[发明专利]云平台内主机挖矿行为检测方法、装置和系统

说明书

本发明实施例涉及网络安全技术领域，公开了一种云平台内主机挖矿行为检测方法、装置和系统。该方法包括：通过物理机上的流量采集虚拟机采集物理机上运行的虚拟交换机的流量；对所述流量数据进行解析，得到流量数据信息，其中所述流量数据信息包括IP五元组信息、实例ID信息、包内容和通讯时序信息中的一种或多种；将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。通过上述方式，本发明实施例不需要对云平台内的主机植入代理模块，降低了主机性能损耗。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种云平台内主机挖矿行为检测方法、装置和系统。

背景技术

随着社会科技的进步，网络技术也随之进步，人们的生活和工作越来越离不开网络。最近几年云计算技术不断发展和普及，越来越多的企业采用云平台来部署其服务。在云平台运行中人们最关注的是云平台的安全问题，云平台的安全在于能否抵御各种网络恶意行为。

在众多网络恶意行为中挖矿行为较为普遍。挖矿行为主要由挖矿木马导致，挖矿木马是一类通过入侵计算机系统并植入挖矿机赚取加密数字货币获利的木马，被植入挖矿木马的计算机会出现CPU使用率飙升、系统卡顿、部分服务无法正常使用等情况。攻击者大多通过未授权、弱口令、以及恶意暗链等方式进行挖矿病毒传播，从中获取大量的不正当利益。

目前现有技术中需要在用户主机中设置代理软件对网络恶意挖矿行为进行检测和阻断，在用户主机中设置代理软件容易造成主机性能损耗，并且不是所有主机都能适配代理软件，从而使得对恶意行为进行检测和阻断的效果并不好。

发明内容

鉴于上述问题，本发明实施例提供了一种云平台内主机挖矿行为检测方法、装置和系统，不需要对云平台内的主机植入代理模块，降低了主机性能损耗。

根据本发明实施例的一个方面，提供了一种云平台内主机挖矿行为检测方法，所述方法包括：

通过物理机上的流量采集虚拟机采集物理机上运行的虚拟交换机的流量；

对所述流量数据进行解析，得到流量数据信息，其中所述流量数据信息包括IP五元组信息、实例ID信息、包内容和通讯时序信息中的一种或多种；

将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。

在一种可选的方式中，所述对所述流量数据进行解析，得到流量数据信息，包括：

通过对所述流量数据的数据报文和特征进行提取分析，得到流量数据信息。

在一种可选的方式中，所述计算模型是通过多组训练数据训练sequence tosequence模型得到的。

在一种可选的方式中，通过多组训练数据训练sequence to sequence模型得到计算模型，包括：

构建sequence to sequence模型；

输入层获取多组训练数据，每组训练数据为一组表征单个IP地址的各项流量数据信息的数值序列；

将所述多组训练数据通过编码层循环神经网络进行编码，得到语义向量c；

将所述语义向量c通过解码层循环神经网络进行解码，得到与输入的训练数据的序列长度一样的向量；

将与输入的训练数据的序列长度一样的输出序列输出到输出层；

使用优化方法对训练数据进行训练，得到各层的模型参数；

根据所述模型参数，确定计算模型。

在一种可选的方式中，所述将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为，包括：