【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种基于威胁情报的虚拟币恶意挖矿的实时检测方法以及装置。
技术介绍
1、目前虚拟币恶意挖矿检测技术通常是通过缓存流量数据包来提取流量特征进而利用包分析技术来对其进行检测。然而面对万兆流量时上述检测方法面临着海量数据包存储、计算和分析等难题,检测时效性很低,无法及时、有效地阻断恶意挖矿行为发生,更无法保障用户系统和数据安全。因此,如何实现在万兆流量网络中实时并高效地进行虚拟币恶意挖矿检测成为亟待解决的重要问题。
2、在大规模网络环境下,入侵系统需要在及其短的时间内捕获和分析高速流量数据,而传统的网络数据包采集存在丢包率高、吞吐量低等一系列问题,不适用于高速网络环境。考虑到高速网络环境的特点,不仅在中断过程中需要耗费一定时间,而且由于linux内核在调用cpu和内存时的资源竞争,还会带来额外的性能消耗问题,而且在大规模网络流量集中时还会存在数据包乱序问题。这些都不能适配大规模网络和高速网络环境。而实现高速、完整、有效的数据包捕获、数据包同源同流实现、实时分析实时处理,是进行大规模流量分析的重要前提。<...
【技术保护点】
1.一种基于威胁情报的虚拟币恶意挖矿的实时检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述预先建立的威胁情报二级查询机制还包括:
3.根据权利要求2所述的方法,其特征在于,所述黑白名单情报查询包括通过AC自动机算法过滤黑白名单流量数据。
4.根据权利要求2所述的方法,其特征在于,所述情报数据库查询包括本地情报检测、在线情报检测,通过预先建立的威胁情报二级查询机制用以实时检测并对威胁攻击进行告警,其中所述威胁情报通过安全数据中得到的与网络空间威胁相关的信息。
5.根据权利要求1所述的方法...
【技术特征摘要】
1.一种基于威胁情报的虚拟币恶意挖矿的实时检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述预先建立的威胁情报二级查询机制还包括:
3.根据权利要求2所述的方法,其特征在于,所述黑白名单情报查询包括通过ac自动机算法过滤黑白名单流量数据。
4.根据权利要求2所述的方法,其特征在于,所述情报数据库查询包括本地情报检测、在线情报检测,通过预先建立的威胁情报二级查询机制用以实时检测并对威胁攻击进行告警,其中所述威胁情报通过安全数据中得到的与网络空间威胁相关的信息。
5.根据权利要求1所述的方法,其特征在于,所述根据对所述同源同宿整流结果进行协议还原得到流...
【专利技术属性】
技术研发人员:龙春,宫良一,黄潘,付豫豪,王跃达,杨帆,
申请(专利权)人:中国科学院计算机网络信息中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。