一种加密挖矿代理软件服务端资源监测方法及装置与流程

本发明属于网络安全，具体涉及一种加密挖矿代理软件服务端资源监测方法及装置。

背景技术：

1、在加密挖矿活动中，加密挖矿代理软件通过将挖矿流量进行加密后发送给矿池，规避流量特征监控。根据加密方式不同，加密挖矿代理软件分为两种：一种是基于加密隧道技术的代理软件，该技术通过客户端和服务端组成一条加密隧道，服务端部署在境外，客户端和服务端互相加密通讯，完成加密隧道的组建；一种是基于ssl加密技术的代理软件，该技术可为客户端和服务端的通信应用程序之间提供保密性和数据完整性。

2、利用挖矿代理软件的加密挖矿技术更新快、对抗性较强，传统的基于明文流量特征检测的挖矿活动监测技术，无法监测加密挖矿行为。有鉴于此，本发明提出一种挖矿代理软件服务端资源监测技术，用于监测部门有效掌握虚拟货币挖矿活动，及时分析和发现挖矿活动的服务器资源使用情况。

技术实现思路

1、为了解决现有技术中存在的上述问题，本发明提供一种加密挖矿代理软件服务端资源监测方法及装置。

2、为了实现上述目的，本发明采用以下技术方案。

3、第一方面，本发明提供一种加密挖矿代理软件服务端资源监测方法，包括以下步骤：

4、步骤101，定时运行挖矿软件和加密挖矿代理软件；

5、步骤102，基于加密挖矿代理软件运行进程id，监测加密挖矿代理软件的网络流量，并生成流量数据包数据库；

6、步骤103，建立包括矿池信息库、服务端信息库、币种挖矿流量特征库的先验知识库，基于先验知识库进行加密挖矿代理软件服务端ip、端口和域名识别；

7、步骤104，基于识别出的加密挖矿代理软件服务端的信息进行防火墙策略配置，转步骤102，更新流量数据包数据库；若监测到网络流量，转步骤105；

8、步骤105，基于先验知识库的挖矿币种识别，更新服务端信息库和币种挖矿流量特征库。

9、进一步地，所述挖矿软件和加密挖矿代理软件配置在同一个局域网中，可以部署在同一台物理机器上，也可以分开部署在不同的物理机器上或部署在虚拟机和宿主机器中。

10、进一步地，通过设计定时器，定时启动挖矿软件和加密挖矿代理软件。

11、进一步地，所述挖矿软件为真实的矿机软件或挖矿发包程序。

12、进一步地，所述监测加密挖矿代理软件的网络流量的方法包括：使用包括wireshark、科来、tcpdump的通用网络流量监测分析工具，进行网络流量监测配置。

13、进一步地，所述流量数据包数据库用于存储挖矿软件和加密挖矿代理软件之间数据通信的源ip、源端口、目的ip、目的端口、目的地址位置、进程和报文大小。

14、进一步地，所述矿池信息库用于存储挖矿矿池的域名、ip、端口、名称；所述服务端信息库用于存储加密挖矿代理软件服务端的ip、端口、域名、代理名称；所述币种挖矿流量特征库用于存储币种名称、报文大小、时间。

15、更进一步地，所述进行加密挖矿代理软件服务端ip、端口和域名识别的方法包括：

16、对监测到的流量数据包中的时序数据{p(i)}进行预处理，得到{p(i)}中连续重复出现次数超过设定阈值的时序数据；其中，p(i)为第i个采集时刻的时序数据，包括挖矿软件和加密挖矿代理软件之间进行数据通信时的源ip、目的ip和端口，i＝0,1,2,…,m，m+1为采集时刻个数；

17、按照预处理后{p(i)}中ip出现次数从高到低的顺序对ip进行排列，选出最前面的几个ip；

18、遍历矿池信息库，筛除流量数据包中的矿池ip，更新流量数据包数据库；

19、遍历币种挖矿流量特征库，筛除流量数据包数据库中相同币种、代理软件的报文大小与币种挖矿流量特征库不一样的报文大小和报文大小不固定的源ip；

20、遍历服务端信息库，筛选出流量数据包数据库中ip相同的端口和域名信息；

21、输出加密挖矿代理软件服务端ip、端口、域名和时间信息，更新服务端信息库。

22、更进一步地，所述对流量数据包中的时序数据{p(i)}进行预处理的方法包括：

23、s1、设置解向量{s(i),f(si)}，f(si)＝strcmp(s(i-1),s(i))，函数strcmp用于比较两个字符串s(i-1)、s(i)，若s(i)＝s(i-1)，f(si)＝0；否则f(si)＝1；其中，i＝1,2,…,m；

24、s2、设置初始解s(i)＝p(i)，i＝1,2,…,m；

25、s3、初始化i＝1；

26、s4、初始化n＝0；

27、s5、设置s(i)＝p(i)，计算f(si+n)＝strcmp(s(i-1+n),s(i+n))；统计f(si+n)连续为0的数量fi；

28、s6、将p(i)中的源ip和目的ip的位置互换，得到p'(i)，s'(i)＝p'(i)，计算f'(si+n)＝strcmp(s'(i-1+n),s'(i+n))；统计f'(si+n)连续为0的数量f'i；

29、s7、若n<n，将n更新为n+1，转s5；否则，转s8；其中，n为迭代次数；

30、s8、若i<m，将i更新为i+1，转s4；否则，转s9；

31、s9、若fi的最大值超过设定的阈值，则输出s(i)；若f'i的最大值超过设定的阈值，则输出s'(i)。

32、第二方面，本发明提供一种加密挖矿代理软件服务端资源监测装置，包括：

33、定时运行模块，用于定时运行挖矿软件和加密挖矿代理软件；

34、流量监测模块，用于基于加密挖矿代理软件运行进程id，监测加密挖矿代理软件的网络流量，并生成流量数据包数据库；

35、服务端识别模块，用于建立包括矿池信息库、服务端信息库、币种挖矿流量特征库的先验知识库，基于先验知识库进行加密挖矿代理软件服务端ip、端口和域名识别；

36、防火墙配置模块，用于基于识别出的加密挖矿代理软件服务端的信息进行防火墙策略配置，转流量监测模块更新流量数据包数据库；若监测到网络流量，转知识库更新模块；

37、知识库更新模块，用于基于先验知识库的挖矿币种识别，更新服务端信息库和币种挖矿流量特征库。

38、与现有技术相比，本发明具有以下有益效果：

39、(1)本发明通过对加密挖矿代理软件的自动运行、采集数据、分析，减少了人工操作环节，能够达到自动运行长期监测的目标，解决了加密挖矿代理软件不定时更改服务端信息问题。

40、(2)本发明基于加密挖矿代理软件服务端信息实现沙箱环境的防火墙策略自动配置更新，提升对加密挖矿代理软件服务端隐藏信息的发现能力，解决了加密挖矿代理软件服务端与用户通联负载均衡设置问题。

41、(3)本发明能够从海量流量数据包中识别发现加密挖矿代理软件服务端ip、端口、域名、包大小等信息，提升自动监测分析效率，解决了批量化分析加密挖矿代理软件服务端信息的数据维度大的难题。