CN110839088A - 一种被虚拟货币挖矿的检测方法、系统、装置及存储介质 - Google Patents
一种被虚拟货币挖矿的检测方法、系统、装置及存储介质 Download PDFInfo
- Publication number
- CN110839088A CN110839088A CN201810935583.5A CN201810935583A CN110839088A CN 110839088 A CN110839088 A CN 110839088A CN 201810935583 A CN201810935583 A CN 201810935583A CN 110839088 A CN110839088 A CN 110839088A
- Authority
- CN
- China
- Prior art keywords
- domain name
- ips
- analyzed
- detection
- detection rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5046—Resolving address allocation conflicts; Testing of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种被虚拟货币挖矿的检测方法,该检测方法在使用矿池域名库实现对域名检测的基础上,还利用Snort引擎构建与被控主机在执行虚拟货币挖矿操作时存在的特征信息相对应的IPS检测规则,即同时利用IPS检测规则和矿池域名库对网络流量进行检测和分析,IPS检测规则基于规则匹配的方式能够对多方面内容进行检测,有效弥补了仅使用矿池域名库时必须为已知内容的短板,通过Snort引擎构建的IPS检测规则能够从特征信息中挖掘出隐藏在数据背后的共同点,使得被挖矿行为的检测效果更佳,且易于工程实现。本申请还同时公开了一种被虚拟货币挖矿的检测系统、装置及计算机可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及恶意攻击手段检测领域,特别涉及一种被虚拟货币挖矿的检测方法、系统、装置及计算机可读存储介质。
背景技术
自08年经济危机开始,一种虚拟货币,比特币开始进入大众的视野。
与大多数货币不同,比特币不依靠特定货币机构发行,它依据特定算法,通过大量的计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为,并使用密码学的设计来确保货币流通各个环节安全性。比特币与其他虚拟货币最大的不同,是其总数量非常有限,具有极强的稀缺性,它总数量将被永久限制在2100万个。而稀缺性特点为比特币带来的是居高不下的市值,一个比特币曾最多价值2万美元。
由于比特币基于特定算法通过大量的计算产生,而通过大量的计算寻找到比特币网络某一时刻所需要的特解就是比特币的挖矿制度,谁第一个提供了这个所需的特解,比特币网络就会向其支付一定数量的比特币作为报酬。由于每个拥有计算能力的主机都可充当比特币的矿机,因此在比特币高昂价格的驱使下,不少黑客开始向被控制的主机中置入挖矿程序,以期利用他人主机的计算资源为自已牟利。
由于PC的计算性能有限,不少黑客瞄上了拥有强大计算能力的工作站、内网主机甚至是大型服务器,一旦被植入挖矿程序,挖矿程序就会占用巨大的CPU、GPU资源来执行挖矿操作,不仅会使得主机卡顿、CPU占用率过高,甚至造成主机宕机或瘫痪,给主机拥有者带来巨大的经济损失。
现有检测目标主机是否存在被挖矿现象的方式大多是单一的基于矿池域名库、进程监测或将其作为病毒直接查杀等,由于域名库或进程监测只能对已知的矿池域名或挖矿程序进行检测,无法解决日益变化、增多的矿池和挖矿程序;安装杀毒软件则无法检测到非病毒类挖矿程序,且还需要每台机器都安装杀毒软件,泛化性较差,实际使用效果均不理想。
因此,如何克服现有的被挖矿检测方法存在的各项技术缺陷,提供一种能够对被挖矿行为进行多方面检测,并综合不同检测方式各自的优点,拥有更佳的被挖矿行为检测效果的检测机制是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种被虚拟货币挖矿的检测方法,在使用矿池域名库实现对域名检测的基础上,还利用Snort引擎构建与被控主机在执行虚拟货币挖矿操作时存在的特征信息相对应的IPS检测规则,即同时利用IPS检测规则和矿池域名库对网络流量进行检测和分析,IPS检测规则基于规则匹配的方式能够对多方面内容进行检测,有效弥补了仅使用矿池域名库时必须为已知内容的短板,通过Snort引擎构建的IPS检测规则能够从特征信息中挖掘出隐藏在数据背后的共同点,使得被挖矿行为的检测效果更佳,且易于工程实现。
本申请的另一目的在于提供了一种被虚拟货币挖矿的检测系统、装置及计算机可读存储介质。
为实现上述目的,本申请提供一种被虚拟货币挖矿的检测方法,该检测方法包括:
利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则;
收集所有已知矿池的域名,并建立矿池域名库;
分别利用所述IPS检测规则和所述矿池域名库检测待分析网络流量;
若所述待分析网络流量与IPS检测规则和/或所述矿池域名库存在匹配的流量,则判定产生所述待分析网络流量的主机已被控制执行虚拟货币挖矿操作。
可选的,利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则,包括:
收集能够控制主机执行所述虚拟货币挖矿操作的恶意程序;
在沙箱中实际运行所述恶意程序,得到所述恶意程序的识别信息和行为模式信息;
收集主机被控制执行所述虚拟货币挖矿操作前后存在的参数变化特征;
利用所述Snort引擎分别建立与所述识别信息、所述行为模式信息以及所述参数变化特征相对应的IPS检测规则。
可选的,分别利用所述IPS检测规则和所述矿池域名库对待分析网络流量进行匹配检测,包括:
判断所述待分析网络流量中携带的域名是否包含于所述矿池域名库中;
若携带的域名不包含于所述矿池域名库中,则判断所述待分析网络流量中是否存在与所述IPS检测规则相一致的部分流量。
可选的,该检测方法还包括:
当所述待分析网络流量中存在与所述IPS检测规则相一致的部分流量、所述待分析网络流量中携带的域名并未包含于所述矿池域名库中时,获取与所述IPS检测规则相一致的部分流量对应的域名,得到新矿池域名,并将所述新矿池域名新增加进原有的矿池域名库中;
当所述待分析网络流量中携带的域名包含于所述矿池域名库中、所述待分析网络流量中不存在与所述IPS检测规则相一致的部分流量时,获取所述待分析网络流量中携带有与所述矿池库域名中相同域名的部分流量,得到新特征信息,并利用所述Snort引擎建立与所述新特征信息相对应的新IPS检测规则,且将所述新IPS检测规则新增进原有的IPS检测规则中。
为实现上述目的,本申请还提供了一种被虚拟货币挖矿的检测系统,该检测系统包括:
IPS检测规则建立单元,用于利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则;
域名库建立单元,用于收集所有已知矿池的域名,并建立矿池域名库;
多方式分析检测单元,用于分别利用所述IPS检测规则和所述矿池域名库检测待分析网络流量;
被虚拟货币挖矿判定单元,用于当所述待分析网络流量与IPS检测规则和/或所述矿池域名库存在匹配的流量时,判定产生所述待分析网络流量的主机已被控制执行虚拟货币挖矿操作。
可选的,所述IPS检测规则建立单元包括:
恶意程序收集子单元,用于收集能够控制主机执行所述虚拟货币挖矿操作的恶意程序;
识别信息及行为模式信息获取子单元,用于在沙箱中实际运行所述恶意程序,得到所述恶意程序的识别信息和行为模式信息;
参数变化特征收集子单元,用于收集主机被控制执行所述虚拟货币挖矿操作前后存在的参数变化特征;
IPS检测规则建立子单元,用于利用所述Snort引擎分别建立与所述识别信息、所述行为模式信息以及所述参数变化特征相对应的IPS检测规则。
可选的,所述多方式分析检测单元包括:
域名检测子单元,用于判断所述待分析网络流量中携带的域名是否包含于所述矿池域名库中;
IPS规则检测子单元,用于当携带的域名不包含于所述矿池域名库中时,判断所述待分析网络流量中是否存在与所述IPS检测规则相一致的部分流量。
可选的,该检测系统还包括:
新矿池域名获取及新增单元,用于当所述待分析网络流量中存在与所述IPS检测规则相一致的部分流量、所述待分析网络流量中携带的域名并未包含于所述矿池域名库中时,获取与所述IPS检测规则相一致的部分流量对应的域名,得到新矿池域名,并将所述新矿池域名新增加进原有的矿池域名库中;
新IPS规则获取及新增单元,用于当所述待分析网络流量中携带的域名包含于所述矿池域名库中、所述待分析网络流量中不存在与所述IPS检测规则相一致的部分流量时,获取所述待分析网络流量中携带有与所述矿池库域名中相同域名的部分流量,得到新特征信息,并利用所述Snort引擎建立与所述新特征信息相对应的新IPS检测规则,且将所述新IPS检测规则新增进原有的IPS检测规则中。
为实现上述目的,本申请还提供了一种被虚拟货币挖矿的检测装置,该检测装置包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述内容所描述的被虚拟货币挖矿的检测方法的步骤。
为实现上述目的,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述内容所描述的被虚拟货币挖矿的检测方法的步骤。
显然,本申请所提供的一种被虚拟货币挖矿的检测方法,该方法在使用矿池域名库实现对域名检测的基础上,还利用Snort引擎构建与被控主机在执行虚拟货币挖矿操作时存在的特征信息相对应的IPS检测规则,即同时利用IPS检测规则和矿池域名库对网络流量进行检测和分析,IPS检测规则基于规则匹配的方式能够对多方面内容进行检测,有效弥补了仅使用矿池域名库时必须为已知内容的短板,通过Snort引擎构建的IPS检测规则能够从特征信息中挖掘出隐藏在数据背后的共同点,使得被挖矿行为的检测效果更佳,且易于工程实现。本申请同时还提供了一种被虚拟货币挖矿的检测系统、装置及计算机可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种被虚拟货币挖矿的检测方法的流程图;
图2为本申请实施例所提供的另一种被虚拟货币挖矿的检测方法的流程图;
图3为本申请实施例所提供的被虚拟货币挖矿的检测方法中一种不同检测方式间进行内容互补的方法的流程图;
图4为本申请实施例所提供的一种被虚拟货币挖矿的检测系统的结构框图。
具体实施方式
本申请的核心是提供一种被虚拟货币挖矿的检测方法、系统、装置及计算机可读存储介质,在使用矿池域名库实现对域名检测的基础上,还利用Snort引擎构建与被控主机在执行虚拟货币挖矿操作时存在的特征信息相对应的IPS检测规则,即同时利用IPS检测规则和矿池域名库对网络流量进行检测和分析,IPS检测规则基于规则匹配的方式能够对多方面内容进行检测,有效弥补了仅使用矿池域名库时必须为已知内容的短板,通过Snort引擎构建的IPS检测规则能够从特征信息中挖掘出隐藏在数据背后的共同点,使得被挖矿行为的检测效果更佳,且易于工程实现。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
以下结合图1,图1为本申请实施例所提供的一种被虚拟货币挖矿的检测方法的流程图。
其具体包括以下步骤:
S101:利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则;
本步骤旨在利用Snort引擎构建得到与被控主机在执行挖矿程序时存在的特征信息相对应的IPS检测规则。
其中,Snort引擎诞生于1998年,时至今日,Snort引擎已发展成为一个多平台(Multi-Platform)、实时(Real-Time)流量分析、网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),英文缩写为NIDS/NIPS。
具体的,Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上;数据包记录器模式把数据包记录到硬盘上;网络入侵检测模式是最复杂的,而且是可配置的,经过配置可以让Snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作,也就是本申请最主要利用的Snort引擎的部分。
IPS检测规则:基于IPS(Intrusion Prevention System,入侵防御系统)得到,IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络网络安全设备,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter,Application Gateway)的补充,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。而IPS检测规则就是对不同IPS行为提出相应规则定义,遇到符合这样规则的行为即触发相应的操作。举个例子来说,当设定一个IPS检测规则为超过100M的文档,则应用更改IPS检测规则后会筛选出所有大小超过100M的文档。
由于被控主机在被植入挖矿程序且执行时,会存在多种特征,例如该挖矿程序名、所在地址、调用的函数以及其它方面的特征,而该挖矿程序在运行时还会使得主机的剩余性能发生变化,因此可结合多方面因素得到本步骤中所描述的特征信息,并利用Snort引擎发掘隐藏在这些特征信息背后的共同点,以便于基于找到的共同点构建相应的IPS检测规则。
由于基于多方面信息来构建IPS检测规则,通常会构建得到多条IPS检测规则,即每条IPS规则对应一方面信息,最终会形成包含各IPS规则的IPS规则库。
S102:收集所有已知矿池的域名,并建立矿池域名库;
本步骤旨在基于被控主机在运行挖矿程序时绝大多数情况下会与某个矿池(例如比特币矿池)进行通信,以作为组成矿池总计算力的一个计算力节点来进行挖矿的特点,收集所有已知的矿池域名,以便后续步骤根据该矿池域名库判断是否存在挖矿行为。
矿池,是指在进行虚拟货币挖矿时由多个运行挖矿程序的矿机汇总而成,目的在于使用汇总的庞大计算力来加速寻求特解,并根据付出的计算力多少分配相应的挖矿奖励金,单独节点所拥有的计算力与矿池相比,相形见绌,因此现今绝大多数挖矿程序都会作为组成某个矿池的一部分,根据提供计算力的多少实时获取相应的挖矿奖励金,风险更低,收益更稳定。
S103:分别利用IPS检测规则和矿池域名库检测待分析网络流量;
在S101和S102的基础上,本步骤旨在分别利用IPS检测规则和矿池域名库对待分析网络流量进行匹配检测,以发现该待分析网络流量中是否存在与IPS检测规则相一致的部分流量和/或待分析网络流量中携带的域名是否包含于矿池域名库中。
具体的,可存在多种具体检测方式:(1)分别利用IPS检测规则和矿池域名库对同样的待分析网络流量进行分析和检测,即该待分析网络流量一定会使用两种检测方式进行检测,而不管各检测方式分别会得到何种检测结果;(2)依次利用两种检测方式对同样的待分析网络流量进行分析和检测,即当前一种检测方式得到不存在被挖矿行为的检测结果时还会利用另一种检测方式进行检测。第一种方式更适合并行的方式进行,而第二种方式则更适合串行的方式进行,此处并不做具体限定,可结合具体实际情况,灵活选择最合适的检测方式。
S104:当待分析流量与IPS检测规则和/或矿池域名库存在匹配的流量时,判定产生待分析网络流量的主机已被控制执行虚拟货币挖矿操作。
在S103的基础上,本步骤旨在说明当待分析流量与IPS检测规则和/或矿池域名库存在匹配的流量时,判定产生待分析网络流量的主机已被控制执行虚拟货币挖矿操作。即只要经两种检测方式中的任一种检测得到存在被挖矿行为时,即可得到产生待分析网络流量的主机已被控制执行虚拟货币挖矿操作的结论。
进一步的,当仅有一种检测方式经检测得到存在被挖矿行为时,说明该被挖矿行为未被另一种检测方式发现,即对另一种检测方式来说,此时发现的被挖矿行为是自身未记录的,因此还可以获取新发现属于被挖矿行为的新信息添加进自身,来不断增加库的容量,以期在下次碰到同样的行为时,两种检测方式均能单独检测出来的目的。简单来说,通过一种检测方式发现了另一种检测方式没能发现的恶意行为时,将其补充至未能发现该恶意行为的检测方式对应的库中,由于两种检测方式触发点不同、检测方式不同,各有其长处和特点,可以通过此种方式实现双向互补。
此处阐述的内容会在后续实施例中给出具体的例子,以便理解。
基于上述技术方案,本申请实施例提供的一种被虚拟货币挖矿的检测方法,在使用矿池域名库实现对域名检测的基础上,还利用Snort引擎构建与被控主机在执行虚拟货币挖矿操作时存在的特征信息相对应的IPS检测规则,即同时利用IPS检测规则和矿池域名库对网络流量进行检测和分析,IPS检测规则基于规则匹配的方式能够对多方面内容进行检测,有效弥补了仅使用矿池域名库时必须为已知内容的短板,通过Snort引擎构建的IPS检测规则能够从特征信息中挖掘出隐藏在数据背后的共同点,使得被挖矿行为的检测效果更佳,且易于工程实现。
以下结合图2,图2为本申请实施例所提供的另一种被虚拟货币挖矿的检测方法的流程图。
S201:收集能够控制主机执行虚拟货币挖矿操作的恶意程序;
S202:在沙箱中实际运行恶意程序,得到恶意程序的识别信息和行为模式信息;
S203:收集主机被控制执行虚拟货币挖矿操作前后存在的参数变化特征;
本实施例通过S201、S202以及S203三个步骤给出一种如何得到S101中所描述的特征信息的方法,即通过获取恶意程序的识别信息、行为模式信息以及执行挖矿操作前后存在的主机参数变化特征来构成该特征信息。
进一步的,结合实际情况,还可以基于其它更多具有相同功能的信息来构成该特征信息,从原理上来讲,组成该特征信息的下位信息越多,该特征信息就越能发现隐藏在数据背后的共同点,建立的IPS检测规则就越多,规则检测效果就越好。
S204:利用Snort引擎分别建立与识别信息、行为模式信息以及参数变化特征相对应的IPS检测规则;
S205:判断待分析网络流量中携带的域名是否包含于矿池域名库中;
S206:判断待分析网络流量中是否存在与IPS检测规则相一致的部分流量;
本步骤建立在S205的判断结果为待分析网络流量中携带的域名并未包含于矿池域名库中的基础上,旨在判断待分析网络流量中是否存在与IPS检测规则相一致的部分流量,即先后利用矿池域名库检测分析网络流量中携带的域名,若直接发现携带的域名就处于矿池域名库中,则可以直接得到S208的判定结果;若携带的域名并未包含于矿池域名库中,则再使用IPS检测规则对同样的待分析网络流量进行二次检测,以期发现存在与IPS检测规则相一致的部分流量。
本申请基于S103中所提及的第二种方式,更加适用于现今规模不大、用于进行检测的计算性能不够赋予的企业或单位,以串行方式实现,所需成本较低。当然,基于S103中所提及的第一种方式,也可以采用串行的方式实现,即不管第一种检测方式是否得到肯定的检测结果,依然使用第二种检测方式进行二次检测,以期得到一个精确度更高的检测结果,以降低误判率。
S207:判定产生待分析网络流量的主机并未被控制执行虚拟货币挖矿操作;
如图2所示,本步骤建立在S206的判断结果为待分析网络流量中不存在与IPS检测规则相一致的部分流量的基础上,因此在依次经过两种检测方式的检测后,均给出了未检测到被挖矿行为的检测结果,可得到产生待分析网络流量的主机并未被控制执行虚拟货币挖矿操作的结论。
S208:判定产生待分析网络流量的主机已被控制执行虚拟货币挖矿操作。
如图2所示,本步骤同时建立在S206和S207的判断结果为是的基础上,因为只要一种检测方式给出肯定的检测结果,就可以得到产生待分析网络流量的主机已被控制执行虚拟货币挖矿操作的结论。
以下结合图3,图3为本申请实施例所提供的被虚拟货币挖矿的检测方法中一种不同检测方式间进行内容互补的方法的流程图。
S301:判定产生待分析网络流量的主机已被控制执行虚拟货币挖矿操作;
S302:当待分析网络流量中存在与IPS检测规则相一致的部分流量、待分析网络流量中携带的域名并未包含于矿池域名库中时,获取与IPS检测规则相一致的部分流量对应的域名,得到新矿池域名,并将新矿池域名新增加进原有的矿池域名库中;
S303:当待分析网络流量中携带的域名包含于矿池域名库中、待分析网络流量中不存在与IPS检测规则相一致的部分流量时,获取待分析网络流量中携带有与矿池库域名中相同域名的部分流量,得到新特征信息,并利用Snort引擎建立与新特征信息相对应的新IPS检测规则,且将新IPS检测规则新增进原有的IPS检测规则中。
本实施例针对不同情况,分别给出了不同检测方式间进行内容互补的方式,例如当矿池域名库未能从矿池域名方式检测出被挖矿行为时,获取与IPS检测规则相一致的部分流量对应的域名,得到新矿池域名,并将新矿池域名新增加进原有的矿池域名库中,另一情况的内容互补原理也大体相同,在此不再赘述。
基于上述各实施例,在实施例一方案所具有的有益效果的基础上,还可以在两种检测方式中仅一种给出肯定的检测结果时,利用双向互补的方式不断更新、增加另一种检测方式的内容,以使本申请所提供的技术方法实际检测效果更佳。
因为情况复杂,无法一一列举进行阐述,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
下面请参见图4,图4为本申请实施例所提供的一种被虚拟货币挖矿的检测系统的结构框图。
该检测系统可以包括:
IPS检测规则建立单元100,用于利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则;
域名库建立单元200,用于收集所有已知矿池的域名,并建立矿池域名库;
多方式分析检测单元300,用于分别利用IPS检测规则和矿池域名库检测待分析网络流量;
被虚拟货币挖矿判定单元400,用于当待分析网络流量与IPS检测规则和/或矿池域名库存在匹配的流量时,判定产生待分析网络流量的主机已被控制执行虚拟货币挖矿操作。
其中,IPS检测规则建立单元100包括:
恶意程序收集子单元,用于收集能够控制主机执行虚拟货币挖矿操作的恶意程序;
识别信息及行为模式信息获取子单元,用于在沙箱中实际运行恶意程序,得到恶意程序的识别信息和行为模式信息;
参数变化特征收集子单元,用于收集主机被控制执行虚拟货币挖矿操作前后存在的参数变化特征;
IPS检测规则建立子单元,用于利用Snort引擎分别建立与识别信息、行为模式信息以及参数变化特征相对应的IPS检测规则。
其中,多方式分析检测单元300包括:
域名检测子单元,用于判断待分析网络流量中携带的域名是否包含于矿池域名库中;
IPS规则检测子单元,用于当携带的域名不包含于矿池域名库中时,判断待分析网络流量中是否存在与IPS检测规则相一致的部分流量。
进一步的,该检测系统还可以包括:
新矿池域名获取及新增单元,用于当待分析网络流量中存在与IPS检测规则相一致的部分流量、待分析网络流量中携带的域名并未包含于矿池域名库中时,获取与IPS检测规则相一致的部分流量对应的域名,得到新矿池域名,并将新矿池域名新增加进原有的矿池域名库中;
新IPS规则获取及新增单元,用于当待分析网络流量中携带的域名包含于矿池域名库中、待分析网络流量中不存在与IPS检测规则相一致的部分流量时,获取待分析网络流量中携带有与矿池库域名中相同域名的部分流量,得到新特征信息,并利用Snort引擎建立与新特征信息相对应的新IPS检测规则,且将新IPS检测规则新增进原有的IPS检测规则中。
基于上述实施例,本申请还提供了一种被虚拟货币挖矿的检测装置,该检测装置可以包括存储器和处理器,其中,该存储器中存有计算机程序,该处理器调用该存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然,该检测装置还可以包括各种必要的网络接口、电源以及其它零部件等。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行终端或处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random AccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种被虚拟货币挖矿的检测方法,其特征在于,包括:
利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则;
收集所有已知矿池的域名,并建立矿池域名库;
分别利用所述IPS检测规则和所述矿池域名库检测待分析网络流量;
若所述待分析网络流量与IPS检测规则和/或所述矿池域名库存在匹配的流量,则判定产生所述待分析网络流量的主机已被控制执行虚拟货币挖矿操作。
2.根据权利要求1所述的检测方法,其特征在于,利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则,包括:
收集能够控制主机执行所述虚拟货币挖矿操作的恶意程序;
在沙箱中实际运行所述恶意程序,得到所述恶意程序的识别信息和行为模式信息;
收集主机被控制执行所述虚拟货币挖矿操作前后存在的参数变化特征;
利用所述Snort引擎分别建立与所述识别信息、所述行为模式信息以及所述参数变化特征相对应的IPS检测规则。
3.根据权利要求1所述的检测方法,其特征在于,分别利用所述IPS检测规则和所述矿池域名库对待分析网络流量进行匹配检测,包括:
判断所述待分析网络流量中携带的域名是否包含于所述矿池域名库中;
若携带的域名不包含于所述矿池域名库中,则判断所述待分析网络流量中是否存在与所述IPS检测规则相一致的部分流量。
4.根据权利要求3所述的检测方法,其特征在于,还包括:
当所述待分析网络流量中存在与所述IPS检测规则相一致的部分流量、所述待分析网络流量中携带的域名并未包含于所述矿池域名库中时,获取与所述IPS检测规则相一致的部分流量对应的域名,得到新矿池域名,并将所述新矿池域名新增加进原有的矿池域名库中;
当所述待分析网络流量中携带的域名包含于所述矿池域名库中、所述待分析网络流量中不存在与所述IPS检测规则相一致的部分流量时,获取所述待分析网络流量中携带有与所述矿池库域名中相同域名的部分流量,得到新特征信息,并利用所述Snort引擎建立与所述新特征信息相对应的新IPS检测规则,且将所述新IPS检测规则新增进原有的IPS检测规则中。
5.一种被虚拟货币挖矿的检测系统,其特征在于,包括:
IPS检测规则建立单元,用于利用Snort引擎建立与主机被虚拟货币挖矿时存在的特征信息相对应的IPS检测规则;
域名库建立单元,用于收集所有已知矿池的域名,并建立矿池域名库;
多方式分析检测单元,用于分别利用所述IPS检测规则和所述矿池域名库检测待分析网络流量;
被虚拟货币挖矿判定单元,用于当所述待分析网络流量与IPS检测规则和/或所述矿池域名库存在匹配的流量时,判定产生所述待分析网络流量的主机已被控制执行虚拟货币挖矿操作。
6.根据权利要求5所述的检测系统,其特征在于,所述IPS检测规则建立单元包括:
恶意程序收集子单元,用于收集能够控制主机执行所述虚拟货币挖矿操作的恶意程序;
识别信息及行为模式信息获取子单元,用于在沙箱中实际运行所述恶意程序,得到所述恶意程序的识别信息和行为模式信息;
参数变化特征收集子单元,用于收集主机被控制执行所述虚拟货币挖矿操作前后存在的参数变化特征;
IPS检测规则建立子单元,用于利用所述Snort引擎分别建立与所述识别信息、所述行为模式信息以及所述参数变化特征相对应的IPS检测规则。
7.根据权利要求5所述的检测系统,其特征在于,所述多方式分析检测单元包括:
域名检测子单元,用于判断所述待分析网络流量中携带的域名是否包含于所述矿池域名库中;
IPS规则检测子单元,用于当携带的域名不包含于所述矿池域名库中时,判断所述待分析网络流量中是否存在与所述IPS检测规则相一致的部分流量。
8.根据权利要求7所述的检测系统,其特征在于,还包括:
新矿池域名获取及新增单元,用于当所述待分析网络流量中存在与所述IPS检测规则相一致的部分流量、所述待分析网络流量中携带的域名并未包含于所述矿池域名库中时,获取与所述IPS检测规则相一致的部分流量对应的域名,得到新矿池域名,并将所述新矿池域名新增加进原有的矿池域名库中;
新IPS规则获取及新增单元,用于当所述待分析网络流量中携带的域名包含于所述矿池域名库中、所述待分析网络流量中不存在与所述IPS检测规则相一致的部分流量时,获取所述待分析网络流量中携带有与所述矿池库域名中相同域名的部分流量,得到新特征信息,并利用所述Snort引擎建立与所述新特征信息相对应的新IPS检测规则,且将所述新IPS检测规则新增进原有的IPS检测规则中。
9.一种被虚拟货币挖矿的检测装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述的被虚拟货币挖矿的检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的被虚拟货币挖矿的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810935583.5A CN110839088A (zh) | 2018-08-16 | 2018-08-16 | 一种被虚拟货币挖矿的检测方法、系统、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810935583.5A CN110839088A (zh) | 2018-08-16 | 2018-08-16 | 一种被虚拟货币挖矿的检测方法、系统、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110839088A true CN110839088A (zh) | 2020-02-25 |
Family
ID=69574203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810935583.5A Pending CN110839088A (zh) | 2018-08-16 | 2018-08-16 | 一种被虚拟货币挖矿的检测方法、系统、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110839088A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314367A (zh) * | 2020-02-27 | 2020-06-19 | 广东安创信息科技开发有限公司 | 一种基于流量特征识别挖矿程序的方法和系统 |
| CN111464513A (zh) * | 2020-03-19 | 2020-07-28 | 北京邮电大学 | 数据检测方法、装置、服务器及存储介质 |
| CN111797393A (zh) * | 2020-06-23 | 2020-10-20 | 哈尔滨安天科技集团股份有限公司 | 基于gpu恶意挖矿行为的检测方法与装置 |
| CN113190848A (zh) * | 2021-04-27 | 2021-07-30 | 顶象科技有限公司 | 病毒数据的检测方法、装置以及电子设备 |
| CN114157459A (zh) * | 2021-11-20 | 2022-03-08 | 杭州安恒信息技术股份有限公司 | 威胁情报自动生成方法、装置、计算机设备和存储介质 |
| WO2022222270A1 (zh) * | 2021-04-23 | 2022-10-27 | 杭州安恒信息技术股份有限公司 | 一种恶意挖矿行为识别方法、装置、设备及存储介质 |
| WO2023077993A1 (zh) * | 2021-11-02 | 2023-05-11 | 中兴通讯股份有限公司 | 加密币挖矿行为识别方法、加密币探测装置及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1901485A (zh) * | 2005-07-22 | 2007-01-24 | 阿尔卡特公司 | 用于限制并检测网络恶意行为的基于域名系统的执行 |
| US20090217341A1 (en) * | 2008-02-22 | 2009-08-27 | Inventec Corporation | Method of updating intrusion detection rules through link data packet |
| CN101834760A (zh) * | 2010-05-20 | 2010-09-15 | 杭州华三通信技术有限公司 | 一种基于ips设备的攻击检测方法及ips设备 |
| CN105681250A (zh) * | 2014-11-17 | 2016-06-15 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
| US9917852B1 (en) * | 2015-06-29 | 2018-03-13 | Palo Alto Networks, Inc. | DGA behavior detection |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN108183900A (zh) * | 2017-12-28 | 2018-06-19 | 北京奇虎科技有限公司 | 一种挖矿脚本检测的方法、服务器、客户端及系统 |
-
2018
- 2018-08-16 CN CN201810935583.5A patent/CN110839088A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1901485A (zh) * | 2005-07-22 | 2007-01-24 | 阿尔卡特公司 | 用于限制并检测网络恶意行为的基于域名系统的执行 |
| US20090217341A1 (en) * | 2008-02-22 | 2009-08-27 | Inventec Corporation | Method of updating intrusion detection rules through link data packet |
| CN101834760A (zh) * | 2010-05-20 | 2010-09-15 | 杭州华三通信技术有限公司 | 一种基于ips设备的攻击检测方法及ips设备 |
| CN105681250A (zh) * | 2014-11-17 | 2016-06-15 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
| US9917852B1 (en) * | 2015-06-29 | 2018-03-13 | Palo Alto Networks, Inc. | DGA behavior detection |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN108183900A (zh) * | 2017-12-28 | 2018-06-19 | 北京奇虎科技有限公司 | 一种挖矿脚本检测的方法、服务器、客户端及系统 |
Non-Patent Citations (3)
| Title |
|---|
| 应宗浩等: "挖矿木马的攻击手段及防御策略研究", 《无线互联科技》 * |
| 张亚玲等: "基于数据挖掘的Snort系统改进模型", 《计算机应用》 * |
| 马丽等: "基于行为的入侵防御系统研究", 《网络安全技术与应用》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314367A (zh) * | 2020-02-27 | 2020-06-19 | 广东安创信息科技开发有限公司 | 一种基于流量特征识别挖矿程序的方法和系统 |
| CN111464513A (zh) * | 2020-03-19 | 2020-07-28 | 北京邮电大学 | 数据检测方法、装置、服务器及存储介质 |
| CN111797393A (zh) * | 2020-06-23 | 2020-10-20 | 哈尔滨安天科技集团股份有限公司 | 基于gpu恶意挖矿行为的检测方法与装置 |
| CN111797393B (zh) * | 2020-06-23 | 2023-05-23 | 安天科技集团股份有限公司 | 基于gpu恶意挖矿行为的检测方法与装置 |
| WO2022222270A1 (zh) * | 2021-04-23 | 2022-10-27 | 杭州安恒信息技术股份有限公司 | 一种恶意挖矿行为识别方法、装置、设备及存储介质 |
| CN113190848A (zh) * | 2021-04-27 | 2021-07-30 | 顶象科技有限公司 | 病毒数据的检测方法、装置以及电子设备 |
| WO2023077993A1 (zh) * | 2021-11-02 | 2023-05-11 | 中兴通讯股份有限公司 | 加密币挖矿行为识别方法、加密币探测装置及存储介质 |
| CN114157459A (zh) * | 2021-11-20 | 2022-03-08 | 杭州安恒信息技术股份有限公司 | 威胁情报自动生成方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110839088A (zh) | 一种被虚拟货币挖矿的检测方法、系统、装置及存储介质 | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN108696473B (zh) | 攻击路径还原方法及装置 | |
| CN111563742B (zh) | 智能合约交易顺序依赖漏洞变异模糊测试方法 | |
| CN104753946A (zh) | 一种基于网络流量元数据的安全分析框架 | |
| CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
| CN110933060B (zh) | 一种基于流量分析的挖矿木马检测系统 | |
| CN105009132A (zh) | 基于置信因子的事件关联 | |
| CN110224970B (zh) | 一种工业控制系统的安全监视方法和装置 | |
| CN108306898B (zh) | 区块链攻击事件的感知方法、装置、计算设备及存储介质 | |
| CN106470188B (zh) | 安全威胁的检测方法、装置以及安全网关 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN110351248B (zh) | 一种基于智能分析和智能限流的安全防护方法及装置 | |
| CN113992444A (zh) | 一种基于主机防御的网络攻击溯源与反制系统 | |
| CN108596617B (zh) | 区块链攻击事件感知方法、装置及计算机存储介质 | |
| CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
| EP3100197A1 (en) | Predictive analytics utilizing real time events | |
| JPWO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
| CN102982048A (zh) | 一种用于评估垃圾信息挖掘规则的方法与设备 | |
| CN112422581A (zh) | JVM中的Webshell网页检测方法、装置及设备 | |
| CN113132316A (zh) | 一种Web攻击检测方法、装置、电子设备及存储介质 | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| CN112398839B (zh) | 工控漏洞挖掘方法及装置 | |
| CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
| CN106411951A (zh) | 网络攻击行为检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200225 |