CN115134276B - 一种挖矿流量检测方法及装置 - Google Patents
一种挖矿流量检测方法及装置 Download PDFInfo
- Publication number
- CN115134276B CN115134276B CN202210513471.7A CN202210513471A CN115134276B CN 115134276 B CN115134276 B CN 115134276B CN 202210513471 A CN202210513471 A CN 202210513471A CN 115134276 B CN115134276 B CN 115134276B
- Authority
- CN
- China
- Prior art keywords
- flow
- mining
- packet
- metadata
- long connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000005065 mining Methods 0.000 title claims abstract description 167
- 238000001514 detection method Methods 0.000 title claims abstract description 96
- 238000000034 method Methods 0.000 claims abstract description 45
- 238000009412 basement excavation Methods 0.000 claims abstract description 4
- 230000002457 bidirectional effect Effects 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 28
- 230000015654 memory Effects 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 6
- 239000000463 material Substances 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 10
- 230000006870 function Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000000605 extraction Methods 0.000 description 5
- 239000013598 vector Substances 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004880 explosion Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000002045 lasting effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种挖矿流量检测方法及装置,涉及通信领域,能够解决现阶段无法检测加密混淆后的挖矿流量的问题,包括:获取至少一个流量包的元数据;元数据用于表征至少一个流量包的属性特征;根据至少一个流量包的元数据,确定至少一个长连接流量;长连接流量为一对IP地址和端口之间存在的持续时长大于或等于预设时长阈值的流量;根据训练好的挖矿流量检测模型,判断每个长连接流量是否为挖矿流量。本申请用于挖矿流量的检测。
Description
技术领域
本申请涉及通信领域,尤其涉及一种挖矿流量检测方法及装置。
背景技术
随着比特币、以太币等虚拟货币的火爆,利用显卡等设备进行挖矿成为行业人士所熟知的一种特殊的获取经济利益的方法。然而,挖矿行为不仅会消耗大量的电力,还会对提供算力的显卡等设备造成严重的损耗。监管部门及网络运营商通过技术手段排查发现了一批挖矿网际互连协议(internet protocol,IP)地址,并要求其关闭矿机、停止运营矿场。
为了躲避监管,挖矿者纷纷采用加密挖矿协议,以连接海外矿池继续挖矿作业。现阶段,对于挖矿流量检测的方案无法检测加密混淆后的挖矿流量。
发明内容
本申请提供一种挖矿流量检测方法及装置,能够解决现阶段无法检测加密混淆后的挖矿流量的问题。
为了达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种挖矿流量检测方法,包括:获取至少一个流量包的元数据;元数据用于表征至少一个流量包的属性特征;根据至少一个流量包的元数据,确定至少一个长连接流量;长连接流量为一对网际互连协议IP地址和端口之间存在的持续时长大于或等于预设时长阈值的流量;根据训练好的挖矿流量检测模型,判断每个长连接流量是否为挖矿流量。
基于上述技术方案,本申请通过获取流量包的元数据,并对其中的长连接流量进行确定,进而再通过训练好的挖矿流量检测模型,判断长连接流量是否为挖矿流量。由于流量加密混淆方法作用于流量包的载荷,对流量包的元数据的提取没有影响,所以加密流量包中仍然可以提取出有效的元数据,以便于后续长连接流量的确定。由此,本申请的技术方案实现了对加密混淆后的挖矿流量的检测。
在一种可能的实现方式中,上述元数据包括以下一项或多项:元数据对应的流量包的源网际互连协议IP地址、源端口、目标IP地址、目标端口、流量包大小、传输控制协议TCP包窗口大小、时间戳。
在一种可能的实现方式中,上述根据至少一个流量包的元数据,确定至少一个长连接流量,具体包括:根据至少一个流量包中的元数据中包括的源IP地址、源端口、目标IP地址和目标端口,确定至少一个双向流量包;双向流量包表征有一对IP地址和端口之间存在持续的数据连接;根据至少一个双向流量包的元数据中包括的时间戳,确定至少一组持续多个相邻单位时长的流量;其中,单位时长为一个双向流量包的持续时长;将至少一组持续多个相邻单位时长的流量中,总流量持续时长大于或等于预设时长阈值的一组流量,确定为长连接流量。
在一种可能的实现方式中,上述根据训练好的挖矿流量检测模型,判断每个长连接流量是否为挖矿流量之前,方法还包括:确定长连接流量的流量特征数据;将长连接流量的流量特征数据输入挖矿流量检测模型中。
在一种可能的实现方式中,上述预设时长阈值为15秒或30秒或1分钟。
第二方面,本申请提供一种挖矿流量检测装置,包括:获取单元和处理单元;获取单元,用于获取至少一个流量包的元数据;元数据用于表征至少一个流量包的属性特征;处理单元,用于根据至少一个流量包的元数据,确定至少一个长连接流量;长连接流量为一对网际互连协议IP地址和端口之间存在的持续时长大于或等于预设时长阈值的流量;处理单元,还用于根据训练好的挖矿流量检测模型,判断每个长连接流量是否为挖矿流量。
在一种可能的实现方式中,上述元数据包括以下一项或多项:元数据对应的流量包的源网际互连协议IP地址、源端口、目标IP地址、目标端口、流量包大小、传输控制协议TCP包窗口大小、时间戳。
在一种可能的实现方式中,处理单元,还用于根据至少一个流量包中的元数据中包括的源IP地址、源端口、目标IP地址和目标端口,确定至少一个双向流量包;双向流量包表征有一对IP地址和端口之间存在持续的数据连接;处理单元,还用于根据至少一个双向流量包的元数据中包括的时间戳,确定至少一组持续多个相邻单位时长的流量;其中,所述单位时长为一个所述双向流量包的持续时长;所述处理单元,还用于将所述至少一组持续多个相邻单位时长的流量中,总流量持续时长大于或等于所述预设时长阈值的一组流量,确定为所述长连接流量。。
在一种可能的实现方式中,处理单元,还用于确定长连接流量的流量特征数据;处理单元,还用于将长连接流量的流量特征数据输入挖矿流量检测模型中。
在一种可能的实现方式中,预设时长阈值为15秒或30秒或1分钟。
此外,第二方面的挖矿流量检测装置的技术效果可以参考上述第一方面的挖矿流量检测方法的技术效果,此处不再赘述。
第三方面,本申请提供一种存储一个或多个程序的计算机可读存储介质,该一个或多个程序包括指令,上述指令当被本申请的电子设备执行时使电子设备执行如第一方面和第一方面的任一种可能的实现方式中所描述的挖矿流量检测方法。
第四方面,本申请提供一种电子设备,包括:处理器以及存储器;其中,存储器用于存储一个或多个程序,一个或多个程序包括计算机执行指令,当电子设备运行时,处理器执行存储器存储的计算机执行指令,以使电子设备执行如第一方面和第一方面的任一种可能的实现方式中所描述的挖矿流量检测方法。
第五方面,本申请提供一种包含指令的计算机程序产品,当该指令在计算机上运行时,使得本申请的电子设备执行如第一方面和第一方面的任一种可能的实现方式中所描述的挖矿流量检测方法。
第六方面,本申请提供一种芯片系统,该芯片系统应用于挖矿流量检测装置;所述芯片系统包括一个或多个接口电路,以及一个或多个处理器。所述接口电路和所述处理器通过线路互联;所述接口电路用于从所述挖矿流量检测装置的存储器接收信号,并向所述处理器发送所述信号,所述信号包括所述存储器中存储的计算机指令。当所述处理器执行所述计算机指令时,所述挖矿流量检测装置执行如第一方面及其任一种可能的设计方式所述的挖矿流量检测方法。
在本申请中,上述挖矿流量检测装置的名字对设备或功能单元本身不构成限定,在实际实现中,这些设备或功能单元可以以其他名称出现。只要各个设备或功能单元的功能和本申请类似,均属于本申请权利要求及其等同技术的范围之内。
附图说明
图1为本申请实施例提供的一种挖矿流量检测装置的架构示意图;
图2为本申请实施例提供的一种挖矿流量检测方法的流程示意图;
图3为本申请实施例提供的另一种挖矿流量检测方法的流程示意图;
图4为本申请实施例提供的另一种挖矿流量检测方法的流程示意图;
图5为本申请实施例提供的一种挖矿流量检测装置的结构示意图;
图6为本申请实施例提供的另一种挖矿流量检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本文中字符“/”,一般表示前后关联对象是一种“或者”的关系。例如, A/B可以理解为A或者B。
