CN117768243A - 一种面向虚拟数字货币的行为监测方法及系统 - Google Patents
一种面向虚拟数字货币的行为监测方法及系统 Download PDFInfo
- Publication number
- CN117768243A CN117768243A CN202410191152.8A CN202410191152A CN117768243A CN 117768243 A CN117768243 A CN 117768243A CN 202410191152 A CN202410191152 A CN 202410191152A CN 117768243 A CN117768243 A CN 117768243A
- Authority
- CN
- China
- Prior art keywords
- mining
- flow data
- behavior
- model
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 93
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000005065 mining Methods 0.000 claims abstract description 188
- 230000006399 behavior Effects 0.000 claims abstract description 160
- 238000001514 detection method Methods 0.000 claims abstract description 66
- 238000004458 analytical method Methods 0.000 claims abstract description 25
- 230000000903 blocking effect Effects 0.000 claims abstract description 8
- 238000012549 training Methods 0.000 claims description 68
- 238000012545 processing Methods 0.000 claims description 25
- 230000008569 process Effects 0.000 claims description 21
- 238000004422 calculation algorithm Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000004220 aggregation Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000000746 purification Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000036962 time dependent Effects 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种面向虚拟数字货币的行为监测方法及系统,该方法包括:实时捕获设备层的流量数据并将流量数据上传至监测层;通过监测层的多因子识别模型对流量数据进行检测处理,其中,多因子识别模型包括用于检测密文流量数据的联邦学习挖矿行为检测子模型,用于检测明文流量数据的挖矿行为识别子模型,以及用于确定流量数据中是否存在挖矿行为的分析子模型;当存在挖矿行为时监测层生成预警信息,以通知设备层进行溯源阻断操作。本发明的面向虚拟数字货币的行为监测方法能够及时准确的识别非法挖矿行为并阻断,实现对非法挖矿行为的监测,提高了检测效率和安全性。
Description
技术领域
本发明涉及网络安全技术领域,更具体地,涉及一种面向虚拟数字货币的行为监测方法及系统。
背景技术
虚拟货币是起交换等价物作用的非法定货币,如游戏运营商开发的游戏币、门户网站或即时通讯工具发行的服务兑换币、基于密码学和网络技术的加密货币等。它们具有货币的持久性、可互换性、稀缺性等特征,但价格基准不像黄金白银那样依赖于内在价值,或像法币那样依赖于政府权威。以比特币为代表的虚拟加密货币是一种使用密码学原理来确保交易安全的交易媒介,它基于去中心化的区块链账本,利用共识机制对账本内容达成一致,体系中并无类似中央银行的中心化监管机构。虚拟加密货币的生产过程被称为“挖矿”,它是指按照各类哈希算法、密码衍生算法计算符合要求的区块标识符,最先算出的节点获得记账权,生成新区块记录一段时间内的交易信息,并获得虚拟货币奖励的过程。当前,基于“矿机-矿场-矿池”的网络“挖矿”模式占据主流,其中,负责“挖矿”的机器称为矿机,通常使用高性能专业芯片(如高性能显卡GPU或专用ASIC芯片)来计算特定结果并获取代币奖励(即虚拟货币)。矿机耗电量较大,一般集中部署在电费和场地费比较便宜的地域,以降低“挖矿”成本,从而形成矿场。随着“挖矿”总算力规模快速扩张,单个矿机几乎无法获得“挖矿”奖励,矿池应运而生,通过网络将大量零星算力合并联合运作,共同计算特定结果并根据算力贡献来分享虚拟货币奖励,亦即多人合作“挖矿”,获得的比特币奖励也由多人依照贡献度分享。
