基于DNS流量分析识别加密货币矿工的研究和实现

本文版权为《邮电设计技术》所有，如需转载请联系《邮电设计技术》编辑部

摘要：随着加密货币的兴起，恶意挖矿在全球肆虐，成为国家整治的重点，而挖矿木马不断进化，以各种方式规避当前主流的挖矿监测手段。为解决这一问题，提出一种 AI算法，基于运营商 DNS流量、AAA日志和挖矿威胁情报数据，自动识别挖矿行为和矿工。通过模型训练和结果分析，选择使用 GMM 和 Bisecting Kmeans 混合模型对 DNS 查询和响应中的模式进行识别，实时准确地检测矿工及其行为规律。

关键词：加密货币；挖矿；DNS流量分析；机器学习

doi：10.12045/j.issn.1007-3043.2023.08.011

引言

加密货币挖矿是一项热门商业活动，但未经所有者同意使用资源挖矿会带来负面影响，同时对推动高质量发展和节能减排带来不利影响。挖矿会产生大量网络流量，包括与矿池通信的数据包、挖矿算法的计算结果等，因此当前基本是通过监测网络流量的数量、频率和目的地等指标特征对挖矿行为进行检测。而挖矿行为具有隐蔽性，其流量特征经常变化，需要人工长期追踪挖矿特征。另外，监测流量的方式成本高，如需全面、准确地发现挖矿行为，需实现全覆盖，不适用于中小型企业和公众用户。

对此，中国联通某分公司提出一种基于运营商DNS数据的AI算法，自动发现加密货币矿工。通过从DNS日志提取有关域名、IP地址和时间戳等信息来构建特征向量，将特征向量作为输入来训练模型，使模型对用户访问矿池域名的数据特征进行分类，从而识别出矿工，模型采用非监督学习算法。运营商 DNS数据覆盖大中小企业用户和公众用户，可识别隐藏在企业和公众用户中的恶意矿工，及时预警处理，提升网络净化的能力，助力实现“双碳”目标。

点击查看全文（PDF）>