[发明专利]一种阶层式加密货币的挖矿行为识别方法及系统

权利要求书

1.一种阶层式加密货币的挖矿行为识别方法，其特征在于，包括以下步骤：

收集园区网络内的原始混杂流量；

按照网络内原始流量协议类型，将流量分为DNS数据包及非DNS数据包；

利用基于词素的方法对DNS请求域名进行早期识别与推理，判断其是否为挖矿域名，若为挖矿域名，则将访问此域名的流量判断为挖矿流量；

利用Sketch对非DNS数据包进行分流与筛选，将大概率为非挖矿流量的数据流剔除；

利用机器学习方法对筛选后的流进行最终识别，判断其是否为挖矿流量。

2.如权利要求1所述的阶层式加密货币的挖矿行为识别方法，其特征在于，

DNS数据包分为应答数据包和请求数据包，使用哈希表存储请求数据包到达时间，并将应答数据包的到达时间映射到哈希表中同一位置以计算时间间隔信息，而后提取应答数据包中的DNS请求域名和对应IP地址信息。

3.如权利要求1所述的阶层式加密货币的挖矿行为识别方法，其特征在于，在识别阶段开始之前，需要收集挖矿域名，并根据挖矿域名生成挖矿域名正则表达式和词素信息，以用于建立挖矿行为知识库。

4.如权利要求1所述的阶层式加密货币的挖矿行为识别方法，其特征在于，利用机器学习方法对筛选后的流进行最终识别后，将挖矿流量清洗整理，并将对应域名和流量信息录入挖矿行为知识库，以实现挖矿行为知识库的在线更新。

5.如权利要求2所述的阶层式加密货币的挖矿行为识别方法，其特征在于，当收到DNS请求域名信息时，首先去除域名字符串中的顶级域名，并进行词素分割；然后去除长度小于3的词素，获取词素集合；之后将词素集合与哈希表中的挖矿域名正则表达式进行正则匹配，若匹配成功，则判断该DNS请求域名为挖矿域名，否则，使用推理模型对该DNS请求域名进行推理。

6.如权利要求5所述的阶层式加密货币的挖矿行为识别方法，其特征在于，推理模型会输出该域名为挖矿域名的置信度，若置信度超过第一阈值，则会将该域名判断为挖矿域名。

7.如权利要求1所述的阶层式加密货币的挖矿行为识别方法，其特征在于，利用Sketch对非DNS数据包进行分流与筛选得具体步骤为：利用Sketch将流ID相同的非DNS数据包归为一个数据流，并结合数据流的到达频率和持续时间对流进行重要性度量。

8.如权利要求7所述的阶层式加密货币的挖矿行为识别方法，其特征在于，将流的初始重要程度值设置为一个定值，并对流的持续时间划分测量周期，若流在某个周期内的到达频率位于设定区间内，则增加其重要程度，反之则降低其重要程度；若流在某个周期内未出现过，则降低其重要程度；当流的包数达到K时，若流的重要程度低于第二阈值，则将流判断为非挖矿流量；若流的重要程度高于第二阈值，则将流判断为疑似挖矿流量，并记录疑似挖矿流量所有包的负载大小和到达时间信息以用于后续阶段的识别。

9.如权利要求1所述的阶层式加密货币的挖矿行为识别方法，其特征在于，利用机器学习模型对上一阶段筛选后的流进行识别，输入流前K个包的负载大小向量，输出模型对流的识别结果，判断其是否为挖矿流量。

10.一种阶层式加密货币的挖矿行为识别系统，其特征在于，包括：

流量收集模块，被配置为收集园区网络内的原始混杂流量；

流量分类模块，被配置为按照网络内原始流量协议类型，将流量分为DNS数据包及非DNS数据包；

域名识别推理模块，被配置为利用基于词素的方法对DNS请求域名进行早期识别与推理，判断其是否为挖矿域名，若为挖矿域名，则将访问此域名的流量判断为挖矿流量；

统计规则模块，被配置为利用Sketch对非DNS数据包进行分流与筛选，将大概率为非挖矿流量的数据流剔除；

机器学习模块，被配置为利用机器学习方法对筛选后的流进行最终识别，判断其是否为挖矿流量。