CN114697086A - 一种基于深度典型相关分析的挖矿木马检测方法 - Google Patents
一种基于深度典型相关分析的挖矿木马检测方法 Download PDFInfo
- Publication number
- CN114697086A CN114697086A CN202210262270.4A CN202210262270A CN114697086A CN 114697086 A CN114697086 A CN 114697086A CN 202210262270 A CN202210262270 A CN 202210262270A CN 114697086 A CN114697086 A CN 114697086A
- Authority
- CN
- China
- Prior art keywords
- node
- mining
- correlation analysis
- flow
- depth
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005065 mining Methods 0.000 title claims abstract description 73
- 238000001514 detection method Methods 0.000 title claims abstract description 44
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 title claims abstract description 41
- 238000010219 correlation analysis Methods 0.000 title claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 81
- 230000008569 process Effects 0.000 claims abstract description 51
- 230000002159 abnormal effect Effects 0.000 claims abstract description 21
- 238000004891 communication Methods 0.000 claims abstract description 21
- 238000013528 artificial neural network Methods 0.000 claims abstract description 18
- 238000012544 monitoring process Methods 0.000 claims abstract description 12
- 238000009412 basement excavation Methods 0.000 claims description 20
- 230000006399 behavior Effects 0.000 claims description 18
- 238000000605 extraction Methods 0.000 claims description 16
- 230000004927 fusion Effects 0.000 claims description 16
- 230000006870 function Effects 0.000 claims description 14
- 238000003062 neural network model Methods 0.000 claims description 14
- 238000012216 screening Methods 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 230000009467 reduction Effects 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 230000011218 segmentation Effects 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 2
- 238000005206 flow analysis Methods 0.000 abstract description 5
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 239000002699 waste material Substances 0.000 abstract description 3
- 230000000295 complement effect Effects 0.000 abstract description 2
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 206010001488 Aggression Diseases 0.000 description 1
- 238000012935 Averaging Methods 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 208000012761 aggressive behavior Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及云计算技术领域,具体为一种基于深度典型相关分析的挖矿木马检测方法,有益效果为:基于深度典型相关分析的挖矿木马检测方法能够有效地检测出被挖矿木马攻击的节点,有利于提升云服务的稳定性,同时减少能源的浪费。本方法通过监控硬件资源使用情况和进程来寻找疑似异常节点,能够降低正常情况下的资源占用。在流量分析进行挖矿木马流量检测的过程中利用神经网络提取特征,能够有效应对流量伪装的情况;利用深度典型相关分析将通信特征和行为特征进行融合,从单一、片面的特征挖掘出相互之间的互补信息,有利于提升检测的准确度。
Description
技术领域
本发明涉及云计算技术领域,具体为一种基于深度典型相关分析的挖矿 木马检测方法。
背景技术
随着网络技术的不断进步,云计算已经在越来越多的场景发挥出重要的 作用。云计算通过统一调度服务器资源来提供服务,用户可以通过网络远程 访问获取服务。
大量的服务运行在云服务平台中,因此,云服务平台的安全稳定运行关 系着服务的品质和用户的体验。
具有攻击性的行为会影响云服务平台的运行,挖矿木马就是其中一种。 挖矿行为会大大加重服务器的资源压力,造成服务异常;同时也是一种不必 要的能源浪费,为了减轻挖矿木马的危害,需要及时对其进行检测发现及处 理。
目前常见的挖矿木马检测方法主要分为两个方向:
一是通过节点CPU等资源使用情况和运行进程判断。常见的服务器挖矿 木马如门罗币等挖矿木马通过CPU算力进行挖矿操作,因此,被植入挖矿木 马的节点通常表现出持续高CPU占用,持续高内存占用等特点,进程中通常 会出现大量挖矿木马有关进程。
二是通过流量数据分析进行判断。常见的挖矿通信协议如stratum主要 包括矿机登记、任务下发、账号登录、结果提交、难度调整这五个部分,流 量中通常包含id、method、jsonrpc、params、result、login、pass、agent、 mining.submit等字段参数。
一般的检测方式存在着以下的一些问题:
1.通过监控资源使用情况的方式特征不够明确,资源高占用不一定是挖 矿木马占用,容易产生错误判断的情况;
2.部分挖矿木马能够隐藏进程,不易被发现,影响判断;
3.通过流量分析进行判断的情况需要实时监控动态流量数据并加以分析, 如果分析方法比较复杂,则会影响正常服务的效率;
4.部分流量进行了伪装,如果仅以现有的关键字匹配规则,则不能有效 分析出是否为挖矿流量;
发明内容
本发明的目的在于提供一种基于深度典型相关分析的挖矿木马检测方法, 以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种基于深度典型相关分析的挖矿木马检测方法,所述检测方法包括:
S1.在节点中搜集原始数据集,包括资源使用数据和流量数据,并利用数 据设置监控阈值,训练流量检测神经网络模型;
神经网络模型主要由特征提取部分,特征融合部分和挖矿检测部分三个 部分组成:
特征提取部分通过嵌入层和GRU层提取特征;
特征融合部分采用深度典型相关分析模型完成;
挖矿检测部分使用softmax和交叉熵损失函数作为二分类手段进行检测 判断;
S2.宿主机进行两级筛查,通过CPU的使用情况先筛查出一批一类疑似 节点;
对一类疑似节点再利用相似性分析和进程检测筛选出确定的挖矿节点进 行记录,筛选出二类疑似节点进一步进行检测;
S3.在疑似节点采集动态网络流量信息,经过预处理后通过训练好的神 经网络模型进行判断;
S4.如果判断为挖矿节点,则屏蔽流量源IP,记录该节点信息;
S5.对记录节点执行杀灭相关进程,删除挖矿程序,检查并清除定时任 务,更改节点相关连接端口密码等处理操作。
优选的,所述原始数据集是在安全环境部署多个不同硬件配置的节点运 行挖矿木马同时执行一些正常操作,搜集计算资源数据和通信流量数据包, 并做好标签,作为初始数据集,过程中可包含一些伪装动作。
优选的,所述利用数据监控阈值的方法包括:对于节点计算资源,包括 但不限于节点的CPU占用情况、内存占用情况、磁盘使用情况、网络使用情 况等数据,分别针对不同硬件配置设置两级规则进行判断:
根据获得的CPU占用情况,设置高CPU占用阈值和连续高CPU占用时间 阈值;
对挖矿节点所有资源的数据取平均值,作为挖矿节点标准对比样本;
记录挖矿进程的名称,记为MineC;
记录正常进程的名称作为白名单,记为NormalC。
优选的,所述特征提取部分的对象包括两部分:
一部分主要提取流量通信的基本信息特征,包括但不限于协议、状态、 源IP、源端口、目的IP、目的端口、传输字节数等,称为通信特征;
另一部分主要利用分词方法从数据包提取行为参数相关特征,包括但不 限于id、method、jsonrpc、params、result、login、pass、agent、mining、 submit等,称为行为特征。
优选的,所述特征提取部分中的特征提取神经网络主要包含一层嵌入层 和一层GRU层,通过嵌入层和GRU层分别提取行为特征、通信特征。
优选的,所述特征融合部分的方法为将行为特征、通信特征输入深度典 型相关分析模型进行降维,并将输出的两组特征行连接得到融合特征。
优选的,所述二分类手段进行检测的方法为通过一层全连接神经网络 softmax层进行判断,将融合特征输入softmax层,得出二分类的结果,判断 其是否为挖矿木马流量。
优选的,所述训练优化获得检测挖矿木马流量的神经网络模型,通过优 化交叉熵损失函数,利用典型相关分析进行约束,得出最终神经网络的损失。
优选的,所述两级筛查的方法包括:
由宿主机对节点资源应用情况进行监控,若达到高CPU占用阈值和连续 高CPU占用时间阈值,将其标记为一类疑似异常节点;
宿主机在一段时间内间断获取一类疑似异常节点的资源使用情况,并计 算与相同配置挖矿节点标准对比样本之间的欧式距离作为相似性参数,与设 定的阈值比较;
若与相似,则对节点高CPU占用进程做进一步检查,若有进程在已知挖 矿进程集MineC中,认为该节点为挖矿节点,并将该节点信息进行记录;
若进程均在已知正常进程白名单NormalC中,认为该节点正常;若存在 未知进程,认为其为二类疑似异常节点做进一步检测;
在二类疑似异常节点内动态获取流量数据包,并经过处理后送入训练好 的挖矿木马流量检测神经网络模型进行判断;
如果判断为挖矿木马流量,则获取源IP地址加入防火墙进行屏蔽,并将 该节点信息进行记录。
与现有技术相比,本发明的有益效果是:
本发明基于深度典型相关分析的挖矿木马检测方法能够有效地检测出被 挖矿木马攻击的节点,有利于提升云服务的稳定性,同时减少能源的浪费。 本方法通过监控硬件资源使用情况和进程来寻找疑似异常节点,能够降低正 常情况下的资源占用。在流量分析进行挖矿木马流量检测的过程中利用神经 网络提取特征,能够有效应对流量伪装的情况;利用深度典型相关分析将通 信特征和行为特征进行融合,从单一、片面的特征挖掘出相互之间的互补信 息,有利于提升检测的准确度。
附图说明
图1为本发明的整体流程图;
图2为本发明的神经网络结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1至图2,本发明提供一种技术方案:
本发明提出一种基于深度典型相关分析的挖矿木马检测方法:
通过监控硬件资源使用情况,找到疑似异常节点;
通过硬件配置,使用情况和进程进行分析,筛查出一批挖矿节点;
对剩余异常节点通过流量分析做进一步判断,特征提取采用神经网络深 度挖掘流量特征以应对伪装流量;
流量分析的过程中利用深度典型相关分析对通信特征和行为特征进行融 合,以获得信息更全面的特征信息。
本发明提出的方法在目标领域进行使用,能够降低检测模块对节点正常 业务的影响,提高对挖矿木马的检测精度,提高服务运行的稳定性。
具体的检测方法包括以下步骤:
步骤一:在节点中搜集原始数据集:包括资源使用数据和流量数据,原 始数据集是在安全环境部署多个不同硬件配置的节点运行挖矿木马同时执行 一些正常操作,搜集计算资源数据和通信流量数据包,并做好标签,作为初 始数据集,过程中可包含一些伪装动作。
步骤二:利用数据监控阈值的方法包括:对于节点计算资源,包括但不 限于节点的CPU占用情况、内存占用情况、磁盘使用情况、网络使用情况等 数据,分别针对不同硬件配置设置两级规则进行判断:
根据获得的CPU占用情况,设置高CPU占用阈值和连续高CPU占用时间 阈值;
对挖矿节点有资源的数据取平均值,作为挖矿节点标准对比样本;
记录挖矿进程的名称,记为MineC;
记录正常进程的名称作为白名单,记为NormalC。
训练流量检测神经网络模型,神经网络模型主要由特征提取部分,特征 融合部分和挖矿检测部分三个部分组成:
步骤三:特征提取部分通过嵌入层和GRU层提取特征;特征提取部分的 对象包括两部分:
一部分主要提取流量通信的基本信息特征,包括但不限于协议、状态、 源IP、源端口、目的IP、目的端口、传输字节数等,称为通信特征;
另一部分主要利用分词方法从数据包提取行为参数相关特征,包括但不 限于id、method、jsonrpc、params、result、login、pass、agent、mining、 submit等,称为行为特征。
特征提取部分中的特征提取神经网络主要包含一层嵌入层和一层GRU层;
对通信特征和行为特征利用one-hot编码进行处理,将其转换为数值型 特征,获得相应的特征样本数据集X={x1,x2,…,xn},表示通信特征数据集 Y={y1,y2,…,yn},表示行为特征数据集;
嵌入层:通过one-hot编码处理,获得的数值特征过于稀疏,通过嵌入 层将其转换为稠密向量,嵌入层为一层全连接神经网络,激活函数选择tanh;
GRU层:GRU是一种特殊的循环神经网络,能够有效地在提取的特征中体 现时序关系,通过重置门控制上一时间节点对当前时间节点的影响,更新门 控制上一时间节点直接传递到当前时间节点的信息;
对于通信特征,需考虑各条流量数据之间的时序关系,输入神经网络中 提取特征H;
对于行为特征,不过多关注数据之间的时序关系,直接通过嵌入层转换 为稠密向量D,嵌入层同样也为一层全连接神经网络,激活函数选择tanh。
步骤四:特征融合部分采用深度典型相关分析模型完成;特征融合部分 的方法包括:
将特征D、H输入深度典型相关分析模型进行降维,并将输出的两组特征 行连接得到融合特征;
深度典型相关分析包含两个多层感知机,用以处理两组不同的特征,其 的优化损失函数为:
Ldist(D′,H′)+λ(LSDL(D′)+LSDL(H′))
其中,Ldist(D′,H′)计算处理后的两组特征之间的欧式距离,用以近似表示 相关性;LSDL为随机去相关损失函数,是降维后数据的协方差矩阵中的元素, 目的是对处理后的数据加以约束,减少自身特征之间的相关度,降低冗余, 在获得后D′,H′,通过行连接的方式将特征进行融合,得到融合特征Z。
步骤五:挖矿检测部分使用softmax和交叉熵损失函数作为二分类手段 进行检测判断,二分类手段进行检测的方法包括:
将融合特征Z输入softmax层,得到二分类的结果,判断其是否为挖矿 木马流量;
Softmax层作为整个神经网络的输出层。它是一层全连接神经网络,由于 我们只需判断是否为挖矿木马流量,因此只需两个节点,Softmax函数如下:
其中,S1表示是挖矿木马流量的概率,S2表示不是挖矿木马流量的概率。 若S1>S2,则判定为异常;
Softmax使用交叉熵函数作为损失函数,具体如下:
LCE=-∑itiln Si
其中,ti是样本分类的真实情况,即属于哪一类,则ti=1,否则ti=0。
训练优化获得检测挖矿木马流量的神经网络模型,通过优化交叉熵损失 函数,利用典型相关分析进行约束,最终神经网络的损失函数如下:
LCE(Z)+λ1Ldist(D′,H′)+λ2(LSDL(D′)+LSDL(H′))。
步骤六:宿主机进行两级筛查,两级筛查的方法包括:
由宿主机对节点资源应用情况进行监控,若达到高CPU占用阈值和连续 高CPU占用时间阈值,将其标记为一类疑似异常节点;
宿主机在一段时间内间断获取一类疑似异常节点的资源使用情况,并计 算与相同配置挖矿节点标准对比样本之间的欧式距离作为相似性参数,与设 定的阈值比较;
若与相似,则对节点高CPU占用进程做进一步检查,若有进程在已知挖 矿进程集MineC中,认为该节点为挖矿节点,并将该节点信息进行记录;
若进程均在已知正常进程白名单NormalC中,认为该节点正常;若存在 未知进程,认为其为二类疑似异常节点做进一步检测;
在二类疑似异常节点内动态获取流量数据包,并经过处理后送入训练好 的挖矿木马流量检测神经网络模型进行判断;
如果判断为挖矿木马流量,则获取源IP地址加入防火墙进行屏蔽,并将 该节点信息进行记录。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而 言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行 多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限 定。
Claims (9)
1.一种基于深度典型相关分析的挖矿木马检测方法,其特征在于:所述检测方法包括:
S1.在节点中搜集原始数据集,包括资源使用数据和流量数据,并利用数据设置监控阈值,训练流量检测神经网络模型;
神经网络模型主要由特征提取部分,特征融合部分和挖矿检测部分三个部分组成:
特征提取部分通过嵌入层和GRU层提取特征;
特征融合部分采用深度典型相关分析模型完成;
挖矿检测部分使用softmax和交叉熵损失函数作为二分类手段进行检测判断;
S2.宿主机进行两级筛查,通过CPU的使用情况先筛查出一批一类疑似节点;
对一类疑似节点再利用相似性分析和进程检测筛选出确定的挖矿节点进行记录,筛选出二类疑似节点进一步进行检测;
S3.在疑似节点采集动态网络流量信息,经过预处理后通过训练好的神经网络模型进行判断;
S4.如果判断为挖矿节点,则屏蔽流量源IP,记录该节点信息;
S5.对记录节点执行杀灭相关进程,删除挖矿程序,检查并清除定时任务,更改节点相关连接端口密码等处理操作。
2.根据权利要求1所述的一种基于深度典型相关分析的挖矿木马检测方法,其特征在于:所述原始数据集是在安全环境部署多个不同硬件配置的节点运行挖矿木马同时执行一些正常操作,搜集计算资源数据和通信流量数据包,并做好标签,作为初始数据集,过程中可包含一些伪装动作。
3.根据权利要求1所述的一种基于深度典型相关分析的挖矿木马检测方法,其特征在于:所述利用数据监控阈值的方法包括:对于节点计算资源,包括但不限于节点的CPU占用情况、内存占用情况、磁盘使用情况、网络使用情况等数据,分别针对不同硬件配置设置两级规则进行判断:
根据获得的CPU占用情况,设置高CPU占用阈值和连续高CPU占用时间阈值;
对挖矿节点所有资源的数据取平均值,作为挖矿节点标准对比样本;
记录挖矿进程的名称,记为MineC;
记录正常进程的名称作为白名单,记为NormalC。
4.根据权利要求1所述的一种基于深度典型相关分析的挖矿木马检测方法,其特征在于:所述特征提取部分的对象包括两部分:
一部分主要提取流量通信的基本信息特征,包括但不限于协议、状态、源IP、源端口、目的IP、目的端口、传输字节数等,称为通信特征;
另一部分主要利用分词方法从数据包提取行为参数相关特征,包括但不限于id、method、jsonrpc、params、result、login、pass、agent、mining、submit等,称为行为特征。
5.根据权利要求4所述的一种基于深度典型相关分析的挖矿木马检测方法,其特征在于:所述特征提取部分中的特征提取神经网络主要包含一层嵌入层和一层GRU层,通过嵌入层和GRU层分别提取行为特征、通信特征。
6.根据权利要求5所述的一种基于深度典型相关分析的挖矿木马检测方法,其特征在于:所述特征融合部分的方法为将行为特征、通信特征输入深度典型相关分析模型进行降维,并将输出的两组特征行连接得到融合特征。
7.根据权利要求6所述的一种基于深度典型相关分析的挖矿木马检测方法,其特征在于:所述二分类手段进行检测的方法为通过一层全连接神经网络softmax层进行判断,将融合特征输入softmax层,得出二分类的结果,判断其是否为挖矿木马流量。
8.根据权利要求7所述的一种基于深度典型相关分析的挖矿木马检测方法,其特征在于:所述训练优化获得检测挖矿木马流量的神经网络模型,通过优化交叉熵损失函数,利用典型相关分析进行约束,得出最终神经网络的损失。
9.根据权利要求7所述的一种基于深度典型相关分析的挖矿木马检测方法,其特征在于:所述两级筛查的方法包括:
由宿主机对节点资源应用情况进行监控,若达到高CPU占用阈值和连续高CPU占用时间阈值,将其标记为一类疑似异常节点;
宿主机在一段时间内间断获取一类疑似异常节点的资源使用情况,并计算与相同配置挖矿节点标准对比样本之间的欧式距离作为相似性参数,与设定的阈值比较;
若与相似,则对节点高CPU占用进程做进一步检查,若有进程在已知挖矿进程集MineC中,认为该节点为挖矿节点,并将该节点信息进行记录;
若进程均在已知正常进程白名单NormalC中,认为该节点正常;若存在未知进程,认为其为二类疑似异常节点做进一步检测;
在二类疑似异常节点内动态获取流量数据包,并经过处理后送入训练好的挖矿木马流量检测神经网络模型进行判断;
如果判断为挖矿木马流量,则获取源IP地址加入防火墙进行屏蔽,并将该节点信息进行记录。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210262270.4A CN114697086A (zh) | 2022-03-17 | 2022-03-17 | 一种基于深度典型相关分析的挖矿木马检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210262270.4A CN114697086A (zh) | 2022-03-17 | 2022-03-17 | 一种基于深度典型相关分析的挖矿木马检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114697086A true CN114697086A (zh) | 2022-07-01 |
Family
ID=82139925
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210262270.4A Pending CN114697086A (zh) | 2022-03-17 | 2022-03-17 | 一种基于深度典型相关分析的挖矿木马检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114697086A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB201820267D0 (en) * | 2018-12-12 | 2019-01-30 | Univ York | Proof-of-work for blockchain applications |
CN110879887A (zh) * | 2019-11-15 | 2020-03-13 | 杭州安恒信息技术股份有限公司 | 一种挖矿木马程序修复方法、装置、设备、介质 |
CN110933060A (zh) * | 2019-11-22 | 2020-03-27 | 上海交通大学 | 一种基于流量分析的挖矿木马检测系统 |
GB202005822D0 (en) * | 2020-04-21 | 2020-06-03 | Nchain Holdings Ltd | Block propagation with poisoned transactions in a blockchain network |
US20210120013A1 (en) * | 2019-10-19 | 2021-04-22 | Microsoft Technology Licensing, Llc | Predictive internet resource reputation assessment |
CN113704749A (zh) * | 2020-05-20 | 2021-11-26 | 中国移动通信集团浙江有限公司 | 一种恶意挖矿检测处理方法和装置 |
-
2022
- 2022-03-17 CN CN202210262270.4A patent/CN114697086A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB201820267D0 (en) * | 2018-12-12 | 2019-01-30 | Univ York | Proof-of-work for blockchain applications |
US20210120013A1 (en) * | 2019-10-19 | 2021-04-22 | Microsoft Technology Licensing, Llc | Predictive internet resource reputation assessment |
CN110879887A (zh) * | 2019-11-15 | 2020-03-13 | 杭州安恒信息技术股份有限公司 | 一种挖矿木马程序修复方法、装置、设备、介质 |
CN110933060A (zh) * | 2019-11-22 | 2020-03-27 | 上海交通大学 | 一种基于流量分析的挖矿木马检测系统 |
GB202005822D0 (en) * | 2020-04-21 | 2020-06-03 | Nchain Holdings Ltd | Block propagation with poisoned transactions in a blockchain network |
CN113704749A (zh) * | 2020-05-20 | 2021-11-26 | 中国移动通信集团浙江有限公司 | 一种恶意挖矿检测处理方法和装置 |
Non-Patent Citations (1)
Title |
---|
应宗浩;金海;: "挖矿木马的攻击手段及防御策略研究", 无线互联科技, no. 08 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109753800B (zh) | 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统 | |
Shone et al. | A deep learning approach to network intrusion detection | |
CN111027069B (zh) | 恶意软件家族检测方法、存储介质和计算设备 | |
CN109831460B (zh) | 一种基于协同训练的Web攻击检测方法 | |
CN113221112B (zh) | 基于弱相关集成策略的恶意行为识别方法、系统和介质 | |
Malaysia | An enhanced online phishing e-mail detection framework based on evolving connectionist system | |
CN111600919A (zh) | 基于人工智能的web检测方法和装置 | |
CN115987615A (zh) | 一种网络行为安全预警方法及系统 | |
Zhang et al. | The classification and detection of malware using soft relevance evaluation | |
CN113722719A (zh) | 针对安全拦截大数据分析的信息生成方法及人工智能系统 | |
CN111898129A (zh) | 基于Two-Head异常检测模型的恶意代码样本筛选器及方法 | |
CN115270996A (zh) | 一种dga域名检测方法、检测装置及计算机存储介质 | |
Jain et al. | An enhanced self-learning-based clustering scheme for real-time traffic data distribution in wireless networks | |
CN115982706A (zh) | 基于api调用序列行为多视角融合的恶意软件检测方法 | |
Silva et al. | Attackers are not stealthy: Statistical analysis of the well-known and infamous KDD network security dataset | |
Chakravarthi et al. | Deep Learning Based Intrusion Detection in Cloud Services for Resilience Management. | |
Sandhya et al. | Enhancing the Performance of an Intrusion Detection System Using Spider Monkey Optimization in IoT. | |
CN113722711A (zh) | 基于大数据安全漏洞挖掘的数据添加方法及人工智能系统 | |
CN112149121A (zh) | 一种恶意文件识别方法、装置、设备及存储介质 | |
CN114697086A (zh) | 一种基于深度典型相关分析的挖矿木马检测方法 | |
CN112328465A (zh) | 一种基于深度学习与遗传算法的浏览器样本集获取方法 | |
CN115622793A (zh) | 一种攻击类型识别方法、装置、电子设备及存储介质 | |
CN115438340A (zh) | 一种基于词素特征的挖矿行为识别方法及系统 | |
CN110197066B (zh) | 一种云计算环境下的虚拟机监控方法及监控系统 | |
CN112822220A (zh) | 一种面向多样本组合攻击的溯源方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |