本发明专利技术公开了一种阶层式加密货币的挖矿行为识别方法及系统,涉及网络空间安全技术领域。包括收集园区网络内的原始混杂流量;按照协议类型,将流量分为DNS数据包及非DNS数据包;利用基于词素的方法对DNS请求域名进行早期识别与推理;利用Sketch对非DNS数据包进行分流与筛选;利用机器学习方法对筛选后的流进行最终识别;根据识别结果,更新挖矿行为知识库。本发明专利技术能够从域名请求阶段和数据传输阶段分阶层识别挖矿流量,利用基于词素的方法实现挖矿行为的早期快速识别;利用Sketch降低了机器学习模型的处理开销,提高了整体模型的分析效率。效率。效率。
【技术实现步骤摘要】
一种阶层式加密货币的挖矿行为识别方法及系统
[0001]本专利技术涉及网络空间安全
,尤其涉及一种阶层式加密货币的挖矿行为识别方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
[0003]随着加密货币价格的暴涨,加密货币的挖掘引发了巨大关注,这其中也包含了大量恶意行为者利用不法手段谋利的情况。为了消除挖矿行为带来的网络安全威胁,研究者们提出了一些识别方法来用于挖矿行为的监管。
[0004]这些方法主要分为三种,其一是通过在主机上部署可以监测硬件状态或者检测系统调用的进程特征码的应用来推测该主机是否发生了挖矿行为。这种方案的弊端是需要管理者主动安装该应用,很容易逃避监管。
[0005]其二是通过分析通信内容(如DPI分析),提取网络流量数据包中的负载信息进行相关的信息识别。由于该方法可以对流量负载内容中的矿池通信协议特征进行识别,因此可以准确地判断挖矿行为的存在。但是这种方案存在两个主要问题,一是提取负载信息会消耗大量的资源进而降低检测速度;二是在区块链匿名性的加强和多方维护的设计下,大多数加密货币都采用TLS等协议进行加密通信,这导致基于分析通信内容的分析的方法不再有效。
[0006]其三是通过收集大量挖矿通信流量提取特征后训练机器学习模型,然后利用该模型来判断网络数据中是否包含挖矿流量。这种解决方案由于其准确率高、可靠性强等优势而被广泛使用,但仍存在问题,一是识别过程中通常需要分析大量的样本才能做出可靠判断,进而很难在挖矿行为刚发生的时及时响应;二是该方法需要大量的数据对机器学习模型进行训练,而数据集的好坏直接决定了模型的优劣。
[0007]因此,现有方法对于早期挖矿行为的识别效果均不够理想,如何高效率高准确度识别早期挖矿行为成为亟待解决的问题之一。
技术实现思路
[0008]针对现有技术存在的不足,本专利技术的目的是提供一种阶层式加密货币的挖矿行为识别方法及系统,本专利技术引入了词素与Sketch,并利用阶层式结构,实现对加密货币挖矿行为的早期快速识别。其中,词素在本专利技术中被定义为域名字符串中具有一定语义或语法功能的最小单位(只考虑字符串长度大于2的词素);而Sketch是一种高效且具有稳定误差边界的数据结构。
[0009]为了实现上述目的,本专利技术是通过如下的技术方案来实现:
[0010]本专利技术第一方面提供了一种阶层式加密货币的挖矿行为识别方法,包括以下步骤:
[0011]收集园区网络内的原始混杂流量;
[0012]按照网络内原始流量协议类型,将流量分为DNS数据包及非DNS数据包;
[0013]利用基于词素的方法对DNS请求域名进行早期识别与推理,判断其是否为挖矿域名,若为挖矿域名,则将访问此域名的流量判断为挖矿流量;
[0014]利用Sketch对非DNS数据包进行分流与筛选,将大概率为非挖矿流量的数据流剔除;
[0015]利用机器学习方法对筛选后的流进行最终识别,判断其是否为挖矿流量。
[0016]进一步的,DNS数据包分为应答数据包和请求数据包,使用哈希表存储请求数据包到达时间,并将应答数据包的到达时间映射到哈希表中同一位置以计算时间间隔信息,而后提取应答数据包中的DNS请求域名和对应IP地址信息。
[0017]进一步的,在识别阶段开始之前,需要收集挖矿域名,并根据挖矿域名生成挖矿域名正则表达式和词素信息,以用于建立挖矿行为知识库。
[0018]进一步的,利用机器学习方法对筛选后的流进行最终识别后,将挖矿流量清洗整理,并将对应域名和流量信息录入挖矿行为知识库,以实现挖矿行为知识库的在线更新。
[0019]更进一步的,当收到DNS请求域名信息时,首先去除域名字符串中的顶级域名,并进行词素分割;然后去除长度小于3的词素,获取词素集合;之后将词素集合与哈希表中的挖矿域名正则表达式进行正则匹配,若匹配成功,则判断该DNS请求域名为挖矿域名,否则,使用推理模型对该DNS请求域名进行推理。
[0020]更进一步的,推理模型会输出该域名为挖矿域名的置信度,若置信度超过第一阈值,则会将该域名判断为挖矿域名。
