本申请提供一种挖矿报文处理方法、装置、电子设备及存储介质,该方法包括:获取网络报文,并从网络报文中解析出标识数据;若根据标识数据确定网络报文是挖矿报文,则阻断网络报文。在上述方案的实现过程中,通过从网络报文中解析出标识数据,在根据标识数据确定网络报文是挖矿报文的情况下,就直接阻断网络报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情况,从而有效地根据网络报文解析出的标识数据来直接阻断网络报文。标识数据来直接阻断网络报文。标识数据来直接阻断网络报文。
【技术实现步骤摘要】
一种挖矿报文处理方法、装置、电子设备及存储介质
[0001]本申请涉及计算机安全、区块链和挖矿威胁检测的
,具体而言,涉及一种挖矿报文处理方法、装置、电子设备及存储介质。
技术介绍
[0002]目前,由于挖矿行为会消耗大量的计算能力,因此通常是云服务提供商或者计算机安全厂商在云平台租户的云主机上安装挖矿监测程序,通过该挖矿监测程序来监测中央处理器(Central Processing Unit,CPU)的使用率,从而找到CPU使用率最高的应用程序,并对该应用程序进行程序特征匹配,然后,根据特征匹配结果可以确定出该应用程序是挖矿程序,最后,清除掉该应用程序来从源头上阻断应用程序发送和接收挖矿报文。
[0003]在具体的实践过程中发现,如果云服务提供商或者计算机安全厂商无法在云平台租户的云主机上安装挖矿监测程序,那么将直接导致没有操作云平台租户的云主机的权限,从而难以阻断应用程序发送和接收挖矿报文。
技术实现思路
[0004]本申请实施例的目的在于提供一种挖矿报文处理方法、装置、电子设备及存储介质,用于改善难以阻断应用程序发送和接收挖矿报文的问题。
[0005]本申请实施例提供了一种挖矿报文处理方法,包括:获取网络报文,并从网络报文中解析出标识数据;若根据标识数据确定网络报文是挖矿报文,则阻断网络报文。在上述方案的实现过程中,通过从网络报文中解析出标识数据,在根据标识数据确定网络报文是挖矿报文的情况下,就直接阻断网络报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情况,从而有效地根据网络报文解析出的标识数据来直接阻断网络报文。
[0006]可选地,在本申请实施例中,标识数据包括:域名系统DNS请求网络报文中解析出的域名地址;根据标识数据确定网络报文是挖矿报文,包括:判断域名地址是否在矿池子域名列表中;若是,则确定网络报文是挖矿报文。在上述方案的实现过程中,通过域名系统DNS请求网络报文中的域名地址与矿池子域名列表的匹配结果来确定并阻断挖矿报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情况,从而有效地根据网络报文解析出的标识数据来直接阻断网络报文。
[0007]可选地,在本申请实施例中,标识数据包括:域名系统DNS响应网络报文中解析出的域名地址和域名地址对应的IP地址;根据标识数据确定网络报文是挖矿报文,包括:判断域名地址和域名地址对应的IP地址是否满足预设地址条件,预设地址条件包括:域名地址在矿池子域名列表中,或者,域名地址对应的IP地址在矿池IP地址列表中;若是,则确定网络报文是挖矿报文。在上述方案的实现过程中,通过域名系统DNS响应网络报文中的域名地址和域名地址对应的IP地址是否满足预设地址条件来确定并阻断挖矿报文,避免了无法在云平台租户的云主机上安装挖矿监测程序导致没有操作云平台租户的云主机的权限的情
况,从而有效地根据网络报文解析出的标识数据来直接阻断网络报文。
[0008]可选地,在本申请实施例中,标识数据包括:域名地址;在从网络报文中解析出标识数据之后,还包括:判断域名地址的上级域名是否在矿池上级域名列表中;若是,则将域名地址和域名地址对应的IP地址关联存储至域名IP跟踪表中,域名IP跟踪表用于确定网络报文是挖矿报文。在上述方案的实现过程中,通过将网络报文的目标IP地址限定是域名IP跟踪表中的IP地址时,才进行挖矿报文检测,有效地将挖矿报文检测限定在特定流量的网络报文中,从而提高了挖矿报文检测效率。
[0009]可选地,在本申请实施例中,在将域名地址和域名地址对应的IP地址关联存储至域名IP跟踪表中之后,还包括:从网络报文解析出目标IP地址;在确定目标IP地址在域名IP跟踪表中之后,判断网络报文对应的网络协议是否满足预设协议条件,预设协议条件包括:网络报文对应的网络协议是挖矿协议,或者,通过安全传输层TLS协议从目标IP地址返回的响应报文符合挖矿协议的特征;若是,则确定网络报文是挖矿报文。在上述方案的实现过程中,通过将网络报文的目标IP地址限定是域名IP跟踪表中的IP地址时,才进行挖矿报文检测,有效地将挖矿报文检测限定在特定流量的网络报文中,从而提高了挖矿报文检测效率。
[0010]可选地,在本申请实施例中,挖矿协议包括:Stratum协议、getwork协议或者getblocktemplate协议。
[0011]可选地,在本申请实施例中,在确定网络报文是挖矿报文之后,还包括:将域名地址加入矿池子域名列表中;或者,将域名地址的上级域名加入到矿池上级域名列表中;或者,将域名地址对应的IP地址加入到矿池IP地址列表中。在上述方案的实现过程中,通过将域名地址加入矿池子域名列表中,和/或,将域名地址的上级域名加入到矿池上级域名列表中,和/或,将域名地址对应的IP地址加入到矿池IP地址列表中,实现了动态地增加矿池子域名列表、矿池上级域名列表和/或矿池IP地址列表,防止电子设备通过新增的域名地址或IP地址的挖矿报文来与矿池相互通信,从而增加了矿池的域名地址或IP地址检测的及时性,同时也提高了挖矿行为的检测效率。
[0012]本申请实施例还提供了一种挖矿报文处理装置,包括:报文获取解析模块,用于获取网络报文,并从网络报文中解析出标识数据;网络报文阻断模块,用于若根据标识数据确定网络报文是挖矿报文,则阻断网络报文。
[0013]可选地,在本申请实施例中,标识数据包括:域名系统DNS请求网络报文中解析出的域名地址;网络报文阻断模块,包括:域名地址判断子模块,用于判断域名地址是否在矿池子域名列表中;第一挖矿确定子模块,用于若域名地址在矿池子域名列表中,则确定网络报文是挖矿报文。
[0014]可选地,在本申请实施例中,标识数据包括:域名系统DNS响应网络报文中解析出的域名地址和域名地址对应的IP地址;网络报文阻断模块,包括:地址条件判断子模块,用于判断域名地址和域名地址对应的IP地址是否满足预设地址条件,预设地址条件包括:域名地址在矿池子域名列表中,或者,域名地址对应的IP地址在矿池IP地址列表中;第二挖矿确定子模块,用于若域名地址和域名地址对应的IP地址满足预设地址条件,则确定网络报文是挖矿报文。
[0015]可选地,在本申请实施例中,标识数据包括:域名地址;挖矿报文处理装置,还包括:上级域名判断子模块,用于判断域名地址的上级域名是否在矿池上级域名列表中;域名
地址存储子模块,用于若域名地址的上级域名在矿池上级域名列表中,则将域名地址和域名地址对应的IP地址关联存储至域名IP跟踪表中,域名IP跟踪表用于确定网络报文是挖矿报文。
[0016]可选地,在本申请实施例中,挖矿报文处理装置,还包括:目标地址解析子模块,用于从网络报文解析出目标IP地址;协议条件判断子模块,用于在确定目标IP地址在域名IP跟踪表中之后,判断网络报文对应的网络协议是否满足预设协议条件,预设协议条件包括:网络报文对应的网络协议是挖矿协议,或者,通过安全传输层TLS本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种挖矿报文处理方法,其特征在于,包括:获取网络报文,并从所述网络报文中解析出标识数据;若根据所述标识数据确定所述网络报文是挖矿报文,则阻断所述网络报文。2.根据权利要求1所述的方法,其特征在于,所述标识数据包括:域名系统DNS请求网络报文中解析出的域名地址;所述根据所述标识数据确定所述网络报文是挖矿报文,包括:判断所述域名地址是否在矿池子域名列表中;若是,则确定所述网络报文是挖矿报文。3.根据权利要求1所述的方法,其特征在于,所述标识数据包括:域名系统DNS响应网络报文中解析出的域名地址和所述域名地址对应的IP地址;所述根据所述标识数据确定所述网络报文是挖矿报文,包括:判断所述域名地址和所述域名地址对应的IP地址是否满足预设地址条件,所述预设地址条件包括:所述域名地址在矿池子域名列表中,或者,所述域名地址对应的IP地址在矿池IP地址列表中;若是,则确定所述网络报文是挖矿报文。4.根据权利要求1所述的方法,其特征在于,所述标识数据包括:域名地址;在所述从所述网络报文中解析出标识数据之后,还包括:判断所述域名地址的上级域名是否在矿池上级域名列表中;若是,则将所述域名地址和所述域名地址对应的IP地址关联存储至域名IP跟踪表中,所述域名IP跟踪表用于确定所述网络报文是挖矿报文。5.根据权利要求4所述的方法,其特征在于,在所述将所述域名地址和所述域名地址对应的IP地址关联存储至域名IP跟踪表中之后,还包括:从所述网络报文解析出目标IP地址...
【专利技术属性】
技术研发人员:娄扬,徐自全,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。