[发明专利]一种面向移动恶意网页的多设备组合优化的实时检测系统

权利要求书

1.一种基于面向移动恶意网页的多设备组合优化的实时检测系统的检测方法，其特征在于:系统包括:移动端、边缘节点和服务器端；

所述移动端处理实时性大于预设的第一时间阈值T1和荷载量小于预设的第一荷载阈值L1的恶意网页检测任务；

所述边缘节点处理实时性小于或者等于预设的第一阈值T1和荷载量大于或者等于第一荷载阈值L1的恶意网页检测任务；

所述服务器端处理实时性小于预设的第二阈值T2和荷载量大于预设的第二荷载阈值L2的恶意网页检测任务；其中，T2T1，L1L2；

方法如下：

S101:获取实验数据集URL链接；

S102:将所述URL链接输入至移动端检测，得到第一检测结果；

S103:将第一检测结果与所述URL链接发送至边缘节点，所述边缘节点根据第一检测结果和URL链接数目，输出检测策略，分配计算资源检测超出移动端荷载量以外的URL连接，并获得第二检测结果；

S104:服务器端接收来自移动端的第一检测结果和边缘节点的第二检测结果，并通过服务器端CNN-LSTM分类模型，对第一检测结果和第二检测结果进行分类，最终输出所有URL链接为恶意的概率p。

2.如权利要求1所述的一种基于面向移动恶意网页的多设备组合优化的实时检测系统的检测方法，其特征在于:步骤S103中，所述边缘节点根据URL链接数量和所述第一检测结果，输出检测策略，分配计算资源检测超出移动端荷载量以外的URL连接，具体采用一种弹性检测队列法，条件如下:

如果在Arr_t_i+T_det时间内，U_i尚未被服务器端检测系统检测到，检测系统将根据待测链接的当前标签从检测队列中删除标记为N的链接，标记为M的链接仍留在队列中继续等待；

其中U_i表示URL链接i,N表示非恶意链接，M表示恶意链接，Arr_t_i表示到达时间，T_det表示不影响用户体验的最大延迟时间。

3.如权利要求1所述的一种基于面向移动恶意网页的多设备组合优化的实时检测系统的检测方法，其特征在于:步骤S102中，所述第一检测结果，将输入的URL链接标记为良性URL或者恶意URL。

4.如权利要求3所述的一种基于面向移动恶意网页的多设备组合优化的实时检测系统的检测方法，其特征在于:步骤S103中，将第一检测结果与所述URL链接发送至边缘节点，具体为:将标记为恶意的URL链接和超出移动端荷载量的URL链接发送至边缘节点。

5.如权利要求3所述的一种基于面向移动恶意网页的多设备组合优化的实时检测系统的检测方法，其特征在于:所述边缘节点也包括CNN-L S TM分类模型，输出对恶意URL的概率p。

6.如权利要求5所述的一种基于面向移动恶意网页的多设备组合优化的实时检测系统的检测方法，其特征在于:步骤S103中，所述第二检测结果，包括恶意URL的概率P和超出边缘节点荷载量的URL链接。

7.如权利要求4所述的一种基于面向移动恶意网页的多设备组合优化的实时检测系统的检测方法，其特征在于：步骤S104中，服务器端CNN-LSTM分类模型，对第一检测结果和第二检测结果进行分类，具体为：

S201：将URL链接字符进行one-hot规格化编码，并输入至CNN-LSTM的分类模型；规格化编码如下：

X＝(x₁，x₂，...，x_L)

其中，X为输入至CNN-LSTM的分类模型的向量；

S202：将向量X中的每个one-hot向量投影到d维连续向量空间，得到URL链接字符的嵌入矩阵E如下：

E＝WX＝(w₁，w₂，...，w_d)^T×(x₁，x₂，...，x_L)；

其中，W为d维连续向量空间的参数矩阵，W∈R^d×m为一个输入为m个、输出为d个神经元的全连接神经网络；

S203：设置卷积核滑动步长为1，采用relu激活函数，则CNN-LSTM分类模型池化层进行最大池化操作后池化序列矩阵H_p如下所示：

H_p＝{p₁，p₂，...，p_N}

其中，p为池化窗口，p^f为池化窗口向量如下所示：

其中表示取整；L为URL链接字符串序列的长度；k为字符嵌入向量的窗口大小；

S204：将池化序列矩阵耳作为LSTM神经网络的输入，其中p_i对应第i个时刻LSTM网络的输入，最终LSTM的输出隐藏状态序列H如下式所示:

H＝{h₁，h₂，...，h_N}；

S205:将输出隐藏状态序列H的最后隐藏状态h_N作为分类层的输入，最后分类层激活函数为sigmoid的softmax回归单元，预测概率p如下式:

其中j＝0表示良险URL，j＝1表示恶意URL；q表示激活函数层的参数量，w_i和b_i分别为激活函数层的权重值与偏置值。