚类的异常流量检测方法 |
Non-Patent Citations (3)
Title |
---|
ALEXRODRIGUEZ 等: "Clustering by fast search and find of density peaks", 《SCIENCE》 * |
ZHE LV等: "An Improved CFSFDP Algorithm with Cluster Center Automatically Selected Based on Weighted Average Method", 《THE 7TH ANNUAL IEEE INTERNATIONAL CONFERENCE ON CYBER TECHNOLOGY IN AUTOMATION》 * |
陈培毅: "基于改进聚类算法的Android平台入侵检测的研究与应用", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112307475A (zh) * | 2020-09-29 | 2021-02-02 | 北京软慧科技有限公司 | 一种系统检测方法及装置 |
CN115001866A (zh) * | 2022-08-01 | 2022-09-02 | 成都市以太节点科技有限公司 | 一种基于免疫机制的安全防护方法、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108520178B (zh) | 2020-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109948641A (zh) | 异常群体识别方法及装置 | |
KR102310306B1 (ko) | 발전소 군집화 및 군집 기반 이상진단 방법 | |
CN101650687A (zh) | 一种大规模并行程序性能预测实现方法 | |
CN112492275B (zh) | 一种区域监测点的布局方法、装置及存储介质 | |
CN109885456A (zh) | 一种基于系统日志聚类的多类型故障事件预测方法及装置 | |
CN108520178A (zh) | 一种基于CFSFDP聚类的Android平台入侵检测方法 | |
CN116882038B (zh) | 一种基于bim技术的机电施工方法及系统 | |
CN108021509A (zh) | 基于程序行为网络聚合的测试用例动态排序方法 | |
CN110896344B (zh) | 一种冗余服务部署方法及装置 | |
CN107704317A (zh) | 智能设备及其应用管理方法和具有存储功能的装置 | |
CN109542877A (zh) | 电池管理系统的参数管理方法及装置 | |
CN110046179B (zh) | 一种报警维度的挖掘方法、装置及设备 | |
CN117141295A (zh) | 一种新能源汽车的二合一高压充电方法及充电站 | |
CN108932839A (zh) | 一种同行车辆判断方法及装置 | |
CN109657060B (zh) | 安全生产事故案例推送方法及系统 | |
CN109195123B (zh) | 室内定位中指纹信息的更新方法、装置、存储介质及系统 | |
CN103118156A (zh) | 一种闹钟设置方法及相关设备 | |
CN103678545A (zh) | 进行网络资源聚类的方法及装置 | |
CN114781300A (zh) | 可编辑逻辑阵列布线方法、装置、设备和存储介质 | |
CN108564135A (zh) | 构建骨架程序并实现高性能计算程序运行时间预测的方法 | |
CN112085369A (zh) | 规则模型的安全性检测方法、装置、设备及系统 | |
CN109522915B (zh) | 病毒文件聚类方法、装置及可读介质 | |
CN111309716A (zh) | 应用于pas案例库的维护方法、装置及计算机设备 | |
CN109460906A (zh) | 一种新能源汽车充换电管理平台的设计方法 | |
CN114423076B (zh) | 一种指纹数据生成方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |