本發明提出了一種基于K?S檢驗的加密代理下的挖礦流量識別方法，分為四個部分，第一部分為使用了加密代理的挖礦流量的獲取，并生成挖礦流量的特征分布；第二部分為數據預處理，對待測流量組流，并基于挖礦流量的協議特征過濾無關報文；第三部分是特征提取，基于挖礦流量的特征提取待測流量的特征；第四部分為基于K?S檢驗的挖礦流量識別，具體內容為將待測流量的特征分布輸入到檢測模型，與挖礦流量的特征分布做K?S檢驗，最后輸出檢測結果。本發明能夠有效地檢測使用了加密代理的挖礦流量，可以在不產生錯誤警報的基礎上獲得98.84％的召回率，對抗性評估顯示該發明在一定程度的反檢測手段下仍然有效，便于管理者從網絡層面對挖礦行為進行檢測和監管。

技術領域

本發明屬于網絡空間安全技術領域，涉及基于K-S檢驗的加密代理下的挖礦流量識別方法。

背景技術

區塊鏈作為比特幣的底層技術，本質上是一個去中心化的數據庫，它能夠實現賬本中數據的一致存儲、難以篡改、防止抵賴等功能。挖礦對于區塊鏈來說是一個必不可少的過程，它不僅將交易驗證并添加到區塊鏈，還在去中心化組織中建立了共識。挖礦的利益也吸引了黑客們的注意。加密劫持，是指在違背用戶的意愿或在用戶不知情的情況下，操控其設備挖掘加密貨幣來為攻擊者獲取收益。自2018年以來，加密劫持已經成為一種類似于勒索軟件的廣泛攻擊。黑客們開發惡意軟件來攻擊個人電腦、服務器、甚至是物聯網設備，使它們替黑客們挖掘加密貨幣。

挖礦行為本身會消耗大量計算資源，使系統、軟件、應用服務運行緩慢，甚至可能使系統崩潰，造成數據丟失；虛擬貨幣挖礦會造成大量的能源消耗和碳排放。而加密劫持會占用受害設備的資源，影響受害用戶的正常使用，并給攻擊者帶來非法收益。因此，對挖礦行為進行檢測不僅可以防范加密劫持攻擊，也可以幫助治理虛擬貨幣挖礦的泛濫。

已經有一些基于主機的方法可以抵御加密劫持，它們通過監測軟件操作、網站訪問和硬件狀態數據來識別設備是否被劫持挖礦。然而，這些方法需要在終端設備上安裝軟件，涉及用戶的私人數據，并需要及時更新，這一點被許多用戶所拒絕。此外，基于主機的方法只保護單一的終端設備，保護一個被管理的網絡需要在每個設備上安裝和維護監測軟件。因此，近年來研究人員更多地通過網絡流量分析來檢測加密劫持。原始的挖礦流量遵循Stratum協議，通過明文傳輸，因此可以通過IP封鎖和深度數據包檢查來防御。然而，攻擊者仍然可以通過配置加密代理來加密、混淆和轉發挖礦流量，以此來躲避監管。現有的流量分析方法在使用了加密代理挖礦的場景下的表現并不理想，或是要求數據集相對平衡，又或是需要較長的檢測時間。

因此，本發明通過搭建加密代理轉發、加密并混淆數據包，加入礦池挖礦來采集挖礦流量；然后將流量預處理，提取挖礦流量和待測流量的特征分布；最后運用K-S檢驗來對特征分布進行比對，根據K-S檢驗結果完成對挖礦流量的識別。

發明內容

為了對挖礦行為進行有效監管，實現對使用了加密代理的挖礦流量的識別，本發明提出了一種基于K-S檢驗的加密代理下的挖礦流量識別方法。針對使用了加密代理的挖礦流量難以檢測的問題，提出了基于K-S檢驗來對特征分布函數進行比對的高效挖礦流量識別方法。方法首先依據挖礦流量的協議特征，對初始流量進行組流并過濾。接著通過對挖礦流量的特征分析，提取數據包大小和時間間隔特征作為檢測依據；隨后將入度流量按每60個數據包為一個檢測單位，出度流量按每40個數據包為一個檢測單位，分別生成數據包大小和數據包時間間隔的特征分布函數；最后使用K-S檢驗對待檢測流量和挖礦流量的特征分布進行比對，根據K-S檢驗的結果完成挖礦流量的識別。為了達到上述目的，本發明提供如下技術方案：

一種基于K-S(Kolmogorov-Smirnov?test)檢驗的加密代理下的挖礦流量識別方法，包括如下步驟：

(1)通過加入礦池挖礦，使用加密代理來轉發和混淆數據，收集挖礦流量；

(2)將初始流量按五元組源IP，目的IP，源端口，目的端口，協議類型組流，再過濾掉無關數據包，只保留帶有PSH標志的TCP報文；