[发明专利]基于DNS流量的主机挖矿行为检测方法

说明书

本发明提供一种基于DNS流量的主机挖矿行为检测方法，包括以下步骤：1)、得到矿池地址；2)、把DNS流量进行镜像，提取信息；3)、如果信息中的访问目标域名属于矿池地址时，把相应的DNS流量中提取到的访问源地址加入IP地址列表中，得到与矿池产生通信的IP地址列表；4)、以步骤3中获取到的IP地址列表作为局域网或者广域网中被黑客入侵用于挖矿的服务器。本发明利用矿池地址和DNS流量关联分析的方式，发现在局域网或者广域网中被黑客入侵用于挖矿的服务器。

技术领域

本发明涉及一种挖矿行为检测方法，具体涉及一种基于DNS流量的主机挖矿行为检测方法。

背景技术

挖矿木马隐蔽性极强存在于几乎所有具有安全漏洞的角落，悄悄地榨取着计算机的资源。随着数字货币和区块链产业一路走高，挖矿木马在网络中几乎成为现象级产物；在数字货币暴利驱使下，再获得挖矿木马这一“利器”的加持，挖矿木马的攻击事件也越来越频繁，不难预测未来挖矿木马数量将继续攀升。

虽然一些服务商提供比较完备的防护机制，但大多数管理员没有反挖矿木马相关知识，这也给挖矿木马提供了可乘之机。

因此，需要对现有技术进行改进。

发明内容

本发明要解决的技术问题是提供一种高效的基于DNS流量的主机挖矿行为检测方法。

为解决上述技术问题，本发明提供一种基于DNS流量的主机挖矿行为检测方法，包括以下步骤：

1)、得到矿池地址；

2)、把DNS流量进行镜像，提取信息；

3)、如果信息中的访问目标域名属于矿池地址时，把相应的DNS流量中提取到的访问源地址加入IP地址列表中，得到与矿池产生通信的IP地址列表；

4)、以步骤3中获取到的IP地址列表作为局域网或者广域网中被黑客入侵用于挖矿的服务器。

作为对本发基于DNS流量的主机挖矿行为检测方法的改进：

在步骤1中：从以太坊、云储币、门罗币的矿池网站的帮助栏内得到矿池地址。

作为对本发基于DNS流量的主机挖矿行为检测方法的进一步改进：

在步骤2中：结果发送到实时流中间件kafka中。

作为对本发基于DNS流量的主机挖矿行为检测方法的进一步改进：

步骤3使用实时流分析引擎为flink。

作为对本发基于DNS流量的主机挖矿行为检测方法的进一步改进：

步骤2中的信息包括DNS流量的访问源地址、访问目标域名、访问时间共三个属性。

本发明基于DNS流量的主机挖矿行为检测方法的技术优势为：

本发明利用矿池地址和DNS流量关联分析的方式，发现在局域网或者广域网中被黑客入侵用于挖矿的服务器。

本发明利用比较容易收集到的矿池地址和DNS流量镜像关联分析的方法，能非常简单快速的分析并定位到局域网或者广域网中被黑客入侵用于挖矿的服务器。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细说明。

图1为本发明基于DNS流量的主机挖矿行为检测方法的流程示意图。

具体实施方式

下面结合具体实施例对本发明进行进一步描述，但本发明的保护范围并不仅限于此。

实施例1、基于DNS流量的主机挖矿行为检测方法，如图1所示，包括以下步骤：