CN110933060A - 一种基于流量分析的挖矿木马检测*** - Google Patents
一种基于流量分析的挖矿木马检测*** Download PDFInfo
- Publication number
- CN110933060A CN110933060A CN201911155285.5A CN201911155285A CN110933060A CN 110933060 A CN110933060 A CN 110933060A CN 201911155285 A CN201911155285 A CN 201911155285A CN 110933060 A CN110933060 A CN 110933060A
- Authority
- CN
- China
- Prior art keywords
- mining
- flow
- network
- trojan
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于流量分析的挖矿木马检测***,涉及计算机网络安全领域,包括连接矿池挖矿木马行为检测子***和p2p挖矿网络挖矿木马行为检测子***。本发明以静态pcap数据包或实时流量作为输入,可以选择检测连接矿池挖矿和p2p挖矿两种模式,经过***的字段特征提取或通信流特征提取及识别,对其中的挖矿流量进行分析,向用户输出报警信息。本发明可以针对明文通信和密文通信的情况,并拥有快速处理海量数据的能力,可以同时满足个人主机和企业级用户的需求。
Description
技术领域
本发明涉及计算机网络安全领域领域,尤其涉及一种基于流量分析的挖矿木马检测***。
背景技术
区块链是一个巨大的去中心化账本,而在去中心化的体系中,各参与节点的地位平等,为了维护区块链在各个节点的一致性,区块链***需要各节点遵循相同的共识机制以达成共识。一种被广泛采用的共识机制是中本聪在2009年提出的工作量证明(PoW)机制,参与区块链网络的节点用计算机的计算能力(以下简称算力)来进行“难题计算”得到符合难度要求的随机数答案,如果计算出了答案并被全网认证,该节点就拥有该区块的产生权和记账权,并会获得一笔数字加密货币收益,这笔不菲的收益激励着矿工在区块链***中投入大量的算力,以此来维护工作量证明区块链***的一致性与不可篡改性。
恶意挖矿行为,就是在用户不知情或未经允许的情况下,占用用户终端设备的硬件资源和软件资源进行挖矿,从而获取数字加密货币牟利。恶意挖矿行为由攻击者植入挖矿木马发起,通常可以发生在用户的个人电脑、企业网站或服务器、个人手机、网络路由器等设备上。随着近年来数字加密货币市场的发展以及其价值的走高,恶意挖矿攻击已经成为影响最为广泛的一类威胁攻击,威胁着企业机构和广大个人网民。挖矿木马主要分为两类,一类是通过各种方式入侵主机或云服务器的木马,这类木马隐蔽性高,传播性强,可以在服务器中获得较长的生存周期并进行挖矿行为,自2017年以来此类挖矿木马攻击愈演愈烈,出现了WannaMine、Mykings等大型挖矿僵尸网络;另一类挖矿木马是网页挖矿木马脚本,这类挖矿木马会在网页的代码中隐藏着指向目的挖矿程序的链接,当用户访问此网站时会不知不觉地加载目的挖矿程序进行挖矿,这类挖矿木马仅在用户访问被挂马的网页时生效。目前挖矿木马攻击技术提升明显,恶意挖矿产业也趋于成熟,恶意挖矿家族通过相互之间的合作使受害计算机和网络设备的价值被更大程度压榨。
目前对挖矿木马检测的方法集中在主机端进行检测,传统的检测方法包括识别异常的高CPU占用率、识别异常的高哈希计算量、识别恶意进程或恶意文件的代码、监视异常持续高热的硬件温度、采用主动防御软件监视进程对***敏感资源和函数的调用、采用黑名单机制屏蔽已知的挖矿木马使用的矿池地址等,可以在主机层面对挖矿木马进行较为精确的行为判定,然而基于主机层面的判定方法依然存在着不足,挖矿木马可以采用Rootkit等技术隐藏挖矿进程,通过限制CPU使用率及使用时间等方式隐藏特征,采用加壳、代码混淆等技术手段躲避病毒库中代码片段的匹配,采用“无文件”技术或进程映像改换以隐藏文件,基于主机端的识别方法在对抗多种隐藏方法中出现了先天性的缺陷与不足。
因此,本领域的技术人员致力于开发一种不依赖于主机特征检测,而是基于流量分析的挖矿木马检测***,以克服现有***存在的缺陷。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是如何基于主机与网络上其他节点的通信流量,检测出挖矿木马。
为实现上述目的,本发明提供了一种基于流量分析的挖矿木马检测***,包括连接矿池挖矿木马行为检测子***和p2p挖矿网络挖矿木马行为检测子***。
进一步地,连接矿池挖矿木马行为检测子***,包括静态流量的矿池挖矿木马检测模块、动态流量的矿池挖矿木马检测模块,使用签名特征检测的方法,对流量过滤及定位到数据字段后,匹配特殊字符串,特殊字符串包括method、params、mining、difficulty、blob、nonce,生成检测报告,发出警告并记录到日志文件中。
进一步地,静态流量的矿池挖矿木马检测模块的输入,为静态流量pcap包。
进一步地,动态流量的矿池挖矿木马检测模块的输入,为根据选定的网卡,开启抓取数据包功能抓取到的pcap包。
进一步地,接矿池挖矿木马行为检测子***,包括如下工作步骤:
步骤101、过滤掉总长度小于80字节的数据包;
步骤102、再次对数据包进行过滤,留下使用TCP/IP协议的满足长度要求的数据包,再读取出TCP报头的长度,通过三个协议头部的长度来定位数据段的起始位置;
步骤103、提取数据包的数据字段部分,根据json匹配规则对字符串进行预处理,使用字符串函数对目标字段进行查找,目标字段包括method、params、mining、difficulty、blob、nonce;
步骤104、统计检测到的挖矿IP地址和通信量,生成统计报告,给出进行过挖矿行为的IP地址列表和通信量的统计结果,并对IP地址给出封禁或者审查的建议。
进一步地,p2p挖矿网络挖矿木马行为检测子***,包括静态流量的p2p网络挖矿木马检测模块、动态流量的p2p网络挖矿木马检测模块,输入pcap包数据经过过滤后根据网络流的定义将其提取为网络流数据,并统计其特征,根据特征进行Affinity Propagation聚类算法获得p2p网络集群,并提取每一个p2p网络动态行为特征,输入到预先训练好的支持向量机中进行检测,判断是否为p2p挖矿网络,最后对每一个节点进行再次过滤,从p2p挖矿网络中筛选出挖矿节点,如果发现挖矿节点,发出警告并记录在日志中。
进一步地,静态流量的p2p网络挖矿木马检测模块的输入,为静态流量pcap包。
进一步地,动态流量的p2p网络挖矿木马检测模块的输入,为根据选定的网卡,开启抓取数据包功能抓取到的pcap包。
进一步地,p2p挖矿网络挖矿木马行为检测子***,包括如下工作步骤:
步骤105、过滤掉常用端口(80、443)的流量,根据目标检测节点的连接失败率统计结果,高于设定的失败率阈值则判定节点为p2p节点;
步骤106、根据网络流数据的概念,将真实流量数据变成统计通信流数据,并提取步骤105中得到的各p2p节点的特定通信流特征,包括单位数据流中的字节数、单位流中的包数量、流到达间隔、流密度、集中时间段流的数量;
步骤107、用步骤106提取的特征进行AP算法聚类,得到p2p网络集群,集群中包括了可能的挖矿p2p网络和正常p2p应用网络,对每一个p2p网络进行挖矿流量的通信流特征提取,包括集群的连接特征、集群的共享邻居特征、集群的最热连接特征、集群的易变性特征;
步骤108、用步骤106提取的特征,输入到支持向量机中,进行挖矿p2p网络的识别,如果判断为挖矿p2p的网络,对所有节点取训练特征的平均值;
步骤109、对于所有节点,将其训练特征与步骤107得到的平均值比对,进一步筛选出p2p挖矿节点;
步骤110、对步骤109中检测到p2p挖矿节点,给出进行过挖矿行为的IP地址列表和通信量的统计结果,生成统计报告,并对IP地址给出封禁或者审查的建议。
进一步地,将检测出来的挖矿木马加入黑名单。
本发明的基于流量分析的挖矿木马检测***,使用流量分析的方法对挖矿木马进行检测,依据挖矿木马通信对象的不同,对与矿池通信和参与p2p网络与邻近节点通信两大类型的挖矿木马进行特征提取及识别。
本***可以部署在大型网络边界的网关或者路由器上进行实时动态监测,也可以检测静态流量数据中的挖矿流量。
本***较传统的挖矿木马检测软件***有以下优势:一是能够针对明文传输和密文传输的情况,采用明文传输的挖矿行为,如采用stratum协议通信的矿池,连接矿池挖矿木马行为检测子***可以准确匹配数据字段的内容,采用密文传输的挖矿行为,如参与p2p网络挖矿的木马,p2p挖矿网络挖矿木马行为检测子***通过数据流特征的分析可以识别;二是同时满足个人主机和企业级用户的需求,由于本***对原始数据多次过滤,并使用最快的字符串匹配和机器学习的算法,因此有很高的实时性、高效性,能够满足两种情况的应用要求。***会最终给出分析报告和日志信息,网络管理员可以根据日志及报告及时发现和阻止挖矿行为,并分析感染***的挖矿木马类型,进行相应的防护,更有效地防止网络被挖矿木马侵袭。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是基于流量分析的挖矿木马检测***软件架构图;
图2是p2p矿池挖矿检测模型流程图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
在附图中,结构相同的部件以相同数字标号表示,各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的,本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰,附图中有些地方适当夸大了部件的厚度。
本发明的基于流量分析的挖矿木马检测***,提出使用流量分析的方法对挖矿木马进行识别,依据挖矿木马通信对象的不同将其分为与矿池通信和参与p2p网络与邻近节点通信两大类型,并基于匹配通信流量中特殊字段的方法,构造出了连接矿池挖矿木马行为检测子***;基于通信流特征提取和机器学习算法,搭建了p2p挖矿网络挖矿木马行为检测子***。该***如图1所示,由以下模块组成,包括:
1)静态流量的矿池挖矿木马检测模块:使用签名特征检测的方法,输入静态流量pcap包数据,经过过滤及定位到数据段后,匹配特殊字符串method、params、mining、difficulty、blob、nonce,最后生成检测报告,发出警告并记录到日志文件中;
2)动态流量的矿池挖矿木马检测模块:使用签名特征检测的方法,根据选定的网卡,自动开启抓取数据包功能,对于每一个流量包,经过过滤及定位到数据段后,匹配特殊字符串method、params、mining、difficulty、blob、nonce,最后生成检测报告,发出警告并记录到日志文件中;
3)静态流量的p2p网络挖矿木马检测模块:输入静态流量pcap包数据,经过过滤后根据网络流的定义将其提取为网络流数据,并统计其特征,根据这些特征进行AffinityPropagation聚类算法获得p2p网络集群,并提取每一个p2p网络动态行为特征,输入到预先训练好的支持向量机中进行检测,判断是否为p2p挖矿网络,最后对每一个节点进行再次过滤,从p2p挖矿网络中筛选出挖矿节点;如果发现挖矿节点,会发出警告并记录在日志中;
4)动态流量的p2p网络挖矿木马检测模块:根据选定的网卡,进行1小时的数据抓取,得到一个小时的实时流量数据pcap包,输入到***中,经过过滤后根据网络流的定义将其提取为网络流数据,并统计其特征,根据这些特征进行Affinity Propagation聚类算法获得p2p网络集群,并提取每一个p2p网络动态行为特征,输入到预先训练好的支持向量机中进行检测,判断是否为p2p挖矿网络,最后对每一个节点进行再次过滤,从p2p挖矿网络中筛选出挖矿节点;如果发现挖矿节点,会发出警告并记录在日志中。
检测到挖矿流量后,***会统计检测情况生成报告,显示输入流量数据的挖矿流量分布和需要检查或封禁的IP地址和端口号,并将流量记录在日志中,以便网络管理员进行查看。这些信息会与已经建立的挖矿木马黑名单进行比对,如果在黑名单中则匹配出已知的挖矿木马;如果不在黑名单中,可以将检测出的挖矿木马作为新型威胁录入挖矿木马的威胁情报中。
图2详细解释了p2p网络挖矿木马检测模块的流程:
图2中上半部分表示训练的过程,采用监督学习的方法支持向量机分类模型,训练集包括p2p挖矿网络和p2p正常应用网络的带标注数据,使用表示动态特性的连接特性来训练,以保证***具有动态性。
图2中下半部分是检测过程,输入实时的流数据,通过无监督学***均值,对于所有考察的节点,将动态特征与得到的动态特征平均值进行比对,筛选出p2p挖矿节点。
最终***会得到连接矿池挖矿和p2p挖矿节点的IP地址及其他流量特征,这些特征可以与内置的挖矿木马黑名单比对,出现在黑名单中则可标识发现的节点,没有出现则可以添加入黑名单。
目前挖矿木马的攻击活动非常频繁,每一个普通计算机或云服务器均有感染木马的风险,定期查杀挖矿木马是维护计算机安全的重要手段,然而挖矿木马可能会用巧妙的隐藏技术躲过查杀,本发明为用户提供了独立于主机端特征检测的另一种探测挖矿木马的方法——基于流量分析的检测方法,可以应用于个人计算机、云服务器和大型的局域网络集群上,拥有真实的应用需求和丰富的应用场景。本***中采用模块化设计,训练模型、机器学习算法、聚类算法、签名特征匹配规则、木马黑名单都可插拔,考虑更完整、全面的挖矿木马的挖矿行为,并且以其时效性、高效性和高检测成功率,适合于用户级和企业级的需求。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (10)
1.一种基于流量分析的挖矿木马检测***,其特征在于,包括连接矿池挖矿木马行为检测子***和p2p挖矿网络挖矿木马行为检测子***。
2.如权利要求1的基于流量分析的挖矿木马检测***,其特征在于,所述连接矿池挖矿木马行为检测子***,包括静态流量的矿池挖矿木马检测模块、动态流量的矿池挖矿木马检测模块,使用签名特征检测的方法,对流量过滤及定位到数据字段后,匹配特殊字符串,所述特殊字符串包括method、params、mining、difficulty、blob、nonce,生成检测报告,发出警告并记录到日志文件中。
3.如权利要求2所述的基于流量分析的挖矿木马检测***,其特征在于,所述静态流量的矿池挖矿木马检测模块的输入,为静态流量pcap包。
4.如权利要求2所述的基于流量分析的挖矿木马检测***,其特征在于,所述动态流量的矿池挖矿木马检测模块的输入,为根据选定的网卡,开启抓取数据包功能抓取到的pcap包。
5.如权利要求2所述的基于流量分析的挖矿木马检测***,其特征在于,所述接矿池挖矿木马行为检测子***,包括如下工作步骤:
步骤101、过滤掉总长度小于80字节的数据包;
步骤102、再次对数据包进行过滤,留下使用TCP/IP协议的满足长度要求的数据包,再读取出TCP报头的长度,通过三个协议头部的长度来定位数据段的起始位置;
