CN113014575B - 基于时间序列追踪的挖矿流量检测方法和装置 - Google Patents

基于时间序列追踪的挖矿流量检测方法和装置 Download PDF

Info

Publication number
CN113014575B
CN113014575B CN202110203327.9A CN202110203327A CN113014575B CN 113014575 B CN113014575 B CN 113014575B CN 202110203327 A CN202110203327 A CN 202110203327A CN 113014575 B CN113014575 B CN 113014575B
Authority
CN
China
Prior art keywords
similarity
local
detection
global
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110203327.9A
Other languages
English (en)
Other versions
CN113014575A (zh
Inventor
杨家海
张世泽
王之梁
程鑫
张辉
王博
李子木
吴建平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN202110203327.9A priority Critical patent/CN113014575B/zh
Publication of CN113014575A publication Critical patent/CN113014575A/zh
Application granted granted Critical
Publication of CN113014575B publication Critical patent/CN113014575B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Health & Medical Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Artificial Intelligence (AREA)
  • Technology Law (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请提出一种基于时间序列追踪的挖矿流量检测方法和装置,涉及计算机网络分析技术领域,其中,方法包括:采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将检测时间区间划分为多个时间区间;通过局部相似度计算公式计算每个时间区间的数据流的局部相似度;根据多个局部相似度更新全局相似度,并根据全局相似度与预设告警条件,生成检测结果。由此,通过镜像或者分光的方法来获取输入流量,不会对业务通信产生影响,并且不需要网络内的主机部署任何相关软件,更便于在实际网络中部署,在大规模复杂网络中实现高精度的挖矿流量检测。

Description

基于时间序列追踪的挖矿流量检测方法和装置
技术领域
本申请涉及计算机网络分析技术领域,尤其涉及一种基于时间序列追踪的挖矿流量检测方法和装置。
背景技术
由于虚拟货币的交易匿名性,使得虚拟货币广泛使用于网络黑产市场。进而,挖矿劫持已经成为一种类似于勒索软件的流行攻击手段。虽然挖矿劫持不像勒索软件看上去危险,但是长期的挖矿劫持对于能源的使用能毁掉电脑或者移动设备。目前挖矿劫持主要采用两种主要的方法,一种是通过攻击流行网站,在网站中嵌入恶意挖矿代码,使得用户在浏览网站的同时再帮攻击者挖矿获利,目前针对这种攻击,通常采用在用户端浏览器安装插件,通过分析网站中的JavaScript代码以及用户端的计算资源使用情况来进行检测,然而这种方法需要用户以及浏览器厂商的配合,难以大规模部署推广。另一种是攻击者通过恶意软件控制用户电脑,使其成为一台用于挖矿的“肉机”,针对这种攻击方法,目前主要的解决办法类似于恶意软件的检测方法,主要是通过在主机端部署杀毒软件来进行检测。然而这种方法通常依赖于杀毒软件对于恶意软件的检测能力,往往只能针对少数已发现的恶意软件,大量未知以及变种的恶意软件难以被检测。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种基于时间序列追踪的挖矿流量检测方法,可以部署于企业或者校园网的出口网关处,类似于网络入侵检测系统,可以通过镜像或者分光的方法来获取输入流量,不会对业务通信产生影响,并且不需要网络内的主机部署任何相关软件,更便于在实际网络中部署。
本申请的第二个目的在于提出一种基于时间序列追踪的挖矿流量检测装置。
为达上述目的,本申请第一方面实施例提出了一种基于时间序列追踪的挖矿流量检测方法,包括:
采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;
获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将所述检测时间区间划分为多个时间区间;
通过局部相似度计算公式计算每个所述时间区间的数据流的局部相似度;
根据所述多个局部相似度更新全局相似度,并根据所述全局相似度与预设告警条件,生成检测结果。
本申请实施例的基于时间序列追踪的挖矿流量检测方法,通过采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将检测时间区间划分为多个时间区间;通过局部相似度计算公式计算每个时间区间的数据流的局部相似度;根据多个局部相似度更新全局相似度,并根据全局相似度与预设告警条件,生成检测结果。由此,通过镜像或者分光的方法来获取输入流量,不会对业务通信产生影响,并且不需要网络内的主机部署任何相关软件,更便于在实际网络中部署,在大规模复杂网络中实现高精度的挖矿流量检测。
可选地,在本申请的一个实施例中,所述通过局部相似度计算公式计算每个所述时间区间的数据流的局部相似度,包括:
定义一个子区间距离为:
Figure BDA0002948800530000021
其中,dis(p,xk-1)表示p与xk-1之间的距离,p表示数据包的时间戳,x表示加密货币区块创建的时间;
所述局部相似度计算公式为:
Figure BDA0002948800530000022
通过公式(2)计算每个所述时间区间的数据流的局部相似度。
可选地,在本申请的一个实施例中,所述根据所述多个局部相似度更新全局相似度,包括:
在检测开始时,初始化一个空的全局相似度表;
当一个局部相似度计算完成时,判断对应数据流是否存在全局相似度表中,若存在,所述根据所述局部相似度累加到所述全局相似度表;
若不存在,数据流在所述全局相似度表中的相似度结果减去预设数值。
可选地,在本申请的一个实施例中,所述根据所述全局相似度与预设告警条件,生成检测结果,包括:
若存在所述全局相似度大于预设告警阈值,进行告警。
可选地,在本申请的一个实施例中,所述根据所述全局相似度与预设告警条件,生成检测结果,包括:
将所有全局相似度按相似度大小进行排序,获取排序前N个结果进行告警。
可选地,在本申请的一个实施例中,所述根据所述全局相似度与预设告警条件,生成检测结果,包括:
从最高全局相似度开始依次进行告警,当存在误报情况下,停止告警。
为达上述目的,本申请第二方面实施例提出了一种基于时间序列追踪的挖矿流量检测装置,包括:
第一采集模块,用于采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;
第二采集模块,用于获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将所述检测时间区间划分为多个时间区间;
计算模块,用于通过局部相似度计算公式计算每个所述时间区间的数据流的局部相似度;
更新模块,用于根据所述多个局部相似度更新全局相似度;
处理模块,用于根据所述全局相似度与预设告警条件,生成检测结果。
本申请实施例的基于时间序列追踪的挖矿流量检测装置,通过采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将检测时间区间划分为多个时间区间;通过局部相似度计算公式计算每个时间区间的数据流的局部相似度;根据多个局部相似度更新全局相似度,并根据全局相似度与预设告警条件,生成检测结果。由此,通过镜像或者分光的方法来获取输入流量,不会对业务通信产生影响,并且不需要网络内的主机部署任何相关软件,更便于在实际网络中部署,在大规模复杂网络中实现高精度的挖矿流量检测。
可选地,在本申请的一个实施例中,所述计算模块,具体用于:
定义一个子区间距离为:
Figure BDA0002948800530000031
其中,dis(p,xk-1)表示p与xk-1之间的距离,p表示数据包的时间戳,x表示加密货币区块创建的时间;
所述局部相似度计算公式为:
Figure BDA0002948800530000041
通过公式(2)计算每个所述时间区间的数据流的局部相似度。
可选地,在本申请的一个实施例中,所述更新模块,具体用于:
在检测开始时,初始化一个空的全局相似度表;
当一个局部相似度计算完成时,判断对应数据流是否存在全局相似度表中,若存在,所述根据所述局部相似度累加到所述全局相似度表;
若不存在,数据流在所述全局相似度表中的相似度结果减去预设数值。
可选地,在本申请的一个实施例中,所述处理模块,具体用于:
若存在所述全局相似度大于预设告警阈值,进行告警。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请实施例所提供的一种基于时间序列追踪的挖矿流量检测方法的流程示意图;
图2为本申请实施例的基于时间序列追踪的挖矿流量相似度计算示例图;
图3为本申请实施例的局部相似度计算示意图;
图4为本申请实施例的局部相似度计算伪代码示意图;
图5为本申请实施例的全局相似度计算伪代码示意图;
图6为本申请实施例的整体性能评估结果示意图;
图7为本申请实施例的一个测试例的检测结果示意图;
图8为本申请实施例所提供的一种基于时间序列追踪的挖矿流量检测装置的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的基于时间序列追踪的挖矿流量检测方法和装置。
图1为本申请实施例所提供的一种基于时间序列追踪的挖矿流量检测方法的流程示意图。
具体地,为了弥补现有检测方法的这些缺陷,本申请提出了一种基于时间序列追踪的挖矿流量检测算法,可以部署于企业或者校园网的出口网关处。类似于网络入侵检测系统,本申请提出的检测算法可以通过镜像或者分光的方法来获取输入流量,不会对业务通信产生影响,并且不需要网络内的主机部署任何相关软件,更便于在实际网络中部署。
如图1所示,该基于时间序列追踪的挖矿流量检测方法包括以下步骤:
步骤101,采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合。
步骤102,获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将检测时间区间划分为多个时间区间。
步骤103,通过局部相似度计算公式计算每个时间区间的数据流的局部相似度。
在本申请实施例中,通过局部相似度计算公式计算每个时间区间的数据流的局部相似度,包括:定义一个子区间距离为:
Figure BDA0002948800530000051
其中,dis(p,xk-1)表示p与xk-1之间的距离,p表示数据包的时间戳,x表示加密货币区块创建的时间;
局部相似度计算公式为:
Figure BDA0002948800530000052
通过公式(2)计算每个时间区间的数据流的局部相似度。
步骤104,根据多个局部相似度更新全局相似度,并根据全局相似度与预设告警条件,生成检测结果。
在本申请实施例中,在检测开始时,初始化一个空的全局相似度表;当一个局部相似度计算完成时,判断对应数据流是否存在全局相似度表中,若存在,根据局部相似度累加到全局相似度表;若不存在,数据流在全局相似度表中的相似度结果减去预设数值。
在本申请实施例中,若存在全局相似度大于预设告警阈值,进行告警。
在本申请实施例中,将所有全局相似度按相似度大小进行排序,获取排序前N个结果进行告警。
在本申请实施例中,从最高全局相似度开始依次进行告警,当存在误报情况下,停止告警。
具体地,利用挖矿流量的任务数据包发送时间与区块创建时间相接近,和挖矿流量具有长期通信的特征,提出了一种基于时间序列追踪的挖矿流量相似度计算方法。举例而言,如图2所示。本申请提出的检测算法共包含三个部分原始流量数据采集及预处理,区块信息采集模块,核心的异常检测算法。
具体地,提出的算法的部署场景设计是一个园区或者企业的出口网关。因此,可以通过在出口网关配置端口像或者物理分光的方法,将出口网关的流量镜像到流量采集服务器。流量采集服务镜器将输入的流量按二元组(原地址,目的地址)进行流聚合。
具体地,本申请的检测算法所利用的核心特征是挖矿流量与区块创建时间具有相关性,因此需要实时的获取加密货币区块创建的时间序列作为检测算法的参考时间序列。由于目前主流的货币如门罗币、比特币、以太坊、莱特币都采用P2p的网络结构,因此,可以通过加入不同货币的p2p网络来实时的获取区块创建时间信息。例如,采用monerod软件来加入门罗币的p2p网络收集区块创建信息,monerod软件运行日志中的<Received NOTIFY_NEW_FLUFFY_BLOCK>类型记录中,包含每个新的门罗币区块创建的时间。
具体地,采用一个两级的相似度表的框架结构,局部相似度计算表用于在局部区间检测挖矿流量的相似度,全局相似度计算表用于累计长期的局部相似度表的计算结果。
具体地,首先将本申请的问题与检测目标进行形式化的定义。首先将需要被检测的网络流量定义为一个流的集合F={f1,f2,...,fn},其中每一个f代表一个二元组(原地址,目的地址)的流。每个流f由大量的通信数据包组成,f={p1,p2,...,pm},其中p表示数据包的时间戳。由于挖矿流量是一个长期通信的行为,因此,需要设定一个检测的时间区间,即[ts,te],ts表示检测的开始时间,表示te是结束时间;定义ti=te-ts,为检测的时间间隔。因此,检测目标是给定[ts,te]时间范围内,对于F中的每条流所产生的时间序列f属于挖矿流的可能性。目标的形式化表达为MH(f|[ts,te])=S,S属于[0,1],当S越接近于1表示,f越可能是一个挖矿流,反之,当S越接近于0,f越不可能是一条挖矿流。
具体地,局部相似度计算分示意图如图3所示,根据区块创建的时间序列,将[ts,te]划分为若干个区间,定义[ts,te]时间范围内的区块创建时间序列为X={x0,x1,...,xh},其中x表示区块的创建时间,局部相似度计算算法目的是计算流f在每个子区间内的挖矿行为相似度。定义一个子区间距离为
Figure BDA0002948800530000061
dis(p,xk-1)表示p与xk-1之间的距离,由于p和x都表示时间,具有相同衡量维度,因此选择曼哈顿距离进行计算,即dis(p,xk)=p-xk-1.为了过滤可能的噪声因素,引进了一个可信系数α。设计α=1-P(e≤e(fk))=P(e>e(fk));其中
Figure BDA0002948800530000062
因此,设计局部相似度计算公式为:
Figure BDA0002948800530000071
当sl(fk)越接近于1时,表示流f在第k个区间越有可能是一个挖矿流。局部相似度计算的伪代码如图4所示。
在[ts,te]时间内通过维护一个全局相似度表,在每个区间的局部相似度表(LST)计算结束后,用局部相似度表来更新全局相似度表(GST),从而获取挖矿流的长期通信特征。全局相似度表的核心是迭代算法,实际采用了加法递增,减法递减的方法。具体来说,会在检测开始时,初始化一个空的GST。随着检测时间的推移,当一个LST机算完成时,将用LST的结果更新GST。具体的更新策略如下,会对GST中的结果进行遍历来判断GST中每条流是否出现在LST中。如果一条流在GST中,并且也在LST中,将当前LST中这条流的结果累加到GST中。如果相反,则说明这条流在当前局部区间没有通信,这不符合挖矿的持续工作原理。因此,会对这条流的全局相似度进行惩罚,即将这条流在GST中的相似度结果减去一个惩罚项β,因为局部的相似度的最大值为1,设定β=1。当GST中的流遍历完成之后,对当前LST中的流进行遍历来发现GST中没有出现的流。会在GST中加入这条流的表项。全局相似度计算伪代码如图5所示。
具体地,设计的告警条件有三种:(1)采用阈值的形式:当最终全局相似度计算结果高于设定的预制,即产生告警;(2)采用top n的形式:将最终的全局相似度表按相似度进行排序,取前n个作为告警。(3)误报退出形式:从相似度最高的开始依次进行告警,当发现有误报产生时,即停止告警。
作为一种场景举例,在一个园区网的网络环境中进行了测试。在一个有4000余台主机的环境中进行效果评估,整体的性能评估结果如图6所示。利用阈值告警的形式,当选取检测时间为2小时,设定阈值为0.6时,本申请算法可以实现97%的精确率与99.7%的覆盖率。
举例而言,一个具体的检测测试例的评估结果如图7所示,图中三角形的数据点表示挖矿流量,圆形数据点表示正常流量。从图中可以看出三角形的相似度计算结果要远高于圆形的点,挖矿流量的数据点的相似度均在0.8以上,正常流量的数据点的相似度均在0.6一下。可以看出本发明的算法有效的将挖矿流量与正常流量进行了区分。
本申请实施例的基于时间序列追踪的挖矿流量检测方法,通过采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将检测时间区间划分为多个时间区间;通过局部相似度计算公式计算每个时间区间的数据流的局部相似度;根据多个局部相似度更新全局相似度,并根据全局相似度与预设告警条件,生成检测结果。由此,通过镜像或者分光的方法来获取输入流量,不会对业务通信产生影响,并且不需要网络内的主机部署任何相关软件,更便于在实际网络中部署,在大规模复杂网络中实现高精度的挖矿流量检测。
为了实现上述实施例,本申请还提出一种基于时间序列追踪的挖矿流量检测装置。
图8为本申请实施例提供的一种基于时间序列追踪的挖矿流量检测装置的结构示意图。
如图8所示,该基于时间序列追踪的挖矿流量检测装置包括:第一采集模块810、第二采集模块820、计算模块830、更新模块840和处理模块850。
第一采集模块810,用于采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合。
第二采集模块820,用于获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将所述检测时间区间划分为多个时间区间。
计算模块830,用于通过局部相似度计算公式计算每个所述时间区间的数据流的局部相似度。
更新模块840,用于根据所述多个局部相似度更新全局相似度。
处理模块850,用于根据所述全局相似度与预设告警条件,生成检测结果。
在本申请实施例中,计算模块830,具体用于:定义一个子区间距离为:
Figure BDA0002948800530000081
其中,dis(p,xk-1)表示p与xk-1之间的距离,p表示数据包的时间戳,x表示加密货币区块创建的时间;
所述局部相似度计算公式为:
Figure BDA0002948800530000082
通过公式(2)计算每个所述时间区间的数据流的局部相似度。
在本申请实施例中,更新模块840,具体用于:在检测开始时,初始化一个空的全局相似度表;当一个局部相似度计算完成时,判断对应数据流是否存在全局相似度表中,若存在,所述根据所述局部相似度累加到所述全局相似度表;若不存在,数据流在所述全局相似度表中的相似度结果减去预设数值。
在本申请实施例中,处理模块850,具体用于:若存在所述全局相似度大于预设告警阈值,进行告警。
本申请实施例的基于时间序列追踪的挖矿流量检测装置,通过采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将检测时间区间划分为多个时间区间;通过局部相似度计算公式计算每个时间区间的数据流的局部相似度;根据多个局部相似度更新全局相似度,并根据全局相似度与预设告警条件,生成检测结果。由此,通过镜像或者分光的方法来获取输入流量,不会对业务通信产生影响,并且不需要网络内的主机部署任何相关软件,更便于在实际网络中部署,在大规模复杂网络中实现高精度的挖矿流量检测。
需要说明的是,前述对基于时间序列追踪的挖矿流量检测方法实施例的解释说明也适用于该实施例的基于时间序列追踪的挖矿流量检测装置,此处不再赘述。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (8)

1.一种基于时间序列追踪的挖矿流量检测方法,其特征在于,包括:
采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;
获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将所述检测时间区间划分为多个时间区间;
通过局部相似度计算公式计算每个所述时间区间的数据流的局部相似度;
根据多个局部相似度更新全局相似度,并根据所述全局相似度与预设告警条件,生成检测结果;
其中,所述通过局部相似度计算公式计算每个所述时间区间的数据流的局部相似度,包括:
定义一个子区间距离为:
Figure FDA0003439789170000011
其中,dis(p,xk-1)表示p与xk-1之间的距离,p表示数据包的时间戳,x表示加密货币区块创建的时间;
所述局部相似度计算公式为:
Figure FDA0003439789170000012
其中,α为可信系数;
通过公式(2)计算每个所述时间区间的数据流的局部相似度。
2.如权利要求1所述的方法,其特征在于,所述根据所述多个局部相似度更新全局相似度,包括:
在检测开始时,初始化一个空的全局相似度表;
当一个局部相似度计算完成时,判断对应数据流是否存在全局相似度表中,若存在,根据所述局部相似度累加到所述全局相似度表;
若不存在,数据流在所述全局相似度表中的相似度结果减去预设数值。
3.如权利要求1所述的方法,其特征在于,所述根据所述全局相似度与预设告警条件,生成检测结果,包括:
若存在所述全局相似度大于预设告警阈值,进行告警。
4.如权利要求1所述的方法,其特征在于,所述根据所述全局相似度与预设告警条件,生成检测结果,包括:
将所有全局相似度按相似度大小进行排序,获取排序前N个结果进行告警。
5.如权利要求1所述的方法,其特征在于,所述根据所述全局相似度与预设告警条件,生成检测结果,包括:
从最高全局相似度开始依次进行告警,当存在误报情况下,停止告警。
6.一种基于时间序列追踪的挖矿流量检测装置,其特征在于,包括:
第一采集模块,用于采集检测时间区间的原始流量数据集;其中,流量按原地址和目的地址二元组进行流聚合;
第二采集模块,用于获取加密货币区块创建的时间序列作为参考时间序列,并根据参考时间序列将所述检测时间区间划分为多个时间区间;
计算模块,用于通过局部相似度计算公式计算每个所述时间区间的数据流的局部相似度;
更新模块,用于根据多个局部相似度更新全局相似度;
处理模块,用于根据所述全局相似度与预设告警条件,生成检测结果;
其中,所述计算模块,具体用于:
定义一个子区间距离为:
Figure FDA0003439789170000021
其中,dis(p,xk-1)表示p与xk-1之间的距离,p表示数据包的时间戳,x表示加密货币区块创建的时间;
所述局部相似度计算公式为:
Figure FDA0003439789170000022
其中,α为可信系数;
通过公式(2)计算每个所述时间区间的数据流的局部相似度。
7.如权利要求6所述的装置,其特征在于,所述更新模块,具体用于:
在检测开始时,初始化一个空的全局相似度表;
当一个局部相似度计算完成时,判断对应数据流是否存在全局相似度表中,若存在,根据所述局部相似度累加到所述全局相似度表;
若不存在,数据流在所述全局相似度表中的相似度结果减去预设数值。
8.如权利要求6所述的装置,其特征在于,所述处理模块,具体用于:
若存在所述全局相似度大于预设告警阈值,进行告警。
CN202110203327.9A 2021-02-23 2021-02-23 基于时间序列追踪的挖矿流量检测方法和装置 Active CN113014575B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110203327.9A CN113014575B (zh) 2021-02-23 2021-02-23 基于时间序列追踪的挖矿流量检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110203327.9A CN113014575B (zh) 2021-02-23 2021-02-23 基于时间序列追踪的挖矿流量检测方法和装置

Publications (2)

Publication Number Publication Date
CN113014575A CN113014575A (zh) 2021-06-22
CN113014575B true CN113014575B (zh) 2022-03-22

Family

ID=76408324

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110203327.9A Active CN113014575B (zh) 2021-02-23 2021-02-23 基于时间序列追踪的挖矿流量检测方法和装置

Country Status (1)

Country Link
CN (1) CN113014575B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110809058A (zh) * 2019-11-13 2020-02-18 北京物资学院 一种基于特征码标识及验证技术的区块链溯源系统及方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108566340B (zh) * 2018-02-05 2021-03-09 中国科学院信息工程研究所 基于动态时间规整算法的网络流量精细化分类方法和装置
CN108829829A (zh) * 2018-06-15 2018-11-16 深信服科技股份有限公司 检测虚拟货币挖矿程序的方法、系统、装置及存储介质
EP3742304A1 (en) * 2019-05-22 2020-11-25 Siemens Aktiengesellschaft Validation of measurement datasets in a distributed database
CN111367777B (zh) * 2020-03-03 2022-07-05 腾讯科技(深圳)有限公司 告警处理的方法、装置、设备及计算机可读存储介质
CN111600850B (zh) * 2020-04-26 2021-09-07 武汉思普崚技术有限公司 一种检测挖矿虚拟货币的方法、设备及存储介质
CN111832647A (zh) * 2020-07-10 2020-10-27 上海交通大学 异常流量检测系统及方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110809058A (zh) * 2019-11-13 2020-02-18 北京物资学院 一种基于特征码标识及验证技术的区块链溯源系统及方法

Also Published As

Publication number Publication date
CN113014575A (zh) 2021-06-22

Similar Documents

Publication Publication Date Title
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
CN111259204B (zh) 基于图算法的apt检测关联分析方法
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
CN102664875B (zh) 基于云模式的恶意代码类别检测方法
Taghavinejad et al. Intrusion detection in IoT-based smart grid using hybrid decision tree
US9369484B1 (en) Dynamic security hardening of security critical functions
CN110912884A (zh) 一种检测方法、设备及计算机存储介质
CN112333195B (zh) 基于多源日志关联分析的apt攻击场景还原检测方法及系统
CN111131247B (zh) 一种车载内部网络入侵检测系统
CN113572719B (zh) 一种域名检测方法、装置、设备及可读存储介质
CN112131571B (zh) 威胁溯源方法及相关设备
CN115277127A (zh) 基于系统溯源图搜索匹配攻击模式的攻击检测方法及装置
US20230087309A1 (en) Cyberattack identification in a network environment
CN115001753A (zh) 一种关联告警的分析方法、装置、电子设备及存储介质
CN101719906B (zh) 一种基于蠕虫传播行为的蠕虫检测方法
CN113014575B (zh) 基于时间序列追踪的挖矿流量检测方法和装置
CN113987492A (zh) 一种告警事件的确定方法及装置
CN109308409A (zh) 一种基于相似度计算的攻击路径重构方法
CN115146263B (zh) 用户账号的失陷检测方法、装置、电子设备及存储介质
CN114697087B (zh) 一种基于报警时序的报警关联方法
CN111935180A (zh) 安防设备主动防御方法、装置及系统
CN113722705A (zh) 一种恶意程序清除方法及装置
CN113660223A (zh) 基于告警信息的网络安全数据处理方法、装置及系统
CN116361790A (zh) 一种检测恶意软件活动的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant