一种基于配置文件检测挖矿失陷主机的方法技术

一种基于配置文件检测挖矿失陷主机的方法，属于网络安全的技术领域。该方法主要通过对监控主机的HTTP流量从流量当中筛选出配置文件，然后按照挖矿协议定义好的标准模块进行匹配算法进行准备匹配，匹配的相似度达到一定的阈值就可以确定筛选出的文件就是挖矿程序需要的配置文件，从而确认请求该配置文件的主机即为失陷主机。根据此规则能够捕捉到一些挖矿团伙使用的攻击脚本，具有良好的检测能力。并且由于该检测方案具有较高的特异性，在检测率准确的情况下暂时未发现误报。率准确的情况下暂时未发现误报。率准确的情况下暂时未发现误报。

【技术实现步骤摘要】
一种基于配置文件检测挖矿失陷主机的方法


[0001]本专利技术涉及一种基于配置文件检测挖矿失陷主机的方法，属于网络安全的


技术介绍

[0002]行业里面的黑客目前主要通过攻击客户内部的机器成功获取到服务器权限后通过在本地部署挖矿程序进行虚拟货币挖矿以谋取私利，传统的安全检测往往通过事后开始挖矿的动作才能检测发现主机已经被攻陷，由于现在普遍攻击手法采用自动化程序的方式进行扩散传播，对于部分主机已经被获取到服务器权限进行挖矿程序的部署未成功阶段，目前处理检测空白的区域。
[0003]常规的挖矿流程如下(见附图1)：
[0004]1、攻击服务器后控制该服务器；
[0005]2、受控制的服务器请求互联网获取挖矿套件；
[0006]3、服务器从互联网下载挖矿套件；
[0007]4、服务器沦为矿机，开启挖矿。
[0008]目前行业的主要检测方法仅仅是通过事后的主机进行挖矿后的行为即为第4阶段与事前的攻击阶段即第1阶段进行检测。但这种方式均存在如下缺点导致无法完全有效的识别：针对服务器被成功攻陷之后，开启挖矿进行挖矿程序之前的整个阶段都无法进行识别。

