[发明专利]一种阶层式加密货币的挖矿行为识别方法及系统

说明书

本发明公开了一种阶层式加密货币的挖矿行为识别方法及系统，涉及网络空间安全技术领域。包括收集园区网络内的原始混杂流量；按照协议类型，将流量分为DNS数据包及非DNS数据包；利用基于词素的方法对DNS请求域名进行早期识别与推理；利用Sketch对非DNS数据包进行分流与筛选；利用机器学习方法对筛选后的流进行最终识别；根据识别结果，更新挖矿行为知识库。本发明能够从域名请求阶段和数据传输阶段分阶层识别挖矿流量，利用基于词素的方法实现挖矿行为的早期快速识别；利用Sketch降低了机器学习模型的处理开销，提高了整体模型的分析效率。

技术领域

本发明涉及网络空间安全技术领域，尤其涉及一种阶层式加密货币的挖矿行为识别方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

随着加密货币价格的暴涨，加密货币的挖掘引发了巨大关注，这其中也包含了大量恶意行为者利用不法手段谋利的情况。为了消除挖矿行为带来的网络安全威胁，研究者们提出了一些识别方法来用于挖矿行为的监管。

这些方法主要分为三种，其一是通过在主机上部署可以监测硬件状态或者检测系统调用的进程特征码的应用来推测该主机是否发生了挖矿行为。这种方案的弊端是需要管理者主动安装该应用，很容易逃避监管。

其二是通过分析通信内容(如DPI分析)，提取网络流量数据包中的负载信息进行相关的信息识别。由于该方法可以对流量负载内容中的矿池通信协议特征进行识别，因此可以准确地判断挖矿行为的存在。但是这种方案存在两个主要问题，一是提取负载信息会消耗大量的资源进而降低检测速度；二是在区块链匿名性的加强和多方维护的设计下，大多数加密货币都采用TLS等协议进行加密通信，这导致基于分析通信内容的分析的方法不再有效。

其三是通过收集大量挖矿通信流量提取特征后训练机器学习模型，然后利用该模型来判断网络数据中是否包含挖矿流量。这种解决方案由于其准确率高、可靠性强等优势而被广泛使用，但仍存在问题，一是识别过程中通常需要分析大量的样本才能做出可靠判断，进而很难在挖矿行为刚发生的时及时响应；二是该方法需要大量的数据对机器学习模型进行训练，而数据集的好坏直接决定了模型的优劣。

因此，现有方法对于早期挖矿行为的识别效果均不够理想，如何高效率高准确度识别早期挖矿行为成为亟待解决的问题之一。

发明内容

针对现有技术存在的不足，本发明的目的是提供一种阶层式加密货币的挖矿行为识别方法及系统，本发明引入了词素与Sketch，并利用阶层式结构，实现对加密货币挖矿行为的早期快速识别。其中，词素在本发明中被定义为域名字符串中具有一定语义或语法功能的最小单位(只考虑字符串长度大于2的词素)；而Sketch是一种高效且具有稳定误差边界的数据结构。

为了实现上述目的，本发明是通过如下的技术方案来实现：

本发明第一方面提供了一种阶层式加密货币的挖矿行为识别方法，包括以下步骤：

收集园区网络内的原始混杂流量；

按照网络内原始流量协议类型，将流量分为DNS数据包及非DNS数据包；

利用基于词素的方法对DNS请求域名进行早期识别与推理，判断其是否为挖矿域名，若为挖矿域名，则将访问此域名的流量判断为挖矿流量；

利用Sketch对非DNS数据包进行分流与筛选，将大概率为非挖矿流量的数据流剔除；

利用机器学习方法对筛选后的流进行最终识别，判断其是否为挖矿流量。

进一步的，DNS数据包分为应答数据包和请求数据包，使用哈希表存储请求数据包到达时间，并将应答数据包的到达时间映射到哈希表中同一位置以计算时间间隔信息，而后提取应答数据包中的DNS请求域名和对应IP地址信息。