一种被虚拟货币挖矿的检测方法、系统、装置及存储介质制造方法及图纸

本申请公开了一种被虚拟货币挖矿的检测方法，该检测方法在使用矿池域名库实现对域名检测的基础上，还利用Snort引擎构建与被控主机在执行虚拟货币挖矿操作时存在的特征信息相对应的IPS检测规则，即同时利用IPS检测规则和矿池域名库对网络流量进行检测和分析，IPS检测规则基于规则匹配的方式能够对多方面内容进行检测，有效弥补了仅使用矿池域名库时必须为已知内容的短板，通过Snort引擎构建的IPS检测规则能够从特征信息中挖掘出隐藏在数据背后的共同点，使得被挖矿行为的检测效果更佳，且易于工程实现。本申请还同时公开了一种被虚拟货币挖矿的检测系统、装置及计算机可读存储介质，具有上述有益效果。

A detection method, system, device and storage medium mined by virtual currency

【技术实现步骤摘要】
一种被虚拟货币挖矿的检测方法、系统、装置及存储介质
本申请涉及恶意攻击手段检测领域，特别涉及一种被虚拟货币挖矿的检测方法、系统、装置及计算机可读存储介质。
技术介绍
自08年经济危机开始，一种虚拟货币，比特币开始进入大众的视野。与大多数货币不同，比特币不依靠特定货币机构发行，它依据特定算法，通过大量的计算产生，比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为，并使用密码学的设计来确保货币流通各个环节安全性。比特币与其他虚拟货币最大的不同，是其总数量非常有限，具有极强的稀缺性，它总数量将被永久限制在2100万个。而稀缺性特点为比特币带来的是居高不下的市值，一个比特币曾最多价值2万美元。由于比特币基于特定算法通过大量的计算产生，而通过大量的计算寻找到比特币网络某一时刻所需要的特解就是比特币的挖矿制度，谁第一个提供了这个所需的特解，比特币网络就会向其支付一定数量的比特币作为报酬。由于每个拥有计算能力的主机都可充当比特币的矿机，因此在比特币高昂价格的驱使下，不少黑客开始向被控制的主机中置入挖矿程序，以期利用他人主机的计算资源为自已牟利。由于PC的计算性能有限，不少黑客瞄上了拥有强大计算能力的工作站、内网主机甚至是大型服务器，一旦被植入挖矿程序，挖矿程序就会占用巨大的CPU、GPU资源来执行挖矿操作，不仅会使得主机卡顿、CPU占用率过高，甚至造成主机宕机或瘫痪，给主机拥有者带来巨大的经济损失。现有检测目标主机是否存在被挖矿现象的方式大多是单一的基于矿池域名库、进程监测或将其作为病毒直接查杀等，由于域名库或进程监测只能对已知的矿池域名或挖矿程序进行检测，无法解决日益变化、增多的矿池和挖矿程序；安装杀毒软件则无法检测到非病毒类挖矿程序，且还需要每台机器都安装杀毒软件，泛化性较差，实际使用效果均不理想。因此，如何克服现有的被挖矿检测方法存在的各项技术缺陷，提供一种能够对被挖矿行为进行多方面检测，并综合不同检测方式各自的优点，拥有更佳的被挖矿行为检测效果的检测机制是本领域技术人员亟待解决的问题。
技术实现思路
本申请的目的是提供一种被虚拟货币挖矿的检测方法，在使用矿池域名库实现对域名检测的基础上，还利用Snort引擎构建与被控主机在执行虚拟货币挖矿操作时存在的特征信息相对应的IPS检测规则，即同时利用IPS检测规则和矿池域名库对网络流量进行检测和分析，IPS检测规则基于规则匹配的方式能够对多方面内容进行检测，有效弥补了仅使用矿池域名库时必须为已知内容的短板，通过Snort引擎构建的IPS检测规则能够从特征信息中挖掘出隐藏在数据背后的共同点，使得被挖矿行为的检测效果更佳，且易于工程实现。本申请的另一目的在于提供了一种被虚拟货币挖矿的检测系统、装置及计算机可读存储介质。为实现上述目的，本申请提供一种被虚拟货币挖矿的检测方法，该检测方法包括：利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则；收集所有已知矿池的域名，并建立矿池域名库；分别利用所述IPS检测规则和所述矿池域名库检测待分析网络流量；若所述待分析网络流量与IPS检测规则和/或所述矿池域名库存在匹配的流量，则判定产生所述待分析网络流量的主机已被控制执行虚拟货币挖矿操作。可选的，利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则，包括：收集能够控制主机执行所述虚拟货币挖矿操作的恶意程序；在沙箱中实际运行所述恶意程序，得到所述恶意程序的识别信息和行为模式信息；收集主机被控制执行所述虚拟货币挖矿操作前后存在的参数变化特征；利用所述Snort引擎分别建立与所述识别信息、所述行为模式信息以及所述参数变化特征相对应的IPS检测规则。可选的，分别利用所述IPS检测规则和所述矿池域名库对待分析网络流量进行匹配检测，包括：判断所述待分析网络流量中携带的域名是否包含于所述矿池域名库中；若携带的域名不包含于所述矿池域名库中，则判断所述待分析网络流量中是否存在与所述IPS检测规则相一致的部分流量。可选的，该检测方法还包括：当所述待分析网络流量中存在与所述IPS检测规则相一致的部分流量、所述待分析网络流量中携带的域名并未包含于所述矿池域名库中时，获取与所述IPS检测规则相一致的部分流量对应的域名，得到新矿池域名，并将所述新矿池域名新增加进原有的矿池域名库中；当所述待分析网络流量中携带的域名包含于所述矿池域名库中、所述待分析网络流量中不存在与所述IPS检测规则相一致的部分流量时，获取所述待分析网络流量中携带有与所述矿池库域名中相同域名的部分流量，得到新特征信息，并利用所述Snort引擎建立与所述新特征信息相对应的新IPS检测规则，且将所述新IPS检测规则新增进原有的IPS检测规则中。为实现上述目的，本申请还提供了一种被虚拟货币挖矿的检测系统，该检测系统包括：IPS检测规则建立单元，用于利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则；域名库建立单元，用于收集所有已知矿池的域名，并建立矿池域名库；多方式分析检测单元，用于分别利用所述IPS检测规则和所述矿池域名库检测待分析网络流量；被虚拟货币挖矿判定单元，用于当所述待分析网络流量与IPS检测规则和/或所述矿池域名库存在匹配的流量时，判定产生所述待分析网络流量的主机已被控制执行虚拟货币挖矿操作。可选的，所述IPS检测规则建立单元包括：恶意程序收集子单元，用于收集能够控制主机执行所述虚拟货币挖矿操作的恶意程序；识别信息及行为模式信息获取子单元，用于在沙箱中实际运行所述恶意程序，得到所述恶意程序的识别信息和行为模式信息；参数变化特征收集子单元，用于收集主机被控制执行所述虚拟货币挖矿操作前后存在的参数变化特征；IPS检测规则建立子单元，用于利用所述Snort引擎分别建立与所述识别信息、所述行为模式信息以及所述参数变化特征相对应的IPS检测规则。可选的，所述多方式分析检测单元包括：域名检测子单元，用于判断所述待分析网络流量中携带的域名是否包含于所述矿池域名库中；IPS规则检测子单元，用于当携带的域名不包含于所述矿池域名库中时，判断所述待分析网络流量中是否存在与所述IPS检测规则相一致的部分流量。可选的，该检测系统还包括：新矿池域名获取及新增单元，用于当所述待分析网络流量中存在与所述IPS检测规则相一致的部分流量、所述待分析网络流量中携带的域名并未包含于所述矿池域名库中时，获取与所述IPS检测规则相一致的部分流量对应的域名，得到新矿池域名，并将所述新矿池域名新增加进原有的矿池域名库中；新IPS规则获取及新增单元，用于当所述待分析网络流量中携带的域名包含于所述矿池域名库中、所述待分析网络流量中不存在与所述IPS检测规则相一致的部分流量时，获取所述待分析网络流量中携带本文档来自技高网...

【技术保护点】
1.一种被虚拟货币挖矿的检测方法，其特征在于，包括：/n利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则；/n收集所有已知矿池的域名，并建立矿池域名库；/n分别利用所述IPS检测规则和所述矿池域名库检测待分析网络流量；/n若所述待分析网络流量与IPS检测规则和/或所述矿池域名库存在匹配的流量，则判定产生所述待分析网络流量的主机已被控制执行虚拟货币挖矿操作。/n

【技术特征摘要】
1.一种被虚拟货币挖矿的检测方法，其特征在于，包括：
利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则；
收集所有已知矿池的域名，并建立矿池域名库；
分别利用所述IPS检测规则和所述矿池域名库检测待分析网络流量；
若所述待分析网络流量与IPS检测规则和/或所述矿池域名库存在匹配的流量，则判定产生所述待分析网络流量的主机已被控制执行虚拟货币挖矿操作。


2.根据权利要求1所述的检测方法，其特征在于，利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则，包括：
收集能够控制主机执行所述虚拟货币挖矿操作的恶意程序；
在沙箱中实际运行所述恶意程序，得到所述恶意程序的识别信息和行为模式信息；
收集主机被控制执行所述虚拟货币挖矿操作前后存在的参数变化特征；
利用所述Snort引擎分别建立与所述识别信息、所述行为模式信息以及所述参数变化特征相对应的IPS检测规则。


3.根据权利要求1所述的检测方法，其特征在于，分别利用所述IPS检测规则和所述矿池域名库对待分析网络流量进行匹配检测，包括：
判断所述待分析网络流量中携带的域名是否包含于所述矿池域名库中；
若携带的域名不包含于所述矿池域名库中，则判断所述待分析网络流量中是否存在与所述IPS检测规则相一致的部分流量。


4.根据权利要求3所述的检测方法，其特征在于，还包括：
当所述待分析网络流量中存在与所述IPS检测规则相一致的部分流量、所述待分析网络流量中携带的域名并未包含于所述矿池域名库中时，获取与所述IPS检测规则相一致的部分流量对应的域名，得到新矿池域名，并将所述新矿池域名新增加进原有的矿池域名库中；
当所述待分析网络流量中携带的域名包含于所述矿池域名库中、所述待分析网络流量中不存在与所述IPS检测规则相一致的部分流量时，获取所述待分析网络流量中携带有与所述矿池库域名中相同域名的部分流量，得到新特征信息，并利用所述Snort引擎建立与所述新特征信息相对应的新IPS检测规则，且将所述新IPS检测规则新增进原有的IPS检测规则中。


5.一种被虚拟货币挖矿的检测系统，其特征在于，包括：
IPS检测规则建立单元，用于利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则；
域名库建立单元，用于收集所有已知矿池的域名，并建立矿池域名库；
多方式分析检测单元，用于分别利用所述IPS检测规则和所述矿...

【专利技术属性】
技术研发人员：孟翔，张斌，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44