CN115189954A - 一种挖矿报文处理方法、装置、电子设备及存储介质 - Google Patents
一种挖矿报文处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115189954A CN115189954A CN202210822418.5A CN202210822418A CN115189954A CN 115189954 A CN115189954 A CN 115189954A CN 202210822418 A CN202210822418 A CN 202210822418A CN 115189954 A CN115189954 A CN 115189954A
- Authority
- CN
- China
- Prior art keywords
- domain name
- address
- message
- network message
- mine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005065 mining Methods 0.000 title claims abstract description 89
- 238000003672 processing method Methods 0.000 title claims abstract description 15
- 238000000034 method Methods 0.000 claims abstract description 42
- 238000012545 processing Methods 0.000 claims abstract description 20
- 230000000903 blocking effect Effects 0.000 claims abstract description 15
- 238000009412 basement excavation Methods 0.000 claims description 50
- 230000004044 response Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 13
- 238000001514 detection method Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 239000010979 ruby Substances 0.000 description 3
- 229910001750 ruby Inorganic materials 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Abstract
本申请提供一种挖矿报文处理方法、装置、电子设备及存储介质,该方法包括:获取网络报文,并从网络报文中解析出标识数据;若根据标识数据确定网络报文是挖矿报文,则阻断网络报文。在上述方案的实现过程中,通过从网络报文中解析出标识数据,在根据标识数据确定网络报文是挖矿报文的情况下,就直接阻断网络报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情况,从而有效地根据网络报文解析出的标识数据来直接阻断网络报文。
Description
技术领域
本申请涉及计算机安全、区块链和挖矿威胁检测的技术领域,具体而言,涉及一种挖矿报文处理方法、装置、电子设备及存储介质。
背景技术
目前,由于挖矿行为会消耗大量的计算能力,因此通常是云服务提供商或者计算机安全厂商在云平台租户的云主机上安装挖矿监测程序,通过该挖矿监测程序来监测中央处理器(Central Processing Unit,CPU)的使用率,从而找到CPU使用率最高的应用程序,并对该应用程序进行程序特征匹配,然后,根据特征匹配结果可以确定出该应用程序是挖矿程序,最后,清除掉该应用程序来从源头上阻断应用程序发送和接收挖矿报文。
在具体的实践过程中发现,如果云服务提供商或者计算机安全厂商无法在云平台租户的云主机上安装挖矿监测程序,那么将直接导致没有操作云平台租户的云主机的权限,从而难以阻断应用程序发送和接收挖矿报文。
发明内容
本申请实施例的目的在于提供一种挖矿报文处理方法、装置、电子设备及存储介质,用于改善难以阻断应用程序发送和接收挖矿报文的问题。
本申请实施例提供了一种挖矿报文处理方法,包括:获取网络报文,并从网络报文中解析出标识数据;若根据标识数据确定网络报文是挖矿报文,则阻断网络报文。在上述方案的实现过程中,通过从网络报文中解析出标识数据,在根据标识数据确定网络报文是挖矿报文的情况下,就直接阻断网络报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情况,从而有效地根据网络报文解析出的标识数据来直接阻断网络报文。
