【技术实现步骤摘要】
本申请涉及流量监控,特别是涉及一种基于流量分析的挖矿加密流量监控方法、装置及存储介质。
技术介绍
1、矿机和矿池之间可以通过doh\dot的方式阻止监管方进行dns解析;通过对报文进行加密的方式,阻止监管方对报文内容进行监管;通过代理中转的方式,阻止监管方有针对性地对ip端口进行监管。
2、在这种情况下,为了对虚拟货币的挖矿行为进行监管和识别,针对加密流量的流量分析技术得到了应用。由于目前主流的挖矿方案均采用的是stratum协议,该协议比较简单,会话模式较为固定,因此通过建立流量分析模型来分析与加密流量信息相关的特征(例如时间间隔、正逆向包数量、正逆向字节数以及正逆向流长度等),可以对挖矿行为中产生的加密流量进行监控。
3、但是,为了对抗监控,有的矿机和矿池采用加密流量混淆的方式对抗流量分析。具体地,矿池代理(也即服务端)架设一个https网站,矿机可以运行爬虫不断访问服务端的网站,从而将访问网站的加密流量和挖矿的加密流量混合起来,从而导致很难通过建立流量分析模型来对挖矿的加密流量进行分析和监控。
4、针对上述的现有技术中存在的对于采用加密流量混淆方式产生的加密流量,无法通过流量分析对挖矿产生的加密流量进行监控的技术问题,目前尚未提出有效的解决方案。
技术实现思路
1、本公开的实施例提供了一种基于流量分析的挖矿加密流量监控方法、装置及存储介质,以至少解决现有技术中存在的对于采用加密流量混淆方式产生的加密流量,无法通过流量分析对挖矿产生的加密流量
2、根据本公开实施例的一个方面,提供了一种基于流量分析的挖矿加密流量监控方法,包括:确定作为监控对象的流量源和流量目标;获取在监控周期内与流量源和流量目标之间的加密流量相关的网络监控日志;利用预先设置的日志记录分类模型,确定网络监控日志中的各个日志记录所对应的日志记录分类信息,其中日志记录分类信息用于指示日志记录的日志记录类别;利用预先设置的基于隐藏的狄利克雷分配的主题模型,根据日志记录分类信息,确定与网络监控日志的隐藏主题相关的主题信息;以及根据主题信息,确定流量源和流量目标之间是否存在挖矿行为。
3、根据本公开实施例的另一个方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时由处理器执行以上所述的方法。
4、根据本公开实施例的另一个方面,还提供了一种基于流量分析的挖矿加密流量监控装置,包括:监控对象确定模块,用于确定作为监控对象的流量源和流量目标;网络监控日志获取模块,用于获取在监控周期内与流量源和流量目标之间的加密流量相关的网络监控日志;分类信息确定模块,用于利用预先设置的日志记录分类模型,确定网络监控日志中的各个日志记录所对应的日志记录分类信息,其中日志记录分类信息用于指示日志记录的日志记录类别;主题信息确定模块,用于利用预先设置的基于隐藏的狄利克雷分配的主题模型,根据日志记录分类信息,确定与网络监控日志的隐藏主题相关的主题信息;以及挖矿行为判定模块,用于根据主题信息,确定流量源和流量目标之间是否存在挖矿行为。
5、根据本公开实施例的另一个方面,还提供了一种基于流量分析的挖矿加密流量监控装置,包括:处理器;以及存储器,与处理器连接,用于为处理器提供处理以下处理步骤的指令:确定作为监控对象的流量源和流量目标;获取在监控周期内与流量源和流量目标之间的加密流量相关的网络监控日志;利用预先设置的日志记录分类模型,确定网络监控日志中的各个日志记录所对应的日志记录分类信息,其中日志记录分类信息用于指示日志记录的日志记录类别;利用预先设置的基于隐藏的狄利克雷分配的主题模型,根据日志记录分类信息,确定与网络监控日志的隐藏主题相关的主题信息;以及根据主题信息,确定流量源和流量目标之间是否存在挖矿行为。
6、在本公开实施例中,根据本实施例,利用预先设置的基于lda的主题模型,根据网络监控日志中的各个日志记录所对应的日志记录分类信息,确定与网络监控日志的隐藏主题相关的主题信息。并进一步根据该主题信息确定流量源和流量目标之间是否存在挖矿行为。从而通过这种方式,即便是对于混合流量,本公开利用lda模型也能够挖掘加密流量中所隐藏的语义结构,并基于此对加密流量中的挖矿行为进行评估。从而解决了现有技术中存在的对于采用加密流量混淆方式产生的加密流量,无法通过流量分析对挖矿产生的加密流量进行监控的技术问题。
7、从而,本公开的实施例进一步研究通过挖矿流量注入等技术,快速定位代理软件后台参与挖矿流量转发的服务域名、ip和端口。研究分析明文挖矿、密文挖矿等过程中矿机管理软件、矿场监控软件、挖矿软件等主流挖矿生态软件自身流量(非挖矿流量)特征,包括域名、ip、包统计、时间等特征,形成可不依赖矿池通信行为数据、仅依赖挖矿生态软件自身流量特征的挖矿活动发现技术。
本文档来自技高网...【技术保护点】
1.一种基于流量分析的挖矿加密流量监控方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在确定作为监控对象的流量源和流量目标之前,方法还包括:
3.根据权利要求2所述的方法,其特征在于,还包括:确定各个日志记录类别中,与挖矿行为相关的日志记录所占的比例。
4.根据权利要求3所述的方法,其特征在于,在确定作为监控对象的流量源和流量目标之前,方法还包括:
5.根据权利要求4所述的方法,其特征在于,构建并训练所述主题模型的操作,包括:
6.根据权利要求5所述的方法,其特征在于,利用预先设置的基于隐藏的狄利克雷分配的主题模型,根据所述日志记录分类信息,确定与所述网络监控日志的隐藏主题相关的主题信息的操作,包括:
7.根据权利要求6所述的方法,其特征在于,根据所述主题信息,确定所述流量源和流量目标之间是否存在挖矿行为的操作,包括:
8.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时由处理器执行权利要求1至7中任意一项所述的方法。
9.一种基于流量分
10.一种基于流量分析的挖矿加密流量监控装置,其特征在于,包括:
...【技术特征摘要】
1.一种基于流量分析的挖矿加密流量监控方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在确定作为监控对象的流量源和流量目标之前,方法还包括:
3.根据权利要求2所述的方法,其特征在于,还包括:确定各个日志记录类别中,与挖矿行为相关的日志记录所占的比例。
4.根据权利要求3所述的方法,其特征在于,在确定作为监控对象的流量源和流量目标之前,方法还包括:
5.根据权利要求4所述的方法,其特征在于,构建并训练所述主题模型的操作,包括:
6.根据权利要求5所述的方法,其特征在于,利用...
【专利技术属性】
技术研发人员:秘蓉新,李林,林绅文,史博轩,毛洪亮,赫飞奥,马秀娟,刘志丞,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。