【技术实现步骤摘要】
本专利技术涉及信息安全,具体涉及一种针对使用wasm的加密货币挖掘的检测方法。
技术介绍
1、wasm(webassembly)是一种新的编码方式,可以在现代的网络浏览器中运行。它具有紧凑的二进制格式,可以接近原生的性能运行,并为诸如c/c++等语言提供一个编译目标,以便它们可以在web上运行。它也被设计为可以与javascript共存,允许调用javascript接口,可以弥补性能需求场景下javascript的不足。wasm允许开发者使用更接近底层硬件的高性能代码。如果加密货币挖掘恶意脚本以wasm形式运行,其性能可能比传统的javascript实现更高效。检测wasm的使用可以有助于及早发现和阻止这些潜在的挖矿活动,以维护系统性能和效率。
2、加密货币挖掘始于bitcoin、ether的基于算力的pow(proof of work)方案,收入与算力成正比,而后出现了新的加密货币monero,bytecoin等,此类加密货币使用基于内存的pow方案,收入与存储力成正比。因此,普通计算机的浏览器环境开始成为此类加密货币的合适采矿环境。
3、绝大多数非法加密货币挖掘活动在通过浏览器执行javascript脚本进行加密货币挖掘时,大多情况下会使用wasm技术以得到更高的挖掘效率,但是使用wasm字节码文件存在使用中被劫持的风险。恶意的加密货币挖掘脚本可能通过网络传播到用户设备,并在后台运行,而用户可能并不知情,这可能导致安全漏洞和隐私问题。且加密货币挖掘行为的算力需求通常高于正常使用的算力需求,会占用大量的
4、本专利技术提供一种针对浏览器下使用wasm技术的加密货币挖掘活动的检测方法,能够通过对浏览器所使用的wasm字节码文件进行分析,并给出是否存在加密货币挖掘活动的相关信息,以保护浏览器在使用中不被劫持。
技术实现思路
1、为了解决上述技术问题,本专利技术的目的在于提供一种针对使用wasm的加密货币挖掘的检测方法,所采用的技术方案具体如下:
2、读取wasm字节码文件,在字节码文件上滑动窗口,得到wasm串;通过wasm指令集,得到instructionset指令集;遍历wasm串,对前8bit存在instructionset指令集中的窗口;对统计blockcount向量中相应窗口截取块的值加一;blockcount向量作为输入特征与wasm样本的标签作为梯度提升决策树拟合的目标;
3、获取每个训练样本集中样本一一对应的blockcount向量,以blockcount向量与对应的wasm样本的标签作为输入特征,通过随机森林进行特征筛选,得到覆盖向量,并对应的得到筛选后的样本集;
4、通过筛选后的样本集对梯度提升决策树拟合得到检测模型;检测方法为将样本得到的blockcount向量作为输入,输入检测模型得到检测结果。
5、优选的,对wasm字节码文件进行逆行解析,根据窗口的大小,以串形式存储,得到wasm串。
6、优选的,blockcount向量的获取方法为:
7、根据instructionset指令集对串形式的字节码文件进行特征统计,得到blockcount向量,其中,instructionset指令集为存储wasm指令集的变量名称;blockcount向量为得到的wasm字节码特征。
8、优选的,以blockcount向量与对应的wasm样本的标签作为输入特征,通过随机森林进行特征筛选,得到覆盖向量,包括:
9、以blockcount向量与对应的wasm样本的标签作为输入特征t={(x1,y1),(x2,y2),…,(xn,yn)},其中xi为第i个样本的blockcount向量,yi为第i个样本的标签,通过随机森林进行特征筛选,得到覆盖向量z={zi,zi∈{0,1},i=1…176*(size-8)2},其中zi为0则去除t中的第i个元素不参加拟合;若zi为1则参加拟合。
10、优选的,通过随机森林进行特征筛选,得到覆盖向量,还包括:
11、对blockcount向量的特征集合通过重复抽样得到一个小于t的数据集用于训练决策树,得到的决策树模型的预测错误率,称为袋外数据误差err1;
12、随机对袋外数据所有样本的特征x加入噪声干扰,再次计算袋外数据误差,记为err2;
13、则对于第j个样本的特征xj的重要性度量其中,m为决策树的数量;为第i个决策树模型上特征xj的袋外误差;err1i为第i个树的袋外数据误差;得到重要性度量集合px;
14、对特征重要性度量集合px依从大到小排序,取第n′个记为pn′,则有覆盖向量z;
15、其中,n′为重要特征的数量;pn′为重要性度量分割标记;为第i个样本的特征xi的重要性度量;zi为覆盖向量中第i个元素值。
16、本专利技术实施例至少具有如下有益效果:
17、本专利技术提供一种针对浏览器下使用wasm技术的加密货币挖掘活动的检测方法,能够通过对浏览器所使用的wasm字节码文件进行分析,并给出是否存在加密货币挖掘活动的相关信息,以保护浏览器在使用中不被劫持。本专利技术考虑到用户环境下的算力敏感,故使用机器学习方法完成检测功能。技术方案分为两个部分,一部分是对机器学习模型的计算方法,另一部分是使用机器学习方法对wasm字节码文件的检测方法。对wasm字节码文件进行字节码信息的统计提取,后将提取信息作为输入进入训练好的梯度提升决策树,得到检测标签。
本文档来自技高网...【技术保护点】
1.一种针对使用WASM的加密货币挖掘的检测方法,其特征在于,该方法包括以下步骤:
2.根据权利要求1所述的一种针对使用WASM的加密货币挖掘的检测方法,其特征在于,对wasm字节码文件进行逆行解析,根据窗口的大小,以串形式存储,得到wasm串。
3.根据权利要求1所述的一种针对使用WASM的加密货币挖掘的检测方法,其特征在于,blockCount向量的获取方法为:
4.根据权利要求1所述的一种针对使用WASM的加密货币挖掘的检测方法,其特征在于,以blockCount向量与对应的wasm样本的标签作为输入特征,通过随机森林进行特征筛选,得到覆盖向量,包括:
5.根据权利要求4所述的一种针对使用WASM的加密货币挖掘的检测方法,其特征在于,通过随机森林进行特征筛选,得到覆盖向量,还包括:
【技术特征摘要】
1.一种针对使用wasm的加密货币挖掘的检测方法,其特征在于,该方法包括以下步骤:
2.根据权利要求1所述的一种针对使用wasm的加密货币挖掘的检测方法,其特征在于,对wasm字节码文件进行逆行解析,根据窗口的大小,以串形式存储,得到wasm串。
3.根据权利要求1所述的一种针对使用wasm的加密货币挖掘的检测方法,其特征在于,blockcoun...
【专利技术属性】
技术研发人员:郑明远,郭小丁,马艳红,张磊,左宪禹,谢毅,田军峰,
申请(专利权)人:河南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。