【技术实现步骤摘要】
基于应用层通信协议的挖矿木马检测方法、装置及设备
[0001]本申请涉及通信
,尤其涉及到一种基于应用层通信协议的挖矿木马检测方法、装置及设备。
技术介绍
[0002]近年来由于虚拟货币区块链等技术的发展,以及虚拟货币的价格持续上涨,原本用于DDoS攻击或垃圾邮件的僵尸网络又新增了一种新的变现途径:虚拟货币“挖矿”。一些被攻陷的主机常常也被植入挖矿木马,这些被植入挖矿木马的主机在挖矿的过程中疯狂执行没有意义的运算,挤占服务器资源,影响正常业务,耗费电力资源。所以有效地发现系统中的挖矿木马是当下网络安全行业重点需求。
[0003]各网络安全厂商为此研发了许多种方法和产品,行业内现有的发现挖矿木马的主要方式有三种,一是观察系统内是否存在持续占用CPU过高的进程;二是观察系统内是否有与远程矿池通信的行为;三是通过挖矿程序与远程服务的通信内容判断。但这三种方法都有缺点,观察持续硬件资源占用过高会导致误报,因为正常业务也有可能出现持续硬件资源高占用的情况;观察是否存在与矿池通信的方法容易导致漏报,因为判断远程服务是否为矿...
【技术保护点】
【技术特征摘要】
1.一种基于应用层通信协议的挖矿木马检测方法,其特征在于,包括:获取网络流量数据,所述网络流量数据中包含多个加密的TCP网络链接;基于挖矿程序应用层通信协议的第一预设特征分析所述网络流量数据,在所述网络流量数据中提取可疑网络链接,所述可疑网络链接中携带有可疑远端网络服务地址;向所述可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,并接收所述可疑远端网络服务地址反馈的网络响应报文;判断所述网络响应报文的第二报文特征是否与所述挖矿程序应用层通信协议的第二预设特征匹配,若是,则确定所述可疑网络链接为挖矿木马通信网络链接,并根据所述挖矿木马通信网络链接确定挖矿木马信息。2.根据权利要求1所述的方法,其特征在于,所述第一预设特征包括网络报文收发频率特征、报文长度特征;所述基于挖矿程序应用层通信协议的第一预设特征分析所述网络流量数据,在所述网络流量数据中提取可疑网络链接,包括:将所述网络流量数据解析还原成结构化日志,并根据所述结构化日志分析得到基于TCP层的第一报文特征;计算所述第一报文特征与挖矿程序应用层通信协议对应第一预设特征的第一特征相似度;在所述第一报文特征中提取对应所述第一特征相似度等于第一预设阈值的目标报文特征,将所述目标报文特征对应的TCP网络链接标记为可疑网络链接。3.根据权利要求1所述的方法,其特征在于,所述向所述可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,并接收所述可疑远端网络服务地址反馈的网络响应报文,包括:利用模拟程序集合中各个预设虚拟货币类型对应挖矿木马的通信行为模拟程序,分别与所述可疑远端网络服务地址创建带加密的TCP链接,并基于所述带加密的TCP链接向所述可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,以及接收所述可疑远端网络服务地址反馈的网络响应报文。4.根据权利要求3所述的方法,其特征在于,所述第二预设特征包括预设报文格式特征,所述判断所述网络响应报文的第二报文特征是否与所述挖矿程序应用层通信协议的第二预设特征匹配,包括:提取各个所述通信行为模拟程序所接收网络响应报文的第二报文特征;计算各个所述第二报文特征与所述第二预设特征的第二特征相似度;判断所述网络响应报文中是否存在对应所述第二特征相似度大于第二预设阈值的目标网络响应报文;若是,则判断所述目标网络响应报文的报文特征与所述挖矿程序应用层通信协议的第二预设特征匹配。5.根据权利要求4所述的方法,其特...
【专利技术属性】
技术研发人员:张晓坤,
申请(专利权)人:杭州薮猫科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。