【技术实现步骤摘要】
一种基于流量分析的挖矿木马检测系统
本专利技术涉及计算机网络安全领域领域,尤其涉及一种基于流量分析的挖矿木马检测系统。
技术介绍
区块链是一个巨大的去中心化账本,而在去中心化的体系中,各参与节点的地位平等,为了维护区块链在各个节点的一致性,区块链系统需要各节点遵循相同的共识机制以达成共识。一种被广泛采用的共识机制是中本聪在2009年提出的工作量证明(PoW)机制,参与区块链网络的节点用计算机的计算能力(以下简称算力)来进行“难题计算”得到符合难度要求的随机数答案,如果计算出了答案并被全网认证,该节点就拥有该区块的产生权和记账权,并会获得一笔数字加密货币收益,这笔不菲的收益激励着矿工在区块链系统中投入大量的算力,以此来维护工作量证明区块链系统的一致性与不可篡改性。恶意挖矿行为,就是在用户不知情或未经允许的情况下,占用用户终端设备的硬件资源和软件资源进行挖矿,从而获取数字加密货币牟利。恶意挖矿行为由攻击者植入挖矿木马发起,通常可以发生在用户的个人电脑、企业网站或服务器、个人手机、网络路由器等设备上。随着近年来数字加密货币...
【技术保护点】
1.一种基于流量分析的挖矿木马检测系统,其特征在于,包括连接矿池挖矿木马行为检测子系统和p2p挖矿网络挖矿木马行为检测子系统。/n
【技术特征摘要】
1.一种基于流量分析的挖矿木马检测系统,其特征在于,包括连接矿池挖矿木马行为检测子系统和p2p挖矿网络挖矿木马行为检测子系统。
2.如权利要求1的基于流量分析的挖矿木马检测系统,其特征在于,所述连接矿池挖矿木马行为检测子系统,包括静态流量的矿池挖矿木马检测模块、动态流量的矿池挖矿木马检测模块,使用签名特征检测的方法,对流量过滤及定位到数据字段后,匹配特殊字符串,所述特殊字符串包括method、params、mining、difficulty、blob、nonce,生成检测报告,发出警告并记录到日志文件中。
3.如权利要求2所述的基于流量分析的挖矿木马检测系统,其特征在于,所述静态流量的矿池挖矿木马检测模块的输入,为静态流量pcap包。
4.如权利要求2所述的基于流量分析的挖矿木马检测系统,其特征在于,所述动态流量的矿池挖矿木马检测模块的输入,为根据选定的网卡,开启抓取数据包功能抓取到的pcap包。
5.如权利要求2所述的基于流量分析的挖矿木马检测系统,其特征在于,所述接矿池挖矿木马行为检测子系统,包括如下工作步骤:
步骤101、过滤掉总长度小于80字节的数据包;
步骤102、再次对数据包进行过滤,留下使用TCP/IP协议的满足长度要求的数据包,再读取出TCP报头的长度,通过三个协议头部的长度来定位数据段的起始位置;
步骤103、提取数据包的数据字段部分,根据json匹配规则对字符串进行预处理,使用字符串函数对目标字段进行查找,所述目标字段包括method、params、mining、difficulty、blob、nonce;
步骤104、统计检测到的挖矿IP地址和通信量,生成统计报告,给出进行过挖矿行为的IP地址列表和通信量的统计结果,并对IP地址给出封禁或者审查的建议。
6.如权利要求1所述的基于流量分析的挖矿木马检测系统,其特征在于,所述p2p挖矿网络挖矿木马行为检测子系统,包括静态流量的p2p网络挖矿木马检测模块、动态流量的p2p网络挖矿木马检测模块,输入pcap包数据经过过滤后根据网络流的定义将其提取为网络流数据,并统计其特征,根据所述特征进行Affin...
【专利技术属性】
技术研发人员:邹福泰,裘炜程,马兴华,胡秉晖,唐俊华,李林森,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。