(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202010123819.2
(22)申请日 2020.02.27
(71)申请人 广东安创信息科技开发有限公司
地址 510030 广东省广州市越秀区寺右新
马路108号丰伟大厦15B、C单元
(72)发明人 余文珣 余斯聪 钟英南 林烁韩
余柳菁 汤进涛
(51)Int.Cl.
H04L 29/06(2006.01)
(54)发明名称一种基于流量特征识别挖矿程序的方法和系统(57)摘要本发明公开了一种基于流量特征识别挖矿程序的方法及系统,所述方法包括如下步骤:步骤S1,镜像待检测网络流量,提取协议流量;步骤S2,根据提取的协议流量,检测流量的具体网络传输包是否存在挖矿通信协议封装的网络传输数据包;步骤S3,于识别出存在挖矿通信协议封装的网络传输数据包,根据该网络传输数据包识别出对应的主机,进而通过该网络传输数据包定位出源主机IP,本发明可快速定位企业网络是否存在被植入挖矿程序的主机,无需花费大量人工去排查定位,提高了用户效率,从而有效地降低 了企业成本和风险。权利要求书2页 说明书6页 附图4页CN 111314367 A 2020.06.19
C N 111314367
A
1.一种基于流量特征识别挖矿程序的方法,包括如下步骤:
步骤S1,镜像待检测网络流量,提取协议流量;
步骤S2,根据提取的协议流量,检测流量的具体网络传输包是否存在挖矿通信协议封装的网络传输数据包;
步骤S3,于识别出存在挖矿通信协议封装的网络传输数据包,根据该网络传输数据包识别出对应的主机,进而通过该网络传输数据包定位出源主机IP。
2.如权利要求1所述的一种基于流量特征识别挖矿程序的方法,其特征在于:于步骤S2中,对所述流量的网络传输包进行特征字符串检测,获取网络传输包中的特征字段,根据该些特征字段的内容判断其是否为挖矿通信协议封装的通信数据包。
3.如权利要求2所述的一种基于流量特征识别挖矿程序的方法,其特征在于:所述特征字段包括但不限于id、method、jsonrpc、pa rams、result、log in、pass、ag ent、mining.submit。
4.如权利要求2所述的一种基于流量特征识别挖矿程序的方法,其特征在于,于步骤S3之前,还包括如下步骤:
根据流量的具体网络传输包,识别通讯协议特征和通讯频率特征,根据识别出的协议特征和频率特征判断是否存在挖矿通信协议封装的网络传输数据包。
5.如权利要求4所述的一种基于流量特征识别挖矿程序的方法,其特征在于:根据所述流量的网络传输包识别通讯频率特征,并将识别的通讯频率特征与挖矿程序的通讯频率特征进行比对,若比对一致,则认为存在挖矿通信协议封装的网络传输数据包。
6.如权利要求4所述的一种基于流量特征识别挖矿程序的方法,其特征在于,于步骤S3之前,还包括如下步骤:
根据所述流量的具体网络传输包识别目的域名和目的IP,并将识别出的目的域名和目的IP与预先采集的公开已知的矿池的域名和IP进行比对,根据比对结果是否存在挖矿通信协议封装的网络传输数据包。
7.一种基于流量特征识别挖矿程序的系统,包括:
流量镜像单元,用于镜像待检测网络流量,提取协议流量;
字符串特征检测单元,用于根据提取的协议流量,检测流量的具体网络传输包是否存在挖矿通信协议封装的网络传输数据包;
检测结果处理单元,用于于识别出存在挖矿通信协议封装的网络传输数据包,根据该网络传输数据包识别出对应的主机,进而通过该网络传输数据包定位出源主机IP。
8.如权利要求7所述的一种基于流量特征识别挖矿程序的系统,其特征在于:所述字符串特征检测单元用于对所述流量的网络传输包进行特征字符串检测,获取网络传输包中的特征字段,根据该些特征字段的内容判断其是否为挖矿通信协议封装的通信数据包。
9.如权利要求8所述的一种基于流量特征识别挖矿程序的系统,其特征在于:所述系统还包括协议特征识别比对单元,用于根据流量的具体网络传输包,识别通讯协议特征和通讯频率特征,根据识别出的协议特征和频率特征判断是否存在挖矿通信协议封装的网络传输数据包。
10.如权利要求9所述的一种基于流量特征识别挖矿程序的系统,其特征在于:所述系统还包括域名IP识别比对单元,用于根据从网络流量的具体数据网络传输包提取识别请求
目的域名和目的IP,并将识别出的请求目的域名和目的IP与预先采集的公开已知的矿池的域名和IP进行比对,根据比对结果确定是否存在挖矿通信协议封装的网络传输数据包。
一种基于流量特征识别挖矿程序的方法和系统
技术领域
[0001]本发明涉及区块链技术领域,特别是涉及一种基于流量特征识别挖矿程序的方法和系统。
背景技术
[0002]随着比特币的成功,许多基于区块链技术的纷纷问世,例如以太币,门罗币等。这类并非由特定的货币发行机构发行,而是依据特定算法通过大量运算所得。而完成如此大量运算的
工具就是挖矿机程序。挖矿机程序运用计算机强大的运算力进行大量运算,由此获取。由于硬件性能的限制,玩家需要大量计算机进行运算以获得一定数量的。
[0003]由此,越来越多的攻击者利用各种手段和技术,入侵存在安全漏洞的设备、服务器等具备不同运算能力的计算设备。对于被植入挖矿程序的计算设备,挖矿程序会严重占用计算机资源,导致计算机卡慢,而且随着挖矿技术的不断提升,攻击者的手段的多样化,越来越多的挖矿程序已经可以配置参数,设定固定占用百分比,从而让普通用户无法察觉自己的设备已经被植入挖矿程序,导致挖矿程序的检测越来越困难。
发明内容
[0004]为克服上述现有技术存在的不足,本发明之目的在于提供一种基于流量特征识别挖矿程序的方法和系统,以快速定位企业网络是否存在被植入挖矿程序的主机,无需花费大量人工去排查定位,提高用户效率,从而有效的降低企业成本和风险。
[0005]为达上述目的,本发明提出一种基于流量特征识别挖矿程序的方法,包括如下步骤:
[0006]步骤S1,镜像待检测网络流量,提取协议流量;
[0007]步骤S2,根据提取的协议流量,检测流量的具体网络传输包是否存在挖矿通信协议封装的网络传
输数据包;
[0008]步骤S3,于识别出存在挖矿通信协议封装的网络传输数据包,根据该网络传输数据包识别出对应的主机,进而通过该网络传输数据包定位出源主机IP。
[0009]优选地,于步骤S2中,对所述流量的网络传输包进行特征字符串检测,获取网络传输包中的特征字段,根据该些特征字段的内容判断其是否为挖矿通信协议封装的通信数据包。
[0010]优选地,所述特征字段包括但不限于id、method、jsonrpc、params、result、login、pass、agent、mining.submit。
[0011]优选地,于步骤S3之前,还包括如下步骤:
[0012]根据流量的具体网络传输包,识别通讯协议特征和通讯频率特征,根据识别出的协议特征和频率特征判断是否存在挖矿通信协议封装的网络传输数据包。
[0013]优选地,根据所述流量的网络传输包识别通讯频率特征,并将识别的通讯频率特
征与挖矿程序的通讯频率特征进行比对,若比对一致,则认为存在挖矿通信协议封装的网络传输数据包。
[0014]优选地,于步骤S3之前,还包括如下步骤:
[0015]根据所述流量的具体网络传输包识别目的域名和IP,并将识别出的目的域名和IP 与预先采集的公开已知的矿池的域名和IP进行比对,根据比对结果是否存在挖矿通信协议封装的网络传输数据包。
[0016]为达到上述目的,本发明还提供一种基于流量特征识别挖矿程序的系统,包括:[0017]流量镜像单元,用于镜像待检测网络流量,提取协议流量;
[0018]字符串特征检测单元,用于根据提取的协议流量,检测流量的具体网络传输包是否存在挖矿通信协议封装的网络传输数据包;
[0019]检测结果处理单元,用于于识别出存在挖矿通信协议封装的网络传输数据包,根据该网络传输数据包识别出对应的主机,进而通过该网络传输数据包定位出源主机IP。[0020]优选地,所述字符串特征检测单元用于对所述流量的网络传输包进行特征字符串检测,获取网络传输包中的特征字段,根据该些特征字段的内容判断其是否为挖矿通信协议封装的通信数据包。
[0021]优选地,所述系统还包括协议特征识别比对单元,用于根据流量的具体网络传输包,识别通讯协议特征和通讯频率特征,根据识别出的协议特征和频率特征判断是否存在挖矿通信协议封装的网络传输数据包。
[0022]优选地,所述系统还包括域名IP识别比对单元,用于根据流量的具体网络传输包识别目的域名和IP,并将识别出的目的域名和IP与预先采集的公开已知的矿池的域名和IP 进行比对,根据比对结果是否存在挖矿通信协议封装的网络传输数据包。
[0023]与现有技术相比,本发明一种基于流量特征识别挖矿程序的方法及系统通过镜像待检测网络流量,提取协议流量,然后根据提取的协议流量,检测流量的具体网络传输包是否存在挖矿通信协议封装的网络传输数据包,并于识别出存在挖矿通信协议封装的网络传输数据包,根据该网络传输数据包识别出对应的主机,进而通过该网络传输数据包定位出源主机IP,可有效地识别计算设备中是否被植入挖矿程序,快速定位企业网络是否存在被植入挖矿程序的主机,而无需花费大量人工去排查定位,提高用户效率,从而有效的降低企业成本和风险。
附图说明
[0024]图1为本发明一种基于流量特征识别挖矿程序的方法的步骤流程图;
[0025]图2为本发明中挖矿程序的通信过程示意图;
[0026]图3为本发明一种基于流量特征识别挖矿程序的系统的系统架构图;
[0027]图4为本发明具体实施例中基于流量特征识别挖矿程序的流程图。
具体实施方式
[0028]以下通过特定的具体实例并结合附图说明本发明的实施方式,本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用,本说明书中的各项细节亦可基于不同观点与应用,在不背离
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议