步骤103、提取数据包的数据字段部分,根据json匹配规则对字符串进行预处理,使用字符串函数对目标字段进行查找,所述目标字段包括method、params、mining、difficulty、blob、nonce;
步骤104、统计检测到的挖矿IP地址和通信量,生成统计报告,给出进行过挖矿行为的IP地址列表和通信量的统计结果,并对IP地址给出封禁或者审查的建议。
6.如权利要求1所述的基于流量分析的挖矿木马检测***,其特征在于,所述p2p挖矿网络挖矿木马行为检测子***,包括静态流量的p2p网络挖矿木马检测模块、动态流量的p2p网络挖矿木马检测模块,输入pcap包数据经过过滤后根据网络流的定义将其提取为网络流数据,并统计其特征,根据所述特征进行Affinity Propagation聚类算法获得p2p网络集群,并提取每一个p2p网络动态行为特征,输入到预先训练好的支持向量机中进行检测,判断是否为p2p挖矿网络,最后对每一个节点进行再次过滤,从p2p挖矿网络中筛选出挖矿节点,如果发现挖矿节点,发出警告并记录在日志中。
7.如权利要求6所述的基于流量分析的挖矿木马检测***,其特征在于,所述静态流量的p2p网络挖矿木马检测模块的输入,为静态流量pcap包。
8.如权利要求6所述的基于流量分析的挖矿木马检测***,其特征在于,所述动态流量的p2p网络挖矿木马检测模块的输入,为根据选定的网卡,开启抓取数据包功能抓取到的pcap包。
9.如权利要求6所述的基于流量分析的挖矿木马检测***,其特征在于,所述p2p挖矿网络挖矿木马行为检测子***,包括如下工作步骤:
步骤105、过滤掉常用端口(80、443)的流量,根据目标检测节点的连接失败率统计结果,高于设定的失败率阈值则判定节点为p2p节点;
步骤106、根据网络流数据的概念,将真实流量数据变成统计通信流数据,并提取步骤105中得到的各p2p节点的特定通信流特征,包括单位数据流中的字节数、单位流中的包数量、流到达间隔、流密度、集中时间段流的数量;
步骤107、用步骤106提取的特征进行AP算法聚类,得到p2p网络集群,集群中包括了可能的挖矿p2p网络和正常p2p应用网络,对每一个p2p网络进行挖矿流量的通信流特征提取,包括集群的连接特征、集群的共享邻居特征、集群的最热连接特征、集群的易变性特征;
步骤108、用步骤106提取的特征,输入到支持向量机中,进行挖矿p2p网络的识别,如果判断为挖矿p2p的网络,对所有节点取训练特征的平均值;
步骤109、对于所有节点,将其训练特征与步骤107得到的平均值比对,进一步筛选出p2p挖矿节点;
步骤110、对步骤109中检测到p2p挖矿节点,给出进行过挖矿行为的IP地址列表和通信量的统计结果,生成统计报告,并对IP地址给出封禁或者审查的建议。
10.如权利要求1至9中任一项所述的基于流量分析的挖矿木马检测***,其特征在于,将检测出来的挖矿木马加入黑名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911155285.5A CN110933060B (zh) | 2019-11-22 | 2019-11-22 | 一种基于流量分析的挖矿木马检测*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911155285.5A CN110933060B (zh) | 2019-11-22 | 2019-11-22 | 一种基于流量分析的挖矿木马检测*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110933060A true CN110933060A (zh) | 2020-03-27 |
| CN110933060B CN110933060B (zh) | 2021-10-22 |
Family
ID=69850713
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911155285.5A Active CN110933060B (zh) | 2019-11-22 | 2019-11-22 | 一种基于流量分析的挖矿木马检测*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110933060B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112787954A (zh) * | 2021-01-26 | 2021-05-11 | 武汉思普崚技术有限公司 | 一种加密挖矿流量识别方法、***、装置及存储介质 |
| CN112887272A (zh) * | 2021-01-12 | 2021-06-01 | 绍兴文理学院 | 一种传感边缘云任务卸载中挖矿攻击面控制装置及方法 |
| CN113518073A (zh) * | 2021-05-05 | 2021-10-19 | 东南大学 | 一种比特币挖矿僵尸网络流量的快速识别方法 |
| CN113868088A (zh) * | 2021-09-29 | 2021-12-31 | 杭州默安科技有限公司 | 挖矿行为的检测方法、***及计算机可读存储介质 |
