对挖矿行为的检测方法及系统技术方案

本发明专利技术涉及流量分析技术领域，具体涉及一种对挖矿行为的检测方法及系统，包括：步骤S1：获取用户设备发送的上行信息流，对所述上行信息流进行解析得到待判别报文；步骤S2：判断所述待判别报文是否为DNS报文；若是，转向步骤S3；若否，返回所述步骤S1，以获取下一个所述待判别报文；步骤S3：判断关联于所述DNS报文的待访问域名是否为挖矿服务器域名并生成判别结果。有益效果在于：通过对用户设备的上行信息流进行获取能够截取到用户设备中请求DNS的报文，进而解析得到进行DNS请求的域名。由于常见的挖矿软件需要在运行时连接到特定的矿池再进行挖矿行为，因此通过DNS报文中的域名进行识别能够较为有效地判断出用户设备中是否存在对应的挖矿行为。

【技术实现步骤摘要】

本专利技术涉及流量分析，具体涉及一种对挖矿行为的检测方法及系统。

技术介绍

1、虚拟货币“挖矿”活动指通过专用“矿机”计算生产虚拟货币的过程，其通过解决密码学难题来验证和记录虚拟货币交易,并依照特定的机制产生虚拟代币作为奖励。随着该类活动的发展，恶意挖矿软件攻击也应运而生。恶意挖矿软件攻击，通常是通过计算机病毒等方式，在用户的计算机设备中安装恶意挖矿软件，通过在后台静默运行特定的挖矿程序来牟利。

2、现有技术中，已存在有基于计算机技术来对恶意挖矿软件进行检测的技术方案。比如，中国专利cn201910516609.7公开了一种挖矿木马的检测方法及装置，包括：接收多个客户端上传的用户行为日志；将各个命令行与预置规则进行匹配，以从各个命令行中提取各个命令行中包含的关键词；对多个关键词进行统计处理，以确定高危关键词；当接收到待检测用户行为日志时，将待检测用户行为日志中包含的多个待检测命令行与预置规则进行匹配，以从各个待检测命令行中提取各个待检测命令行中包含的待检测关键词；当判定待检测关键词为高危关键词时，将待检测关键词所在待检测命令行确定为挖矿木马命令本文档来自技高网...

【技术保护点】

1.一种对挖矿行为的检测方法，适用于网关，其特征在于，包括：

2.根据权利要求1所述的检测方法，其特征在于，所述步骤S1包括：

3.根据权利要求1所述的检测方法，其特征在于，所述步骤S2包括：

4.根据权利要求1所述的检测方法，其特征在于，所述步骤S3包括：

5.根据权利要求4所述的检测方法，其特征在于，于执行所述步骤S1之前还包括域名库生成过程，所述域名库生成过程包括：

6.一种对挖矿行为的检测系统，适用于网关，其特征在于，用于实施如权利要求1-5任意一项所述的检测方法，包括：

7.根据权利要求6所述的检测系统，其...

【技术特征摘要】

1.一种对挖矿行为的检测方法，适用于网关，其特征在于，包括：

2.根据权利要求1所述的检测方法，其特征在于，所述步骤s1包括：

3.根据权利要求1所述的检测方法，其特征在于，所述步骤s2包括：

4.根据权利要求1所述的检测方法，其特征在于，所述步骤s3包括：

5.根据权利要求4所述的检测方法，其特征在于，于执行所述步骤s1之前还包括域名库生成过程，所述域名库生成过程包括：

6.一种对挖矿...

【专利技术属性】
技术研发人员：管曙骥，熊清新，喻光义，曹磊，李和平，
申请(专利权)人：上海寰创网络科技有限公司，
类型：发明
国别省市：