技术实现思路

[0009]本专利技术的目的是提供一种基于配置文件检测挖矿失陷主机的方法，通过检测挖矿程序使用HTTP协议从互联网拉取挖矿脚本的配置文件的方式能够准备识别准备开始挖矿的失陷主机，弥补恶意事件之前的检测空白阶段(即第3阶段)。实现上述目的，本专利技术采用以下技术方案：一种基于配置文件检测挖矿失陷主机的方法，包括以下步骤：
[0010]S1.文件筛选
[0011]通过协议审计的方式将当前网络当中的流量进行还原成HTTP请求的文本格式，需要通过对HTTP的请求头、请求体、响应头、响应体进行匹配从而识别当前流量是否为下载流量、下载的内容是否为文本内容格式；
[0012]S2.字符泛化与指纹提取
[0013]将配置文件做字符串处理，即通过文件筛选步骤后将识别的内容当中的HTTP的响应体内容进行保存并整体转化成json的通用格式；根据字符串的内容按照按格式规则进行提取，即使用通用字符串对文档当中的内容进行替换，最后提取出规则方法；
[0014]S3.匹配算法
[0015]通过将筛选后的待检测文件按照逐行读取的方式进行读取，以换行符为分界点；按照已经提取好的规则进行模糊匹配如果达到了命中比例阈值则定义为高可疑的安全事
件，命中比列＝命中的条目数据/所有的行数；
[0016]S4.匹配结果的报警模式
[0017]待筛选的数据通过匹配算法后存在3个输出结果；
[0018]结果1：未命中直接略过不产生任何告警的结果；
[0019]结果2：匹配命中比列＜70％的小部分匹配，则定义为高可疑产生告警类型A；结果3：匹配命中比列≥70％的大部分匹配，则定义为已失陷产生告警B；
[0020]S5.附加高风险命中规则及告警
[0021]高风险关键规则：每个字段都有明确标识是High Risk或者common risk的标签，命中带有High Risk标识字段的达到了高风险阈值比例，则触发高风险关键规则，进而发出已失陷的告警
[0022]本申请中的技术术语包括：
[0023]失陷主机：被黑客攻破成功后拿到服务器权限，用于谋求非法利益或者盗取数据的主机。
[0024]挖矿(Miner)：消耗计算资源来处理交易，确保网络安全以及保持网络中每个人的信息同步的过程。
[0025]本专利技术的有益效果为：该方法主要通过对监控主机的HTTP流量从流量当中筛选出配置文件，然后按照挖矿协议定义好的标准模块进行匹配算法进行准备匹配，匹配的相似度达到一定的阈值就可以确定筛选出的文件就是挖矿程序需要的配置文件，从而确认请求该配置文件的主机即为失陷主机。根据此规则能够捕捉到一些挖矿团伙使用的攻击脚本，具有良好的检测能力。并且由于该检测方案具有较高的特异性，在检测率准确的情况下暂时未发现误报。
附图说明
[0026]图1为常规挖矿的流程图。
[0027]图2为从原流量中筛选待检测样本图。
[0028]图3是一种基于配置文件检测挖矿失陷主机的方法的流程图。
[0029]图4为匹配算法的框图。
具体实施方式
[0030]下面结合附图和具体实施例，对本专利技术的技术方案进行具体说明。
[0031]本方案主要通过对监控主机的HTTP流量从流量当中筛选出一定格式的配置文件，然后按照挖矿协议定义好的标准模块进行一定的匹配算法进行准备匹配，匹配的相似度达到一定的阈值就可以确定筛选出的文件就是挖矿程序需要的配置文件，从而确认请求该配置文件的主机即为失陷主机。
[0032]业务处理流程主要的业务流程如下，先将标准的配置文件使用字符泛化的(即使用通用字符串对文档当中的内容进行替换)方式进行处理后形成一个通用的字符特征，将待检测的文件进行读取之后进行文件相似度的匹配达到一定的数量之后就进行报警提示为主机为失陷主机。
[0033]1.文件筛选
[0034]首先通过协议审计的方式将当前网络当中的流量进行还原成HTTP请求的文本格式，此处需要通过对HTTP的请求头、请求体、响应头、响应体进行匹配从而识别当前流量是否为下载流量、且下载的文件名为txt、cnf、json等格式，下载的内容是否为文本内容格式等方法对流量当中的文件进行筛选。
[0035]2.字符泛化与指纹提取
[0036]首先将配置文件做字符串处理，即通过文件筛选步骤之后，将识别的内容当中的HTTP的响应体内容进行保存，并整体转化成json的通用格式，根据字符串的内容按照按格式规则进行提取，即上述文档当中使用通用字符串对文档当中的内容进行替换，具体效果如下表格；最后能提取出规则方法。
[0037][0038]3.匹配算法
[0039]通过将筛选后的待检测文件按照逐行读取的方式进行读取，以换行符为分界点；按照已经提取好的规则进行模糊匹配如果达到了命中比例阈值就可以定义为高可疑的安全事件，命中比列＝命中的条目数据/所有的行数；
[0040]通过匹配的到的结果定义二种报警模式：待筛选的数据通过下面的匹配算法存在3个输出结果；结果1：直接pass不产生任何告警的结果；结果2：部分匹配、匹配命中的比例<70％则定义为高风险、产生告警类型A；结果3：大部分匹配、匹配命中比列≥70％，则定义为已失陷，产生告警B。
[0041]另外每个字段都有明确标识是High Risk或者common risk的标签，若命中了高风险关键规则即命中带有High Risk标识字段的达到了高风险阈值比例m(m为0
‑
1的区间)可以直接定义为已失陷。
[0042][0043]命中带有High Risk标识字段的比例达到了高风险阈值比例m，则触发高风险关键规则，进而发出已失陷的告警。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于配置文件检测挖矿失陷主机的方法，其特征在于，包括以下步骤：S1.文件筛选通过协议审计的方式将当前网络当中的流量进行还原成HTTP请求的文本格式，需要通过对HTTP的请求头、请求体、响应头、响应体进行匹配从而识别当前流量是否为下载流量、下载的内容是否为文本内容格式；S2.字符泛化与指纹提取将配置文件做字符串处理，即通过文件筛选步骤后将识别的内容当中的HTTP的响应体内容进行保存并整体转化成json的通用格式；根据字符串的内容按照按格式规则进行提取，即使用通用字符串对文档当中的内容进行替换，最后提取出规则方法；S3.匹配算法通过将筛选后的待检测文件按照逐行读取的方式进行读取，以换行符为分界点...

【专利技术属性】
技术研发人员：张潮，詹全忠，沈智镔，邹希，陈真玄，蒲大峰，
申请(专利权)人：水利部信息中心，
类型：发明
国别省市：