一種基于CFSFDP聚類的Android平臺入侵檢測方法，涉及網絡信息安全領域，解決現有靜態特征檢測方法存在占用大量系統資源，動態特征檢測方法存在數據來源和模型構建方法不統一，不同方法的檢測性能差異較大等問題，收集和抓取Android平臺的靜態特征和動態特征；對靜態數據和動態特征數據進行歸一化和離散化，獲取正常行為特征數據，對正常行為特征數據進行標定；采用CFSFDP算法對特征數據進行聚類，生成輪廓；生成的行為輪廓，進行異常檢測，判斷當前點是否在輪廓中某點的截斷距離內，如果在輪廓中，則認為是正常行為，否則為異常行為，異常行為實時推送報警，并將其當前特征狀態信息反饋給用戶。本發明在不降低輪廓精度的基礎上，能夠減少輪廓的存儲量。

技術領域

本發明涉及網絡信息安全領域，一種基于快速尋找密度最高點的聚類方法(CFSFDP Clustering by Fast Search and Find of Density Peaks)聚類的Android平臺入侵檢測方法。

背景技術

入侵檢測方法使保護信息安全，確保全球信息基礎設施正常運行的一種常用手段，是信息安全領域的重要研究方向。近年來，隨著Android平臺及其服務廣泛應用，其安全問題也受到了廣泛地關注。現有Andriod平臺的安全機制具有局限性，Android平臺入侵檢測是一種很好的補充和拓展。根據數據來源的不同，Android平臺的入侵檢測方法可以分為兩類：靜態特征和動態特征。

目前常見的主流殺毒軟件都采用的靜態特征，這種方法檢測性能依賴病毒庫質量，檢測前需要連接網絡，需要上傳下載數據，檢測時占用大量系統資源，缺乏對未知攻擊的檢測能力。這類方法比較成熟，改進的空間很小。采用動態特征的入侵檢測方法檢測性能依賴特征模型的精度，系統資源消耗取決于模型的復雜度，不消耗網絡資源，能夠發現未知攻擊。這類方法的數據來源和模型構建方法不統一，不同方法的檢測性能差異較大，消耗資源也有不同。因此，亟需一種檢測性能高、實時性好、消耗資源少的動態特征入侵檢測方法。

發明內容

本發明為解決現有靜態特征檢測方法存在占用大量系統資源，缺乏對未知攻擊的檢測能力，動態特征檢測方法存在數據來源和模型構建方法不統一，不同方法的檢測性能差異較大等問題，提供一種基于CFSFDP聚類的Android平臺入侵檢測方法，具體包括以下步驟：

步驟一、收集和抓取Android平臺的靜態特征和動態特征；

步驟二、對靜態數據和動態特征數據進行歸一化和離散化，獲取正常行為特征數據，并且對正常行為特征數據進行標定；

步驟三、采用CFSFDP算法對特征數據進行聚類，生成輪廓；

生成輪廓的具體步驟為：

步驟三一、計算輪廓中心點選擇因子γ_i，γ_i的定義如下：

式中，ρ_i是第i個點局部密度，表示i點截斷距離內的點的個數，δ_i為距離，若i是最大局部密度點，則δ_i是i點到最遠點的距離，若i不是最大密度聚類點，則δ_i是i點最近點的距離，θ是輪廓中心點選擇系數，默認值為1；

步驟三二、生成輪廓中心點序列CPList：選擇跳躍前的中心點作為輪廓中心點；設跳躍度JD，當跳躍度為1時，則當前中心點作為輪廓中心點，跳躍度JD的計算方式為：

JD＝Sgn(γ_i-γ_i-1-κ)

其中Sgn為單位階躍函數，κ為階躍因子；

步驟三三、選擇輪廓中心點序列CPList中最大中心點CP_max，計算最大中心點CP_max類內所有點的密度，生成類內密度序列ICList；