主被动结合的挖矿行为检测方法和装置

本发明涉及网络安全，尤其涉及一种主被动结合的挖矿行为检测方法和装置。

背景技术：

1、区块链技术是一种分布式的数据库技术，可实现无需中心化机构的安全、透明和可追溯的数据交换。它的核心思想是将数据存储在一个分布式网络中的多个节点中，每个节点都有一个完整的副本，并且每个节点都必须通过一定的算法达成一致才能将新的数据添加到数据库中。区块链中的数据以“块”的形式存储，并且每个块都包含前一个块的哈希值，从而形成一个链式结构。由于每个块的哈希值都依赖于前一个块的哈希值，因此一旦有人试图更改链中的任何一个块，整个链就会受到影响，并且这个更改也将被其他节点发现并拒绝。区块链技术有很多应用场景，其中最为常见的是比特币和其他加密货币的交易。

2、加密货币是一种数字资产，用于在分布式网络中进行安全的、去中心化的交易。它使用了密码学技术来保证交易的安全性和匿名性，而不需要像传统货币一样依赖于政府或金融机构的信任。为了控制加密货币的发行和交易，保证交易的可信性和整个网络的安全性，需要通过计算机处理复杂的数学问题，从而验证加密货币网络中的交易，并创建新的加密货币。这个过程被称作加密货币“挖矿”。

3、

4、加密挖矿活动的危害很多，包括大量消耗计算机资源，降低设备性能和寿命，碳排放造成环境污染等。此外，挖矿相关的恶意活动猖獗。由于挖矿的特性，攻击者会在网页或者主机中植入挖矿代码，利用受害者机器的算力为自己获得收益。近几年加密货币恶意挖矿行为已经成为全球一大严重的网络威胁，其规模还在不断增长当中。

5、现有的针对加密货币挖矿检测的方法主要有以下几种：主机端的基于恶意软件静态和动态分析的检测方法、网络端的基于被动流量指纹的检测方法、网络端的基于加密流量分析的被动检测方法。上述各类方法均存在一定局限性。第一，主机端的检测方法需要部署在每一台主机上，部署难度比较大，成本比较高；第二，网络端的被动流量指纹方法依赖于明文信息，无法检测加密流量；第三，网络端的加密流量分析方法只能检测出疑似挖矿流量，存在一定的误报率。

6、综上，现有技术存在普适性低、效率不高的问题。

技术实现思路

1、本发明提供一种主被动结合的挖矿行为检测方法和装置，用以解决现有技术中普适性低、效率不高的缺陷，实现普适性较高、效率较高的挖矿行为检测。

2、本发明提供一种主被动结合的挖矿行为检测方法，包括：

3、基于流量指纹信息获取挖矿流量，其中，所述挖矿流量是指矿机和矿池服务器之间的通信流量，所述流量指纹信息包括通信过程中产生的文本信息；

4、基于所述挖矿流量得到至少一个待检测目标地址；

5、向所述待检测目标地址发送矿池探测报文，得到探测响应，基于所述探测响应得到检测结果；其中，所述矿池探测报文是基于所述流量指纹信息构建得到的。

6、根据本发明提供的一种主被动结合的挖矿行为检测方法，基于所述挖矿流量得到待检测目标地址，具体包括：

7、提取所述挖矿流量的源端和目的端的ip及端口；

8、分别向所述源端和目的端发起矿池主动探测，以得到返回消息；

9、根据所述返回消息识别矿池端，并统计所有所述矿池端的出现频率；

10、计算所述出现频率的累积分布，将累积分布在前预设比例的ip及端口或域名及端口作为待检测目标地址。

11、根据本发明提供的一种主被动结合的挖矿行为检测方法，基于所述流量指纹信息构建得到所述矿池探测报文，具体包括：

12、根据预存的所述流量指纹信息匹配预存的矿池探测请求包；

13、建立tcp或tls连接；

14、基于所述tcp或tls连接包裹所述矿池探测请求包，形成矿池探测报文。

15、根据本发明提供的一种主被动结合的挖矿行为检测方法，基于所述探测响应得到检测结果，具体包括：

16、保留内容为预设格式的探测响应，以得到基础地址集合；其中，所述基础地址集合还包括所述探测响应对应的待检测目标地址；

17、基于流量指纹信息检测器，将所述探测响应与预存响应集合进行匹配；

18、若所述探测响应包含在所述预存响应集合中，确定所述待检测目标地址为矿池；

19、将所述矿池保存至目标地址集合，删除所述基础地址集合中的相应所述待检测目标地址。

20、根据本发明提供的一种主被动结合的挖矿行为检测方法，将所述矿池保存至目标地址集合，删除所述基础地址集合中的相应所述待检测目标地址，之后还包括：

21、获取所述目标地址集合中矿池的错误代码和错误信息，以得到错误指纹信息集合；

22、提取所述基础地址集合中剩余的待检测目标地址的探测响应；

23、将所述探测响应与错误指纹信息集合进行匹配；

24、若所述探测响应包含在所述错误指纹信息集合中，确定所述待检测目标地址为矿池；

25、将所述矿池保存至目标地址集合，删除所述基础地址集合中的相应所述待检测目标地址；

26、输出所述目标地址集合作为检测结果。

27、根据本发明提供的一种主被动结合的挖矿行为检测方法，基于流量指纹信息获取挖矿流量，之前还包括：

28、基于预存的矿池地址列表获取海量参考挖矿流量；

29、基于所述参考挖矿流量统计得到流量指纹信息。

30、本发明还提供一种主被动结合的挖矿行为检测装置，包括：

31、流量单元，用于基于流量指纹信息获取挖矿流量，其中，所述挖矿流量是指矿机和矿池服务器之间的通信流量，所述流量指纹信息包括通信过程中产生的文本信息；

32、地址单元，用于基于所述挖矿流量得到至少一个待检测目标地址；

33、探测单元，用于向所述待检测目标地址发送矿池探测报文，得到探测响应，基于所述探测响应得到检测结果；其中，所述矿池探测报文是基于所述流量指纹信息构建得到的。

34、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述主被动结合的挖矿行为检测方法。

35、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述主被动结合的挖矿行为检测方法。

36、本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述主被动结合的挖矿行为检测方法。

37、本发明提供的一种主被动结合的挖矿行为检测方法和装置，通过基于流量指纹信息获取挖矿流量，其中，所述挖矿流量是指矿机和矿池服务器之间的通信流量，所述流量指纹信息包括通信过程中产生的文本信息；基于所述挖矿流量得到至少一个待检测目标地址；向所述待检测目标地址发送矿池探测报文，得到探测响应，基于所述探测响应得到检测结果；其中，所述矿池探测报文是基于所述流量指纹信息构建得到的。本发明通过流量指纹信息获取挖矿流量，以挖矿流量的矿池信息为基础进行扩充，实现挖矿行为的检测，本发明通过被动监听和主动探测的方法检测网络中的挖矿流量，发现网络中的挖矿设备和矿池地址，普适性较高、效率较高。