(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108520178A(43)申请公布日2018.09.11(21)申请号201810303607.5(22)申请日2018.04.08(71)申请人长春理工大学地址130000吉林省长春市朝阳区卫星路7089号(72)发明人任维武底晓强郑方林张剑飞毕琳(74)专利代理机构长春众邦菁华知识产权代理有限公司22214代理人王丹阳(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书4页附图2页(54)发明名称一种基于CFSFDP聚类的Android平台入侵检测方法(57)摘要一种基于CFSFDP聚类的Android平台入侵检测方法，涉及网络信息安全领域，解决现有静态特征检测方法存在占用大量系统资源，动态特征检测方法存在数据来源和模型构建方法不统一，不同方法的检测性能差异较大等问题，收集和抓取Android平台的静态特征和动态特征；对静态数据和动态特征数据进行归一化和离散化，获取正常行为特征数据，对正常行为特征数据进行标定；采用CFSFDP算法对特征数据进行聚类，生成轮廓；生成的行为轮廓，进行异常检测，判断当前点是否在轮廓中某点的截断距离内，如果在轮廓中，则认为是正常行为，否则为异常行为，异常行为实时推送报警，并将其当前特征状态信息反馈给用户。本发明在不降低轮廓精度的基础上，能够减少轮廓的存储量。CN108520178ACN108520178A权利要求书1/2页1.基于CFSFDP聚类的Android平台入侵检测方法，其特征是，该方法由以下步骤实现：步骤一、收集和抓取Android平台的静态特征和动态特征；步骤二、对静态数据和动态特征数据进行归一化和离散化，获取正常行为特征数据，并且对正常行为特征数据进行标定；步骤三、采用CFSFDP算法对特征数据进行聚类，生成轮廓；生成轮廓的具体步骤为：步骤三一、计算轮廓中心点选择因子γi，γi的定义如下：式中，ρi是第i个点局部密度，表示i点截断距离内的点的个数，δi为距离，若i是最大局部密度点，则δi是i点到最远点的距离，若i不是最大密度聚类点，则δi是i点最近点的距离，θ是轮廓中心点选择系数，默认值为1；步骤三二、生成轮廓中心点序列CPList：选择跳跃前的中心点作为轮廓中心点；设跳跃度JD，当跳跃度为1时，则当前中心点作为轮廓中心点，跳跃度JD的计算方式为：JD＝Sgn(γi-γi-1-κ)其中Sgn为单位阶跃函数，κ为阶跃因子；步骤三三、选择轮廓中心点序列CPList中最大中心点CPmax，计算最大中心点CPmax类内所有点的密度，生成类内密度序列ICList；设ICList:表示某个类中一个密度降序排列下标序，即它满足步骤三四、选择类内密度序列ICList中的最小密度特征点ICmin，并存到轮廓中，生成特征点邻域距离序列FDList，设定特征点邻域距离序列FDList:表示特征点间距离一个降序排列下标序，即它满足步骤三五、删除轮廓中心点序列FDlist中小于截断距离的所有点；步骤三六、保留轮廓中心点序列FDlist中大于截断距离的所有点；步骤三七、从类内密度序列IClist中删除最小密度特征点ICmin，若类内密度序列IClist为空，则执行步骤三八，否则执行步骤三四；步骤三八、从轮廓中心点序列CPlist中删除最大中心点CPmax，若轮廓中心点序列CPlist为空，则生成行为轮廓，否则执行步骤三三；步骤四、对步骤三生成的行为轮廓，进行异常检测，判断当前点是否在轮廓中某点的截断距离内，如果在轮廓中，则认为是正常行为，否则为异常行为，异常行为实时推送报警，并将其当前特征状态信息反馈给用户。2.根据权利要求1所述的基于CFSFDP聚类的Android平台入侵检测方法，其特征在于，步骤三一中，ρi的计算公式为：2CN108520178A权利要求书2/2页式中，为待聚类数据集，IS＝{1,2,...,N}为相应的指标集，dc>0为截断距离，若d≤dc，则在截断邻域内，若d＞dc，则在截断邻域外；dij为任意两个点之间的距离，计算公式为：式中，n表示点的维数或者属性数，Xin表示第i个点的第n维值；设定表示的一个降序排列下标序，即它满足ρq1≥ρq2≥...≥ρqN，δi计算的公式为：3CN108520178A说明书1/4页一种基于CFSFDP聚类的Android平台入侵检测方法技术领域[0001]本发明涉及网络信息安全领域，一种基于快速寻找密度最高点的聚类方法(CFSFDPClusteringbyFastSearchandFindofDensityPeaks)聚类的Android平台入侵检测方法。背景技术[0002]入侵检测方法使保护信息安全，确保全球信息基础设施正常运行的一种常用手段，是信息