一种面向虚拟数字货币的行为监测方法及系统与流程

本发明涉及网络安全，更具体地，涉及一种面向虚拟数字货币的行为监测方法及系统。

背景技术：

1、虚拟货币是起交换等价物作用的非法定货币，如游戏运营商开发的游戏币、门户网站或即时通讯工具发行的服务兑换币、基于密码学和网络技术的加密货币等。它们具有货币的持久性、可互换性、稀缺性等特征，但价格基准不像黄金白银那样依赖于内在价值，或像法币那样依赖于政府权威。以比特币为代表的虚拟加密货币是一种使用密码学原理来确保交易安全的交易媒介，它基于去中心化的区块链账本，利用共识机制对账本内容达成一致，体系中并无类似中央银行的中心化监管机构。虚拟加密货币的生产过程被称为“挖矿”，它是指按照各类哈希算法、密码衍生算法计算符合要求的区块标识符，最先算出的节点获得记账权，生成新区块记录一段时间内的交易信息，并获得虚拟货币奖励的过程。当前，基于“矿机-矿场-矿池”的网络“挖矿”模式占据主流，其中，负责“挖矿”的机器称为矿机，通常使用高性能专业芯片（如高性能显卡gpu或专用asic芯片）来计算特定结果并获取代币奖励（即虚拟货币）。矿机耗电量较大，一般集中部署在电费和场地费比较便宜的地域，以降低“挖矿”成本，从而形成矿场。随着“挖矿”总算力规模快速扩张，单个矿机几乎无法获得“挖矿”奖励，矿池应运而生，通过网络将大量零星算力合并联合运作，共同计算特定结果并根据算力贡献来分享虚拟货币奖励，亦即多人合作“挖矿”，获得的比特币奖励也由多人依照贡献度分享。

2、在国内，以比特币为代表的虚拟货币不具备法偿性和强制性等货币属性，不具有与货币等同的法律地位，不能且不应作为货币在市场上流通使用。然而，由于该类虚拟货币在某些国家能够兑换成法定货币，因此有许多人沉浸于此类虚拟货币的发行、炒作、交易和“挖矿”行为中，扰乱国家金融秩序，对国家金融安全造成极大威胁，并且这些“挖矿”行为造成算力资源和电力资源的巨大浪费。

3、自2021年5月以来，国内加大网络“挖矿”整治力度，虚拟货币全网算力持续下降。据权威区块链数据平台glassnode统计，6月底比特币全网平均算力跌至61eh/s（每秒哈希运算次数），相比2021年4月15日的历史峰值197.8eh/s下跌69%，回到2019年年中水平。但是，随着算力下降，获得奖励的概率在上升。据glassnode预测，比特币“挖矿”计算难度可能在近期下降25%，届时又会吸引大批“矿工”加入，是一个巨大的隐患。

4、随着web技术与云服务的普及，恶意攻击者的技术手段快速更迭，网页攻击成为主流模式，并朝着云服务器攻击的趋势发展。在单机防护上，仅通过静态检测网页源代码或动态监测浏览器等手段在黑客面前不堪一击，仍需要对web浏览器或是恶意代码进行分析，提取出有效的特征。而大多私有协议流量均采用加密传输，针对加密流量的检测同样是不可忽视的一环。

5、为减少资源浪费，减少金融风险，并对未来隐患做好防备，需要加强了对“挖矿”检测技术的研究。在网络防护上，基于流量分析的“挖矿”监测发现算法是目前的研究重点。利用人工智能算法可对加密流量的特征进行高效的分析，可获得较高的检测率，即通过对挖矿流量进行分析，从而检测非法挖矿行为。例如：论文《基于自动化私有协议识别的挖矿流量检测》中提出并实现了一种基于私有挖矿协议的通信指纹自动化择优生成方法，然而物联网设备会产生大量的流量数据，现有设备无法精准高效的处理这些数据信息；论文《基于网络流量的挖矿行为检测识别技术研究》中提出的方法虽然可以从多个角度评估挖矿行为，然而挖矿检测的设备容易收到黑客的攻击从而导致瘫痪，其挖矿检测模型的安全性不足；论文《基于静态关键字和图神经网络的浏览器挖矿检测》中提出的方法适用于浏览器挖矿模式，然而神经网络模型的训练是一个耗时的过程，旧的检测模型无法识别的新出现的挖矿行为，因此需要研究一种有利于挖矿模型及时更新的监测模型。

6、综上，现阶段急需研发一种面向虚拟数字货币的行为监测方法及系统以解决上述存在的一个或多个问题。

技术实现思路

1、本发明的一个目的是提供一种面向虚拟数字货币的行为监测方法及系统的新技术方案。

2、根据本发明的第一方面，提供了一种面向虚拟数字货币的行为监测方

3、法，所述方法包括：

4、步骤s1：实时捕获设备层的流量数据并将所述流量数据上传至监测层，

5、其中，所述流量数据包括密文流量数据和/或明文流量数据；

6、步骤s2：通过所述监测层的多因子识别模型对所述流量数据进行检测处理，其中，所述多因子识别模型包括用于检测所述密文流量数据的联邦学习挖矿行为检测子模型，用于检测所述明文流量数据的挖矿行为识别子模型，以及用于确定所述流量数据中是否存在挖矿行为的分析子模型；

7、步骤s3：当存在挖矿行为时所述监测层生成预警信息，以通知所述设备层进行溯源阻断操作。

8、可选地，所述步骤s2具体包括：

9、当所述流量数据中存在所述密文流量数据时，利用预先训练的所述联邦学习挖矿行为检测子模型对所述密文流量数据进行检测处理，以得到第一检测处理结果；

10、当所述流量数据中存在所述明文流量数据时，利用预先训练的所述挖矿行为识别子模型对所述明文流量数据进行识别处理，以得到第二检测处理结果；

11、使用所述分析子模型对所述第一检测处理结果和/或所述第二检测处理结果进行分析处理，以确定所述流量数据中是否存在挖矿行为。

12、可选地，在所述步骤s2中，所述联邦学习挖矿行为检测子模型是基于lightgbm算法在训练层被训练得到的。

13、可选地，所述分析子模型是基于多因子阈值分析算法构建的。

14、可选地，在所述步骤s2中，所述挖矿行为识别子模型对所述明文挖矿流量数据进行检测的具体过程为：

15、将所述明文挖矿流量数据的有效载荷信息与预设规则内容进行匹配，并将匹配得到的网络流量信息保存至行为数据库；

16、对匹配得到的网络流量信息进行挖矿特征提取；

17、将提取得到的挖矿特征与预先建立的挖矿行为信息数据库相匹配，以提取出相应的挖矿指纹核心特征，其中，所述挖矿行为信息数据库中存储的是已识别为挖矿行为的矿池ip、矿池端口和对应币种信息。

18、可选地，所述步骤s3之后还包括：

19、当存在挖矿行为时所述监测层记录所述流量数据，并将所述流量数据发送至所述训练层，以更新训练数据集，以便通过更新的训练数据集对所述联邦学习挖矿行为检测子模型进行优化训练。

20、可选地，在所述步骤s1中，利用流量抓取工具监听所述设备层中各个被监测挖矿设备的网卡，并捕获以源ip地址、源端口、目的ip地址、目的端口和传输层协议为五元组划分的流量数据。

21、根据本发明的第二方面，提供了一种面向虚拟数字货币的行为监测系统，所述系统包括：

22、数据获取模块，被配置为，实时捕获设备层的流量数据并将所述流量数据上传至监测层，其中，所述流量数据包括密文流量数据和/或明文流量数据；

23、监测模块，被配置为，通过所述监测层的多因子识别模型对所述流量数据进行检测处理，其中，所述多因子识别模型包括用于检测所述密文流量数据的联邦学习挖矿行为检测子模型，用于检测所述明文流量数据的挖矿行为识别子模型，以及用于确定所述流量数据中是否存在挖矿行为的分析子模型；

24、预警模块，被配置为，当存在挖矿行为时所述监测层生成预警信息，以通知所述设备层进行溯源阻断操作。

25、可选地，所述监测模块具体被配置为：

26、当所述流量数据中存在所述密文流量数据时，利用预先训练的所述联邦学习挖矿行为检测子模型对所述密文流量数据进行检测处理，以得到第一检测处理结果；

27、当所述流量数据中存在所述明文流量数据时，利用预先训练的所述挖矿行为识别子模型对所述明文流量数据进行识别处理，以得到第二检测处理结果；

28、使用所述分析子模型对所述第一检测处理结果和/或所述第二检测处理结果进行分析处理，以确定所述流量数据中是否存在挖矿行为。

29、可选地，在所述监测模块中，所述联邦学习挖矿行为检测子模型是基于lightgbm算法在训练层被训练得到的。

30、可选地，在所述监测模块中，所述分析子模型是基于多因子阈值分析算法构建的。

31、可选地，在所述监测模块中，所述挖矿行为识别子模型对所述明文挖矿流量数据进行检测的具体过程为：

32、将所述明文挖矿流量数据的有效载荷信息与预设规则内容进行匹配，并将匹配得到的网络流量信息保存至行为数据库；

33、对匹配得到的网络流量信息进行挖矿特征提取；

34、将提取得到的挖矿特征与预先建立的挖矿行为信息数据库相匹配，以提取出相应的挖矿指纹核心特征，其中，所述挖矿行为信息数据库中存储的是已识别为挖矿行为的矿池ip、矿池端口和对应币种信息。

35、可选地，还包括：优化模块，被配置为，当存在挖矿行为时所述监测层记录所述流量数据，并将所述流量数据发送至所述训练层，以更新训练数据集，以便通过更新的训练数据集对所述联邦学习挖矿行为检测子模型进行优化训练。

36、可选地，在所述数据获取模块中，利用流量抓取工具监听所述设备层中各个被监测挖矿设备的网卡，并捕获以源ip地址、源端口、目的ip地址、目的端口和传输层协议为五元组划分的流量数据。

37、根据本发明的第三方面，提供了一种电子设备，所述电子设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时，实现如上述本发明第一方面所述的一种面向虚拟数字货币的行为监测方法中的步骤。

38、根据本发明的第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现如上述本发明第一方面所述的一种面向虚拟数字货币的行为监测方法中的步骤。

39、根据本发明公开的一个实施例，本发明的一种面向虚拟数字货币的行为监测方法及系统具有如下有益效果：

40、本发明的面向虚拟数字货币的行为监测方法中通过对挖矿流量数据采集，构建区块链非法挖矿行为的检测模型，通过采用多因子阈值分析方法对挖矿行为建模，并采用lightgbm算法以及联邦学习模型训练挖矿行为监测模型，并将该模型上传dpu对挖矿行为进行实时检测，及时准确的识别非法挖矿行为并阻断，实现对非法挖矿行为的监测，提高了检测效率和安全性。

41、通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。