可选地,在本申请实施例中,标识数据包括:域名系统DNS请求网络报文中解析出的域名地址;根据标识数据确定网络报文是挖矿报文,包括:判断域名地址是否在矿池子域名列表中;若是,则确定网络报文是挖矿报文。在上述方案的实现过程中,通过域名系统DNS请求网络报文中的域名地址与矿池子域名列表的匹配结果来确定并阻断挖矿报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情况,从而有效地根据网络报文解析出的标识数据来直接阻断网络报文。
可选地,在本申请实施例中,标识数据包括:域名系统DNS响应网络报文中解析出的域名地址和域名地址对应的IP地址;根据标识数据确定网络报文是挖矿报文,包括:判断域名地址和域名地址对应的IP地址是否满足预设地址条件,预设地址条件包括:域名地址在矿池子域名列表中,或者,域名地址对应的IP地址在矿池IP地址列表中;若是,则确定网络报文是挖矿报文。在上述方案的实现过程中,通过域名系统DNS响应网络报文中的域名地址和域名地址对应的IP地址是否满足预设地址条件来确定并阻断挖矿报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情况,从而有效地根据网络报文解析出的标识数据来直接阻断网络报文。
可选地,在本申请实施例中,标识数据包括:域名地址;在从网络报文中解析出标识数据之后,还包括:判断域名地址的上级域名是否在矿池上级域名列表中;若是,则将域名地址和域名地址对应的IP地址关联存储至域名IP跟踪表中,域名IP跟踪表用于确定网络报文是挖矿报文。在上述方案的实现过程中,通过将网络报文的目标IP地址限定是域名IP跟踪表中的IP地址时,才进行挖矿报文检测,有效地将挖矿报文检测限定在特定流量的网络报文中,从而提高了挖矿报文检测效率。
可选地,在本申请实施例中,在将域名地址和域名地址对应的IP地址关联存储至域名IP跟踪表中之后,还包括:从网络报文解析出目标IP地址;在确定目标IP地址在域名IP跟踪表中之后,判断网络报文对应的网络协议是否满足预设协议条件,预设协议条件包括:网络报文对应的网络协议是挖矿协议,或者,通过安全传输层TLS协议从目标IP地址返回的响应报文符合挖矿协议的特征;若是,则确定网络报文是挖矿报文。在上述方案的实现过程中,通过将网络报文的目标IP地址限定是域名IP跟踪表中的IP地址时,才进行挖矿报文检测,有效地将挖矿报文检测限定在特定流量的网络报文中,从而提高了挖矿报文检测效率。
可选地,在本申请实施例中,挖矿协议包括:Stratum协议、getwork协议或者getblocktemplate协议。
可选地,在本申请实施例中,在确定网络报文是挖矿报文之后,还包括:将域名地址加入矿池子域名列表中;或者,将域名地址的上级域名加入到矿池上级域名列表中;或者,将域名地址对应的IP地址加入到矿池IP地址列表中。在上述方案的实现过程中,通过将域名地址加入矿池子域名列表中,和/或,将域名地址的上级域名加入到矿池上级域名列表中,和/或,将域名地址对应的IP地址加入到矿池IP地址列表中,实现了动态地增加矿池子域名列表、矿池上级域名列表和/或矿池IP地址列表,防止电子设备通过新增的域名地址或IP地址的挖矿报文来与矿池相互通信,从而增加了矿池的域名地址或IP地址检测的及时性,同时也提高了挖矿行为的检测效率。
本申请实施例还提供了一种挖矿报文处理装置,包括:报文获取解析模块,用于获取网络报文,并从网络报文中解析出标识数据;网络报文阻断模块,用于若根据标识数据确定网络报文是挖矿报文,则阻断网络报文。
可选地,在本申请实施例中,标识数据包括:域名系统DNS请求网络报文中解析出的域名地址;网络报文阻断模块,包括:域名地址判断子模块,用于判断域名地址是否在矿池子域名列表中;第一挖矿确定子模块,用于若域名地址在矿池子域名列表中,则确定网络报文是挖矿报文。
可选地,在本申请实施例中,标识数据包括:域名系统DNS响应网络报文中解析出的域名地址和域名地址对应的IP地址;网络报文阻断模块,包括:地址条件判断子模块,用于判断域名地址和域名地址对应的IP地址是否满足预设地址条件,预设地址条件包括:域名地址在矿池子域名列表中,或者,域名地址对应的IP地址在矿池IP地址列表中;第二挖矿确定子模块,用于若域名地址和域名地址对应的IP地址满足预设地址条件,则确定网络报文是挖矿报文。
可选地,在本申请实施例中,标识数据包括:域名地址;挖矿报文处理装置,还包括:上级域名判断子模块,用于判断域名地址的上级域名是否在矿池上级域名列表中;域名地址存储子模块,用于若域名地址的上级域名在矿池上级域名列表中,则将域名地址和域名地址对应的IP地址关联存储至域名IP跟踪表中,域名IP跟踪表用于确定网络报文是挖矿报文。
可选地,在本申请实施例中,挖矿报文处理装置,还包括:目标地址解析子模块,用于从网络报文解析出目标IP地址;协议条件判断子模块,用于在确定目标IP地址在域名IP跟踪表中之后,判断网络报文对应的网络协议是否满足预设协议条件,预设协议条件包括:网络报文对应的网络协议是挖矿协议,或者,通过安全传输层TLS协议从目标IP地址返回的响应报文符合挖矿协议的特征;第三挖矿确定子模块,用于若网络报文对应的网络协议满足预设协议条件,则确定网络报文是挖矿报文。
可选地,在本申请实施例中,挖矿协议包括:Stratum协议、getwork协议或者getblocktemplate协议。
可选地,在本申请实施例中,挖矿报文处理装置,还包括:域名地址加入模块,用于将域名地址加入矿池子域名列表中;或者,将域名地址的上级域名加入到矿池上级域名列表中;或者,将域名地址对应的IP地址加入到矿池IP地址列表中。
本申请实施例还提供了一种电子设备,包括:处理器和存储器,存储器存储有处理器可执行的机器可读指令,机器可读指令被处理器执行时执行如上面描述的方法。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上面描述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请实施例中的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出的本申请实施例提供的挖矿报文处理方法的流程示意图;
图2示出的本申请实施例提供的网络报文的处理过程示意图;
图3示出的本申请实施例提供的挖矿报文处理装置的结构示意图;
图4示出的本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请实施例中的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请实施例的详细描述并非旨在限制要求保护的本申请实施例的范围,而是仅仅表示本申请实施例中的选定实施例。基于本申请实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
可以理解的是,本申请实施例中的“第一”、“第二”用于区别类似的对象。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
在介绍本申请实施例提供的挖矿报文处理方法之前,先介绍本申请实施例中所涉及的一些概念:
域名系统(Domain Name System,DNS)地址,又被简称为域名地址或者DNS地址,是为互联网提供的一项基础服务,DNS作为将域名和互联网协议(Internet Protocol,IP)地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
需要说明的是,本申请实施例提供的挖矿报文处理方法可以被电子设备执行,这里的电子设备是指具有执行计算机程序功能的设备终端或者服务器,设备终端例如:智能手机、个人电脑、平板电脑、个人数字助理或者移动上网设备等。服务器是指通过网络提供计算服务的设备,服务器例如:云平台租户的云主机、虚拟云服务器、x86服务器以及非x86服务器,非x86服务器包括:大型机、小型机和UNIX服务器。
下面介绍该挖矿报文处理方法适用的应用场景,这里的应用场景包括但不限于:使用该挖矿报文处理方法来阻断电子设备(例如云平台租户的云主机或虚拟云服务器)与矿池之间的网络报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情况,从而有效地提升云服务提供商的安全服务和挖矿检测能力等,同时也有效地节约了云服务提供商的存储资源和网络资源。
请参见图1示出的本申请实施例提供的挖矿报文处理方法的流程示意图;本申请实施例提供了一种挖矿报文处理方法,包括:
步骤S110:获取网络报文,并从网络报文中解析出标识数据。
网络报文,是指在网络上传输的流量报文,例如网络层的IP路由报文等等,该网络报文具体可以是通过防火墙、防病毒系统、横向隔离装置、纵向加密认证装置、网站应用防护系统(Web Application Firewall,WAF)或者入侵检测系统(Intrusion DetectionSystem,IDS)等安全防护设备拦截的,也可以是安全检测程序在电子设备中拦截到目标应用程序即将发送或接收的网络报文。
标识数据,是指能够标识网络报文是否是挖矿报文的数据,包括但不限于:域名地址、IP地址、报文协议类型(例如Stratum协议、getwork协议或者getblocktemplate协议等挖矿协议)和/或报文协议特征等等。
上述步骤S110的实施方式例如:使用预设编程语言编译或者解释的可执行程序获取网络报文,并从网络报文中解析出域名地址、IP地址、报文协议类型和/或报文协议特征等标识数据,可以使用的编程语言例如:C、C++、Java、BASIC、JavaScript、LISP、Shell、Perl、Ruby、Python和PHP等等。
步骤S120:若根据标识数据确定网络报文是挖矿报文,则阻断网络报文。
在上述的实现过程中,通过从网络报文中解析出标识数据,在根据标识数据确定网络报文是挖矿报文的情况下,就直接阻断网络报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情况,从而有效地根据网络报文解析出的标识数据来直接阻断网络报文。
请参见图2示出的本申请实施例提供的网络报文的处理过程示意图;作为上述步骤S120的一种可选实施方式,标识数据包括:域名系统DNS请求网络报文中解析出的域名地址;根据标识数据确定网络报文是挖矿报文的实施方式可以包括:
步骤S121:从DNS请求网络报文中解析出域名地址,并判断域名地址是否在矿池子域名列表中。
矿池子域名列表,是指存放已确认是矿池子域名的地址列表,通常矿池会设置固定的矿池子域名,从而通过该矿池子域名来让挖矿的设备与矿池进行相对稳定的通信。该矿池子域名列表可以是电子设备定期从云端服务器上获取最新版本的矿池子域名列表。
可以理解的是,域名地址分为顶级域名(又被称为根域名)、二级域名和三级域名等等,上述的子域名是指除了顶级域名之外的所有域名地址,举例来说,com是顶级域名,a.com是二级域名,b.a.com是三级域名,假设b.a.com下面没有再划分子域名,那么上面的子域名就可以包括:a.com的二级域名和b.a.com的三级域名。可选地,在DNS请求网络报文中解析出域名地址之后,还可以判断该域名地址是否在挖矿域名白名单中,如果该域名地址在挖矿域名白名单中,则直接放行该DNS请求网络报文。
步骤S122:若域名地址在矿池子域名列表中,则确定网络报文是挖矿报文,并阻断该网络报文。
上述步骤S121至步骤S122的实施方式例如:从DNS请求网络报文中解析出域名地址,并使用预设编程语言编译或者解释的可执行程序判断域名地址是否在矿池子域名列表中,即在矿池子域名列表中匹配到该域名地址,可以使用的编程语言例如:C、C++、Java、BASIC、JavaScript、LISP、Shell、Perl、Ruby、Python和PHP等等。假设域名地址是a.com,且矿池子域名列表包括a.com的二级域名和b.a.com的三级域名,那么该域名地址是在矿池子域名列表中的,那么可以确定该网络报文是挖矿报文,就可以直接阻断该DNS请求网络报文,在具体的实践过程中还可以对该DNS请求网络报文对应的域名地址进行告警。
作为上述步骤S120的一种可选实施方式,标识数据包括:域名系统DNS响应网络报文中解析出的域名地址和域名地址对应的IP地址;根据标识数据确定网络报文是挖矿报文的实施方式可以包括:
步骤S123:从DNS响应网络报文中解析出的域名地址和域名地址对应的IP地址,并判断域名地址和域名地址对应的IP地址是否满足预设地址条件,预设地址条件包括:域名地址在矿池子域名列表中,或者,域名地址对应的IP地址在矿池IP地址列表中。
矿池IP地址列表,是指存放已确认是矿池IP地址的列表,通常矿池会设置固定的矿池IP地址,从而通过该矿池IP地址来让挖矿的设备与矿池进行相对稳定的通信。该矿池IP地址列表可以是电子设备定期从云端服务器上获取最新版本的矿池IP地址列表。
可选地,在DNS响应网络报文中解析出域名地址和域名地址对应的IP地址之后,还可以判断该域名地址是否在挖矿域名白名单,或者,该域名地址对应的IP地址是否在挖矿IP白名单中,如果该域名地址在挖矿域名白名单中,或者,该域名地址对应的IP地址在挖矿IP白名单,那么可以直接放行该DNS响应网络报文。
步骤S124:若域名地址和域名地址对应的IP地址满足预设地址条件,则确定网络报文是挖矿报文,并阻断该网络报文。
上述步骤S123至步骤S124的实施方式例如:从DNS响应网络报文中解析出的域名地址和域名地址对应的IP地址,并使用预设编程语言编译或者解释的可执行程序判断域名地址和域名地址对应的IP地址是否满足预设地址条件,预设地址条件包括:域名地址在矿池子域名列表中,或者,域名地址对应的IP地址在矿池IP地址列表中。若域名地址和域名地址对应的IP地址满足预设地址条件,即,即在矿池子域名列表中匹配到该域名地址,或者,在矿池IP地址列表中匹配到域名地址对应的IP地址,那么可以确定网络报文是挖矿报文,就可以直接阻断该网络报文。
作为上述挖矿报文处理方法的一种可选实施方式,标识数据包括:域名地址;在上述从网络报文中解析出标识数据(例如域名地址)之后,还可以将域名地址和对应的IP地址存储在域名IP跟踪表中,从而进一步确定该IP地址是否是真的矿池地址,该实施方式可以包括:
步骤S125:判断域名地址的上级域名是否在矿池上级域名列表中。
矿池上级域名列表,是指存放已确认是矿池上级域名的地址列表,举例来说,c.b.a.com是四级域名,那么b.a.com是该四级域名的上级域名。b.a.com是三级域名,那么a.com是该三级域名的上级域名。a.com是二级域名,那么com是该二级域名的上级域名,即顶级域名或根域名。该矿池上级域名列表可以是电子设备定期从云端服务器上获取最新版本的矿池上级域名列表。
步骤S126:若域名地址的上级域名在矿池上级域名列表中,则将域名地址和域名地址对应的IP地址关联存储至域名IP跟踪表中,域名IP跟踪表用于确定网络报文是挖矿报文。
上述步骤S125至步骤S126的实施方式例如:使用预设编程语言编译或者解释的可执行程序判断域名地址的上级域名是否在矿池上级域名列表中,其中,可以使用的编程语言例如:C、C++、Java、BASIC、JavaScript、LISP、Shell、Perl、Ruby、Python和PHP等等。假设域名地址是b.a.com,且矿池子域名列表包括a.com的二级域名,可以得知该域名地址的上级域名(即a.com)是在矿池上级域名列表中的,那么可以将域名地址和域名地址对应的IP地址关联存储至域名IP跟踪表中,域名IP跟踪表用于确定网络报文是挖矿报文。
作为上述挖矿报文处理方法的一种可选实施方式,在存储至域名IP跟踪表中之后,还可以利用域名IP跟踪表来确定该网络报文是不是挖矿报文,该实施方式可以包括:
步骤S127:从网络报文解析出目标IP地址和端口号。
步骤S128:在确定目标IP地址在域名IP跟踪表中之后,判断网络报文对应的网络协议是否满足预设协议条件,预设协议条件包括:网络报文对应的网络协议是挖矿协议,或者,通过安全传输层(Transport Layer Security,TLS)协议从目标IP地址返回的响应报文符合挖矿协议的特征。
步骤S129:若网络报文对应的网络协议满足预设协议条件,则确定网络报文是挖矿报文。
上述步骤S127至步骤S129的实施方式例如:如果网络报文对应的网络协议是挖矿协议,那么可以直接确定网络报文对应的网络协议满足预设协议条件,然后确定网络报文是挖矿报文。如果通过网络报文解析出的目标IP地址和端口号进行安全传输层TLS协议连接,那么在TLS协议连接成功之后,就可以从目标IP地址和端口号返回的响应报文的具体数据,若响应报文的具体数据符合挖矿协议的特征,就可以直接确定网络报文是挖矿报文。
可选地,若上述网络报文对应的网络协议不是挖矿协议,且通过目标IP地址和端口号返回的响应报文的具体数据并不符合挖矿协议的特征,那么说明该网络报文确实不是挖矿报文,此时可以将网络报文中解析出的域名地址加入挖矿域名白名单中,且将该域名地址对应的目标IP地址加入挖矿IP白名单中。作为上述挖矿报文处理方法的一种可选实施方式,上述的挖矿协议包括但不限于:Stratum协议、getwork协议或者getblocktemplate协议等等。
在上述的实现过程中,将网络报文的目标IP地址限定是域名IP跟踪表中的IP地址时,才进行挖矿报文检测,有效地将挖矿报文检测限定在特定流量的网络报文中,从而提高了挖矿报文检测效率。
作为上述挖矿报文处理方法的一种可选实施方式,在确定网络报文是挖矿报文之后,还可以根据网络报文中解析出的域名地址等数据更新矿池子域名列表、矿池上级域名列表和/或矿池IP地址列表等,该实施方式可以包括:将域名地址加入矿池子域名列表中,和/或,将域名地址的上级域名加入到矿池上级域名列表中,和/或,将域名地址对应的IP地址加入到矿池IP地址列表中。在具体的实施过程中,还可以将矿池子域名列表、矿池上级域名列表和/或矿池IP地址列表上传给云端服务器,让云端服务器发送给其它网络安全设备,避免了其它网络安全设备重复检测矿池的域名地址和IP地址等,从而提高了挖矿行为的检测效率。
在上述的实现过程中,通过将域名地址加入矿池子域名列表中,和/或,将域名地址的上级域名加入到矿池上级域名列表中,和/或,将域名地址对应的IP地址加入到矿池IP地址列表中,实现了动态地增加矿池子域名列表、矿池上级域名列表和/或矿池IP地址列表,防止电子设备通过新增的域名地址或IP地址的挖矿报文来与矿池相互通信,从而增加了矿池的域名地址或IP地址检测的及时性,同时也提高了挖矿行为的检测效率。
请参见图3示出的本申请实施例提供的挖矿报文处理装置的结构示意图;本申请实施例提供了一种挖矿报文处理装置200,包括:
报文获取解析模块210,用于获取网络报文,并从网络报文中解析出标识数据。
网络报文阻断模块220,用于若根据标识数据确定网络报文是挖矿报文,则阻断网络报文。
