[发明专利]基于锚链接预测的多应用边缘安全检测与防御系统

权利要求书

1.一种基于锚链接预测的多应用边缘安全检测与防御系统，其特征在于所述系统包括多应用锚链接预测装置、单应用数据请求采集及处理装置、单应用缓存污染攻击检测装置和多应用缓存污染防御装置，其中：

所述多应用锚链接预测装置用于基于锚链接节点，实现不同应用或设备下同一自然人的关联；

所述单应用数据请求采集及处理装置用于周期性地对网络中指定应用请求的内容名称进行采集，并统计出每个内容的请求比率与平均请求间隔；

所述单应用缓存污染攻击检测装置用于根据请求比率与平均请求间隔对网络中指定应用请求的内容名称进行聚类，记录流行内容个数与对应流行内容名称，并依据新增的流行内容数量判断网络中是否存在缓存污染，并根据恶意内容的来源，生成单应用下的恶意账户名单；

所述应用缓存污染防御装置用于依据单应用缓存污染攻击检测装置的恶意账户名单，基于多应用锚链接预测装置的关联结果对跨应用的恶意用户的请求进行封堵。

2.根据权利要求1所述的基于锚链接预测的多应用边缘安全检测与防御系统，其特征在于所述多应用锚链接预测装置包括基于网络结构角色的图嵌入生成模块和潜层特征空间的匹配模块，其中：

基于网络结构角色的图嵌入生成模块引入节点之间的参考关系生成图嵌入以表达网络结构角色，将随机关系上下文的构造分解为多个随机采样过程，通过调整采样范围和采样概率来增加结构角色的变化，避免潜层特征空间中相邻节点的过度相似性导致跨网络特征难以区分；

潜层特征空间的匹配模块采用多层感知器捕获潜层特征空间之间的非线性关系，通过Wasserstein距离衡量不同潜层特征空间中角色之间的差异，实现潜层特征空间的匹配；

多应用锚链接预测装置生成跨应用用户关联信息数据库，记录跨不同应用程序的帐户属于一个用户的概率。

3.根据权利要求1所述的基于锚链接预测的多应用边缘安全检测与防御系统，其特征在于所述单应用数据请求采集及处理装置包括数据采集装置和数据处理装置，其中：

数据采集装置负责将不同应用、不同用户的请求抓取并交予数据处理装置；数据处理装置接收到用户请求时，提取请求内容名称，根据名称中的应用信息，保留指定的应用请求；

判断请求到达时间是否超过时间片范围：如果未超过，则对该内容名称出现的次数、首次出现的时间，最后一次出现的时间进行记录，更新时间片内总请求数；如果超时，则对时间片里出现的所有内容名称求请求比率以及平均请求间隔，将所有内容的请求比率与平均请求间隔交付单应用缓存污染攻击检测装置。

4.根据权利要求1所述的基于锚链接预测的多应用边缘安全检测与防御系统，其特征在于所述单应用缓存污染攻击检测装置包括密度计算模块、聚类模块和网络状态分析模块，其中：

密度计算模块将采集到的时间片数据根据请求比率与平均请求间隔得出不同内容之间的欧氏距离，随后依据预先设置的最大截断距离计算每个内容的密度；

聚类模块根据密度聚类算法，对当前时间片的内容进行聚类，并在聚类结果中找出流行内容簇，得到当前时间片流行内容簇的内容个数与对应内容名称；

网络状态分析模块记录当前时间片流行内容簇的内容个数与对应内容名称，通过与上一个时间片的流行内容簇进行对比得出新增流行内容，根据新增流行内容个数与安全阈值判断网络中安全情况：当网络中存在缓存污染攻击时，即新增流行内容个数大于安全阈值时，将新增流行内容的名称添加至恶意账户信息数据库，更新恶意账户名单；当网络中不存在缓存污染攻击时，视为安全状态，不更新恶意账户名单。

5.根据权利要求1所述的基于锚链接预测的多应用边缘安全检测与防御系统，其特征在于所述多应用缓存污染防御装置包括跨应用恶意用户的查询匹配模块和恶意用户请求封堵模块，其中：

跨应用恶意用户的查询匹配模块接收单应用缓存污染攻击检测装置返回的单应用恶意账户名单和多应用锚链接预测装置生成的跨应用用户关联信息，在多应用锚链接预测装置生成的跨应用用户信息中，查询某一应用恶意账户对应的用户在其他应用中是否有账户，若有，调用恶意用户请求封堵模块进行防御，同时将该账户的相似度θ发送给恶意用户请求封堵模块；

恶意用户请求封堵模块接收某应用的账户信息与相似度θ，监控该账户的请求数据，并按原发送速率的(1-θ)对与攻击者相似的用户进行限流。