[0021]进一步的,利用Sketch对非DNS数据包进行分流与筛选得具体步骤为:利用Sketch将流ID相同的非DNS数据包归为一个数据流,并结合数据流的到达频率和持续时间对流进行重要性度量。
[0022]更进一步的,将流的初始重要程度值设置为一个定值,并对流的持续时间划分测量周期,若流在某个周期内的到达频率位于设定区间内,则增加其重要程度,反之则降低其重要程度;若流在某个周期内未出现过,则降低其重要程度;当流的包数达到K时,若流的重要程度低于第二阈值,则将流判断为非挖矿流量;若流的重要程度高于第二阈值,则将流判断为疑似挖矿流量,并记录疑似挖矿流量所有包的负载大小和到达时间信息以用于后续阶段的识别。
[0023]进一步的,利用机器学习模型对上一阶段筛选后的流进行识别,输入流前K个包的负载大小向量,输出模型对流的识别结果,判断其是否为挖矿流量。
[0024]本专利技术第二方面提供了一种阶层式加密货币的挖矿行为识别系统,包括:
[0025]流量收集模块,被配置为收集园区网络内的原始混杂流量;
[0026]流量分类模块,被配置为按照网络内原始流量协议类型,将流量分为DNS数据包及非DNS数据包;
[0027]域名识别推理模块,被配置为利用基于词素的方法对DNS请求域名进行早期识别与推理,判断其是否为挖矿域名,若为挖矿域名,则将访问此域名的流量判断为挖矿流量;
[0028]统计规则模块,被配置为利用Sketch对非DNS数据包进行分流与筛选,将大概率为非挖矿流量的数据流剔除;
[0029]机器学习模块,被配置为利用机器学习方法对筛选后的流进行最终识别,判断其是否为挖矿流量。
[0030]以上一个或多个技术方案存在以下有益效果:
[0031]本专利技术收集园区网络内的原始混杂流量,并按照流量协议类型将其分为DNS数据包及非DNS数据包;同时利用基于词素的方法对DNS请求域名进行识别与推理,判断其是否为挖矿域名,若为挖矿域名,则将访问此域名的流量判断为挖矿流量;然后利用Sketch对非DNS数据包进行分流与筛选,将大概率为非挖矿流量的数据流剔除;最后利用机器学习方法对筛选后的流进行识别,并根据识别结果,更新挖矿行为数据库,完成分析。与现有技术相比,本专利技术利用基于词素的方法实现挖矿行为的早期快速识别;利用Sketch降低了机器学习模型的处理开销,提高了整体模型的分析效率。
[0032]本专利技术通过公开一种阶层式加密货币的挖矿行为识别方法及系统,克服了现有模型过度依赖于数据集质量和数量的缺陷,在挖矿行为刚发生时能够及时响应。并且能够在加密通信的情况下依旧实现挖矿行为的准确识别,不受通信协议的限制,具有显著的普适性。
[0033]本专利技术附加方面的优点将在下面的描述中部分本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种阶层式加密货币的挖矿行为识别方法,其特征在于,包括以下步骤:收集园区网络内的原始混杂流量;按照网络内原始流量协议类型,将流量分为DNS数据包及非DNS数据包;利用基于词素的方法对DNS请求域名进行早期识别与推理,判断其是否为挖矿域名,若为挖矿域名,则将访问此域名的流量判断为挖矿流量;利用Sketch对非DNS数据包进行分流与筛选,将大概率为非挖矿流量的数据流剔除;利用机器学习方法对筛选后的流进行最终识别,判断其是否为挖矿流量。2.如权利要求1所述的阶层式加密货币的挖矿行为识别方法,其特征在于,DNS数据包分为应答数据包和请求数据包,使用哈希表存储请求数据包到达时间,并将应答数据包的到达时间映射到哈希表中同一位置以计算时间间隔信息,而后提取应答数据包中的DNS请求域名和对应IP地址信息。3.如权利要求1所述的阶层式加密货币的挖矿行为识别方法,其特征在于,在识别阶段开始之前,需要收集挖矿域名,并根据挖矿域名生成挖矿域名正则表达式和词素信息,以用于建立挖矿行为知识库。4.如权利要求1所述的阶层式加密货币的挖矿行为识别方法,其特征在于,利用机器学习方法对筛选后的流进行最终识别后,将挖矿流量清洗整理,并将对应域名和流量信息录入挖矿行为知识库,以实现挖矿行为知识库的在线更新。5.如权利要求2所述的阶层式加密货币的挖矿行为识别方法,其特征在于,当收到DNS请求域名信息时,首先去除域名字符串中的顶级域名,并进行词素分割;然后去除长度小于3的词素,获取词素集合;之后将词素集合与哈希表中的挖矿域名正则表达式进行正则匹配,若匹配成功,则判断该DNS请求域名为挖矿域名,否则,使用推理模型对该DNS请求域名进行推理。6.如权利要求5所述的阶层式加密货币的挖矿行为识别方法,其特征在于,推理模型会输出该域名为挖矿域名...
【专利技术属性】
技术研发人员:彭立志,郝逸航,吕梦达,李辉,
申请(专利权)人:济南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。