本申请的说明书和权利要求书中的术语“第一”和“第二”是用于区别不同的对象,而不是用于描述对象的特定顺序。例如,第一边缘服务节点和第二边缘服务节点是用于区别不同的边缘服务节点,而不是用于描述边缘服务节点的特征顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
另外,在本申请实施例中,“示例性的”、或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”、或者“例如”等词旨在以具体方式呈现概念。
随着比特币、以太币等虚拟货币的火爆,利用显卡等设备进行挖矿成为行业人士所熟知的一种特殊的获取经济利益的方法。挖矿是通过特定的程序和算法,利用计算机中的显卡等设备的算力在选定的虚拟货币矿池中进行大量的计算,产生数据包。进而,矿池根据各个设备贡献算力的多少,来为其分配不同数量的虚拟货币。通过出售这些获得的虚拟货币,能够获得不菲的经济利益。
然而,挖矿行为不仅会消耗大量的电力,还会对提供算力的显卡等设备造成严重的损耗。监管部门及网络运营商通过技术手段排查发现了一批挖矿IP地址,并要求其关闭矿机、停止运营矿场。
为了躲避监管,挖矿者纷纷采用加密挖矿协议,以连接海外矿池继续挖矿作业。现阶段,对于挖矿流量检测的方案,大多数是对明文挖矿流量中矿池下发任务,矿机提交工作的流量中关键字段进行识别与检测,然而这种方法无法检测加密混淆后的挖矿流量。
例如,现阶段公开了一种基于流量分析的挖矿木马检测系统,包括:以静态过程特性分析软件包pcap数据包或实时流量作为输入,可以选择检测连接矿池挖矿和个人对个人(peer to peer,p2p)挖矿两种模式,经过系统的字段特征提取或通信流特征提取及识别,对其中的挖矿流量进行分析,向用户输出报警信息。
分析可知,上述现有方案针对的是挖矿木马这种被动挖矿的流量,针对矿场、矿机主动挖矿所产生的流量,上述现有方案无法有效检测。其次,该方案检测过程中,需要对流量包进行解析。当矿池中的挖矿流量被加密时,该方案无法有效对加密挖矿流量进行检测。并且,该方案中保留了对挖矿p2p网络流量的检测,但是目前直连p2p网络进行挖矿的行为近乎消失,因此保留对挖矿p2p网络流量的检测反而会增加额外的方案实施成本。
为了解决现阶段无法检测加密混淆后的挖矿流量的问题,本申请提供了一种挖矿流量检测方法,以实现对经过加密混淆后的挖矿流量的检测。
示例性地,如图1所示,为本申请涉及的一种挖矿流量检测装置10 的架构示意图。挖矿流量检测装置10包括:元数据获取模块11、长连接流量确定模块12、流量特征数据确定模块13、挖矿流量识别模型14。
其中,元数据获取模块11,用于获取流量包的元数据,并将这些流量包的元数据向长连接流量确定模块12发送。示例性地,流量包的元数据包括:源IP地址、源端口、目标IP、目标端口、流量包大小、传输控制协议 (transmission control protocol,TCP)包窗口大小、时间戳,
长连接流量确定模块12,用于从流量包中确定出符合条件的长连接流量,并将这些长连接流量及其元数据发送至。长连接流量的具体确定方法参见后文S301-S303。
流量特征数据确定模块13,用于根据从长连接流量确定模块12处接收的长连接数据包的元数据,确定这些长连接流量的流量特征数据,并向挖矿流量识别模型14发送。
挖矿流量识别模型14,是一种基于卷积神经网络来构建的机器学习模型。示例性地,挖矿流量识别模型14可以基于LeNet模型算法来构建。在本申请中,挖矿流量识别模型14用于根据接收到的来自流量特征数据确定模块13的长连接流量的流量特征数据,对这些长连接流量中具体哪些流量包为挖矿流量包进行识别检测,以获取最终的检测结果。
在不同的应用场景中,元数据获取模块11、长连接流量确定模块12、流量特征数据确定模块13及挖矿流量识别模型14可以部署在挖矿流量检测装置10包括的不同的设备中,也可以集成于挖矿流量检测装置10包括的同一设备中,本申请对此不作具体限定。
当元数据获取模块11、长连接流量确定模块12、流量特征数据确定模块13及挖矿流量识别模型14集成于挖矿流量检测装置10内同一设备时,元数据获取模块11、长连接流量确定模块12、流量特征数据确定模块13 及挖矿流量识别模型14之间的通信方式为该设备内部模块之间的通信。这种情况下,四者之间的通信流程与“元数据获取模块11、长连接流量确定模块12、流量特征数据确定模块13及挖矿流量识别模型14之间相互独立的情况下,四者之间的通信流程”相同。
下面结合说明书附图,对本申请所提供的技术方案进行具体阐述。
示例性地,如图2所示,本申请提供一种挖矿流量检测方法,具体包括以下S201-S203:
S201、挖矿流量检测装置获取至少一个流量包的元数据。
其中,元数据用于表征所述至少一个流量包的属性特征。
可选地,流量包的元数据可包括以下一项或多项:流量包的源IP地址、源端口、目标IP地址、目标端口、流量包大小、TCP包窗口大小、时间戳。
需要说明的是,挖矿流量检测装置获取元数据的方法为现有技术,本实施例在此不再赘述。
应理解,由于流量加密混淆方法作用于流量包的载荷,对流量包的元数据的提取是没有影响的,所以加密流量中仍然可以提取出有效的元数据。
在一种可能的实现方式中,S201具体可由挖矿流量检测装置中的元数据获取模块来执行,以实现对流量包的元数据的获取。
