本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:随着加密货币的兴起,恶意挖矿在全球肆虐,成为国家整治的重点,而挖矿木马不断进化,以各种方式规避当前主流的挖矿监测手段。为解决这一问题,提出一种 AI算法,基于运营商 DNS流量、AAA日志和挖矿威胁情报数据,自动识别挖矿行为和矿工。通过模型训练和结果分析,选择使用 GMM 和 Bisecting Kmeans 混合模型对 DNS 查询和响应中的模式进行识别,实时准确地检测矿工及其行为规律。
关键词:加密货币;挖矿;DNS流量分析;机器学习
doi:10.12045/j.issn.1007-3043.2023.08.011
引言
加密货币挖矿是一项热门商业活动,但未经所有者同意使用资源挖矿会带来负面影响,同时对推动高质量发展和节能减排带来不利影响。挖矿会产生大量网络流量,包括与矿池通信的数据包、挖矿算法的计算结果等,因此当前基本是通过监测网络流量的数量、频率和目的地等指标特征对挖矿行为进行检测。而挖矿行为具有隐蔽性,其流量特征经常变化,需要人工长期追踪挖矿特征。另外,监测流量的方式成本高,如需全面、准确地发现挖矿行为,需实现全覆盖,不适用于中小型企业和公众用户。
对此,中国联通某分公司提出一种基于运营商DNS数据的AI算法,自动发现加密货币矿工。通过从DNS日志提取有关域名、IP地址和时间戳等信息来构建特征向量,将特征向量作为输入来训练模型,使模型对用户访问矿池域名的数据特征进行分类,从而识别出矿工,模型采用非监督学习算法。运营商 DNS数据覆盖大中小企业用户和公众用户,可识别隐藏在企业和公众用户中的恶意矿工,及时预警处理,提升网络净化的能力,助力实现“双碳”目标。