本申请公开了一种基于应用层通信协议的挖矿木马检测方法、装置及设备,涉及通信技术领域,可解决目前挖矿木马检测效率和准确率低的技术问题。方法包括:获取包含多个加密TCP网络链接的网络流量数据;基于挖矿程序应用层通信协议的第一预设特征分析网络流量数据,在网络流量数据中提取可疑网络链接,可疑网络链接中携带有可疑远端网络服务地址;向可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,并接收可疑远端网络服务地址反馈的网络响应报文;判断网络响应报文的报文特征是否与挖矿程序应用层通信协议的第二预设特征匹配,若是,则确定可疑网络链接为挖矿木马通信网络链接,并根据挖矿木马通信网络链接确定挖矿木马信息。定挖矿木马信息。定挖矿木马信息。
【技术实现步骤摘要】
基于应用层通信协议的挖矿木马检测方法、装置及设备
[0001]本申请涉及通信
,尤其涉及到一种基于应用层通信协议的挖矿木马检测方法、装置及设备。
技术介绍
[0002]近年来由于虚拟货币区块链等技术的发展,以及虚拟货币的价格持续上涨,原本用于DDoS攻击或垃圾邮件的僵尸网络又新增了一种新的变现途径:虚拟货币“挖矿”。一些被攻陷的主机常常也被植入挖矿木马,这些被植入挖矿木马的主机在挖矿的过程中疯狂执行没有意义的运算,挤占服务器资源,影响正常业务,耗费电力资源。所以有效地发现系统中的挖矿木马是当下网络安全行业重点需求。
[0003]各网络安全厂商为此研发了许多种方法和产品,行业内现有的发现挖矿木马的主要方式有三种,一是观察系统内是否存在持续占用CPU过高的进程;二是观察系统内是否有与远程矿池通信的行为;三是通过挖矿程序与远程服务的通信内容判断。但这三种方法都有缺点,观察持续硬件资源占用过高会导致误报,因为正常业务也有可能出现持续硬件资源高占用的情况;观察是否存在与矿池通信的方法容易导致漏报,因为判断远程服务是否为矿池依据的是威胁情报,而威胁情报有时效性且容易通过搭建代理服务器的方式绕过;几乎所有的挖矿木马都会对网络通信加密,所以通过通信内容判断也基本不可行。综上,导致目前在进行挖矿木马检测时,检测准确率不高且效率较低,故仍需寻找更有效的手段能准确发现系统中存在的挖矿木马。
技术实现思路
[0004]有鉴于此,本申请提供了一种基于应用层通信协议的挖矿木马检测方法、装置及设备,可解决目前在进行挖矿木马检测时,检测准确率不高且效率较低的技术问题。
[0005]根据本申请的一个方面,提供了一种基于应用层通信协议的挖矿木马检测方法,该方法包括:
[0006]获取网络流量数据,所述网络流量数据中包含多个加密的TCP网络链接;
[0007]基于挖矿程序应用层通信协议的第一预设特征分析所述网络流量数据,在所述网络流量数据中提取可疑网络链接,所述可疑网络链接中携带有可疑远端网络服务地址;
[0008]向所述可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,并接收所述可疑远端网络服务地址反馈的网络响应报文;
[0009]判断所述网络响应报文的第二报文特征是否与所述挖矿程序应用层通信协议的第二预设特征匹配,若是,则确定所述可疑网络链接为挖矿木马通信网络链接,并根据所述挖矿木马通信网络链接确定挖矿木马信息。
[0010]根据本申请的另一个方面,提供了一种基于应用层通信协议的挖矿木马检测装置,该装置包括:
[0011]获取模块,用于获取网络流量数据,所述网络流量数据中包含多个加密的TCP网络
链接;
[0012]分析模块,用于基于挖矿程序应用层通信协议的第一预设特征分析所述网络流量数据,在所述网络流量数据中提取可疑网络链接,所述可疑网络链接中携带有可疑远端网络服务地址;
[0013]模拟通信模块,用于向所述可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,并接收所述可疑远端网络服务地址反馈的网络响应报文;
[0014]确定模块,用于判断所述网络响应报文的第二报文特征是否与所述挖矿程序应用层通信协议的第二预设特征匹配,若是,则确定所述可疑网络链接为挖矿木马通信网络链接,并根据所述挖矿木马通信网络链接确定挖矿木马信息。
[0015]根据本申请的又一个方面,提供了一种非易失性可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述基于应用层通信协议的挖矿木马检测方法。
[0016]根据本申请的再一个方面,提供了一种计算机设备,包括非易失性可读存储介质、处理器及存储在非易失性可读存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述基于应用层通信协议的挖矿木马检测方法。
[0017]借由上述技术方案,本申请提供的一种基于应用层通信协议的挖矿木马检测方法、装置及设备,可首先获取网络流量数据,之后基于挖矿程序应用层通信协议的第一预设特征对网络流量数据进行分析,在网络流量数据中提取可疑网络链接,向可疑网络链接对应的可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,并接收可疑远端网络服务地址反馈的网络响应报文;最后通过分析网络响应报文,判断网络响应报文的第二报文特征是否与挖矿程序应用层通信协议的第二预设特征匹配,进一步从可疑网络链接中确定出挖矿木马通信网络链接,并根据挖矿木马通信网络链接确定挖矿木马信息。通过本申请中的技术方案,可先筛选出符合挖矿木马加密后网络行为特征的可疑网络链接,再针对可疑网络链接进行模拟通信检测,可大大提高检测效率,并且针对可疑网络链接中可疑远端网络服务地址对应挖矿木马的通信行为模拟,能够获取到可疑远端网络服务地址最真实的网络响应报文,进而通过对网络响应报文的分析即可实现对挖矿木马的精准定位,故能够保证挖矿木马的检测精准度。
[0018]上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
[0019]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本地申请的不当限定。在附图中:
[0020]图1示出了本申请实施例提供的一种基于应用层通信协议的挖矿木马检测方法的流程示意图;
[0021]图2示出了本申请实施例提供的另一种基于应用层通信协议的挖矿木马检测方法的流程示意图;
[0022]图3示出了本申请实施例提供的一种基于应用层通信协议的挖矿木马检测装置的结构示意图;
[0023]图4示出了本申请实施例提供的另一种基于应用层通信协议的挖矿木马检测装置的结构示意图。
具体实施方式
[0024]下文将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互结合。
[0025]针对目前在进行挖矿木马检测时,检测准确率不高且效率较低的技术问题,本实施例提供了一种基于应用层通信协议的挖矿木马检测方法,如图1所示,该方法包括:
[0026]101、获取网络流量数据,网络流量数据中包含多个加密的TCP网络链接。
[0027]由于挖矿木马与矿池通信使用的是基于明文的应用层通信协议,而且协议是公开的,但网络通信通常是通过TLS协议加密,现有技术在无加密密钥的情况下,无法实现对该加密协议的解密处理,所以无法以第三方观察者的角度查看通信内容,但是以通信双方之一的参与者身份是可以观察到通信内容的。有鉴于此,在本申请中,可先筛选网络收发报文频率稳定以及TCP报文长度符合挖矿通信协议大致特征的网络链接,获取链接中的可疑远端网络服务地址,再通过一个程序模拟挖矿木马的通信行为,向该可疑远端网络服务地址发送符合挖矿木马协议的通信,若能得到符合本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于应用层通信协议的挖矿木马检测方法,其特征在于,包括:获取网络流量数据,所述网络流量数据中包含多个加密的TCP网络链接;基于挖矿程序应用层通信协议的第一预设特征分析所述网络流量数据,在所述网络流量数据中提取可疑网络链接,所述可疑网络链接中携带有可疑远端网络服务地址;向所述可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,并接收所述可疑远端网络服务地址反馈的网络响应报文;判断所述网络响应报文的第二报文特征是否与所述挖矿程序应用层通信协议的第二预设特征匹配,若是,则确定所述可疑网络链接为挖矿木马通信网络链接,并根据所述挖矿木马通信网络链接确定挖矿木马信息。2.根据权利要求1所述的方法,其特征在于,所述第一预设特征包括网络报文收发频率特征、报文长度特征;所述基于挖矿程序应用层通信协议的第一预设特征分析所述网络流量数据,在所述网络流量数据中提取可疑网络链接,包括:将所述网络流量数据解析还原成结构化日志,并根据所述结构化日志分析得到基于TCP层的第一报文特征;计算所述第一报文特征与挖矿程序应用层通信协议对应第一预设特征的第一特征相似度;在所述第一报文特征中提取对应所述第一特征相似度等于第一预设阈值的目标报文特征,将所述目标报文特征对应的TCP网络链接标记为可疑网络链接。3.根据权利要求1所述的方法,其特征在于,所述向所述可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,并接收所述可疑远端网络服务地址反馈的网络响应报文,包括:利用模拟程序集合中各个预设虚拟货币类型对应挖矿木马的通信行为模拟程序,分别与所述可疑远端网络服务地址创建带加密的TCP链接,并基于所述带加密的TCP链接向所述可疑远端网络服务地址发送符合挖矿程序应用层通信协议的通信报文,以及接收所述可疑远端网络服务地址反馈的网络响应报文。4.根据权利要求3所述的方法,其特征在于,所述第二预设特征包括预设报文格式特征,所述判断所述网络响应报文的第二报文特征是否与所述挖矿程序应用层通信协议的第二预设特征匹配,包括:提取各个所述通信行为模拟程序所接收网络响应报文的第二报文特征;计算各个所述第二报文特征与所述第二预设特征的第二特征相似度;判断所述网络响应报文中是否存在对应所述第二特征相似度大于第二预设阈值的目标网络响应报文;若是,则判断所述目标网络响应报文的报文特征与所述挖矿程序应用层通信协议的第二预设特征匹配。5.根据权利要求4所述的方法,其特...
【专利技术属性】
技术研发人员:张晓坤,
申请(专利权)人:杭州薮猫科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。