在国内,以比特币为代表的虚拟货币不具备法偿性和强制性等货币属性,不具有与货币等同的法律地位,不能且不应作为货币在市场上流通使用。然而,由于该类虚拟货币在某些国家能够兑换成法定货币,因此有许多人沉浸于此类虚拟货币的发行、炒作、交易和“挖矿”行为中,扰乱国家金融秩序,对国家金融安全造成极大威胁,并且这些“挖矿”行为造成算力资源和电力资源的巨大浪费。
自2021年5月以来,国内加大网络“挖矿”整治力度,虚拟货币全网算力持续下降。据权威区块链数据平台Glassnode统计,6月底比特币全网平均算力跌至61EH/s(每秒哈希运算次数),相比2021年4月15日的历史峰值197.8EH/s下跌69%,回到2019年年中水平。但是,随着算力下降,获得奖励的概率在上升。据Glassnode预测,比特币“挖矿”计算难度可能在近期下降25%,届时又会吸引大批“矿工”加入,是一个巨大的隐患。
随着Web技术与云服务的普及,恶意攻击者的技术手段快速更迭,网页攻击成为主流模式,并朝着云服务器攻击的趋势发展。在单机防护上,仅通过静态检测网页源代码或动态监测浏览器等手段在黑客面前不堪一击,仍需要对Web浏览器或是恶意代码进行分析,提取出有效的特征。而大多私有协议流量均采用加密传输,针对加密流量的检测同样是不可忽视的一环。
为减少资源浪费,减少金融风险,并对未来隐患做好防备,需要加强了对“挖矿”检测技术的研究。在网络防护上,基于流量分析的“挖矿”监测发现算法是目前的研究重点。利用人工智能算法可对加密流量的特征进行高效的分析,可获得较高的检测率,即通过对挖矿流量进行分析,从而检测非法挖矿行为。例如:论文《基于自动化私有协议识别的挖矿流量检测》中提出并实现了一种基于私有挖矿协议的通信指纹自动化择优生成方法,然而物联网设备会产生大量的流量数据,现有设备无法精准高效的处理这些数据信息;论文《基于网络流量的挖矿行为检测识别技术研究》中提出的方法虽然可以从多个角度评估挖矿行为,然而挖矿检测的设备容易收到黑客的攻击从而导致瘫痪,其挖矿检测模型的安全性不足;论文《基于静态关键字和图神经网络的浏览器挖矿检测》中提出的方法适用于浏览器挖矿模式,然而神经网络模型的训练是一个耗时的过程,旧的检测模型无法识别的新出现的挖矿行为,因此需要研究一种有利于挖矿模型及时更新的监测模型。
综上,现阶段急需研发一种面向虚拟数字货币的行为监测方法及系统以解决上述存在的一个或多个问题。
发明内容
本发明的一个目的是提供一种面向虚拟数字货币的行为监测方法及系统的新技术方案。
根据本发明的第一方面,提供了一种面向虚拟数字货币的行为监测方
法,所述方法包括:
步骤S1:实时捕获设备层的流量数据并将所述流量数据上传至监测层,
其中,所述流量数据包括密文流量数据和/或明文流量数据;
步骤S2:通过所述监测层的多因子识别模型对所述流量数据进行检测处理,其中,所述多因子识别模型包括用于检测所述密文流量数据的联邦学习挖矿行为检测子模型,用于检测所述明文流量数据的挖矿行为识别子模型,以及用于确定所述流量数据中是否存在挖矿行为的分析子模型;
步骤S3:当存在挖矿行为时所述监测层生成预警信息,以通知所述设备层进行溯源阻断操作。
可选地,所述步骤S2具体包括:
当所述流量数据中存在所述密文流量数据时,利用预先训练的所述联邦学习挖矿行为检测子模型对所述密文流量数据进行检测处理,以得到第一检测处理结果;
当所述流量数据中存在所述明文流量数据时,利用预先训练的所述挖矿行为识别子模型对所述明文流量数据进行识别处理,以得到第二检测处理结果;
使用所述分析子模型对所述第一检测处理结果和/或所述第二检测处理结果进行分析处理,以确定所述流量数据中是否存在挖矿行为。
可选地,在所述步骤S2中,所述联邦学习挖矿行为检测子模型是基于LightGBM算法在训练层被训练得到的。
可选地,所述分析子模型是基于多因子阈值分析算法构建的。
可选地,在所述步骤S2中,所述挖矿行为识别子模型对所述明文挖矿流量数据进行检测的具体过程为:
将所述明文挖矿流量数据的有效载荷信息与预设规则内容进行匹配,并将匹配得到的网络流量信息保存至行为数据库;
对匹配得到的网络流量信息进行挖矿特征提取;
将提取得到的挖矿特征与预先建立的挖矿行为信息数据库相匹配,以提取出相应的挖矿指纹核心特征,其中,所述挖矿行为信息数据库中存储的是已识别为挖矿行为的矿池IP、矿池端口和对应币种信息。
可选地,所述步骤S3之后还包括:
当存在挖矿行为时所述监测层记录所述流量数据,并将所述流量数据发送至所述训练层,以更新训练数据集,以便通过更新的训练数据集对所述联邦学习挖矿行为检测子模型进行优化训练。
可选地,在所述步骤S1中,利用流量抓取工具监听所述设备层中各个被监测挖矿设备的网卡,并捕获以源IP地址、源端口、目的IP地址、目的端口和传输层协议为五元组划分的流量数据。
根据本发明的第二方面,提供了一种面向虚拟数字货币的行为监测系统,所述系统包括:
数据获取模块,被配置为,实时捕获设备层的流量数据并将所述流量数据上传至监测层,其中,所述流量数据包括密文流量数据和/或明文流量数据;
监测模块,被配置为,通过所述监测层的多因子识别模型对所述流量数据进行检测处理,其中,所述多因子识别模型包括用于检测所述密文流量数据的联邦学习挖矿行为检测子模型,用于检测所述明文流量数据的挖矿行为识别子模型,以及用于确定所述流量数据中是否存在挖矿行为的分析子模型;
预警模块,被配置为,当存在挖矿行为时所述监测层生成预警信息,以通知所述设备层进行溯源阻断操作。
可选地,所述监测模块具体被配置为:
当所述流量数据中存在所述密文流量数据时,利用预先训练的所述联邦学习挖矿行为检测子模型对所述密文流量数据进行检测处理,以得到第一检测处理结果;
当所述流量数据中存在所述明文流量数据时,利用预先训练的所述挖矿行为识别子模型对所述明文流量数据进行识别处理,以得到第二检测处理结果;
使用所述分析子模型对所述第一检测处理结果和/或所述第二检测处理结果进行分析处理,以确定所述流量数据中是否存在挖矿行为。
可选地,在所述监测模块中,所述联邦学习挖矿行为检测子模型是基于LightGBM算法在训练层被训练得到的。
可选地,在所述监测模块中,所述分析子模型是基于多因子阈值分析算法构建的。
可选地,在所述监测模块中,所述挖矿行为识别子模型对所述明文挖矿流量数据进行检测的具体过程为:
将所述明文挖矿流量数据的有效载荷信息与预设规则内容进行匹配,并将匹配得到的网络流量信息保存至行为数据库;
对匹配得到的网络流量信息进行挖矿特征提取;
将提取得到的挖矿特征与预先建立的挖矿行为信息数据库相匹配,以提取出相应的挖矿指纹核心特征,其中,所述挖矿行为信息数据库中存储的是已识别为挖矿行为的矿池IP、矿池端口和对应币种信息。
可选地,还包括:优化模块,被配置为,当存在挖矿行为时所述监测层记录所述流量数据,并将所述流量数据发送至所述训练层,以更新训练数据集,以便通过更新的训练数据集对所述联邦学习挖矿行为检测子模型进行优化训练。
可选地,在所述数据获取模块中,利用流量抓取工具监听所述设备层中各个被监测挖矿设备的网卡,并捕获以源IP地址、源端口、目的IP地址、目的端口和传输层协议为五元组划分的流量数据。
根据本发明的第三方面,提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现如上述本发明第一方面所述的一种面向虚拟数字货币的行为监测方法中的步骤。
根据本发明的第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现如上述本发明第一方面所述的一种面向虚拟数字货币的行为监测方法中的步骤。
根据本发明公开的一个实施例,本发明的一种面向虚拟数字货币的行为监测方法及系统具有如下有益效果:
本发明的面向虚拟数字货币的行为监测方法中通过对挖矿流量数据采集,构建区块链非法挖矿行为的检测模型,通过采用多因子阈值分析方法对挖矿行为建模,并采用LightGBM算法以及联邦学习模型训练挖矿行为监测模型,并将该模型上传DPU对挖矿行为进行实时检测,及时准确的识别非法挖矿行为并阻断,实现对非法挖矿行为的监测,提高了检测效率和安全性。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
被结合在说明书中并构成说明书的一部分的附图示出了本发明的实施例,并且连同其说明一起用于解释本发明的原理。
图1为根据实施例提供的一种面向虚拟数字货币的行为监测方法的流程示意图;
图2为根据实施例提供的一种面向虚拟数字货币的行为监测方法的具体监测流程示意图;
图3为本实施例中联邦学习挖矿行为检测子模型的模型训练流程示意图;
图4为本实施例中训练集获取与处理流程示意图;
图5为本实施例中训练样本排序示意图;
图6为本实施例中训练样本分发示意图;
图7为本实施例中分层训练模型示意图;
图8为根据实施例提供的一种面向虚拟数字货币的行为监测系统的结构示意图;
图9为一种电子设备的示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有例子中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它例子可以具有不同的值。
实施例一:
参见图1和图2所示,本发明实施例提供了一种面向虚拟数字货币的行为监测方法,该方法包括:
步骤S1:实时捕获设备层的流量数据并将流量数据上传至监测层,
其中,流量数据包括密文流量数据和/或明文流量数据;
本实施例中为了检测明文和密文的挖矿流量数据构建了面向虚拟数字货币“挖矿”多因子检测架构,该架构由三层组成,分别是设备层,监测层,训练层。本实施例中实时获取的某一时刻的流量数据可仅包括密文流量数据,或者仅包括明文流量数据,或者同时包括密文流量数据和明文流量数据,因而各个时刻获取的流量数据类型可以不相同。
步骤S2:通过监测层的多因子识别模型对流量数据进行检测处理,其中,多因子识别模型包括用于检测密文流量数据的联邦学习挖矿行为检测子模型,用于检测明文流量数据的挖矿行为识别子模型,以及用于确定流量数据中是否存在挖矿行为的分析子模型;
本实施例中通过预先训练构建了多因子识别模型以对流量数据进行检测处理,监测非法挖矿行为,其中针对不同类型的流量数据采用相应的子模型进行处理,最后通过分析子模型对检测结果进行判断以确定是否存在挖矿行为。
步骤S3:当存在挖矿行为时监测层生成预警信息,以通知设备层进行溯源阻断操作。
本实施例中当监测层检测到挖矿行为时会及时产生预警信息,并通知设备层采取相应的阻断操作。
可选地,本发明实施例的面向虚拟数字货币的行为监测方法在步骤S1中,利用流量抓取工具监听设备层中各个被监测挖矿设备的网卡,并捕获以源IP地址、源端口、目的IP地址、目的端口和传输层协议为五元组划分的流量数据。
具体的,本实施例中使用tcpdump、wireshark等流量抓取工具,在设备层收集数据。设备层由被监测的挖矿设备组成,挖矿设备可为物联网中的服务器或个人PC设备,即物联网设备。流量抓取工具监听被监测的挖矿设备的网卡,捕获以源IP地址、源端口、目的IP地址、目的端口和传输层协议为五元组划分的数据流,并经过自动化清洗提纯,将数据流以指定长度或大小切分,形成pcap数据包,然后上传至监测层(例如:中央处理器分散处理单元,Data Processing Unit,简称DPU)进行检测。
可选地,本发明实施例的面向虚拟数字货币的行为监测方法中步骤S2具体包括:
当流量数据中存在密文流量数据时,利用预先训练的联邦学习挖矿行为检测子模型对密文流量数据进行检测处理,以得到第一检测处理结果;
当流量数据中存在明文流量数据时,利用预先训练的挖矿行为识别子模型对明文流量数据进行识别处理,以得到第二检测处理结果;
使用分析子模型对第一检测处理结果和/或第二检测处理结果进行分析处理,以确定流量数据中是否存在挖矿行为。
可选地,本发明实施例的面向虚拟数字货币的行为监测方法在步骤S2中,联邦学习挖矿行为检测子模型是基于LightGBM算法在训练层被训练得到的。
可选地,本发明实施例的面向虚拟数字货币的行为监测方法中分析子模型是基于多因子阈值分析算法构建的。
下面具体说明本实施例的联邦学习挖矿行为检测子模型的构建过程:
本实施例中联邦学习挖矿行为检测子模型是基于LightGBM算法训练得到的,具体训练流程如图3所示。
数据压缩过程:
训练集的获取与处理流程如图4所示:采集到的挖矿流量包数据和正常流量包数据存入训练数据存储器,并进行数据预处理,根据流量数据包的Protocol,Lengtl,Info等信息确定鉴别挖矿流量和正常数据的特征,并将训练样本的特征值分箱,分为几个区间的值。通过互斥特征捆绑操作,将多个挖矿监测特征缩减,减少模型训练过程用到的特征数量。通过基于梯度的梯度单边采样技术,进一步减少需要备用到的样本数量且达到和减少之前相近的训练效果。
最后,训练数据存储器将训练集样本按特征进行排序,如图5所示,发送给联邦学习挖矿行为检测子模型,训练样本集表示为,n是训练样本的个数,这些训练样本有m个特征,/>是m个特征之一,/>是判断训练样本是否为挖矿数据的结果,1代表是,0代表否。
局部本地模型训练:
在从中心服务器接收到全局模型参数及其时戳t(根据中心服务器时钟)后,工作客户端执行本地更新。
将排序后的训练样本平均分给每一个本地训练器p,本地训练器的数量为P。联邦学习挖矿行为检测子模型收到训练数据存储器发送的训练样本后,将排序后的训练样本随机平均分成P份,给每一个本地训练器,如图6所示。每一个训练器收到训练样本后,使用第t轮训练分配给自己的数据,我们引入正则化项,C为当前训练树子节点的数量,c为第c个子节点。构建当前t轮的本地树模型/>,/>是第k轮第p个本地训练器训练的决策树。
当处于第二次及以上本地树模型训练时,我们基于当前轮训练的本地模型进行局部树模型的参数优化。构造损失函数
(1)
使其达到最小,代表本地训练模型p第t-1轮训练对样本/>的预测值。
证明:假设样本被分到第c个节点,对(1)式进行变形得
(2)
我们对进行二阶泰勒展开得
(3)
令,/>,
(4)
由于,/>是确定的,考虑优化/>即可。
因此,优化模型为:
(5)
令,/>
因此,使达到最小的/>可以通过寻找(5)式的极值点得到,即
(6)
优化后最优损失函数为
(7)
集群聚合器聚合过程:
在第d个聚合器设备上,假设收到的最新全局模型在即将聚合更新的时候具有时间戳(根据中央服务器时钟),并且来自客户端的本地模型具有时间戳t,那么/>≥t。
本地训练模型完成本轮训练后,本地训练模型将训练结果发送到全局模型,并根据最优损失函数/>的倒数值归一化作为加权系数,计算更新后的集群聚合器模型参数。
各个本地模型的加权系数如下
(8)
修改时间的加权:
其中是稳定函数,
(9)
第d个集群聚合器模型在/>时构建如下:
(10)
集群聚合器模型计算完成后,将新的参数返回给本地训练模型,进行下一轮的训练。
中央服务器聚合过程:
参见图7所示,中央服务器将聚合来自集群聚合器的结果,以更新全局模型。与集群聚合器上的学习过程类似,在中央服务器中,可以使用一个队列来存储来自聚合器的更新。作为异步学习,从每个聚合器中收集到的更新的数量可能是不平衡的。假设最新的全局模型根据中央服务器时钟在时间处被更新,修改时间的加权:
并更新中央服务器模型参数:
(11)
重复上述过程,当训练达到设置的最大轮M时,或者聚合模型的参数可以使损失函数/>时,输出聚合模型训练终止。
如下表一是对上述公式中一些参数的解释说明:
表一:
可选地,本发明实施例的面向虚拟数字货币的行为监测方法在步骤S2中,挖矿行为识别子模型对明文挖矿流量数据进行检测的具体过程为:
将明文挖矿流量数据的有效载荷信息与预设规则内容进行匹配,并将匹配得到的网络流量信息保存至行为数据库;
对匹配得到的网络流量信息进行挖矿特征提取;
将提取得到的挖矿特征与预先建立的挖矿行为信息数据库相匹配,以提取出相应的挖矿指纹核心特征,其中,挖矿行为信息数据库中存储的是已识别为挖矿行为的矿池IP、矿池端口和对应币种信息。
具体的,本实施例中对于明文挖矿数据,监测层根据接入的网络流量的有效载荷信息,与表二所定义的基于json-rpc的规则内容进行匹配,该规则内容能够涵盖Stratum协议、Getwork协议和其他挖矿通信协议规则格式,并将匹配到的网络流量信息存入至行为数据库,待指纹特征提取模块提取相应的挖矿特征。同时,指纹特征提取模块根据行为数据库中检测到的挖矿流量数据,通过相关矿池通信协议指令标识及挖矿行为关键词判断矿工IP和端口信息、矿池IP和端口信息以及相关特征,以矿工IP、矿池IP及矿池端口为唯一值,与挖矿行为信息数据库(即IP—域名—币种数据库)相匹配,该数据库中存储的为已识别为挖矿行为的矿池IP、矿池端口和对应币种信息,提取出相应的挖矿指令序列、挖矿软件型号、币种信息、账号设备数量信息、算力信息、能耗信息等挖矿指纹核心特征。
表二:规则内容
可选地,参见图2所示,本发明实施例的面向虚拟数字货币的行为监测方法中在步骤S3之后还包括:
当存在挖矿行为时监测层记录流量数据,并将流量数据发送至训练层,以更新训练数据集,以便通过更新的训练数据集对联邦学习挖矿行为检测子模型进行优化训练。
本发明实施例的面向虚拟数字货币的行为监测方法中使用DPU对挖矿行为进行实时监测,并采用FPGA和CPU继承的方式开发DPU,结合了传统的CPU和GPU的优点,具备高效的并行计算能力和低功耗特性,可以提高挖矿行为检测速度;同时,通过将检测任务由主机下放到了DPU,实现模型训练和挖矿监测业务的完全隔离,数据将无法进行穿透,保证安全性。本实施例中介绍了基于LightGBM算法的分布式学习挖矿行为检测算法,通过将训练数据分给不同的训练终端并行训练,提高了模型训练的速度;同时考虑了每个训练终端的训练效果对其进行加权处理,让优势训练终端对模型影响更大。
因此,本发明实施例的面向虚拟数字货币的行为监测方法中通过对挖矿流量数据采集,构建区块链非法挖矿行为的检测模型,通过采用多因子阈值分析方法对挖矿行为建模,并采用LightGBM算法以及联邦学习模型训练挖矿行为监测模型,并将该模型上传DPU对挖矿行为进行实时检测,及时准确的识别非法挖矿行为并阻断,实现对非法挖矿行为的监测,提高了检测效率和安全性。
实施例二:
本发明实施例提供了一种面向虚拟数字货币的行为监测系统,基于实施例1所述的面向虚拟数字货币的行为监测方法,参见图8所示,该系统100包括:
数据获取模块101,被配置为,实时捕获设备层的流量数据并将流量数据上传至监测层,其中,流量数据包括密文流量数据和/或明文流量数据;
监测模块102,被配置为,通过监测层的多因子识别模型对流量数据进行检测处理,其中,多因子识别模型包括用于检测密文流量数据的联邦学习挖矿行为检测子模型,用于检测明文流量数据的挖矿行为识别子模型,以及用于确定流量数据中是否存在挖矿行为的分析子模型;
预警模块103,被配置为,当存在挖矿行为时监测层生成预警信息,以通知设备层进行溯源阻断操作。
可选地,本发明实施例的面向虚拟数字货币的行为监测系统中监测模块102具体被配置为:
当流量数据中存在密文流量数据时,利用预先训练的联邦学习挖矿行为检测子模型对密文流量数据进行检测处理,以得到第一检测处理结果;
当流量数据中存在明文流量数据时,利用预先训练的挖矿行为识别子模型对明文流量数据进行识别处理,以得到第二检测处理结果;
使用分析子模型对第一检测处理结果和/或第二检测处理结果进行分析处理,以确定流量数据中是否存在挖矿行为。
可选地,本发明实施例的面向虚拟数字货币的行为监测系统在监测模块102中,联邦学习挖矿行为检测子模型是基于LightGBM算法在训练层被训练得到的。
可选地,本发明实施例的面向虚拟数字货币的行为监测系统在监测模块102中,分析子模型是基于多因子阈值分析算法构建的。
可选地,本发明实施例的面向虚拟数字货币的行为监测系统在监测模块102中,挖矿行为识别子模型对明文挖矿流量数据进行检测的具体过程为:
将明文挖矿流量数据的有效载荷信息与预设规则内容进行匹配,并将匹配得到的网络流量信息保存至行为数据库;
对匹配得到的网络流量信息进行挖矿特征提取;
将提取得到的挖矿特征与预先建立的挖矿行为信息数据库相匹配,以提取出相应的挖矿指纹核心特征,其中,挖矿行为信息数据库中存储的是已识别为挖矿行为的矿池IP、矿池端口和对应币种信息。
可选地,本发明实施例的面向虚拟数字货币的行为监测系统还包括:优化模块,被配置为,当存在挖矿行为时监测层记录流量数据,并将流量数据发送至训练层,以更新训练数据集,以便通过更新的训练数据集对联邦学习挖矿行为检测子模型进行优化训练。
可选地,本发明实施例的面向虚拟数字货币的行为监测系统在数据获取模块101中,利用流量抓取工具监听设备层中各个被监测挖矿设备的网卡,并捕获以源IP地址、源端口、目的IP地址、目的端口和传输层协议为五元组划分的流量数据。
实施例三:
本发明公开了一种电子设备。电子设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时,实现本发明公开实施例一中任一项的一种面向虚拟数字货币的行为监测方法中的步骤。
图9为根据本发明实施例的一种电子设备的结构图,如图9所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
实施例四:
本发明实施例公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,实现本发明的实施例一中任一项的一种面向虚拟数字货币的行为监测方法中的步骤。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
虽然已经通过例子对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上例子仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (10)
1.一种面向虚拟数字货币的行为监测方法,其特征在于,所述方法包括:
步骤S1:实时捕获设备层的流量数据并将所述流量数据上传至监测层,
其中,所述流量数据包括密文流量数据和/或明文流量数据;
步骤S2:通过所述监测层的多因子识别模型对所述流量数据进行检测处理,其中,所述多因子识别模型包括用于检测所述密文流量数据的联邦学习挖矿行为检测子模型,用于检测所述明文流量数据的挖矿行为识别子模型,以及用于确定所述流量数据中是否存在挖矿行为的分析子模型;
步骤S3:当存在挖矿行为时所述监测层生成预警信息,以通知所述设备层进行溯源阻断操作。
2.根据权利要求1所述的面向虚拟数字货币的行为监测方法,其特征在于,所述步骤S2具体包括:
当所述流量数据中存在所述密文流量数据时,利用预先训练的所述联邦学习挖矿行为检测子模型对所述密文流量数据进行检测处理,以得到第一检测处理结果;
当所述流量数据中存在所述明文流量数据时,利用预先训练的所述挖矿行为识别子模型对所述明文流量数据进行识别处理,以得到第二检测处理结果;
使用所述分析子模型对所述第一检测处理结果和/或所述第二检测处理结果进行分析处理,以确定所述流量数据中是否存在挖矿行为。
3.根据权利要求2所述的面向虚拟数字货币的行为监测方法,其特征在于,在所述步骤S2中,所述联邦学习挖矿行为检测子模型是基于LightGBM算法在训练层被训练得到的。
4.根据权利要求2所述的面向虚拟数字货币的行为监测方法,其特征在于,所述分析子模型是基于多因子阈值分析算法构建的。
5.根据权利要求2所述的面向虚拟数字货币的行为监测方法,其特征在于,在所述步骤S2中,所述挖矿行为识别子模型对明文挖矿流量数据进行检测的具体过程为:
将所述明文挖矿流量数据的有效载荷信息与预设规则内容进行匹配,并将匹配得到的网络流量信息保存至行为数据库;
对匹配得到的网络流量信息进行挖矿特征提取;
将提取得到的挖矿特征与预先建立的挖矿行为信息数据库相匹配,以提取出相应的挖矿指纹核心特征,其中,所述挖矿行为信息数据库中存储的是已识别为挖矿行为的矿池IP、矿池端口和对应币种信息。
6.根据权利要求3所述的面向虚拟数字货币的行为监测方法,其特征在于,所述步骤S3之后还包括:
当存在挖矿行为时所述监测层记录所述流量数据,并将所述流量数据发送至所述训练层,以更新训练数据集,以便通过更新的训练数据集对所述联邦学习挖矿行为检测子模型进行优化训练。
7.根据权利要求1所述的面向虚拟数字货币的行为监测方法,其特征在于,在所述步骤S1中,利用流量抓取工具监听所述设备层中各个被监测挖矿设备的网卡,并捕获以源IP地址、源端口、目的IP地址、目的端口和传输层协议为五元组划分的流量数据。
8.一种面向虚拟数字货币的行为监测系统,其特征在于,所述系统包括:
数据获取模块,被配置为,实时捕获设备层的流量数据并将所述流量数据上传至监测层,其中,所述流量数据包括密文流量数据和/或明文流量数据;
监测模块,被配置为,通过所述监测层的多因子识别模型对所述流量数据进行检测处理,其中,所述多因子识别模型包括用于检测所述密文流量数据的联邦学习挖矿行为检测子模型,用于检测所述明文流量数据的挖矿行为识别子模型,以及用于确定所述流量数据中是否存在挖矿行为的分析子模型;
预警模块,被配置为,当存在挖矿行为时所述监测层生成预警信息,以通知所述设备层进行溯源阻断操作。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至7中任一项所述的一种面向虚拟数字货币的行为监测方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至7中任一项所述的一种面向虚拟数字货币的行为监测方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410191152.8A CN117768243B (zh) | 2024-02-21 | 一种面向虚拟数字货币的行为监测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410191152.8A CN117768243B (zh) | 2024-02-21 | 一种面向虚拟数字货币的行为监测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117768243A true CN117768243A (zh) | 2024-03-26 |
| CN117768243B CN117768243B (zh) | 2024-05-31 |
Family
ID=
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170368413A1 (en) * | 2016-03-12 | 2017-12-28 | Arie Shavit | Training system and methods for designing, monitoring and providing feedback of training |
| CN110933060A (zh) * | 2019-11-22 | 2020-03-27 | 上海交通大学 | 一种基于流量分析的挖矿木马检测系统 |
| CN115643049A (zh) * | 2022-09-20 | 2023-01-24 | 北京理工大学 | 一种基于加密流量分析的挖矿行为实时检测方法 |
| CN116346483A (zh) * | 2023-04-04 | 2023-06-27 | 国家计算机网络与信息安全管理中心 | 一种加密挖矿行为识别方法及装置 |
| CN116708252A (zh) * | 2023-03-29 | 2023-09-05 | 南京中新赛克科技有限责任公司 | 一种结合主动与被动探测技术的挖矿行为检测方法 |
| CN117313058A (zh) * | 2023-10-18 | 2023-12-29 | 厦门航空有限公司 | 信息的识别方法、装置、计算机设备和存储介质 |
| CN117336011A (zh) * | 2023-08-30 | 2024-01-02 | 中国电信股份有限公司 | 一种挖矿行为的检测方法、装置、电子设备和存储介质 |
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170368413A1 (en) * | 2016-03-12 | 2017-12-28 | Arie Shavit | Training system and methods for designing, monitoring and providing feedback of training |
| CN110933060A (zh) * | 2019-11-22 | 2020-03-27 | 上海交通大学 | 一种基于流量分析的挖矿木马检测系统 |
| CN115643049A (zh) * | 2022-09-20 | 2023-01-24 | 北京理工大学 | 一种基于加密流量分析的挖矿行为实时检测方法 |
| CN116708252A (zh) * | 2023-03-29 | 2023-09-05 | 南京中新赛克科技有限责任公司 | 一种结合主动与被动探测技术的挖矿行为检测方法 |
| CN116346483A (zh) * | 2023-04-04 | 2023-06-27 | 国家计算机网络与信息安全管理中心 | 一种加密挖矿行为识别方法及装置 |
| CN117336011A (zh) * | 2023-08-30 | 2024-01-02 | 中国电信股份有限公司 | 一种挖矿行为的检测方法、装置、电子设备和存储介质 |
| CN117313058A (zh) * | 2023-10-18 | 2023-12-29 | 厦门航空有限公司 | 信息的识别方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shen et al. | Fine-grained webpage fingerprinting using only packet length information of encrypted traffic | |
| Sala et al. | Measurement-calibrated graph models for social network experiments | |
| Staudemeyer et al. | Extracting salient features for network intrusion detection using machine learning methods | |
| CN112700252B (zh) | 一种信息安全性检测方法、装置、电子设备和存储介质 | |
| CN113347156B (zh) | 一种网站指纹防御的智能流量混淆方法、系统及计算机存储介质 | |
| CN107370752B (zh) | 一种高效的远控木马检测方法 | |
| CN111224994A (zh) | 一种基于特征选择的僵尸网络检测方法 | |
| Lin et al. | Evolution of ethereum transaction relationships: Toward understanding global driving factors from microscopic patterns | |
| Ding et al. | HYBRID-CNN: An efficient scheme for abnormal flow detection in the SDN-Based Smart Grid | |
| CN107360145A (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| He et al. | Inferring application type information from tor encrypted traffic | |
| CN111181930A (zh) | DDoS攻击检测的方法、装置、计算机设备及存储介质 | |
| Xiaomeng et al. | Data analysis of bitcoin blockchain network nodes | |
| CN113938290B (zh) | 一种用户侧流量数据分析的网站去匿名方法和系统 | |
| Ren et al. | App identification based on encrypted multi-smartphone sources traffic fingerprints | |
| CN117768243B (zh) | 一种面向虚拟数字货币的行为监测方法及系统 | |
| CN116208356B (zh) | 一种基于深度学习的虚拟货币挖矿流量检测方法 | |
| CN115883213B (zh) | 基于连续时间动态异质图神经网络的apt检测方法及系统 | |
| CN112235254A (zh) | 一种高速主干网中Tor网桥的快速识别方法 | |
| CN117768243A (zh) | 一种面向虚拟数字货币的行为监测方法及系统 | |
| CN104954365A (zh) | 一种快速自动识别加密网络行为的方法 | |
| Yu et al. | Cross-layer protocol fingerprint for large-scale fine-grain devices identification | |
| Li et al. | Web application-layer DDOS attack detection based on generalized Jaccard similarity and information entropy | |
| CN114362972B (zh) | 一种基于流量摘要和图采样的僵尸网络混合检测方法及系统 | |
| Wang et al. | Intrusion detection algorithms based on correlation information entropy and binary particle swarm optimization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |