申请/专利权人：浪潮云信息技术股份公司

申请日：2022-03-17

公开（公告）日：2024-06-18

公开（公告）号：CN114697086B

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.06.18#授权;2022.07.19#实质审查的生效;2022.07.01#公开

摘要：本发明涉及云计算技术领域，具体为一种基于深度典型相关分析的挖矿木马检测方法，有益效果为：基于深度典型相关分析的挖矿木马检测方法能够有效地检测出被挖矿木马攻击的节点，有利于提升云服务的稳定性，同时减少能源的浪费。本方法通过监控硬件资源使用情况和进程来寻找疑似异常节点，能够降低正常情况下的资源占用。在流量分析进行挖矿木马流量检测的过程中利用神经网络提取特征，能够有效应对流量伪装的情况；利用深度典型相关分析将通信特征和行为特征进行融合，从单一、片面的特征挖掘出相互之间的互补信息，有利于提升检测的准确度。

主权项：1.一种基于深度典型相关分析的挖矿木马检测方法，其特征在于：所述检测方法包括：S1.在节点中搜集原始数据集，包括资源使用数据和流量数据，并利用数据设置监控阈值，训练流量检测神经网络模型；神经网络模型主要由特征提取部分，特征融合部分和挖矿检测部分三个部分组成：特征提取部分通过嵌入层和GRU层提取特征；特征融合部分采用深度典型相关分析模型完成；挖矿检测部分使用softmax和交叉熵损失函数作为二分类手段进行检测判断；S2.宿主机进行两级筛查，通过CPU的使用情况先筛查出一批一类疑似节点；对一类疑似节点再利用相似性分析和进程检测筛选出确定的挖矿节点进行记录，筛选出二类疑似节点进一步进行检测；S3.在二类疑似节点采集动态网络流量信息，经过预处理后通过训练好的神经网络模型进行判断；S4.如果判断为挖矿节点，则屏蔽流量源IP，记录该节点信息；S5.对记录节点执行杀灭相关进程，删除挖矿程序，检查并清除定时任务，更改节点相关连接端口密码处理操作；所述原始数据集是在安全环境部署多个不同硬件配置的节点运行挖矿木马同时执行一些正常操作，搜集计算资源数据和通信流量数据包，并做好标签，作为初始数据集，过程中可包含一些伪装动作；所述利用数据监控阈值的方法包括：对于节点计算资源，包括但不限于节点的CPU占用情况、内存占用情况、磁盘使用情况、网络使用情况数据，分别针对不同硬件配置设置两级规则进行判断：根据获得的CPU占用情况，设置高CPU占用阈值和连续高CPU占用时间阈值；对挖矿节点所有资源的数据取平均值，作为挖矿节点标准对比样本；记录挖矿进程的名称，记为MineC；记录正常进程的名称作为白名单，记为NormalC；所述特征提取部分的对象包括两部分：一部分主要提取流量通信的基本信息特征，包括但不限于协议、状态、源IP、源端口、目的IP、目的端口、传输字节数，称为通信特征；另一部分主要利用分词方法从数据包提取行为参数相关特征，包括但不限于id、method、jsonrpc、params、result、login、pass、agent、mining、submit，称为行为特征；所述特征提取部分中的特征提取神经网络主要包含一层嵌入层和一层GRU层，通过嵌入层和GRU层分别提取行为特征、通信特征；所述特征融合部分的方法为将行为特征、通信特征输入深度典型相关分析模型进行降维，并将输出的两组特征行连接得到融合特征；所述二分类手段进行检测的方法为通过一层全连接神经网络softmax层进行判断，将融合特征输入softmax层，得出二分类的结果，判断其是否为挖矿木马流量；训练优化获得检测挖矿木马流量的神经网络模型，通过优化交叉熵损失函数，利用典型相关分析进行约束，得出最终神经网络的损失；所述两级筛查的方法包括：由宿主机对节点资源应用情况进行监控，若达到高CPU占用阈值和连续高CPU占用时间阈值，将其标记为一类疑似异常节点；宿主机在一段时间内间断获取一类疑似异常节点的资源使用情况，并计算与相同配置挖矿节点标准对比样本之间的欧式距离作为相似性参数，与设定的阈值比较；如果相同，则对节点高CPU占用进程做进一步检查，若有进程在已知挖矿进程集MineC中，认为该节点为挖矿节点，并将该节点信息进行记录；若进程均在已知正常进程白名单NormalC中，认为该节点正常；若存在未知进程，认为其为二类疑似异常节点做进一步检测；在二类疑似异常节点内动态获取流量数据包，并经过处理后送入训练好的挖矿木马流量检测神经网络模型进行判断；如果判断为挖矿木马流量，则获取源IP地址加入防火墙进行屏蔽，并将该节点信息进行记录。

全文数据：

权利要求：

百度查询： 浪潮云信息技术股份公司 一种基于深度典型相关分析的挖矿木马检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD