CN114697086A - 一种基于深度典型相关分析的挖矿木马检测方法 - Google Patents

Abstract

本发明涉及云计算技术领域，具体为一种基于深度典型相关分析的挖矿木马检测方法，有益效果为：基于深度典型相关分析的挖矿木马检测方法能够有效地检测出被挖矿木马攻击的节点，有利于提升云服务的稳定性，同时减少能源的浪费。本方法通过监控硬件资源使用情况和进程来寻找疑似异常节点，能够降低正常情况下的资源占用。在流量分析进行挖矿木马流量检测的过程中利用神经网络提取特征，能够有效应对流量伪装的情况；利用深度典型相关分析将通信特征和行为特征进行融合，从单一、片面的特征挖掘出相互之间的互补信息，有利于提升检测的准确度。

Description

一种基于深度典型相关分析的挖矿木马检测方法

技术领域

本发明涉及云计算技术领域，具体为一种基于深度典型相关分析的挖矿 木马检测方法。

背景技术

随着网络技术的不断进步，云计算已经在越来越多的场景发挥出重要的 作用。云计算通过统一调度服务器资源来提供服务，用户可以通过网络远程 访问获取服务。

大量的服务运行在云服务平台中，因此，云服务平台的安全稳定运行关 系着服务的品质和用户的体验。

具有攻击性的行为会影响云服务平台的运行，挖矿木马就是其中一种。 挖矿行为会大大加重服务器的资源压力，造成服务异常；同时也是一种不必 要的能源浪费，为了减轻挖矿木马的危害，需要及时对其进行检测发现及处 理。

目前常见的挖矿木马检测方法主要分为两个方向：

一是通过节点CPU等资源使用情况和运行进程判断。常见的服务器挖矿 木马如门罗币等挖矿木马通过CPU算力进行挖矿操作，因此，被植入挖矿木 马的节点通常表现出持续高CPU占用，持续高内存占用等特点，进程中通常 会出现大量挖矿木马有关进程。

二是通过流量数据分析进行判断。常见的挖矿通信协议如stratum主要 包括矿机登记、任务下发、账号登录、结果提交、难度调整这五个部分，流 量中通常包含id、method、jsonrpc、params、result、login、pass、agent、 mining.submit等字段参数。

一般的检测方式存在着以下的一些问题：

1.通过监控资源使用情况的方式特征不够明确，资源高占用不一定是挖 矿木马占用，容易产生错误判断的情况；

2.部分挖矿木马能够隐藏进程，不易被发现，影响判断；

3.通过流量分析进行判断的情况需要实时监控动态流量数据并加以分析， 如果分析方法比较复杂，则会影响正常服务的效率；

4.部分流量进行了伪装，如果仅以现有的关键字匹配规则，则不能有效 分析出是否为挖矿流量；

发明内容

本发明的目的在于提供一种基于深度典型相关分析的挖矿木马检测方法， 以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于深度典型相关分析的挖矿木马检测方法，所述检测方法包括：

S1.在节点中搜集原始数据集，包括资源使用数据和流量数据，并利用数 据设置监控阈值，训练流量检测神经网络模型；

神经网络模型主要由特征提取部分，特征融合部分和挖矿检测部分三个 部分组成：

特征提取部分通过嵌入层和GRU层提取特征；

特征融合部分采用深度典型相关分析模型完成；

挖矿检测部分使用softmax和交叉熵损失函数作为二分类手段进行检测 判断；

S2.宿主机进行两级筛查，通过CPU的使用情况先筛查出一批一类疑似 节点；

对一类疑似节点再利用相似性分析和进程检测筛选出确定的挖矿节点进 行记录，筛选出二类疑似节点进一步进行检测；

S3.在疑似节点采集动态网络流量信息，经过预处理后通过训练好的神 经网络模型进行判断；

S4.如果判断为挖矿节点，则屏蔽流量源IP，记录该节点信息；

S5.对记录节点执行杀灭相关进程，删除挖矿程序，检查并清除定时任 务，更改节点相关连接端口密码等处理操作。

优选的，所述原始数据集是在安全环境部署多个不同硬件配置的节点运 行挖矿木马同时执行一些正常操作，搜集计算资源数据和通信流量数据包， 并做好标签，作为初始数据集，过程中可包含一些伪装动作。

优选的，所述利用数据监控阈值的方法包括：对于节点计算资源，包括 但不限于节点的CPU占用情况、内存占用情况、磁盘使用情况、网络使用情 况等数据，分别针对不同硬件配置设置两级规则进行判断：

根据获得的CPU占用情况，设置高CPU占用阈值和连续高CPU占用时间 阈值；

对挖矿节点所有资源的数据取平均值，作为挖矿节点标准对比样本；

记录挖矿进程的名称，记为MineC；

记录正常进程的名称作为白名单，记为NormalC。

优选的，所述特征提取部分的对象包括两部分：

一部分主要提取流量通信的基本信息特征，包括但不限于协议、状态、 源IP、源端口、目的IP、目的端口、传输字节数等，称为通信特征；

另一部分主要利用分词方法从数据包提取行为参数相关特征，包括但不 限于id、method、jsonrpc、params、result、login、pass、agent、mining、 submit等，称为行为特征。

优选的，所述特征提取部分中的特征提取神经网络主要包含一层嵌入层 和一层GRU层，通过嵌入层和GRU层分别提取行为特征、通信特征。

优选的，所述特征融合部分的方法为将行为特征、通信特征输入深度典 型相关分析模型进行降维，并将输出的两组特征行连接得到融合特征。

优选的，所述二分类手段进行检测的方法为通过一层全连接神经网络 softmax层进行判断，将融合特征输入softmax层，得出二分类的结果，判断 其是否为挖矿木马流量。

优选的，所述训练优化获得检测挖矿木马流量的神经网络模型，通过优 化交叉熵损失函数，利用典型相关分析进行约束，得出最终神经网络的损失。

优选的，所述两级筛查的方法包括：

由宿主机对节点资源应用情况进行监控，若达到高CPU占用阈值和连续 高CPU占用时间阈值，将其标记为一类疑似异常节点；

宿主机在一段时间内间断获取一类疑似异常节点的资源使用情况，并计 算与相同配置挖矿节点标准对比样本之间的欧式距离作为相似性参数，与设 定的阈值比较；

若与相似，则对节点高CPU占用进程做进一步检查，若有进程在已知挖 矿进程集MineC中，认为该节点为挖矿节点，并将该节点信息进行记录；

若进程均在已知正常进程白名单NormalC中，认为该节点正常；若存在 未知进程，认为其为二类疑似异常节点做进一步检测；

在二类疑似异常节点内动态获取流量数据包，并经过处理后送入训练好 的挖矿木马流量检测神经网络模型进行判断；

如果判断为挖矿木马流量，则获取源IP地址加入防火墙进行屏蔽，并将 该节点信息进行记录。

与现有技术相比，本发明的有益效果是：

本发明基于深度典型相关分析的挖矿木马检测方法能够有效地检测出被 挖矿木马攻击的节点，有利于提升云服务的稳定性，同时减少能源的浪费。 本方法通过监控硬件资源使用情况和进程来寻找疑似异常节点，能够降低正 常情况下的资源占用。在流量分析进行挖矿木马流量检测的过程中利用神经 网络提取特征，能够有效应对流量伪装的情况；利用深度典型相关分析将通 信特征和行为特征进行融合，从单一、片面的特征挖掘出相互之间的互补信 息，有利于提升检测的准确度。

附图说明

图1为本发明的整体流程图；

图2为本发明的神经网络结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而 不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1至图2，本发明提供一种技术方案：

本发明提出一种基于深度典型相关分析的挖矿木马检测方法：

通过监控硬件资源使用情况，找到疑似异常节点；

通过硬件配置，使用情况和进程进行分析，筛查出一批挖矿节点；

对剩余异常节点通过流量分析做进一步判断，特征提取采用神经网络深 度挖掘流量特征以应对伪装流量；

流量分析的过程中利用深度典型相关分析对通信特征和行为特征进行融 合，以获得信息更全面的特征信息。

本发明提出的方法在目标领域进行使用，能够降低检测模块对节点正常 业务的影响，提高对挖矿木马的检测精度，提高服务运行的稳定性。

具体的检测方法包括以下步骤：

步骤一：在节点中搜集原始数据集：包括资源使用数据和流量数据，原 始数据集是在安全环境部署多个不同硬件配置的节点运行挖矿木马同时执行 一些正常操作，搜集计算资源数据和通信流量数据包，并做好标签，作为初 始数据集，过程中可包含一些伪装动作。

步骤二：利用数据监控阈值的方法包括：对于节点计算资源，包括但不 限于节点的CPU占用情况、内存占用情况、磁盘使用情况、网络使用情况等 数据，分别针对不同硬件配置设置两级规则进行判断：

根据获得的CPU占用情况，设置高CPU占用阈值和连续高CPU占用时间 阈值；

对挖矿节点有资源的数据取平均值，作为挖矿节点标准对比样本；

记录挖矿进程的名称，记为MineC；

记录正常进程的名称作为白名单，记为NormalC。

训练流量检测神经网络模型，神经网络模型主要由特征提取部分，特征 融合部分和挖矿检测部分三个部分组成：

步骤三：特征提取部分通过嵌入层和GRU层提取特征；特征提取部分的 对象包括两部分：

一部分主要提取流量通信的基本信息特征，包括但不限于协议、状态、 源IP、源端口、目的IP、目的端口、传输字节数等，称为通信特征；

另一部分主要利用分词方法从数据包提取行为参数相关特征，包括但不 限于id、method、jsonrpc、params、result、login、pass、agent、mining、 submit等，称为行为特征。

特征提取部分中的特征提取神经网络主要包含一层嵌入层和一层GRU层；

对通信特征和行为特征利用one-hot编码进行处理，将其转换为数值型 特征，获得相应的特征样本数据集X＝{x₁,x₂,…,x_n}，表示通信特征数据集 Y＝{y₁,y₂,…,y_n}，表示行为特征数据集；

嵌入层：通过one-hot编码处理，获得的数值特征过于稀疏，通过嵌入 层将其转换为稠密向量，嵌入层为一层全连接神经网络，激活函数选择tanh；

GRU层：GRU是一种特殊的循环神经网络，能够有效地在提取的特征中体 现时序关系，通过重置门控制上一时间节点对当前时间节点的影响，更新门 控制上一时间节点直接传递到当前时间节点的信息；

对于通信特征，需考虑各条流量数据之间的时序关系，输入神经网络中 提取特征H；

对于行为特征，不过多关注数据之间的时序关系，直接通过嵌入层转换 为稠密向量D，嵌入层同样也为一层全连接神经网络，激活函数选择tanh。

步骤四：特征融合部分采用深度典型相关分析模型完成；特征融合部分 的方法包括：

将特征D、H输入深度典型相关分析模型进行降维，并将输出的两组特征 行连接得到融合特征；

深度典型相关分析包含两个多层感知机，用以处理两组不同的特征，其 的优化损失函数为：

L_dist(D′,H′)+λ(L_SDL(D′)+L_SDL(H′))

其中，L_dist(D′,H′)计算处理后的两组特征之间的欧式距离，用以近似表示 相关性；L_SDL为随机去相关损失函数，是降维后数据的协方差矩阵中的元素， 目的是对处理后的数据加以约束，减少自身特征之间的相关度，降低冗余， 在获得后D′,H′，通过行连接的方式将特征进行融合，得到融合特征Z。

步骤五：挖矿检测部分使用softmax和交叉熵损失函数作为二分类手段 进行检测判断，二分类手段进行检测的方法包括：

将融合特征Z输入softmax层，得到二分类的结果，判断其是否为挖矿 木马流量；

Softmax层作为整个神经网络的输出层。它是一层全连接神经网络，由于 我们只需判断是否为挖矿木马流量，因此只需两个节点，Softmax函数如下：

其中，S₁表示是挖矿木马流量的概率，S₂表示不是挖矿木马流量的概率。 若S₁>S₂，则判定为异常；

Softmax使用交叉熵函数作为损失函数，具体如下：

L_CE＝-∑_it_iln S_i

其中，t_i是样本分类的真实情况，即属于哪一类，则t_i＝1，否则t_i＝0。

训练优化获得检测挖矿木马流量的神经网络模型，通过优化交叉熵损失 函数，利用典型相关分析进行约束，最终神经网络的损失函数如下：

L_CE(Z)+λ₁L_dist(D′,H′)+λ₂(L_SDL(D′)+L_SDL(H′))。

步骤六：宿主机进行两级筛查，两级筛查的方法包括：

由宿主机对节点资源应用情况进行监控，若达到高CPU占用阈值和连续 高CPU占用时间阈值，将其标记为一类疑似异常节点；

宿主机在一段时间内间断获取一类疑似异常节点的资源使用情况，并计 算与相同配置挖矿节点标准对比样本之间的欧式距离作为相似性参数，与设 定的阈值比较；

若与相似，则对节点高CPU占用进程做进一步检查，若有进程在已知挖 矿进程集MineC中，认为该节点为挖矿节点，并将该节点信息进行记录；

若进程均在已知正常进程白名单NormalC中，认为该节点正常；若存在 未知进程，认为其为二类疑似异常节点做进一步检测；

在二类疑似异常节点内动态获取流量数据包，并经过处理后送入训练好 的挖矿木马流量检测神经网络模型进行判断；

如果判断为挖矿木马流量，则获取源IP地址加入防火墙进行屏蔽，并将 该节点信息进行记录。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而 言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行 多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限 定。

Claims (9)

1.一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述检测方法包括：

S1.在节点中搜集原始数据集，包括资源使用数据和流量数据，并利用数据设置监控阈值，训练流量检测神经网络模型；

神经网络模型主要由特征提取部分，特征融合部分和挖矿检测部分三个部分组成：

特征提取部分通过嵌入层和GRU层提取特征；

特征融合部分采用深度典型相关分析模型完成；

挖矿检测部分使用softmax和交叉熵损失函数作为二分类手段进行检测判断；

S2.宿主机进行两级筛查，通过CPU的使用情况先筛查出一批一类疑似节点；

对一类疑似节点再利用相似性分析和进程检测筛选出确定的挖矿节点进行记录，筛选出二类疑似节点进一步进行检测；

S3.在疑似节点采集动态网络流量信息，经过预处理后通过训练好的神经网络模型进行判断；

S4.如果判断为挖矿节点，则屏蔽流量源IP，记录该节点信息；

S5.对记录节点执行杀灭相关进程，删除挖矿程序，检查并清除定时任务，更改节点相关连接端口密码等处理操作。

2.根据权利要求1所述的一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述原始数据集是在安全环境部署多个不同硬件配置的节点运行挖矿木马同时执行一些正常操作，搜集计算资源数据和通信流量数据包，并做好标签，作为初始数据集，过程中可包含一些伪装动作。

3.根据权利要求1所述的一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述利用数据监控阈值的方法包括：对于节点计算资源，包括但不限于节点的CPU占用情况、内存占用情况、磁盘使用情况、网络使用情况等数据，分别针对不同硬件配置设置两级规则进行判断：

根据获得的CPU占用情况，设置高CPU占用阈值和连续高CPU占用时间阈值；

对挖矿节点所有资源的数据取平均值，作为挖矿节点标准对比样本；

记录挖矿进程的名称，记为MineC；

记录正常进程的名称作为白名单，记为NormalC。

4.根据权利要求1所述的一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述特征提取部分的对象包括两部分：

一部分主要提取流量通信的基本信息特征，包括但不限于协议、状态、源IP、源端口、目的IP、目的端口、传输字节数等，称为通信特征；

另一部分主要利用分词方法从数据包提取行为参数相关特征，包括但不限于id、method、jsonrpc、params、result、login、pass、agent、mining、submit等，称为行为特征。

5.根据权利要求4所述的一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述特征提取部分中的特征提取神经网络主要包含一层嵌入层和一层GRU层，通过嵌入层和GRU层分别提取行为特征、通信特征。

6.根据权利要求5所述的一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述特征融合部分的方法为将行为特征、通信特征输入深度典型相关分析模型进行降维，并将输出的两组特征行连接得到融合特征。

7.根据权利要求6所述的一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述二分类手段进行检测的方法为通过一层全连接神经网络softmax层进行判断，将融合特征输入softmax层，得出二分类的结果，判断其是否为挖矿木马流量。

8.根据权利要求7所述的一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述训练优化获得检测挖矿木马流量的神经网络模型，通过优化交叉熵损失函数，利用典型相关分析进行约束，得出最终神经网络的损失。

9.根据权利要求7所述的一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述两级筛查的方法包括：

由宿主机对节点资源应用情况进行监控，若达到高CPU占用阈值和连续高CPU占用时间阈值，将其标记为一类疑似异常节点；

宿主机在一段时间内间断获取一类疑似异常节点的资源使用情况，并计算与相同配置挖矿节点标准对比样本之间的欧式距离作为相似性参数，与设定的阈值比较；

若与相似，则对节点高CPU占用进程做进一步检查，若有进程在已知挖矿进程集MineC中，认为该节点为挖矿节点，并将该节点信息进行记录；

若进程均在已知正常进程白名单NormalC中，认为该节点正常；若存在未知进程，认为其为二类疑似异常节点做进一步检测；

在二类疑似异常节点内动态获取流量数据包，并经过处理后送入训练好的挖矿木马流量检测神经网络模型进行判断；

如果判断为挖矿木马流量，则获取源IP地址加入防火墙进行屏蔽，并将该节点信息进行记录。

Images