| CN114697086A (zh) * | 2022-03-17 | 2022-07-01 | 浪潮云信息技术股份公司 | 一种基于深度典型相关分析的挖矿木马检测方法 |
| CN115134276A (zh) * | 2022-05-12 | 2022-09-30 | 亚信科技(成都)有限公司 | 一种挖矿流量检测方法及装置 |
| CN115801466A (zh) * | 2023-02-08 | 2023-03-14 | 北京升鑫网络科技有限公司 | 基于流量的挖矿脚本检测方法和装置 |
| CN117768243A (zh) * | 2024-02-21 | 2024-03-26 | 中国信息通信研究院 | 一种面向虚拟数字货币的行为监测方法及*** |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108183900A (zh) * | 2017-12-28 | 2018-06-19 | 北京奇虎科技有限公司 | 一种挖矿脚本检测的方法、服务器、客户端及*** |
| CN108363925A (zh) * | 2018-03-16 | 2018-08-03 | 北京奇虎科技有限公司 | 网页挖矿脚本的识别方法及装置 |
| CN108399337A (zh) * | 2018-03-16 | 2018-08-14 | 北京奇虎科技有限公司 | 用于识别网页挖矿脚本的方法及装置 |
| CN108427883A (zh) * | 2018-03-16 | 2018-08-21 | 北京奇虎科技有限公司 | 网页挖矿脚本的检测方法及装置 |
| CN108427884A (zh) * | 2018-03-16 | 2018-08-21 | 北京奇虎科技有限公司 | 网页挖矿脚本的警示方法及装置 |
| CN108563946A (zh) * | 2018-04-17 | 2018-09-21 | 广州大学 | 一种浏览器挖矿行为检测的方法、浏览器插件和*** |
| CN108829829A (zh) * | 2018-06-15 | 2018-11-16 | 深信服科技股份有限公司 | 检测虚拟货币挖矿程序的方法、***、装置及存储介质 |
| CN108900496A (zh) * | 2018-06-22 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 一种快速探测网站被植入挖矿木马的检测方法以及装置 |
| CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测***及方法 |
| CN109446809A (zh) * | 2018-10-31 | 2019-03-08 | 北斗智谷(北京)安全技术有限公司 | 一种恶意程序的识别方法及电子设备 |
-
2019
- 2019-11-22 CN CN201911155285.5A patent/CN110933060B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108183900A (zh) * | 2017-12-28 | 2018-06-19 | 北京奇虎科技有限公司 | 一种挖矿脚本检测的方法、服务器、客户端及*** |
| CN108363925A (zh) * | 2018-03-16 | 2018-08-03 | 北京奇虎科技有限公司 | 网页挖矿脚本的识别方法及装置 |
| CN108399337A (zh) * | 2018-03-16 | 2018-08-14 | 北京奇虎科技有限公司 | 用于识别网页挖矿脚本的方法及装置 |
| CN108427883A (zh) * | 2018-03-16 | 2018-08-21 | 北京奇虎科技有限公司 | 网页挖矿脚本的检测方法及装置 |
| CN108427884A (zh) * | 2018-03-16 | 2018-08-21 | 北京奇虎科技有限公司 | 网页挖矿脚本的警示方法及装置 |
| CN108563946A (zh) * | 2018-04-17 | 2018-09-21 | 广州大学 | 一种浏览器挖矿行为检测的方法、浏览器插件和*** |
| CN108829829A (zh) * | 2018-06-15 | 2018-11-16 | 深信服科技股份有限公司 | 检测虚拟货币挖矿程序的方法、***、装置及存储介质 |
| CN108900496A (zh) * | 2018-06-22 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 一种快速探测网站被植入挖矿木马的检测方法以及装置 |
| CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测***及方法 |
| CN109446809A (zh) * | 2018-10-31 | 2019-03-08 | 北斗智谷(北京)安全技术有限公司 | 一种恶意程序的识别方法及电子设备 |
Non-Patent Citations (4)
| Title |
|---|
| CHARM1Y: ""suricata下的挖矿行为检测"", 《FREEBUF,原文链接:HTTPS://WWW.FREEBUF.COM/ARTICLES/NETWORK/195171.HTM》 * |
| KHAN R U, ZHANG X, KUMAR R, ET AL.: ""An adaptive multi-layer botnet detection technique using machine learning classifiers"", 《APPLIED SCIENCES》 * |
| MS016小组: ""教你检测门罗币挖矿木马"", 《博客园,原文链接:HTTPS://WWW.CNBLOGS.COM/MS016/P/7978880.HTML》 * |
| SAAD S, TRAORE I, GHORBANI A, ET AL.: ""Detecting P2P botnets through network behavior analysis and machine learning"", 《2011 NINTH ANNUAL INTERNATIONAL CONFERENCE ON PRIVACY, SECURITY AND TRUST. IEEE》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112887272A (zh) * | 2021-01-12 | 2021-06-01 | 绍兴文理学院 | 一种传感边缘云任务卸载中挖矿攻击面控制装置及方法 |
| CN112887272B (zh) * | 2021-01-12 | 2022-06-28 | 绍兴文理学院 | 一种传感边缘云任务卸载中挖矿攻击面控制装置及方法 |
| CN112787954A (zh) * | 2021-01-26 | 2021-05-11 | 武汉思普崚技术有限公司 | 一种加密挖矿流量识别方法、***、装置及存储介质 |
| CN113518073A (zh) * | 2021-05-05 | 2021-10-19 | 东南大学 | 一种比特币挖矿僵尸网络流量的快速识别方法 |
| CN113868088A (zh) * | 2021-09-29 | 2021-12-31 | 杭州默安科技有限公司 | 挖矿行为的检测方法、***及计算机可读存储介质 |
| CN114697086A (zh) * | 2022-03-17 | 2022-07-01 | 浪潮云信息技术股份公司 | 一种基于深度典型相关分析的挖矿木马检测方法 |
| CN115134276A (zh) * | 2022-05-12 | 2022-09-30 | 亚信科技(成都)有限公司 | 一种挖矿流量检测方法及装置 |
| CN115134276B (zh) * | 2022-05-12 | 2023-12-08 | 亚信科技(成都)有限公司 | 一种挖矿流量检测方法及装置 |
| CN115801466A (zh) * | 2023-02-08 | 2023-03-14 | 北京升鑫网络科技有限公司 | 基于流量的挖矿脚本检测方法和装置 |
| CN115801466B (zh) * | 2023-02-08 | 2023-05-02 | 北京升鑫网络科技有限公司 | 基于流量的挖矿脚本检测方法和装置 |
| CN117768243A (zh) * | 2024-02-21 | 2024-03-26 | 中国信息通信研究院 | 一种面向虚拟数字货币的行为监测方法及*** |
| CN117768243B (zh) * | 2024-02-21 | 2024-05-31 | 中国信息通信研究院 | 一种面向虚拟数字货币的行为监测方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110933060B (zh) | 2021-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110933060B (zh) | 一种基于流量分析的挖矿木马检测*** | |
| Nisioti et al. | From intrusion detection to attacker attribution: A comprehensive survey of unsupervised methods | |
| Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
| Maglaras et al. | Combining ensemble methods and social network metrics for improving accuracy of OCSVM on intrusion detection in SCADA systems | |
| CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
| Li et al. | DDoS attack detection based on neural network | |
| Li et al. | A network behavior-based botnet detection mechanism using PSO and K-means | |
| Singla et al. | How deep learning is making information security more intelligent | |
| Jongsuebsuk et al. | Real-time intrusion detection with fuzzy genetic algorithm | |
| Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
| Xue et al. | Design and implementation of a malware detection system based on network behavior | |
| BACHAR et al. | Towards a behavioral network intrusion detection system based on the SVM model | |
| Dai et al. | Eclipse attack detection for blockchain network layer based on deep feature extraction | |
| Abulaish et al. | Socialbots: Impacts, threat-dimensions, and defense challenges | |
| Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
| Seewald et al. | On the detection and identification of botnets | |
| Yadav et al. | Comparative study of datasets used in cyber security intrusion detection | |
| CN117478403A (zh) | 一种全场景网络安全威胁关联分析方法及*** | |
| Tian et al. | Large-scale network intrusion detection based on distributed learning algorithm | |
| Abou Haidar et al. | High perception intrusion detection system using neural networks | |
| Chen et al. | Unveiling encrypted traffic types through hierarchical network characteristics | |
| Long et al. | Botnet Detection Based on Flow Summary and Graph Sampling with Machine Learning | |
| Su et al. | Understanding the influence of graph Kernels on deep learning architecture: a case study of flow-based network attack detection | |
| Venturi et al. | Practical Evaluation of Graph Neural Networks in Network Intrusion Detection | |
| Topalova et al. | Neural network implementation for detection of denial of service attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230307 Address after: No. 588, Longchang Road, Yangpu District, Shanghai, 200090_ Room 2602-60, 26th floor, No. 1 Patentee after: SHANGHAI SHIYUE COMPUTER TECHNOLOGY Co.,Ltd. Address before: 200240 No. 800, Dongchuan Road, Shanghai, Minhang District Patentee before: SHANGHAI JIAO TONG University |