一种加密货币网络挖矿流量检测方法,首先根据流量样本构建训练用于检测挖矿流量的深度学习模型;并镜像待检测加密货币网络流量数据,以会话为单位获取原始流量数据中流量报文的流特征;然后基于时间窗口提取一定时间内多个流量报文的总体数据特征,形成时间窗口特征序列;最后通过构建的深度学习模型对多个时间窗口特征序列进行检测,判断该会话流量是否为矿池内矿工挖矿会话流量。该方法采用深度学习模型学习网络流量的流特征,解决了传统方法只能检测明文通信流量的局限性,具有可扩展性;同时,基于时间窗口提取流量特征,一定程度上避免了加密通信的影响,整体上提高了挖矿流量检测的识别能力和效率。检测的识别能力和效率。检测的识别能力和效率。
【技术实现步骤摘要】
一种加密货币网络挖矿流量检测方法
[0001]本专利技术属于流量检测
,具体涉及一种加密货币网络挖矿流量检测方法。
技术介绍
[0002]随着加密货币市场行情上扬,越来越多的非法分子采取非正规的方式利用挖矿手段牟利,在未经同意的情况下利用受害者的计算能力和带宽进行挖矿,不仅给受害者造成了严重的经济损失,还带来了安全威胁。
[0003]目前主流的挖矿方式是矿池挖矿,矿工通过加入矿池以获得稳定的收益,然而大多数矿池已支持加密通信,传统基于特征的手段难以有效应对。而且随着挖矿技术的不断提升,攻击者的手段的多样化,比如代理转发,这些对抗手段对基于机器学习的方法造成了一定的影响,导致挖矿行为的检测越来越困难。
技术实现思路
[0004]本专利技术所要解决的技术问题是克服现有技术的不足,提供一种加密货币网络挖矿流量检测方法,解决了传统方法只能检测明文通信流量的局限性,具有可扩展性;同时,基于时间窗口提取流量特征,避免了加密通信的影响,提高了挖矿流量检测的识别能力和效率。
[0005]本专利技术提供一种加密货币网络挖矿流量检测方法,包括如下步骤,
[0006]步骤S1.获取矿池内矿工挖矿的流量样本,根据流量样本构建训练用于检测挖矿流量的深度学习模型;
[0007]步骤S2.镜像待检测加密货币网络流量数据,以会话为单位获取原始流量数据中流量报文的流特征;
[0008]步骤S3.根据流量报文的流特征,基于时间窗口提取时间段内多个流量报文的总体数据特征,形成时间窗口特征序列;
[0009]步骤S4.通过深度学习模型对时间窗口特征序列进行检测,判断该会话流量是否为矿池内矿工挖矿会话流量;
[0010]步骤S5.对于识别出的挖矿会话流量,根据该会话数据包定位源主机IP,根据该源主机访问的DNS流量检测出矿池地址。
[0011]作为本专利技术的进一步技术方案,步骤S1中,矿池内矿工挖矿的流量样本包括矿池中矿工与矿池服务器的通信流量,并根据通信流量的通信协议的类型作为分类的类别,利用矿池通信流量样本训练深度学习模型。
[0012]进一步的,步骤S2中,对镜像后的流量数据,依次处理每一个IP对、端口对下的流量报文,基于持续与相邻时间窗口对流量数据包进行划分,将通信双方的双向数据流组合成会话;
[0013]在持续时间窗口上,记录会话第一个流量报文与最新流量报文之间的时间间隔,若超过指定阈值,则结束当前会话;
[0014]在相邻时间窗口上,记录当前流量报文与会话中的前一流量报文的时间间隔,若超过指定阈值则结束当前会话;
[0015]对每个流量报文提取所需的流特征,最终按照时间顺序整理会话单元中每个流量报文,将原始流量数据转换为统一有序的数据格式。
[0016]进一步的,步骤S3中,将每一个包含n个流量报文的会话定义为其中,为在t
i
时间的流量报文;
[0017]基于时间窗口ε设定一个特征提取的时间区间,对属于区间的所有流量报文提取总体数据特征,其中,为开始时间,且总体数据特征是指每个时间区间内所有流量报文提取的流特征;最终根据时间窗口将会话数据分为多个时间窗口特征序列。
[0018]进一步的,步骤S4中,将基于时间窗口提取的流量报文的数据特征依次输入到双向循环神经网络,学习时间窗口特征序列之间的时序关系,将双向循环神经网络输出的新特征向量作为各时间窗口的特征;
[0019]利用Attention机制提取重要时间窗口的特征信息;最后经过输出层得到会话流量是否属于挖矿会话流量。
[0020]进一步的,步骤S5中,根据所识别的挖矿会话流量,定位出源主机IP及其访问的DNS流量数据,再将DNS流量数据访问的目标域名存储到矿池域名库,矿池域名库实时检测DNS流量数据,当源主机访问目标域名属于矿池地址时,提取源主机访问的源地址并对其之后的挖矿通信行为进行实时阻断。
[0021]本专利技术的优点在于,通过会话还原技术保留了流量数据时序特征;在会话的基础上基于时间窗口提取所包含流量报文的间隔时间、数据包大小和数量等总体流量特征,最后利用双向循环神经网络和Attention结合的深度学习模型学习时间窗口序列的关联信息,最终得出分类鉴别结果。该方法采用深度学习模型学习网络流量的流特征,解决了传统方法只能检测明文通信流量的局限性,具有可扩展性;同时,基于时间窗口提取流量特征,避免了加密通信的影响,整体上提高了挖矿流量检测的识别能力和效率。
附图说明
[0022]图1为本专利技术的方法流程图;
[0023]图2为本专利技术的深度学习模型结构图;
[0024]图3为本专利技术的实施例中加密货币网络挖矿流量检测程序的逻辑图。
具体实施方式
[0025]请参阅图1,本实施例提供本专利技术一种加密货币网络挖矿流量检测方法,包括如下步骤,
[0026]步骤S1.获取矿池内矿工挖矿的流量样本,根据流量样本构建训练用于检测挖矿流量的深度学习模型;
[0027]步骤S2.镜像待检测加密货币网络流量数据,以会话为单位获取原始流量数据中流量报文的流特征;
[0028]步骤S3.根据流量报文的流特征,基于时间窗口提取时间段内多个流量报文的总体数据特征,形成时间窗口特征序列;
[0029]步骤S4.通过深度学习模型对时间窗口特征序列进行检测,判断该会话流量是否为矿池内矿工挖矿会话流量;
[0030]步骤S5.对于识别出的挖矿会话流量,根据该会话数据包定位源主机IP,根据该源主机访问的DNS流量检测出矿池地址。
[0031]以下对该方法各步骤进行详细说明。
[0032]步骤S1中,获取的矿池内矿工挖矿的流量样本包括不同矿池中矿工与矿池服务器的通信流量,由于矿工和矿池服务器之间的通信协议是固定的,常见的挖矿通信协议包括:getwork协议、stratum协议等。因此可以将不同通信协议作为分类的类别,利用包含了多种挖矿通信协议的矿池通信流量样本训练的深度学习模型,如图2所示;本实施例中,所述深度学习模型包括双向循环神经网络、Attention机制和输出层;输出层采用softmax分类器。
[0033]步骤S2中,镜像待检测加密货币网络流量数据后,以会话为单位还原提取TCP流量;具体地,对镜像后的流量数据,依次处理每一个特定IP对、特定端口对下的流量报文,基于持续与相邻时间窗口对不同流量数据包进行划分,将通信双方的双向数据流组合成会话;
[0034]在持续时间窗口上,记录会话第一个流量报文与最新流量报文之间的时间间隔,如果超过指定阈值则结束当前会话,其中阈值的设定与加密货币网络的出块时间相关;
[0035]在相邻时间窗口上,记录当前流量报文与会话中的前一流量报文的时间间隔,如果超过指定阈值则结束当前会话,本实施例中指定阈值取64s。
[0036]对每个流量报文提取所需的流特征,主要包括负载大小、传输方向、间隔时间、标志位信息等,最终按照时间顺序整理会话单元中本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种加密货币网络挖矿流量检测方法,其特征在于,包括如下步骤,步骤S1.获取矿池内矿工挖矿的流量样本,根据流量样本构建训练用于检测挖矿流量的深度学习模型;步骤S2.镜像待检测加密货币网络流量数据,以会话为单位获取原始流量数据中流量报文的流特征;步骤S3.根据流量报文的流特征,基于时间窗口提取时间段内多个流量报文的总体数据特征,形成时间窗口特征序列;步骤S4.通过深度学习模型对时间窗口特征序列进行检测,判断该会话流量是否为矿池内矿工挖矿会话流量;步骤S5.对于识别出的挖矿会话流量,根据该会话数据包定位源主机IP,根据该源主机访问的DNS流量检测出矿池地址。2.根据权利要求1所述的一种加密货币网络挖矿流量检测方法,其特征在于,所述步骤S1中,矿池内矿工挖矿的流量样本包括矿池中矿工与矿池服务器的通信流量,并根据通信流量的通信协议的类型作为分类的类别,利用矿池通信流量样本训练深度学习模型。3.根据权利要求1所述的一种加密货币网络挖矿流量检测方法,其特征在于,所述步骤S2中,对镜像后的流量数据,依次处理每一个IP对、端口对下的流量报文,基于持续与相邻时间窗口对流量数据包进行划分,将通信双方的双向数据流组合成会话;在持续时间窗口上,记录会话第一个流量报文与最新流量报文之间的时间间隔,若超过指定阈值,则结束当前会话;在相邻时间窗口上,记录当前流量报文与会话中的前一流量报文的时间间隔,若超过指定阈值...
【专利技术属性】
技术研发人员:陈钟,李青山,高健博,任立峰,向鹏,
申请(专利权)人:博雅正链北京科技有限公司博雅正链重庆科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。