申请/专利权人：水利部信息中心

申请日：2022-04-07

公开（公告）日：2024-02-13

公开（公告）号：CN115037500B

主分类号：H04L9/40

分类号：H04L9/40;H04L67/02;H04L67/30

优先权：

专利状态码：有效-授权

法律状态：2024.02.13#授权;2022.09.30#实质审查的生效;2022.09.09#公开

摘要：一种基于配置文件检测挖矿失陷主机的方法，属于网络安全的技术领域。该方法主要通过对监控主机的HTTP流量从流量当中筛选出配置文件，然后按照挖矿协议定义好的标准模块进行匹配算法进行准备匹配，匹配的相似度达到一定的阈值就可以确定筛选出的文件就是挖矿程序需要的配置文件，从而确认请求该配置文件的主机即为失陷主机。根据此规则能够捕捉到一些挖矿团伙使用的攻击脚本，具有良好的检测能力。并且由于该检测方案具有较高的特异性，在检测率准确的情况下暂时未发现误报。

主权项：1.一种基于配置文件检测挖矿失陷主机的方法，其特征在于，包括以下步骤：S1.文件筛选通过协议审计的方式将当前网络当中的流量进行还原成HTTP请求的文本格式，需要通过对HTTP的请求头、请求体、响应头、响应体进行匹配从而识别当前流量是否为下载流量、下载的内容是否为文本内容格式；从对监控主机的HTTP流量当中筛选出配置文件；S2.字符泛化与指纹提取将配置文件做字符串处理，即通过文件筛选步骤后将识别的内容当中的HTTP的响应体内容进行保存并整体转化成json的通用格式；根据字符串的内容按照按格式规则进行提取，即使用通用字符串对文档当中的内容进行替换，最后提取出规则方法；S3.匹配算法通过将筛选后的待检测文件按照逐行读取的方式进行读取，以换行符为分界点；按照已经提取好的规则进行模糊匹配如果达到了命中比例阈值则定义为高可疑的安全事件，命中比列＝命中的条目数据所有的行数；S4.匹配结果的报警模式待筛选的数据通过匹配算法后存在3个输出结果；结果1：未命中直接略过不产生任何告警的结果；结果2：匹配命中比列＜70％的小部分匹配，则定义为高可疑产生告警类型A；结果3：匹配命中比列≥70％的大部分匹配，则定义为已失陷产生告警B；S5.附加高风险命中规则及告警高风险关键规则：每个字段都有明确标识是HighRisk或者commonrisk的标签，命中带有HighRisk标识字段的达到了高风险阈值比例，则触发高风险关键规则，进而发出已失陷的告警。

全文数据：

权利要求：

百度查询： 水利部信息中心 一种基于配置文件检测挖矿失陷主机的方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD