CN115037500A - 一种基于配置文件检测挖矿失陷主机的方法 - Google Patents
一种基于配置文件检测挖矿失陷主机的方法 Download PDFInfo
- Publication number
- CN115037500A CN115037500A CN202210360763.1A CN202210360763A CN115037500A CN 115037500 A CN115037500 A CN 115037500A CN 202210360763 A CN202210360763 A CN 202210360763A CN 115037500 A CN115037500 A CN 115037500A
- Authority
- CN
- China
- Prior art keywords
- matching
- mining
- content
- hit
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000005065 mining Methods 0.000 title claims abstract description 18
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 10
- 238000012216 screening Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 3
- 230000001960 triggered effect Effects 0.000 claims description 2
- 238000001514 detection method Methods 0.000 abstract description 10
- 238000012544 monitoring process Methods 0.000 abstract description 3
- 238000002360 preparation method Methods 0.000 abstract description 3
- 238000013515 script Methods 0.000 abstract description 3
- 238000009412 basement excavation Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种基于配置文件检测挖矿失陷主机的方法,属于网络安全的技术领域。该方法主要通过对监控主机的HTTP流量从流量当中筛选出配置文件,然后按照挖矿协议定义好的标准模块进行匹配算法进行准备匹配,匹配的相似度达到一定的阈值就可以确定筛选出的文件就是挖矿程序需要的配置文件,从而确认请求该配置文件的主机即为失陷主机。根据此规则能够捕捉到一些挖矿团伙使用的攻击脚本,具有良好的检测能力。并且由于该检测方案具有较高的特异性,在检测率准确的情况下暂时未发现误报。
Description
技术领域
本发明涉及一种基于配置文件检测挖矿失陷主机的方法,属于网络安全的技术领域。
背景技术
行业里面的黑客目前主要通过攻击客户内部的机器成功获取到服务器权限后通过在本地部署挖矿程序进行虚拟货币挖矿以谋取私利,传统的安全检测往往通过事后开始挖矿的动作才能检测发现主机已经被攻陷,由于现在普遍攻击手法采用自动化程序的方式进行扩散传播,对于部分主机已经被获取到服务器权限进行挖矿程序的部署未成功阶段,目前处理检测空白的区域。
常规的挖矿流程如下(见附图1):
1、攻击服务器后控制该服务器;
2、受控制的服务器请求互联网获取挖矿套件;
3、服务器从互联网下载挖矿套件;
4、服务器沦为矿机,开启挖矿。
目前行业的主要检测方法仅仅是通过事后的主机进行挖矿后的行为即为第4阶段与事前的攻击阶段即第1阶段进行检测。但这种方式均存在如下缺点导致无法完全有效的识别:针对服务器被成功攻陷之后,开启挖矿进行挖矿程序之前的整个阶段都无法进行识别。
发明内容
本发明的目的是提供一种基于配置文件检测挖矿失陷主机的方法,通过检测挖矿程序使用HTTP协议从互联网拉取挖矿脚本的配置文件的方式能够准备识别准备开始挖矿的失陷主机,弥补恶意事件之前的检测空白阶段(即第3阶段)。实现上述目的,本发明采用以下技术方案:一种基于配置文件检测挖矿失陷主机的方法,包括以下步骤:
S1.文件筛选
通过协议审计的方式将当前网络当中的流量进行还原成HTTP请求的文本格式,需要通过对HTTP的请求头、请求体、响应头、响应体进行匹配从而识别当前流量是否为下载流量、下载的内容是否为文本内容格式;
S2.字符泛化与指纹提取
将配置文件做字符串处理,即通过文件筛选步骤后将识别的内容当中的HTTP的响应体内容进行保存并整体转化成json的通用格式;根据字符串的内容按照按格式规则进行提取,即使用通用字符串对文档当中的内容进行替换,最后提取出规则方法;
S3.匹配算法
通过将筛选后的待检测文件按照逐行读取的方式进行读取,以换行符为分界点;按照已经提取好的规则进行模糊匹配如果达到了命中比例阈值则定义为高可疑的安全事件,命中比列=命中的条目数据/所有的行数;
S4.匹配结果的报警模式
待筛选的数据通过匹配算法后存在3个输出结果;
结果1:未命中直接略过不产生任何告警的结果;
结果2:匹配命中比列<70%的小部分匹配,则定义为高可疑产生告警类型A;结果3:匹配命中比列≥70%的大部分匹配,则定义为已失陷产生告警B;
S5.附加高风险命中规则及告警
高风险关键规则:每个字段都有明确标识是High Risk或者common risk的标签,命中带有High Risk标识字段的达到了高风险阈值比例,则触发高风险关键规则,进而发出已失陷的告警
本申请中的技术术语包括:
失陷主机:被黑客攻破成功后拿到服务器权限,用于谋求非法利益或者盗取数据的主机。
挖矿(Miner):消耗计算资源来处理交易,确保网络安全以及保持网络中每个人的信息同步的过程。
本发明的有益效果为:该方法主要通过对监控主机的HTTP流量从流量当中筛选出配置文件,然后按照挖矿协议定义好的标准模块进行匹配算法进行准备匹配,匹配的相似度达到一定的阈值就可以确定筛选出的文件就是挖矿程序需要的配置文件,从而确认请求该配置文件的主机即为失陷主机。根据此规则能够捕捉到一些挖矿团伙使用的攻击脚本,具有良好的检测能力。并且由于该检测方案具有较高的特异性,在检测率准确的情况下暂时未发现误报。
附图说明
图1为常规挖矿的流程图。
图2为从原流量中筛选待检测样本图。
图3是一种基于配置文件检测挖矿失陷主机的方法的流程图。
图4为匹配算法的框图。
具体实施方式
下面结合附图和具体实施例,对本发明的技术方案进行具体说明。
本方案主要通过对监控主机的HTTP流量从流量当中筛选出一定格式的配置文件,然后按照挖矿协议定义好的标准模块进行一定的匹配算法进行准备匹配,匹配的相似度达到一定的阈值就可以确定筛选出的文件就是挖矿程序需要的配置文件,从而确认请求该配置文件的主机即为失陷主机。
业务处理流程主要的业务流程如下,先将标准的配置文件使用字符泛化的(即使用通用字符串对文档当中的内容进行替换)方式进行处理后形成一个通用的字符特征,将待检测的文件进行读取之后进行文件相似度的匹配达到一定的数量之后就进行报警提示为主机为失陷主机。
1.文件筛选
首先通过协议审计的方式将当前网络当中的流量进行还原成HTTP请求的文本格式,此处需要通过对HTTP的请求头、请求体、响应头、响应体进行匹配从而识别当前流量是否为下载流量、且下载的文件名为txt、cnf、json等格式,下载的内容是否为文本内容格式等方法对流量当中的文件进行筛选。
2.字符泛化与指纹提取
首先将配置文件做字符串处理,即通过文件筛选步骤之后,将识别的内容当中的HTTP的响应体内容进行保存,并整体转化成json的通用格式,根据字符串的内容按照按格式规则进行提取,即上述文档当中使用通用字符串对文档当中的内容进行替换,具体效果如下表格;最后能提取出规则方法。
3.匹配算法
通过将筛选后的待检测文件按照逐行读取的方式进行读取,以换行符为分界点;按照已经提取好的规则进行模糊匹配如果达到了命中比例阈值就可以定义为高可疑的安全事件,命中比列=命中的条目数据/所有的行数;
通过匹配的到的结果定义二种报警模式:待筛选的数据通过下面的匹配算法存在3个输出结果;结果1:直接pass不产生任何告警的结果;结果2:部分匹配、匹配命中的比例<70%则定义为高风险、产生告警类型A;结果3:大部分匹配、匹配命中比列≥70%,则定义为已失陷,产生告警B。
另外每个字段都有明确标识是High Risk或者common risk的标签,若命中了高风险关键规则即命中带有High Risk标识字段的达到了高风险阈值比例m(m为0-1的区间)可以直接定义为已失陷。
命中带有High Risk标识字段的比例达到了高风险阈值比例m,则触发高风险关键规则,进而发出已失陷的告警。
Claims (1)
1.一种基于配置文件检测挖矿失陷主机的方法,其特征在于,包括以下步骤:
S1.文件筛选
通过协议审计的方式将当前网络当中的流量进行还原成HTTP请求的文本格式,需要通过对HTTP的请求头、请求体、响应头、响应体进行匹配从而识别当前流量是否为下载流量、下载的内容是否为文本内容格式;
S2.字符泛化与指纹提取
将配置文件做字符串处理,即通过文件筛选步骤后将识别的内容当中的HTTP的响应体内容进行保存并整体转化成json的通用格式;根据字符串的内容按照按格式规则进行提取,即使用通用字符串对文档当中的内容进行替换,最后提取出规则方法;
S3.匹配算法
通过将筛选后的待检测文件按照逐行读取的方式进行读取,以换行符为分界点;按照已经提取好的规则进行模糊匹配如果达到了命中比例阈值则定义为高可疑的安全事件,命中比列=命中的条目数据/所有的行数;
S4.匹配结果的报警模式
待筛选的数据通过匹配算法后存在3个输出结果;
结果1:未命中直接略过不产生任何告警的结果;
结果2:匹配命中比列<70%的小部分匹配,则定义为高可疑产生告警类型A;结果3:匹配命中比列≥70%的大部分匹配,则定义为已失陷产生告警B;
S5.附加高风险命中规则及告警
高风险关键规则:每个字段都有明确标识是High Risk或者common risk的标签,命中带有High Risk标识字段的达到了高风险阈值比例,则触发高风险关键规则,进而发出已失陷的告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210360763.1A CN115037500B (zh) | 2022-04-07 | 2022-04-07 | 一种基于配置文件检测挖矿失陷主机的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210360763.1A CN115037500B (zh) | 2022-04-07 | 2022-04-07 | 一种基于配置文件检测挖矿失陷主机的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115037500A true CN115037500A (zh) | 2022-09-09 |
| CN115037500B CN115037500B (zh) | 2024-02-13 |
Family
ID=83118482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210360763.1A Active CN115037500B (zh) | 2022-04-07 | 2022-04-07 | 一种基于配置文件检测挖矿失陷主机的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115037500B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532944A (zh) * | 2013-10-08 | 2014-01-22 | 百度在线网络技术(北京)有限公司 | 一种捕获未知攻击的方法和装置 |
| CN109474485A (zh) * | 2017-12-21 | 2019-03-15 | 北京安天网络安全技术有限公司 | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 |
| CN109872138A (zh) * | 2019-02-21 | 2019-06-11 | 武汉优品楚鼎科技有限公司 | 一种数字货币交易的方法、装置及存储介质 |
| CN110619217A (zh) * | 2019-09-18 | 2019-12-27 | 杭州安恒信息技术股份有限公司 | 恶意挖矿程序主动防御的方法及装置 |
| CN111245787A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 一种失陷设备识别与设备失陷度评估的方法、装置 |
| WO2020173041A1 (zh) * | 2019-02-25 | 2020-09-03 | 上海风汇网络科技有限公司 | 一种基于http协议的服务器、用户终端收款系统及收款方法 |
| CN111949983A (zh) * | 2020-08-13 | 2020-11-17 | 北京小佑科技有限公司 | 一种容器内挖矿行为的检测方法 |
| CN112214766A (zh) * | 2020-10-12 | 2021-01-12 | 杭州安恒信息技术股份有限公司 | 一种检测挖矿木马的方法、装置、电子装置和存储介质 |
| CN113067835A (zh) * | 2021-04-14 | 2021-07-02 | 华能国际电力股份有限公司 | 一种集成自适应失陷指标处理系统 |
-
2022
- 2022-04-07 CN CN202210360763.1A patent/CN115037500B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532944A (zh) * | 2013-10-08 | 2014-01-22 | 百度在线网络技术(北京)有限公司 | 一种捕获未知攻击的方法和装置 |
| CN109474485A (zh) * | 2017-12-21 | 2019-03-15 | 北京安天网络安全技术有限公司 | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 |
| CN109872138A (zh) * | 2019-02-21 | 2019-06-11 | 武汉优品楚鼎科技有限公司 | 一种数字货币交易的方法、装置及存储介质 |
| WO2020173041A1 (zh) * | 2019-02-25 | 2020-09-03 | 上海风汇网络科技有限公司 | 一种基于http协议的服务器、用户终端收款系统及收款方法 |
| CN110619217A (zh) * | 2019-09-18 | 2019-12-27 | 杭州安恒信息技术股份有限公司 | 恶意挖矿程序主动防御的方法及装置 |
| CN111245787A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 一种失陷设备识别与设备失陷度评估的方法、装置 |
| CN111949983A (zh) * | 2020-08-13 | 2020-11-17 | 北京小佑科技有限公司 | 一种容器内挖矿行为的检测方法 |
| CN112214766A (zh) * | 2020-10-12 | 2021-01-12 | 杭州安恒信息技术股份有限公司 | 一种检测挖矿木马的方法、装置、电子装置和存储介质 |
| CN113067835A (zh) * | 2021-04-14 | 2021-07-02 | 华能国际电力股份有限公司 | 一种集成自适应失陷指标处理系统 |
Non-Patent Citations (2)
| Title |
|---|
| 王永刚;: "基于HTTP文件下载欺骗系统的设计与实现", 常州工学院学报, no. 02 * |
| 贺彦钧;张旭博;: "基于HTTP协议注入威胁验证及防护思路", 通信技术, no. 07 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115037500B (zh) | 2024-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5961183B2 (ja) | 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法 | |
| Xiang et al. | Cantina+ a feature-rich machine learning framework for detecting phishing web sites | |
| US9218461B2 (en) | Method and apparatus for detecting malicious software through contextual convictions | |
| CN111600850B (zh) | 一种检测挖矿虚拟货币的方法、设备及存储介质 | |
| BRPI0815605B1 (pt) | Método para a comunicação de dados usando um dispositivo de computação; método para gerar uma segunda versão de um componente de comunicação de dados usando um dispositivo de computação; método para comunicação de dados usando um dispositivo de computação; método para a criação de um certificado usando um dispositivo de computação; e método para usar um certificado utilizando um dispositivo de computação | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| WO2018077035A1 (zh) | 恶意资源地址检测方法和装置、存储介质 | |
| Romano et al. | Minerray: Semantics-aware analysis for ever-evolving cryptojacking detection | |
| CN112199677A (zh) | 一种数据处理方法和装置 | |
| US20190342330A1 (en) | User-added-value-based ransomware detection and prevention | |
| CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
| EP3705974B1 (en) | Classification device, classification method, and classification program | |
| CN115883124A (zh) | 基于分布式的网站篡改检测系统及方法 | |
| CN112532624A (zh) | 一种黑链检测方法、装置、电子设备及可读存储介质 | |
| CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| Wang et al. | A surveillance spyware detection system based on data mining methods | |
| CN113596044B (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
| CN111488621A (zh) | 一种篡改网页检测方法、系统及电子设备和存储介质 | |
| CN115037500A (zh) | 一种基于配置文件检测挖矿失陷主机的方法 | |
| WO2023244395A1 (en) | Automated management of blockchain knowledge repositories | |
| CN114021137A (zh) | 恶意诱导文件检测方法、装置、设备和存储介质 | |
| JP7131704B2 (ja) | 抽出装置、抽出方法及び抽出プログラム | |
| CN113949621B (zh) | 入侵事件的告警关联方法、装置、电子设备及存储介质 | |
| CN111212039A (zh) | 基于dns流量的主机挖矿行为检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |