>[0064] 步骤S21 :数据模型的建立:采用平滑数据模型:
[0065] Zt= 0. 25y t !+0. 5yt+0. 25yt+1;
[0066] 对上述数据模型建立的曲线作进一步的平滑处理,再经过中值滤波、求导、阈值处 理、合成信号以及调整信号总体幅度后,获得一条与时间t相关的光滑拟合曲线p (t),表示 观测值的正常行为;
[0067] 步骤S22 :数据模型的更新:p(t)只能表示一天时间内的正常行为,但由于网络的 动态变化特性,网络的正常行为也会因为网络环境的不同而不断变化,因此需要根据最近 的观测值不断刷新网络正常行为的模型,将当天和前一天的网络行为进行融合,得到如下 的关系式:
[0068] p(t) = a [d(t)-p(t-l)]+p(t-l);
[0069] 其中,p(t)表示在t时刻的网络利用率预测值,即正常行为的模型,d(t)表示t 时刻的网络利用率观测值,α是加权常数,可以用于调整数据模型适应局部行为的快慢程 度;
[0070] 步骤S23 :确定容许范围:首先是统计一段时间内,每天同一时刻观测值的标准 差,然后将正常行为模型加上该标准差得到正常行为的上边界,将正常行为模型减去该标 准差得到正常行为的下边界;根据所加的标准差的个数不同,可以得到不同范围的边界。 [0071 ] 在本实施例中,所述步骤S3具体包括以下步骤:
[0072] 步骤S31 :定义检测向量为
[0078] 其中,DS1P、Ddip分别为单位时间内不同的源IP地址数目、目的IP地址数目;D spt、 Ddpt分别为单位时间内不同的源端口号数目、目的端口号数目;Ptcp、Pip分别表示在单位时间 内TCP报文和IP报文的统计数;PSYN、PSYN+ACK分别为单位时间内SYN和SYN+ACK的报文数;
[0079] 步骤S32 :发生超出自适应阈值流量时,将抓取的最近的数据包,构建检测向量进 行基于K-means的流量异常识别。
[0080] 在本实施例中,所述步骤S4具体包括以下步骤:
[0081] 步骤S41 :在经典K-means算法的基础上,采用t-邻域密度的方法来选择初始聚 类中心;用t-邻域密度方法选择k个初始聚类中心;
[0082] 步骤S42 :为样本集X中的每一个数据对象,找到与它距离最小的聚类中心,并将 这个对象划分入该聚类中心所属的簇中;
[0083] 步骤S43 :等到样本集X中所有对象都各自划分入一个簇之后,对新得到的每个簇 重新计算其新的聚类中心;一个簇的聚类中心计算公式如下:
[0085] 其中,Mj表示第j个簇,Z j表示第j个簇的聚类中心,N j表示第j个簇中的对象个 数,y表示属于第j个簇的对象。
[0086] 在本实施例中,所述步骤S41具体包括以下步骤:
[0087] 步骤S411 :计算搜索半径t,采用公式:
[0088] t = Dmax/ (m*K);
[0089] 其中,D_为数据样本集中对象间距离的最大值,m为一个调整的参数值,需通过实 验进行调整,K为所要选择的初始聚类中心个数;
[0090] 步骤S412 :计算样本集中任意两个对象&与X j的距离d lj:
[0092] 其中,p表示数据对象的维数或属性数,X1P表示第i个数据对象的第p个维值或 属性值;
[0093] 步骤S413 :计算父;的t-邻域密度a i;
[0094] 步骤S414 :根据每个对象的ai值大小,对对象按降序进行排序,得到新的样本集 X',其中,当i < j时,必有ai'彡a' j;
[0095] 步骤 S415 :令 i = 1 ;
[0096] 步骤S416 :在X'中,找出第一个a'辛0的对象,将其作为第i个初始聚类中心, 其中i彡k ;
[0097] 步骤S417 :在X'中,找出第i个初始聚类中心及其t-邻域中的所有对象,并将它 们的a'值置为0;
[0098] 步骤 S418 :另 i = i+Ι ;
[0099] 步骤S419 :若i>k,则跳至步骤S42 ;否则,则跳回步骤S416。
[0100] 综上所述,本发明通过采用自适应阈值检测网络流量异常,采用K-means检测算 法作为入侵检测的核心分析算法,并且对经典K-means算法进行改进,基于密度选取初始 聚类中心,使之能够精确的检测出网络流量异常的入侵行为,提高了 Android平台的自主 防御能力。
[0101] 以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与 修饰,皆应属本发明的涵盖范围。
【主权项】
1. 一种基于K-means聚类的An化Oid平台入侵检测方法,其特征在于包括W下步骤: 步骤Sl:An化Oid流量获取:实时抓取An化Oid手机端数据包,实时计算当前流量信息 值,进而获取到瞬时流量值,构建流量包,建立K-means算法所需的检测向量; 步骤S2 :采用自适应流量阔值算法:根据步骤Sl获取的流量值观测值的历史数据建立 数学模型、更新数学模型W及确定容许边界,通过所述容许边界来区分网络正常行为和网 络异常行为; 步骤S3 :进行数据抓包信息分析:采集Amlroid手机端的数据包信息,对网络数据包的IP、端口、协议W及TCP标志位运四个维度进行预处理并构造检测向量; 步骤S4 :进行基于改进的K-means算法的流量异常识别:采用基于密度选取初始聚类 中屯、的改进K-means算法建立流量监控的检测模型对检测向量进行分类,计算出各数据对 象所在区域的数据密度,依据计算出的数据密度将数据集中的数据对象分至k个不同的密 度区域,并从各个密度区域内选出其代表的一个对象作为该密度区域的中屯、,运k个密度 区域的中屯、就是初始聚类中屯、; 步骤S5 :进行异常报警:对每个聚类的簇所属的数据进行挖掘,监控到异常信息后进 行自动推送,实现网络流量的实时监控和异常报警处理。2. 根据权利要求1所述的一种基于K-means聚类的An化Oid平台入侵检测方法,其特 征在于:所述步骤S2具体包括W下步骤: 步骤S21 :数据模型的建立:采用平滑数据模型: Zt= 0. 25yt1+0. 5yt+〇. 25y"i; 对上述数据模型建立的曲线作进一步的平滑处理,再经过中值滤波、求导、阔值处理、 合成信号W及调整信号总体幅度后,获得一条与时间t相关的光滑拟合曲线P(t),表示观 测值的正常行为; 步骤S22 :数据模型的更新:根据最近的观测值不断刷新网络正常行为的模型,将当天 和前一天的网络行为进行融合,得到如下的关系式: p(t) =a[d(t)-p(t-l)]+p(t-l); 其中,P(t)表示在t时刻的网络利用率预测值,即正常行为的模型,d(t)表示t时刻的 网络利用率观测值,a是加权常数,可W用于调整数据模型适应局部行为的快慢程度; 步骤S23 :确定容许范围:首先是统计一段时间内,每天同一时刻观测值的标准差,然 后将正常行为模型加上该标准差得到正常行为的上边界,将正常行为模型减去该标准差得 到正常行为的下边界;根据所加的标准差的个数不同,可W得到不同范围的边界。3. 根据权利要求1所述的一种基于K-means聚类的An化Oid平台入侵检测方法,其特 征在于:所述步骤S3具体包括W下步骤: 步骤S31 :定义检测向量为 Dt=<H"Hp〇"HtcpHwn> ; Hip=DsipA>dip; Hport二Dspt/D化t; Htcp二Ptcp/Pip; Hsyn一PSYn/PsY化ACK; 其中,Dmp、Ddip分别为单位时间内不同的源IP地址数目、目的IP地址数目;D,pt、DdPt 分别为单位时间内不同的源端口号数目、目的端口号数目;Ptcp、Pip分别表示在单位时间内TCP报文和IP报文的统计数;PsYN、Psynmck分别为单位时间内SYN和SYN+ACK的报文数; 步骤S32:发生超出自适应阔值流量时,将抓取的最近的数据包,构建检测向量进行基 于K-means的流量异常识别。4.根据权利要求1所述的一种基于K-means聚类的An化Oid平台入侵检测方法,其特 征在于:所述步骤S4具体包括W下步骤: 步骤S41:在经典K-means算法的基础上,采用t-邻域密度的方法来选择初始聚类中 屯、;用t-邻域密度方法选择k个初始聚类中屯、; 步骤S42:为样本集X中的每一个数据对象,找到与它距离最小的聚类中屯、,并将运个 对象划分入该聚类中屯、所属的簇中; 步骤S43:等到样本集X中所有对象都各自划分入一个簇之后,对新得到的每个簇重新 计算其新的聚类中屯、;一个簇的聚类中屯、计算公式如下:其中,M,表示第j个簇,Z,表示第j个簇的聚类中心N,表示第j个簇中的对象个数,y表示属于第j个簇的对象。5.根据权利要求4所述的一种基于K-means聚类的An化Oid平台入侵检测方法,其特 征在于:所述步骤S41具体包括W下步骤: 步骤S411:计算捜索半径t,采用公式: t=Dmax/ (m体); 其中,DmJ%数据样本集中对象间距离的最大值,m为一个调整的参数值,需通过实验进 行调整,K为所要选择的初始聚类中屯、个数; 步骤S412 :计算样本集中任意两个对象Xi与X,的距离d1,:其中,P表示数据对象的维数或属性数,Xip表示第i个数据对象的第P个维值或属性 值; 步骤S413:计算Xi的t-邻域密度a 1; 步骤S414:根据每个对象的曰1值大小,对对象按降序进行排序,得到新的样本集X',其 中,当i<j时,必有Si'《曰' .j; 步骤S415:令i=1; 步骤S416:在X'中,找出第一个曰'声0的对象,将其作为第i个初始聚类中屯、,其中i《k; 步骤S417 :在X'中,找出第i个初始聚类中屯、及其t-邻域中的所有对象,并将它们的a值置为0 ; 步骤S418:另i=i+1; 步骤S419 :若i〉k,则跳至步骤S42 ;否则,贝峭b回步骤S416。
【专利摘要】本发明涉及一种基于K-means聚类的Android平台入侵检测方法。首先采用自适应阈值检测方法采集正常状态和异常状态下所监测的Android平台的使用情况,对异常的数据包进行预处理,构造检测向量;其次,采用改进K-means算法建立入侵检测模型,最后,对检测向量进一步解析,根据解析的结果判断异常入侵行为。本发明通过采用自适应阈值检测网络流量异常,采用K-means检测算法作为入侵检测的核心分析算法,并且对经典K-means算法进行改进,基于密度选取初始聚类中心。本发明能够精确的检测出网络流量异常的入侵行为,提高了Android平台的自主防御能力。
【IPC分类】H04L29/06
【公开号】CN105376255
【申请号】CN201510898476
【发明人】罗富财, 陈强, 詹云清, 汤振立, 梁曼舒
【申请人】国网福建省电力有限公司, 国家电网公司, 国网福建省电力有限公司电力科学研究院, 福州百榕软件有限公司
【公开日】2016年3月2日
【申请日】2015年12月8日