可选地,在本申请实施例中,标识数据包括:域名系统DNS请求网络报文中解析出的域名地址;网络报文阻断模块,包括:
域名地址判断子模块,用于判断域名地址是否在矿池子域名列表中。
第一挖矿确定子模块,用于若域名地址在矿池子域名列表中,则确定网络报文是挖矿报文。
可选地,在本申请实施例中,标识数据包括:域名系统DNS响应网络报文中解析出的域名地址和域名地址对应的IP地址;网络报文阻断模块,包括:
地址条件判断子模块,用于判断域名地址和域名地址对应的IP地址是否满足预设地址条件,预设地址条件包括:域名地址在矿池子域名列表中,或者,域名地址对应的IP地址在矿池IP地址列表中。
第二挖矿确定子模块,用于若域名地址和域名地址对应的IP地址满足预设地址条件,则确定网络报文是挖矿报文。
可选地,在本申请实施例中,标识数据包括:域名地址;挖矿报文处理装置,还包括:
上级域名判断子模块,用于判断域名地址的上级域名是否在矿池上级域名列表中。
域名地址存储子模块,用于若域名地址的上级域名在矿池上级域名列表中,则将域名地址和域名地址对应的IP地址关联存储至域名IP跟踪表中,域名IP跟踪表用于确定网络报文是挖矿报文。
可选地,在本申请实施例中,挖矿报文处理装置,还包括:
目标地址解析子模块,用于从网络报文解析出目标IP地址。
协议条件判断子模块,用于在确定目标IP地址在域名IP跟踪表中之后,判断网络报文对应的网络协议是否满足预设协议条件,预设协议条件包括:网络报文对应的网络协议是挖矿协议,或者,通过安全传输层TLS协议从目标IP地址返回的响应报文符合挖矿协议的特征。
第三挖矿确定子模块,用于若网络报文对应的网络协议满足预设协议条件,则确定网络报文是挖矿报文。
可选地,在本申请实施例中,挖矿协议包括:Stratum协议、getwork协议或者getblocktemplate协议。
可选地,在本申请实施例中,挖矿报文处理装置,还包括:
域名地址加入模块,用于将域名地址加入矿池子域名列表中;或者,将域名地址的上级域名加入到矿池上级域名列表中;或者,将域名地址对应的IP地址加入到矿池IP地址列表中。
应理解的是,该装置与上述的挖矿报文处理方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operating system,OS)中的软件功能模块。
请参见图4示出的本申请实施例提供的电子设备的结构示意图。本申请实施例提供的一种电子设备300,包括:处理器310和存储器320,存储器320存储有处理器310可执行的机器可读指令,机器可读指令被处理器310执行时执行如上的方法。
本申请实施例还提供了一种计算机可读存储介质330,该计算机可读存储介质330上存储有计算机程序,该计算机程序被处理器310运行时执行如上的方法。
其中,计算机可读存储介质330可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅是示意性的,例如,附图中的流程图和框图显示了根据本申请实施例的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以和附图中所标注的发生顺序不同。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这主要根据所涉及的功能而定。
另外,在本申请实施例中的各个实施例的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。此外,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上的描述,仅为本申请实施例的可选实施方式,但本申请实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请实施例的保护范围之内。
Claims (10)
1.一种挖矿报文处理方法,其特征在于,包括:
获取网络报文,并从所述网络报文中解析出标识数据;
若根据所述标识数据确定所述网络报文是挖矿报文,则阻断所述网络报文。
2.根据权利要求1所述的方法,其特征在于,所述标识数据包括:域名系统DNS请求网络报文中解析出的域名地址;所述根据所述标识数据确定所述网络报文是挖矿报文,包括:
判断所述域名地址是否在矿池子域名列表中;
若是,则确定所述网络报文是挖矿报文。
3.根据权利要求1所述的方法,其特征在于,所述标识数据包括:域名系统DNS响应网络报文中解析出的域名地址和所述域名地址对应的IP地址;所述根据所述标识数据确定所述网络报文是挖矿报文,包括:
判断所述域名地址和所述域名地址对应的IP地址是否满足预设地址条件,所述预设地址条件包括:所述域名地址在矿池子域名列表中,或者,所述域名地址对应的IP地址在矿池IP地址列表中;
若是,则确定所述网络报文是挖矿报文。
4.根据权利要求1所述的方法,其特征在于,所述标识数据包括:域名地址;在所述从所述网络报文中解析出标识数据之后,还包括:
判断所述域名地址的上级域名是否在矿池上级域名列表中;
若是,则将所述域名地址和所述域名地址对应的IP地址关联存储至域名IP跟踪表中,所述域名IP跟踪表用于确定所述网络报文是挖矿报文。
5.根据权利要求4所述的方法,其特征在于,在所述将所述域名地址和所述域名地址对应的IP地址关联存储至域名IP跟踪表中之后,还包括:
从所述网络报文解析出目标IP地址;
在确定所述目标IP地址在所述域名IP跟踪表中之后,判断所述网络报文对应的网络协议是否满足预设协议条件,所述预设协议条件包括:所述网络报文对应的网络协议是挖矿协议,或者,通过安全传输层TLS协议从所述目标IP地址返回的响应报文符合挖矿协议的特征;
若是,则确定所述网络报文是挖矿报文。
6.根据权利要求5所述的方法,其特征在于,所述挖矿协议包括:Stratum协议、getwork协议或者getblocktemplate协议。
7.根据权利要求2-6任一所述的方法,其特征在于,在所述确定所述网络报文是挖矿报文之后,还包括:
将所述域名地址加入所述矿池子域名列表中;
或者,将所述域名地址的上级域名加入到所述矿池上级域名列表中;
或者,将所述域名地址对应的IP地址加入到所述矿池IP地址列表中。
8.一种挖矿报文处理装置,其特征在于,包括:
报文获取解析模块,用于获取网络报文,并从所述网络报文中解析出标识数据;
网络报文阻断模块,用于若根据所述标识数据确定所述网络报文是挖矿报文,则阻断所述网络报文。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的方法。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210822418.5A CN115189954A (zh) | 2022-07-12 | 2022-07-12 | 一种挖矿报文处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210822418.5A CN115189954A (zh) | 2022-07-12 | 2022-07-12 | 一种挖矿报文处理方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115189954A true CN115189954A (zh) | 2022-10-14 |
Family
ID=83519269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210822418.5A Pending CN115189954A (zh) | 2022-07-12 | 2022-07-12 | 一种挖矿报文处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115189954A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015085850A1 (zh) * | 2013-12-10 | 2015-06-18 | 华为技术有限公司 | 应用识别方法及装置 |
| CN108416214A (zh) * | 2018-03-16 | 2018-08-17 | 北京奇虎科技有限公司 | 网页挖矿防护方法及装置 |
| CN111314367A (zh) * | 2020-02-27 | 2020-06-19 | 广东安创信息科技开发有限公司 | 一种基于流量特征识别挖矿程序的方法和系统 |
| CN111600850A (zh) * | 2020-04-26 | 2020-08-28 | 武汉思普崚技术有限公司 | 一种检测挖矿虚拟货币的方法、设备及存储介质 |
| CN113868088A (zh) * | 2021-09-29 | 2021-12-31 | 杭州默安科技有限公司 | 挖矿行为的检测方法、系统及计算机可读存储介质 |
| CN114513331A (zh) * | 2022-01-06 | 2022-05-17 | 杭州薮猫科技有限公司 | 基于应用层通信协议的挖矿木马检测方法、装置及设备 |
-
2022
- 2022-07-12 CN CN202210822418.5A patent/CN115189954A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015085850A1 (zh) * | 2013-12-10 | 2015-06-18 | 华为技术有限公司 | 应用识别方法及装置 |
| CN108416214A (zh) * | 2018-03-16 | 2018-08-17 | 北京奇虎科技有限公司 | 网页挖矿防护方法及装置 |
| CN111314367A (zh) * | 2020-02-27 | 2020-06-19 | 广东安创信息科技开发有限公司 | 一种基于流量特征识别挖矿程序的方法和系统 |
| CN111600850A (zh) * | 2020-04-26 | 2020-08-28 | 武汉思普崚技术有限公司 | 一种检测挖矿虚拟货币的方法、设备及存储介质 |
| CN113868088A (zh) * | 2021-09-29 | 2021-12-31 | 杭州默安科技有限公司 | 挖矿行为的检测方法、系统及计算机可读存储介质 |
| CN114513331A (zh) * | 2022-01-06 | 2022-05-17 | 杭州薮猫科技有限公司 | 基于应用层通信协议的挖矿木马检测方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10904277B1 (en) | Threat intelligence system measuring network threat levels | |
| US10812521B1 (en) | Security monitoring system for internet of things (IOT) device environments | |
| US11729186B2 (en) | Blockchain architecture for computer security applications | |
| CN112929326B (zh) | 恶意域名访问的检测方法、装置及计算机可读存储介质 | |
| CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
| CN106210155B (zh) | 连接应用服务器的方法和装置 | |
| CN111400722A (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| EP3038006A1 (en) | System and method for distributed detection of malware | |
| US20220353293A1 (en) | Identification of triggering events correlated with dns requests for increased security | |
| US20160277417A1 (en) | Method and apparatus for communication number update | |
| CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
| CN104021141A (zh) | 数据处理和云服务的方法、装置及系统 | |
| CN103701816A (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| CN115225349B (zh) | 一种蜜罐流量处理方法、装置、电子设备及存储介质 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN113923008B (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
| CN111131186A (zh) | 一种http会话防护方法、装置、设备及介质 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN107623916B (zh) | 一种进行WiFi网络安全监控的方法与设备 | |
| CN111541591B (zh) | 一种基于ssh对服务器进行检测的方法和装置 | |
| CN110809004A (zh) | 一种安全防护方法、装置、电子设备及存储介质 | |
| CN115189954A (zh) | 一种挖矿报文处理方法、装置、电子设备及存储介质 | |
| EP2793160A1 (en) | Method and device for verification of an application | |
| CN109462589B (zh) | 应用程序网络访问控制的方法、装置及设备 | |
| CN110995756B (zh) | 调用服务的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |