申请/专利权人：北京理工大学

申请日：2022-09-20

公开（公告）日：2023-01-24

公开（公告）号：CN115643049A

主分类号：H04L9/40

分类号：H04L9/40;H04L43/04;H04L43/12;H04L12/66;G06N20/00;G06F21/64;G06F21/60

优先权：

专利状态码：在审-实质审查的生效

法律状态：2023.02.14#实质审查的生效;2023.01.24#公开

摘要：本发明涉及一种基于加密流量分析的挖矿行为实时检测方法，属于区块链加密网络流量处理技术领域。本方法从被加密的流量中提取数据包长度、数据包数量、数据包到达时间间隔和流量持续时间作为特征，进而与机器学习模型相结合，实现挖矿行为精准识别。在网络流量被加密场景下，能够对加密货币挖矿行为进行检测，实现对恶意挖矿流量的及时阻断，保障设备资源免受侵犯。本发明只需要部署在网关处，减小网络管理员实施所需成本，同时仅需被动监听流量，不会对网络正常工作产生干扰。

主权项：1.一种基于加密流量分析的挖矿行为实时检测方法，其特征在于，包括以下步骤：步骤1：收集挖矿流量数据；模拟客户端和矿池服务器通信过程，并收集流量；步骤2：数据处理；对于一条流量T＝{p1,p2,…,pi,…,pn}，提取每个数据包pi的信息，包括到达时间ti、源IP地址srci、目的IP地址dsti、传输协议qi、数据包长度li；以源IP目的IP是否为矿池IP为判断条件，为每条流量打标签，并以csv格式将流量日志保存；步骤3：挖矿流量特征分析和提取；在挖矿会话的开始，一个客户端首先“订阅”该矿池，并向其描述自己的计算能力；然后，矿池向其发送“订阅响应”；之后，客户端向矿池发送其用户名和密码以初始化矿工；当服务器对其身份进行成功认证后，将向客户端发送一个“困难性通知”并进入任务分发与提交阶段；在任务分发与提交阶段，服务器向客户端发送挖矿任务，客户端根据任务进行计算，完成计算后提交给服务器，如果服务器对该结果验证通过，则返回一个确认响应，并分发下一个任务，直到通信连接断开；根据客户端和矿池的通信过程，对于每条流量截取前K秒的数据包，提取上行数据包到达时间间隔、上行数据包长度、流量持续时间、数据包个数共4类特征；具体地，上行数据包到达时间间隔的平均值被提取作为一个关键特征，上行数据包指从客户端发送到矿池的数据包，下行数据包指从矿池发送到客户端的数据包；上行数据包长度的方差被提取为一个特征，反映挖矿通信过程的特性；流量持续时间反映挖矿时间的长短；数据包个数包括上行数据包个数和下行数据包个数，被提取作为特征；步骤4：利用步骤3中得到的特征数据训练机器学习分类器，并进行交叉验证，实现挖矿流量的实时检测。

全文数据：

权利要求：

百度查询： 北京理工大学 一种基于加密流量分析的挖矿行为实时检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD