【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种基于威胁情报的虚拟币恶意挖矿的实时检测方法以及装置。
技术介绍
1、目前虚拟币恶意挖矿检测技术通常是通过缓存流量数据包来提取流量特征进而利用包分析技术来对其进行检测。然而面对万兆流量时上述检测方法面临着海量数据包存储、计算和分析等难题,检测时效性很低,无法及时、有效地阻断恶意挖矿行为发生,更无法保障用户系统和数据安全。因此,如何实现在万兆流量网络中实时并高效地进行虚拟币恶意挖矿检测成为亟待解决的重要问题。
2、在大规模网络环境下,入侵系统需要在及其短的时间内捕获和分析高速流量数据,而传统的网络数据包采集存在丢包率高、吞吐量低等一系列问题,不适用于高速网络环境。考虑到高速网络环境的特点,不仅在中断过程中需要耗费一定时间,而且由于linux内核在调用cpu和内存时的资源竞争,还会带来额外的性能消耗问题,而且在大规模网络流量集中时还会存在数据包乱序问题。这些都不能适配大规模网络和高速网络环境。而实现高速、完整、有效的数据包捕获、数据包同源同流实现、实时分析实时处理,是进行大规模流量分析的重要前提。
3、相关技术中是通过基于系统的方式捕获数据包并解析各种应用层,通常是将解析的协议内容缓存到本地进行定时清洗、定时分析,对于恶意挖矿攻击检测没有时效性以及在处理方面不处于高效状态。
技术实现思路
1、本申请实施例提供了基于威胁情报的虚拟币恶意挖矿的实时检测方法以及装置,以实现对大规模网络环境下虚拟币恶意挖矿的实时检测。
2、本申
3、第一方面,本申请实施例提供一种基于威胁情报的虚拟币恶意挖矿的实时检测方法,所述方法包括:基于数据平面开发套件dpdk技术,捕获网络流量数据;通过调用dpdkapi接口对所述网络流量数据分流、归并,得到同源同宿整流结果;根据对所述同源同宿整流结果进行协议还原得到流量数据特征,通过预先建立的威胁情报二级查询机制,检测所述流量数据特征是否为虚拟币恶意挖矿行为;若是,则发出告警。
4、第二方面,本申请实施例还提供一种基于威胁情报的虚拟币恶意挖矿的实时检测装置,所述装置包括:流量数据捕获模块,用于基于数据平面开发套件dpdk技术,捕获网络流量数据;整流模块,用于通过调用dpdk api接口对所述网络流量数据分流、归并,得到同源同宿整流结果;检测模块,用于根据对所述同源同宿整流结果进行协议还原得到流量数据特征,通过预先建立的威胁情报二级查询机制,检测所述流量数据特征是否为虚拟币恶意挖矿行为;告警模块,用于若是,则发出告警。
5、第三方面,本申请实施例还提供一种电子设备,包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行上述方法。
6、第四方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行上述方法。
7、本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
8、通过基于dpdk的基础进行数据包收包,大大的提高了数据包的捕获速度,通过同源同宿技术解决数据包分流归并问题,通过二级情报查询机制解决了大多数技术中使用缓存的方式来检测导致的时效性问题,提供高速流量数据分析速度。
本文档来自技高网...【技术保护点】
1.一种基于威胁情报的虚拟币恶意挖矿的实时检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述预先建立的威胁情报二级查询机制还包括:
3.根据权利要求2所述的方法,其特征在于,所述黑白名单情报查询包括通过AC自动机算法过滤黑白名单流量数据。
4.根据权利要求2所述的方法,其特征在于,所述情报数据库查询包括本地情报检测、在线情报检测,通过预先建立的威胁情报二级查询机制用以实时检测并对威胁攻击进行告警,其中所述威胁情报通过安全数据中得到的与网络空间威胁相关的信息。
5.根据权利要求1所述的方法,其特征在于,所述根据对所述同源同宿整流结果进行协议还原得到流量数据特征,包括:
6.根据权利要求1所述的方法,其特征在于,所述通过调用DPDK API接口对所述网络流量数据分流、归并,利用哈希函数计算五元组数据得到同源同宿整流结果,包括:
7.根据权利要求1所述的方法,其特征在于,所述基于数据平面开发套件DPDK技术,捕获网络流量数据,包括:
8.一种基于威胁情报的虚拟币恶意挖矿
9.一种电子设备,包括:
10.一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行所述权利要求1~7之任一所述方法。
...【技术特征摘要】
1.一种基于威胁情报的虚拟币恶意挖矿的实时检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述预先建立的威胁情报二级查询机制还包括:
3.根据权利要求2所述的方法,其特征在于,所述黑白名单情报查询包括通过ac自动机算法过滤黑白名单流量数据。
4.根据权利要求2所述的方法,其特征在于,所述情报数据库查询包括本地情报检测、在线情报检测,通过预先建立的威胁情报二级查询机制用以实时检测并对威胁攻击进行告警,其中所述威胁情报通过安全数据中得到的与网络空间威胁相关的信息。
5.根据权利要求1所述的方法,其特征在于,所述根据对所述同源同宿整流结果进行协议还原得到流...
【专利技术属性】
技术研发人员:龙春,宫良一,黄潘,付豫豪,王跃达,杨帆,
申请(专利权)人:中国科学院计算机网络信息中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。