【技术实现步骤摘要】
一种检测挖矿虚拟货币的方法、设备及存储介质
本专利技术涉及虚拟货币挖矿检测领域,特别涉及一种检测挖矿虚拟货币的方法、设备及存储介质。
技术介绍
随着虚加密货币价格增长,挖矿已经成为了网络黑产团伙在入侵服务器之后最直接的变现手段。网络中出现大量挖矿木马、蠕虫入侵服务器,盗取服务器资源进行挖矿活动。怎么能精准快速发现网络中存在的挖矿行为,成为网络运营人员非常重要的一个工作。挖矿一般采用Stratum、GetWork、GetBlockTemplate协议,目前的方案主要是采用特征签名的方式,识别出挖矿协议。比如利用IPS基于签名的匹配技术识别出挖矿行为,判断应用程序是否访问了虚拟货币矿池相关的域名,导致目前的挖矿方式存在以下缺陷:1、攻击者为了逃避基于特征签名技术的检测方法,在挖矿协议通信过中加入混淆技术,导致基于签名的检测技术无效,甚至很多攻击已经开始利用https加密挖矿通信流量,目前的检测方案无法检测出利用https加密的挖矿行为。2、只判断应用虚拟货币矿池节点域名会存在大量的误报,比如一般虚拟货币矿...
【技术保护点】
1.一种检测挖矿虚拟货币的方法,其特征在于,包括如下步骤:/nS1、获取若干个虚拟货币矿池的挖矿地址,以形成一虚拟货币矿池情报库;/nS2、使用卷积神经网络对所述虚拟货币矿池情报库中的所有矿池域名进行训练,生成虚拟货币矿池域名AI检测模型;/nS3、获取采集的DNS请求中的DNS元数据以及Netflow流信息,将所述DNS元数据中请求的域名与虚拟货币矿池情报库进行域名匹配,并在匹配成功时,将请求的域名对应的IP地址以及请求的域名在虚拟货币矿池情报库中对应的端口与Netflow流信息进行比较,以判断出是否存在挖矿行为;/nS4、当域名匹配不成功时,利用所述AI检测模型对所述请...
【技术特征摘要】
1.一种检测挖矿虚拟货币的方法,其特征在于,包括如下步骤:
S1、获取若干个虚拟货币矿池的挖矿地址,以形成一虚拟货币矿池情报库;
S2、使用卷积神经网络对所述虚拟货币矿池情报库中的所有矿池域名进行训练,生成虚拟货币矿池域名AI检测模型;
S3、获取采集的DNS请求中的DNS元数据以及Netflow流信息,将所述DNS元数据中请求的域名与虚拟货币矿池情报库进行域名匹配,并在匹配成功时,将请求的域名对应的IP地址以及请求的域名在虚拟货币矿池情报库中对应的端口与Netflow流信息进行比较,以判断出是否存在挖矿行为;
S4、当域名匹配不成功时,利用所述AI检测模型对所述请求的域名进行检测;
S5、当检测出所述请求的域名为高可疑矿池域名时,利用预设的矿池服务探测组件进行服务扫描,并将扫描获取的端口以及请求的域名对应的IP地址与Netflow流信息进行比较,以判断出是否存在挖矿行为。
2.根据权利要求1所述的检测挖矿虚拟货币的方法,其特征在于,所述步骤S3具体包括:
S31、获取采集的NDS请求中的DNS元数据以及Netflow流信息;
S32、将所述DNS元数据中请求的域名的全域名与虚拟货币矿池情报库进行全域名匹配,如果匹配成功,则将请求的域名对应的IP地址以及请求的域名在虚拟货币矿池情报库中对应的端口与Netflow流信息进行比较,以判断出是否存在挖矿行为;
S33、当全域名匹配不成功时,将所述DNS元数据中请求的域名的一级域名和二级域名与虚拟货币矿池情报库进行分级域名匹配,如果匹配成功,则将请求的域名对应的IP地址以及请求的域名在虚拟货币矿池情报库中对应的端口与Netflow流信息进行比较,以判断出是否存在挖矿行为。
3.根据权利要求2所述的检测挖矿虚拟货币的方法,其特征在于,所述步骤S32和步骤S33中,判断是否存在挖矿行为的方法为:
当Netflow流信息中的目的IP地址等于所述请求的域名对应的IP地址,且所述Netflow流信息中的目的端口等于所述请求的域名在虚拟货币矿池情报库中对应的端口时,判断存在挖矿行为;否则判断不存在挖矿行为。
4.根据权利要求1所述的检测挖矿虚拟货币的方法,其特征在于,所述步骤S5具体包括:
当检测出所述请求的域名...
【专利技术属性】
技术研发人员:曾祥禄,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。