S202、挖矿流量检测装置根据至少一个流量包的元数据,确定至少一个长连接流量。
其中,长连接流量为所述至少一个流量包对应的至少一对IP地址和端口之中,在一对IP地址和端口之间存在的流量持续时长大于或等于预设时长阈值的流量。示例性地,多个在时序上相邻的流量包组成了一组持续多个相邻单位时长的流量,在这组流量的总持续时长超过了预设时长阈值后,即可将该组流量确定为长连接流量。示例性地,预设时长阈值由人工预先设置,例如,可将预设时长阈值设置为15秒或30秒或1分钟。具体预设时长阈值设置为何值,本实施例不做具体限定。
挖矿流量检测装置具体根据至少一个流量包的元数据,确定至少一个长连接流量的流程的说明,参见下文S301-S303,本申请在此不再赘述。
在一种可能的实现方式中,S202具体可由挖矿流量检测装置中的长连接流量确定模块来执行,以实现对流量包中长连接流量的确定。
S203、挖矿流量检测装置根据训练好的挖矿流量检测模型,判断每个长连接流量是否为挖矿流量。
其中,挖矿流量检测模型为根据卷积神经网络及相关检测模型算法构建的机器学习模型。可选地,挖矿流量检测模型根据LeNet模型算法来构建。
在一种可能的实现方式中,当挖矿流量检测模型的检测模型算法选择为LeNet模型时,LeNet模型中输入层的维度为1500*1500,第一卷积层的维度为10*300*300,第一池化层的维度为10*150*150,第二卷积层的维度为20*15*15,连接两层4500*64的全连接层,输出层维度为1,除了输出层激活函数为Sigmoid函数外,其他各层的激活函数为ReLU函数。
需要说明的是,对挖矿行文检测模型进行训练的方法为现阶段成熟的机器学习模型训练技术,本实施例在此不再赘述。
在一种可能的实现方式中,S203具体可由挖矿流量检测装置中的挖矿流量识别模型来执行,以实现对长连接流量是否为挖矿流量的判断。
基于上述技术方案,本申请实施例通过获取流量包的元数据,并对其中的长连接流量进行确定,进而再通过训练好的挖矿流量检测模型,判断长连接流量是否为挖矿流量。由于流量加密混淆方法作用于流量包的载荷,对流量包的元数据的提取没有影响,所以加密流量包中仍然可以提取出有效的元数据,由此,本申请的技术方案实现了对加密混淆后的挖矿流量的检测。
示例性地,结合图2,如图3所示,本申请提供的一种挖矿流量检测方法中,S202具体包括以下S301-S303:
S301、挖矿流量检测装置根据至少一个流量包的元数据中包括的源IP 地址、源端口、目标IP地址和目标端口,确定至少一个双向流量包。
其中,双向流量包为具有相匹配的源IP地址与目标IP地址、以及相匹配的源端口和目标端口的,并且持续一定时长的流量包。也就是说,每个双向流量包表示有一对IP地址和端口之间存在持续的数据连接。
可以理解的是,基于上述对双向流量包的介绍,挖矿流量检测装置会根据每个流量包的元数据中是否存在配对的源IP地址和目标IP地址,以及是否存在配对的源端口和目标端口,来确定该流量包是否为双向流量包。
在一种可能的实现方式中,S301具体可由挖矿流量检测装置中的长连接流量确定模块来执行,以实现对至少一个流量包中双向流量包的确定。
S302、挖矿流量检测装置根据至少一个双向流量包的元数据中包括的时间戳,确定至少一组持续多个相邻单位时长的流量。
其中,单位时长即为一个双向流量包的持续时长。需要说明的是,根据一个双向流量包的元数据中包括的时间戳来确定该双向流量包的流量持续时长(也即单位时长)的方法,为现阶段成熟的技术,本申请在此不再赘述。
由此,挖矿流量检测装置确定出每个双向流量包的持续时长,进而当有数个双向流量包在时序上相邻,并且组成了一组持续多个相邻单位时长的流量时,以便于后续步骤中挖矿流量检测装置能够对该组流量的总持续时长进行是否超出预设时长阈值的判断。在一种可能的实现方式中,S302 具体可由挖矿流量检测装置中的长连接流量确定模块来执行,以实现对每个双向流量包的流量持续时长的确定。
S303、挖矿流量检测装置至少一组持续多个相邻单位时长的流量中,总流量持续时长大于或等于所述预设时长阈值的一组流量,确定为所述长连接流量。
可以理解的是,若该组流量的总持续时长大于或等于预设时长阈值,则挖矿流量检测装置确定该组流量为长连接流量;若该组流量的总持续时长小于预设时长阈值,则挖矿流量检测装置确定该组流量不为长连接流量。
可选地,预设时长阈值由人工预先设置,例如,可将预设时长阈值设置为15秒或30秒或1分钟。具体预设时长阈值设置为何值,本实施例不做具体限定。
在一种可能的实现方式中,S303具体可由挖矿流量检测装置中的长连接流量确定模块来执行,以实现对长连接流量的确定。
基于上述技术方案,本申请实施例通过将流量包中的双向流量包组成的流量的流量持续时长,与预设的时长阈值进行对比,从而辨别出长连接流量,以便于后续挖矿流量的检测流程的进行。
示例性地,结合图2,如图4所示,本申请提供的一种挖矿流量检测方法中,在根据训练好的挖矿流量检测模型,判断每个长连接流量是否为挖矿流量之前,还包括以下步骤S401-S402:
S401、挖矿流量检测装置确定长连接流量的流量特征数据。
可选地,长连接流量的流量特征数据可以是以特征向量的形式来表现,也可以是以统计直方图的形式来表现。具体的,挖矿流量检测装置将各个流量包的元数据组合成特征向量,然后再将各个流量包特征向量堆叠成流量的特征矩阵;或者,挖矿流量检测装置根据各个流量包的流量包大小和时间戳,生成统计直方图。
可以理解的是,挖矿流量检测装置确定长连接流量的流量特征数据,是为了将加密流量包的元数据转化成可以被机器学习模型(也即本申请中的挖矿流量识别模型)直接使用的特征数据,以便于后续的挖矿流量识别模型基于长连接流量的流量特征数据,来对长连接流量中的挖矿流量进行识别。
示例性地,若长连接流量的流量特征数据以统计直方图的形式来表现,则挖矿流量检测装置对长连接流量中包括的数据包以时间和数据包大小为坐标轴,生成二维直方图特征。可选地,数据包大小维度边界为1500字节,大于1500字节的流量包被设置为1500,时间维度边界为60秒,即表示每个流量包的二维直方图包含这个流量包60秒的信息。
在一种可能的实现方式中,S401具体可由挖矿流量检测装置中的流量特征数据确定模块来执行,以实现长连接流量的流量特征数据的确定。
S402、挖矿流量检测装置将长连接流量的流量特征数据输入挖矿流量检测模型中。
应理解,当长连接流量的流量特征数据以统计直方图的形式来表现时,本申请中的挖矿流量识别模型也是基于识别统计直方图来进行训练。同理,当当长连接流量的流量特征数据以特征向量和矩阵的形式来表现时,本申请中的挖矿流量识别模型也是基于识别特征向量和矩阵来进行训练。由此,挖矿流量识别模型能够实现对长连接流量是否为挖矿流量的判断。
在一种可能的实现方式中,S402具体可由挖矿流量检测装置中的挖矿流量识别模型来执行,以实现长连接流量的流量特征数据的输入。
基于上述技术方案,本申请实施例能够确定出长连接流量的流量特征数据,以便于将流量特征数据输入至挖矿流量检测模型,从而确定出长连接流量中的挖矿流量。
本申请实施例可以根据上述方法示例对挖矿流量检测装置进行功能模块或者功能单元的划分,例如,可以对应各个功能划分各个功能模块或者功能单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块或者功能单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
示例性的,如图5所示,为本申请实施例所涉及的一种挖矿流量检测装置的一种可能的结构示意图。该挖矿流量检测装置500包括:获取单元 501和处理单元502。
其中,获取单元501,用于获取至少一个流量包的元数据。
处理单元502,用于根据所述至少一个流量包的元数据,确定至少一个长连接流量。
处理单元502,还用于根据训练好的挖矿流量检测模型,判断每个所述长连接流量是否为挖矿流量。
可选的,处理单元502,还用于根据所述至少一个流量包中的元数据中包括的源IP地址、源端口、目标IP地址和目标端口,确定至少一个双向流量包。
可选的,处理单元502,还用于根据所述至少一个双向流量包的元数据中包括的所述时间戳,确定至少一组持续多个相邻单位时长的流量。
可选的,处理单元502,还用于将至少一组持续多个相邻单位时长的流量中,总流量持续时长大于或等于预设时长阈值的一组流量,确定为长连接流量。
可选的,处理单元502,还用于确定所述长连接流量的流量特征数据。
可选的,处理单元502,还用于将所述长连接流量的流量特征数据输入所述挖矿流量检测模型中。
可选的,挖矿流量检测装置500还可以包括存储单元(图5中以虚线框示出),该存储单元存储有程序或指令,当处理单元502执行该程序或指令时,使得挖矿流量检测装置可以执行上述方法实施例所述的挖矿流量检测方法。
此外,图5所述的挖矿流量检测装置的技术效果可以参考上述实施例所述的挖矿流量检测方法的技术效果,此处不再赘述。
示例性地,图6为上述实施例中所涉及的挖矿流量检测装置的又一种可能的结构示意图。如图6所示,挖矿流量检测装置600包括:处理器602。
其中,处理器602,用于对该挖矿流量检测装置的动作进行控制管理,例如,执行上述获取单元501和处理单元502执行的步骤,和/或用于执行本文所描述的技术方案的其它过程。
上述处理器602可以是实现或执行结合本申请内容所描述的各种示例性的逻辑方框,模块和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合, DSP和微处理器的组合等。
可选地,挖矿流量检测装置600还可以包括通信接口603、存储器601 和总线604。其中,通信接口603用于支持挖矿流量检测装置600与其他网络实体的通信。存储器601用于存储该挖矿流量检测装置的程序代码和数据。
其中,存储器601可以是挖矿流量检测装置中的存储器,该存储器可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
总线604可以是扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线604可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例提供一种包含指令的计算机程序产品,当所述计算机程序产品在本申请的电子设备上运行时,使得所述计算机执行上述方法实施例所述的挖矿流量检测方法。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当计算机执行该指令时,该本申请的电子设备执行上述方法实施例所示的方法流程中挖矿流量检测装置执行的各个步骤。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种挖矿流量检测方法,其特征在于,所述方法包括:
获取至少一个流量包的元数据;所述元数据用于表征所述至少一个流量包的属性特征;
根据所述至少一个流量包的元数据,确定至少一个长连接流量;所述长连接流量为一对网际互连协议IP地址和端口之间存在的持续时长大于或等于预设时长阈值的流量;
根据训练好的挖矿流量检测模型,判断每个所述长连接流量是否为挖矿流量;
所述根据至少一个流量包的元数据,确定至少一个长连接流量,具体包括:
根据所述至少一个流量包中的元数据中包括的源IP地址、源端口、目标IP地址和目标端口,确定至少一个双向流量包;所述双向流量包表征有一对IP地址和端口之间存在持续的数据连接;
根据所述至少一个双向流量包的元数据中包括的时间戳,确定至少一组持续多个相邻单位时长的流量;其中,所述单位时长为一个所述双向流量包的持续时长;
将所述至少一组持续多个相邻单位时长的流量中,总流量持续时长大于或等于所述预设时长阈值的一组流量,确定为所述长连接流量。
2.根据权利要求1所述的方法,其特征在于,所述元数据包括以下一项或多项:所述元数据对应的流量包的源网际互连协议IP地址、源端口、目标IP地址、目标端口、流量包大小、传输控制协议TCP包窗口大小、时间戳。
3.根据权利要求1-2中任一项所述的方法,其特征在于,在所述根据训练好的挖矿流量检测模型,判断每个所述长连接流量是否为挖矿流量之前,所述方法还包括:
确定所述长连接流量的流量特征数据;
将所述长连接流量的流量特征数据输入所述挖矿流量检测模型中。
4.根据权利要求1-2中任一项所述的方法,其特征在于,所述预设时长阈值为15秒或30秒或1分钟。
5.一种挖矿流量检测装置,其特征在于,所述挖矿流量检测装置包括:获取单元和处理单元;
所述获取单元,用于获取至少一个流量包的元数据;所述元数据用于表征所述至少一个流量包的属性特征;
所述处理单元,用于根据所述至少一个流量包的元数据,确定至少一个长连接流量;所述长连接流量为一对网际互连协议IP地址和端口之间存在的持续时长大于或等于预设时长阈值的流量;
所述处理单元,还用于根据训练好的挖矿流量检测模型,判断每个所述长连接流量是否为挖矿流量;
所述处理单元,还用于根据所述至少一个流量包中的元数据中包括的源IP地址、源端口、目标IP地址和目标端口,确定至少一个双向流量包;所述双向流量包表征有一对IP地址和端口之间存在持续的数据连接;
所述处理单元,还用于根据所述至少一个双向流量包的元数据中包括的时间戳,确定至少一组持续多个相邻单位时长的流量;其中,所述单位时长为一个所述双向流量包的持续时长;
所述处理单元,还用于将所述至少一组持续多个相邻单位时长的流量中,总流量持续时长大于或等于所述预设时长阈值的一组流量,确定为所述长连接流量。
6.根据权利要求5所述的挖矿流量检测装置,其特征在于,所述元数据包括以下一项或多项:所述元数据对应的流量包的源网际互连协议IP地址、源端口、目标IP地址、目标端口、流量包大小、传输控制协议TCP包窗口大小、时间戳。
7.根据权利要求5-6中任一项所述的挖矿流量检测装置,其特征在于,
所述处理单元,还用于确定所述长连接流量的流量特征数据;
所述处理单元,还用于将所述长连接流量的流量特征数据输入所述挖矿流量检测模型中。
8.根据权利要求5-6中任一项所述的挖矿流量检测装置,其特征在于,所述预设时长阈值为15秒或30秒或1分钟。
9.一种电子设备,其特征在于,包括:处理器以及存储器;其中,所述存储器用于存储计算机执行指令,当所述电子设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述电子设备执行权利要求1-4中任一项所述的挖矿流量检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括指令,当所述计算机可读存储介质中的指令由电子设备执行时,使得所述电子设备能够执行如权利要求1-4中任一项所述的挖矿流量检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210513471.7A CN115134276B (zh) | 2022-05-12 | 2022-05-12 | 一种挖矿流量检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210513471.7A CN115134276B (zh) | 2022-05-12 | 2022-05-12 | 一种挖矿流量检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115134276A CN115134276A (zh) | 2022-09-30 |
| CN115134276B true CN115134276B (zh) | 2023-12-08 |
Family
ID=83376177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210513471.7A Active CN115134276B (zh) | 2022-05-12 | 2022-05-12 | 一种挖矿流量检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115134276B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6865573B1 (en) * | 2001-07-27 | 2005-03-08 | Oracle International Corporation | Data mining application programming interface |
| CN104753946A (zh) * | 2015-04-01 | 2015-07-01 | 浪潮电子信息产业股份有限公司 | 一种基于网络流量元数据的安全分析框架 |
| WO2016107180A1 (zh) * | 2015-01-04 | 2016-07-07 | 华为技术有限公司 | 网络数据流类型检测方法及装置 |
| CN106657134A (zh) * | 2017-01-12 | 2017-05-10 | 算丰科技(北京)有限公司 | 稳定通信的方法、系统、挖矿服务器和客户端 |
| CN109818976A (zh) * | 2019-03-15 | 2019-05-28 | 杭州迪普科技股份有限公司 | 一种异常流量检测方法及装置 |
| CN110933060A (zh) * | 2019-11-22 | 2020-03-27 | 上海交通大学 | 一种基于流量分析的挖矿木马检测系统 |
| CN111541655A (zh) * | 2020-04-08 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 网络异常流量检测方法、控制器及介质 |
| CN111600850A (zh) * | 2020-04-26 | 2020-08-28 | 武汉思普崚技术有限公司 | 一种检测挖矿虚拟货币的方法、设备及存储介质 |
| CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
| CN113901976A (zh) * | 2020-06-22 | 2022-01-07 | 北京观成科技有限公司 | 一种恶意流量的识别方法、装置及电子设备 |
| DE102021212380A1 (de) * | 2020-11-04 | 2022-05-05 | Nvidia Corporation | System und verfahren zur analyse von datenprotokollen |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10243854B2 (en) * | 2015-12-09 | 2019-03-26 | International Business Machines Corporation | Persistent connection rebalancing |
| US11509670B2 (en) * | 2018-11-28 | 2022-11-22 | Rapid7, Inc. | Detecting anomalous network activity |
-
2022
- 2022-05-12 CN CN202210513471.7A patent/CN115134276B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6865573B1 (en) * | 2001-07-27 | 2005-03-08 | Oracle International Corporation | Data mining application programming interface |
| WO2016107180A1 (zh) * | 2015-01-04 | 2016-07-07 | 华为技术有限公司 | 网络数据流类型检测方法及装置 |
| CN104753946A (zh) * | 2015-04-01 | 2015-07-01 | 浪潮电子信息产业股份有限公司 | 一种基于网络流量元数据的安全分析框架 |
| CN106657134A (zh) * | 2017-01-12 | 2017-05-10 | 算丰科技(北京)有限公司 | 稳定通信的方法、系统、挖矿服务器和客户端 |
| CN109818976A (zh) * | 2019-03-15 | 2019-05-28 | 杭州迪普科技股份有限公司 | 一种异常流量检测方法及装置 |
| CN110933060A (zh) * | 2019-11-22 | 2020-03-27 | 上海交通大学 | 一种基于流量分析的挖矿木马检测系统 |
| CN111541655A (zh) * | 2020-04-08 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 网络异常流量检测方法、控制器及介质 |
| CN111600850A (zh) * | 2020-04-26 | 2020-08-28 | 武汉思普崚技术有限公司 | 一种检测挖矿虚拟货币的方法、设备及存储介质 |
| CN113901976A (zh) * | 2020-06-22 | 2022-01-07 | 北京观成科技有限公司 | 一种恶意流量的识别方法、装置及电子设备 |
| CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
| DE102021212380A1 (de) * | 2020-11-04 | 2022-05-05 | Nvidia Corporation | System und verfahren zur analyse von datenprotokollen |
Non-Patent Citations (4)
| Title |
|---|
| "Sliding-mode observers for real-time DDoS detection";Fengling Han等;《IEEE》;全文 * |
| 《科来:大数据中心智能运维和安全防护》;成都科来软件有限公司;《网络安全和信息化》;全文 * |
| 基于云监控技术的微电网光伏系统测控平台;杨亦红;郑红峰;谢子青;;世界科技研究与发展(第04期);全文 * |
| 深度融合云环境自身架构的东西向攻击检测技术研究;包森成;王珏;霍旺;;电信工程技术与标准化(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115134276A (zh) | 2022-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112019575B (zh) | 数据包处理方法、装置、计算机设备以及存储介质 | |
| CN111507481A (zh) | 一种联邦学习系统 | |
| CN112543176A (zh) | 一种异常网络访问检测方法、装置、存储介质及终端 | |
| CN107196930B (zh) | 计算机网络异常检测的方法 | |
| CN111464525B (zh) | 一种会话识别方法、装置、控制设备及存储介质 | |
| CN111866024B (zh) | 一种网络加密流量识别方法及装置 | |
| CN110933040B (zh) | 基于区块链的数据上链方法、装置、设备及介质 | |
| CN113159737B (zh) | Rpa业务处理方法、rpa管理平台、设备及介质 | |
| US20200410109A1 (en) | Security evaluation system, security evaluation method, and program | |
| CN112073444B (zh) | 数据集的处理方法、装置和服务器 | |
| CN105224868A (zh) | 系统漏洞攻击的检测方法及装置 | |
| CN114255037A (zh) | 隐私保护下的多方联合排序方法和数据处理方法 | |
| CN115965913A (zh) | 安防监控的方法、装置、系统及计算机可读存储介质 | |
| CN115134276B (zh) | 一种挖矿流量检测方法及装置 | |
| CN105187224A (zh) | 入侵检测方法和装置 | |
| CN110149247B (zh) | 一种网络状态的检测方法及装置 | |
| CN113886832A (zh) | 智能合约漏洞检测方法、系统、计算机设备和存储介质 | |
| CN117235600A (zh) | 一种用户异常行为检测方法及系统 | |
| CN112507265A (zh) | 基于树结构进行异常侦测的方法、装置及相关产品 | |
| CN106034132A (zh) | 保护方法与计算机系统 | |
| EP3767507A1 (en) | Data processing method against ransomware, program for executing same, and computer-readable recording medium with program recorded thereon | |
| CN113988867A (zh) | 欺诈行为检测方法、装置、计算机设备和存储介质 | |
| CN111901324B (zh) | 一种基于序列熵流量识别的方法、装置和存储介质 | |
| CN114390118A (zh) | 一种工控资产识别方法、装置、电子设备及存储介质 | |
| CN113810342A (zh) | 一种入侵检测方法、装置、设备、介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |