基于DNS流量分析识别加密货币矿工的研究和实现.pdf
《基于DNS流量分析识别加密货币矿工的研究和实现.pdf》由会员分享,可在线阅读,更多相关《基于DNS流量分析识别加密货币矿工的研究和实现.pdf(5页珍藏版)》请在咨信网上搜索。
1、2023/08/DTPT收稿日期:2023-06-020 引言加密货币挖矿是一项热门商业活动,但未经所有者同意使用资源挖矿会带来负面影响,同时对推动高质量发展和节能减排带来不利影响。挖矿会产生大量网络流量,包括与矿池通信的数据包、挖矿算法的计算结果等,因此当前基本是通过监测网络流量的数量、频率和目的地等指标特征对挖矿行为进行检测。而挖矿行为具有隐蔽性,其流量特征经常变化,需要人工长期追踪挖矿特征。另外,监测流量的方式成本高,如需全面、准确地发现挖矿行为,需实现全覆盖,不适用于中小型企业和公众用户。对此,中国联通某分公司提出一种基于运营商DNS数据的AI算法,自动发现加密货币矿工。通过从DNS日
2、志提取有关域名、IP地址和时间戳等信息来构建特征向量,将特征向量作为输入来训练模型,使模型对用户访问矿池域名的数据特征进行分类,从而识别出矿工,模型采用非监督学习算法。运营商DNS数基于DNS流量分析识别加密货币矿工的研究和实现Research and Implementation of CryptocurrencyMiner Detection Based on DNS Traffic Analysis关键词:加密货币;挖矿;DNS流量分析;机器学习doi:10.12045/j.issn.1007-3043.2023.08.011文章编号:1007-3043(2023)08-0048-05中
3、图分类号:TN915.08文献标识码:A开放科学(资源服务)标识码(OSID):摘要:随着加密货币的兴起,恶意挖矿在全球肆虐,成为国家整治的重点,而挖矿木马不断进化,以各种方式规避当前主流的挖矿监测手段。为解决这一问题,提出一种AI算法,基于运营商DNS流量、AAA日志和挖矿威胁情报数据,自动识别挖矿行为和矿工。通过模型训练和结果分析,选择使用GMM和Bisecting K-means混合模型对DNS查询和响应中的模式进行识别,实时准确地检测矿工及其行为规律。Abstract:With the rise of cryptocurrencies,malicious mining activiti
4、es have spread globally and become a key concern for governments.Mining Trojans continue to evolve,and employ various methods to evade current mainstream mining detection techniques.Toaddress this issue,it proposes an AI algorithm that can automatically identify mining behaviors and miners based on
5、DNS traf-fic of operators,AAA logs,and mining threat intelligence data.Through model training and result analysis,it selects the Gauss-ian Mixture Model(GMM)and Bisecting K-means clustering algorithm as a hybrid model to recognize patterns within DNSqueries and responses,enabling real-time and accur
6、ate detection of miners and their behavioral patterns.Keywords:Cryptocurrency;Mining;DNS traffic analysis;Machine learning周婧莹,黎宇,黄坤,梁洪智(中国联通广东分公司,广东 广州 510000)Zhou Jingying,Li Yu,Huang Kun,Liang Hongzhi(China Unicom Guangdong Branch,Guangzhou 510000,China)周婧莹,黎宇,黄坤,梁洪智基于DNS流量分析识别加密货币矿工的研究和实现安全流量分析Se
7、curity Traffic Analysis引用格式:周婧莹,黎宇,黄坤,等.基于DNS流量分析识别加密货币矿工的研究和实现 J.邮电设计技术,2023(8):48-52.48邮电设计技术/2023/08据覆盖大中小企业用户和公众用户,可识别隐藏在企业和公众用户中的恶意矿工,及时预警处理,提升网络净化的能力,助力实现“双碳”目标。1 数据采集和预处理基于DNS数据的矿工识别AI算法的关键在于如何构建特征向量,而DNS日志包含大量冗余信息,如DNS响应码、查询类型和回答数量等,因此需对日志预处理,减少特征向量的维度,还需考虑如何选择合适的特征使模型可以准确识别矿工。矿池特征每天自动更新,通过训
8、练好的模型,输入特征后自动判定是否为矿工,相比传统方式,人工介入更少,准确性更高。1.1 数据集的构建数据集分为矿池数据、DNS日志数据、AAA日志数据三类数据,其中矿池数据用于监控矿池的活跃度并反向监控矿机,从而检测出相关联的矿工;DNS日志数据用于分析访问矿池的情况和矿工的行为特征;AAA日志数据用于溯源宽带用户以便提供提醒服务。1.1.1 矿池数据的获取矿池活跃排名数据从互联网获取,通过提供全球多个数字货币矿池的实时数据和统计信息的网站,获取包括各个矿池的挖矿效率、算力分布、最近的块奖励等数据。这些数据可以帮助货币矿工了解市场的实时情况和趋势,以便做出更好的决策。采集数据后,对矿池进行标
9、签打标,格式为(矿池域名,矿池ID),如(矿池1,1),(矿池2,2)。采集出的热点域名如图1所示。对应图1中矿池的排行顺序,矿池打标后的数据标签如下:(awscn.okpool.top,1)(webmine.cz,2)(,3)(,4)(,5)(,6)(doc.lienous.cf,7)(cn.okpool.top,8)(,9)(xmr-eu2.nanopool.org,10)(,11)(etc-pool.beepool.org,12)(,13)1.1.2 DNS数据的获取采集运营商的DNS日志数据,格式如下:源IP地址|源端口|目的IP|目的端口|ID|域名|请求类型|解析结果|解析时间|状
10、态码|请求或响应(q请求、r响应),例如:192.168.99.10|11764|192.168.99.1|53|11616|A|10.153.89.1;1.1.1.1|20221031141117.176|0|q。状态码选项为:0-sucess,代表正确;1-format error,代表格式错误;2-server fail,代表服务器错误;3-nxdomain,代表无记录;4-not support type,代表不支持的类型;5-Edeny,代表错误。1.1.3 AAA数据的获取采集运营商AAA日志数据,AAA日志没有标准格式,但必须包含如下字段:请求IP、日志时间、公网IP、私网IP、
11、NAT开始端口、NAT结束端口、状态。其中,状态有3种:上线、keepalive、下线。1.2 数据预处理挖矿行为持续且有规律,用户一般会采购专业挖矿设备或软件进行长时间挖矿,基于此特征建立用户行为轨迹分析,形成一套主动挖矿行为的规律模型,以“打点”等方式对挖矿行为长期标注,汇聚挖矿动态数据信息,识别主动挖矿行为。步骤1:AAA账户信息和DNS日志回填。因DNS日志中只有请求IP,没有宽带信息,需根据AAA日志中用户上线信息进行匹配。匹配原则为:如果NAT的端口不为空或不为0,宽带用户为NAT转化分配的IP时,与DNS请求IP比对,若一致则判断请求IP的源端口是否在NAT端口的范围内,如果在且
12、DNS请求时间图1矿池域名热度排行矿池热度排行xmr-eu2.nanopool.orgasia-etc-40 00020 0000安全流量分析Security Traffic Analysis周婧莹,黎宇,黄坤,梁洪智基于DNS流量分析识别加密货币矿工的研究和实现492023/08/DTPT在用户上线的时间范围内,则匹配成功。如果NAT的端口为空或者为0,此时宽带用户为非NAT转化分配的IP,直接和DNS请求IP比对,若一致且DNS请求时间在用户上线的时间范围内则匹配成功。步骤2:依据回填后的数据,对DNS日志的域名进行判断,形成一个序列。序列由用户名称、小时、矿池ID、访问次数4个部分组成,
13、格式为:用户名称|小时|矿池 ID1,访问次数,矿池 ID2,访问次数|小时|矿池ID1,访问次数,矿池ID2,访问次数。举例如下:宽带用户名称|00|10,23,11,22|01|10,22,11,19|02|23|10,23,11,22。2 算法模型2.1 输入/输出数据特征挖矿行为通常会产生相对规律性,如数量、频率、大小等规律;同时目标地址固定,如报文都指向矿池域名或挖矿机域名;挖矿协议不断升级的特征也需考虑。输入数据集从DNS日志中提取有关域名、IP地址和时间戳等信息构建特征向量,通过特定筛查条件如DNS响应码、查询类型和回答数量等,简化出数据向量。输入数据可抽象为数值型数据列表,如某
14、用户小时内的矿池访问次数 10,10,11 等。由于数据规模大,生成的模型需相对简洁,复杂度较低,并且还能保存聚类中心和标签数据。而输出结果由于是用于判断是否为挖矿行为,只需输入特征数据,使用非监督算法,返回挖矿行为百分比,故选用的算法只需要输出内容是行为比率即可。2.2 算法选择基于输入数据特征和输出数据的要求,对现有算法进行对比选择,具体聚焦以下3种算法。2.2.1 K-means算法K-means是一种基本的聚类方法,该方法将数据点分成K个簇。K-means算法需先给定簇的数量K,然后随机初始化K个簇中心(cluster center),将每个数据点分配到最近的簇中心,并重新计算每个簇的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 DNS 流量 分析 识别 加密 货币 矿工 研究 实现
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。