CN111212039A - 基于dns流量的主机挖矿行为检测方法 - Google Patents
基于dns流量的主机挖矿行为检测方法 Download PDFInfo
- Publication number
- CN111212039A CN111212039A CN201911339776.5A CN201911339776A CN111212039A CN 111212039 A CN111212039 A CN 111212039A CN 201911339776 A CN201911339776 A CN 201911339776A CN 111212039 A CN111212039 A CN 111212039A
- Authority
- CN
- China
- Prior art keywords
- address
- dns
- detection method
- behavior detection
- mining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于DNS流量的主机挖矿行为检测方法,包括以下步骤:1)、得到矿池地址;2)、把DNS流量进行镜像,提取信息;3)、如果信息中的访问目标域名属于矿池地址时,把相应的DNS流量中提取到的访问源地址加入IP地址列表中,得到与矿池产生通信的IP地址列表;4)、以步骤3中获取到的IP地址列表作为局域网或者广域网中被黑客入侵用于挖矿的服务器。本发明利用矿池地址和DNS流量关联分析的方式,发现在局域网或者广域网中被黑客入侵用于挖矿的服务器。
Description
技术领域
本发明涉及一种挖矿行为检测方法,具体涉及一种基于DNS流量的主机挖矿行为检测方法。
背景技术
挖矿木马隐蔽性极强存在于几乎所有具有安全漏洞的角落,悄悄地榨取着计算机的资源。随着数字货币和区块链产业一路走高,挖矿木马在网络中几乎成为现象级产物;在数字货币暴利驱使下,再获得挖矿木马这一“利器”的加持,挖矿木马的攻击事件也越来越频繁,不难预测未来挖矿木马数量将继续攀升。
虽然一些服务商提供比较完备的防护机制,但大多数管理员没有反挖矿木马相关知识,这也给挖矿木马提供了可乘之机。
因此,需要对现有技术进行改进。
发明内容
本发明要解决的技术问题是提供一种高效的基于DNS流量的主机挖矿行为检测方法。
为解决上述技术问题,本发明提供一种基于DNS流量的主机挖矿行为检测方法,包括以下步骤:
1)、得到矿池地址;
2)、把DNS流量进行镜像,提取信息;
3)、如果信息中的访问目标域名属于矿池地址时,把相应的DNS流量中提取到的访问源地址加入IP地址列表中,得到与矿池产生通信的IP地址列表;
4)、以步骤3中获取到的IP地址列表作为局域网或者广域网中被黑客入侵用于挖矿的服务器。
作为对本发基于DNS流量的主机挖矿行为检测方法的改进:
在步骤1中:从以太坊、云储币、门罗币的矿池网站的帮助栏内得到矿池地址。
作为对本发基于DNS流量的主机挖矿行为检测方法的进一步改进:
在步骤2中:结果发送到实时流中间件kafka中。
作为对本发基于DNS流量的主机挖矿行为检测方法的进一步改进:
步骤3使用实时流分析引擎为flink。
作为对本发基于DNS流量的主机挖矿行为检测方法的进一步改进:
步骤2中的信息包括DNS流量的访问源地址、访问目标域名、访问时间共三个属性。
本发明基于DNS流量的主机挖矿行为检测方法的技术优势为:
本发明利用矿池地址和DNS流量关联分析的方式,发现在局域网或者广域网中被黑客入侵用于挖矿的服务器。
本发明利用比较容易收集到的矿池地址和DNS流量镜像关联分析的方法,能非常简单快速的分析并定位到局域网或者广域网中被黑客入侵用于挖矿的服务器。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1为本发明基于DNS流量的主机挖矿行为检测方法的流程示意图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、基于DNS流量的主机挖矿行为检测方法,如图1所示,包括以下步骤:
1:收集各类数字货币(比特币、门罗币等)的矿池地址;把收集到的矿池地址存储起来;
比如从以太坊、云储币、门罗币等币种的矿池网站的帮助栏内都可以找到。
2:把DNS流量进行镜像,提取DNS流量的访问源地址、访问目标域名、访问时间共三个属性;并把结果发送到实时流中间件中,比如kafka;
3:在DNS流量中查询访问了矿池地址的记录,并提取这批记录中的访问源地址和访问源端口;
通常情况下,尤其是服务器类型的设备,都不会主动对矿池地址发起请求,除非该服务器已经被黑客入侵并植入挖矿木马,才会对矿池进行回连,基于此特性,基于实时流分析引擎比如flink,对DNS流量的数据中的访问目标域名和矿池地址进行关联碰撞,当访问目标域名属于矿池地址时,把相应的DNS流量中提取到的访问源地址加入IP地址列表中,即可以得到一系列与矿池产生通信的IP地址列表;
4、步骤3中获取到的IP地址列表即是局域网或者广域网中被黑客入侵用于挖矿的服务器。
例如:步骤1收集的矿池地址包括:pool.minexmr.com;步骤2中得到DNS流量中有类似以下的记录,访问源地址:61.164.x.x,访问目标域名:pool.minexmr.com、访问时间:2019-11-0213:54:06。其含义为61.164.x.x于2019-11-0213:54:06对矿池地址pool.minexmr.com进行了回连;那么步骤3的IP地址列表就包括61.164.x.x。
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (5)
1.基于DNS流量的主机挖矿行为检测方法,其特征在于:包括以下步骤:
1)、得到矿池地址;
2)、把DNS流量进行镜像,提取信息;
3)、如果信息中的访问目标域名属于矿池地址时,把相应的DNS流量中提取到的访问源地址加入IP地址列表中,得到与矿池产生通信的IP地址列表;
4)、以步骤3中获取到的IP地址列表作为局域网或者广域网中被黑客入侵用于挖矿的服务器。
2.根据权利要求1所述的基于DNS流量的主机挖矿行为检测方法,其特征在于:
在步骤1中:从以太坊、云储币、门罗币的矿池网站的帮助栏内得到矿池地址。
3.根据权利要求2所述的基于DNS流量的主机挖矿行为检测方法,其特征在于:
在步骤2中:结果发送到实时流中间件kafka中。
4.根据权利要求3所述的基于DNS流量的主机挖矿行为检测方法,其特征在于:
步骤3使用实时流分析引擎为flink。
5.根据权利要求4所述的基于DNS流量的主机挖矿行为检测方法,其特征在于:
步骤2中的信息包括DNS流量的访问源地址、访问目标域名、访问时间共三个属性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911339776.5A CN111212039A (zh) | 2019-12-23 | 2019-12-23 | 基于dns流量的主机挖矿行为检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911339776.5A CN111212039A (zh) | 2019-12-23 | 2019-12-23 | 基于dns流量的主机挖矿行为检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111212039A true CN111212039A (zh) | 2020-05-29 |
Family
ID=70789275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911339776.5A Pending CN111212039A (zh) | 2019-12-23 | 2019-12-23 | 基于dns流量的主机挖矿行为检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111212039A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023077993A1 (zh) * | 2021-11-02 | 2023-05-11 | 中兴通讯股份有限公司 | 加密币挖矿行为识别方法、加密币探测装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
| CN108829829A (zh) * | 2018-06-15 | 2018-11-16 | 深信服科技股份有限公司 | 检测虚拟货币挖矿程序的方法、系统、装置及存储介质 |
-
2019
- 2019-12-23 CN CN201911339776.5A patent/CN111212039A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924757A (zh) * | 2010-07-30 | 2010-12-22 | 中国电信股份有限公司 | 追溯僵尸网络的方法和系统 |
| CN108769034A (zh) * | 2018-06-01 | 2018-11-06 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
| CN108829829A (zh) * | 2018-06-15 | 2018-11-16 | 深信服科技股份有限公司 | 检测虚拟货币挖矿程序的方法、系统、装置及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 任庚坡,楼振飞: "《能源大数据技术与应用》", 30 June 2018 * |
| 青岛英谷教育科技股份有限公司: "《大数据开发与应用》", 30 August 2018 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023077993A1 (zh) * | 2021-11-02 | 2023-05-11 | 中兴通讯股份有限公司 | 加密币挖矿行为识别方法、加密币探测装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10867034B2 (en) | Method for detecting a cyber attack | |
| CN102594825B (zh) | 一种内网木马的检测方法和装置 | |
| CN107251037B (zh) | 黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质 | |
| EP3457661B1 (en) | Malicious software detection in a computing system | |
| Pan et al. | Anomaly based web phishing page detection | |
| EP2498198B1 (en) | Information system security based on threat vectors | |
| US20200153865A1 (en) | Sensor based rules for responding to malicious activity | |
| KR101070184B1 (ko) | 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법 | |
| US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
| CN108023868B (zh) | 恶意资源地址检测方法和装置 | |
| De Silva et al. | Compromised or {Attacker-Owned}: A large scale classification and study of hosting domains of malicious {URLs} | |
| CN103632084A (zh) | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 | |
| CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
| CN112115183B (zh) | 一种基于图的蜜罐系统威胁情报分析方法 | |
| CN109327451A (zh) | 一种防御文件上传验证绕过的方法、系统、装置及介质 | |
| Vargas et al. | Knowing your enemies: Leveraging data analysis to expose phishing patterns against a major US financial institution | |
| CN113496033A (zh) | 访问行为识别方法和装置及存储介质 | |
| Dodia et al. | Exposing the rat in the tunnel: Using traffic analysis for tor-based malware detection | |
| CN105530251A (zh) | 识别钓鱼网站的方法及装置 | |
| Abraham et al. | Approximate string matching algorithm for phishing detection | |
| CN112667875A (zh) | 一种数据获取、数据分析方法、装置、设备及存储介质 | |
| EP4024252A1 (en) | A system and method for identifying exploited cves using honeypots | |
| CN103455754B (zh) | 一种基于正则表达式的恶意搜索关键词识别方法 | |
| CN111212039A (zh) | 基于dns流量的主机挖矿行为检测方法 | |
| US20230379361A1 (en) | System and method for generating cyber threat intelligence |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200529 |