申请/专利权人：济南大学

申请日：2022-11-14

公开（公告）日：2024-06-25

公开（公告）号：CN115865425B

主分类号：H04L9/40

分类号：H04L9/40;H04L61/4511;H04L41/16;G06F18/2431

优先权：

专利状态码：有效-授权

法律状态：2024.06.25#授权;2023.04.14#实质审查的生效;2023.03.28#公开

摘要：本发明公开了一种阶层式加密货币的挖矿行为识别方法及系统，涉及网络空间安全技术领域。包括收集园区网络内的原始混杂流量；按照协议类型，将流量分为DNS数据包及非DNS数据包；利用基于词素的方法对DNS请求域名进行早期识别与推理；利用Sketch对非DNS数据包进行分流与筛选；利用机器学习方法对筛选后的流进行最终识别；根据识别结果，更新挖矿行为知识库。本发明能够从域名请求阶段和数据传输阶段分阶层识别挖矿流量，利用基于词素的方法实现挖矿行为的早期快速识别；利用Sketch降低了机器学习模型的处理开销，提高了整体模型的分析效率。

主权项：1.一种阶层式加密货币的挖矿行为识别方法，其特征在于，包括以下步骤：收集园区网络内的原始混杂流量；按照网络内原始流量协议类型，将流量分为DNS数据包及非DNS数据包；利用基于词素的方法对DNS请求域名进行早期识别与推理，判断其是否为挖矿域名，若为挖矿域名，则将访问此域名的流量判断为挖矿流量；利用Sketch对非DNS数据包进行分流与筛选，将大概率为非挖矿流量的数据流剔除；利用机器学习方法对筛选后的流进行最终识别，判断其是否为挖矿流量；利用Sketch将流ID相同的非DNS数据包归为一个数据流，并结合数据流的到达频率和持续时间对流进行重要性度量；将流的初始重要程度值设置为一个定值，并对流的持续时间划分测量周期，若流在某个周期内的到达频率位于设定区间内，则增加其重要程度，反之则降低其重要程度；若流在某个周期内未出现过，则降低其重要程度；当流的包数达到K时，若流的重要程度低于第二阈值，则将流判断为非挖矿流量；若流的重要程度高于第二阈值，则将流判断为疑似挖矿流量，并记录疑似挖矿流量所有包的负载大小和到达时间信息以用于后续阶段的识别，其中，第二阈值根据任务需求和经验设置，K值根据主机内存大小和利用机器学习方法筛选结果的需要设定；其中，对于流的重要程度判断，利用挖矿流大都到达频率较低，持续时间较长的特点，将到达频率较高或持续时间较短的流视为非挖矿流量并剔除。

全文数据：

权利要求：

百度查询： 济南大学 一种阶层式加密货币的挖矿行为识别方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD