立即报名

IPv6大赛获奖项目:启发式加密货币挖矿检测和预警系统

发布时间:2023-01-17 09:29:20

 

 

 

 

 

 

 

  

组别:

高校创新组-行业应用服务类

奖项:

一等奖

单位:

清华大学

成员:

张镇睿、付卓群、李想

 

 

 

 

 

 

 

 

 

加密货币挖矿在近几年成为网络安全的一大威胁。最初攻击者选择将挖矿脚本嵌入到网页中窃取算力,随着网页中挖矿收益的逐渐降低,近期针对于主机平台和网络设备的挖矿木马逐渐成为主流。根据网络研究公司SonicWall发表的2022年中网络威胁报告,2022年恶意挖矿的威胁规模仍在持续增长中。

加密货币-图片1.png

图表 1 恶意挖矿规模

 

在已有的安全报告和相关研究中,加密货币挖矿检测都着眼于IPv4环境,没有覆盖IPv6地址空间,威胁情报缺乏IPv6相关信息。根据Google的统计,目前IPv6在全球主机的部署率已经超过40%,因此我们很有必要聚焦于IPv6地址空间,提升IPv6空间中加密货币挖矿的检测能力。

 

本项目的目标是设计一个IPv6地址空间中加密货币挖矿行为检测系统,系统部署在网络边界(如校园网)的网关,通过启发式智能化检测方法,基于持续监听网关边界的流量作为种子,实现挖矿流量检测,以及潜在挖矿行为预警等功能。

 

系统的基本思路如下:首先通过被动流量指纹检测收集部分IPv6中的挖矿流量,以这部分流量的矿池信息为基础,再针对IPv6地址空间的矿池分布做启发式扫描,扩充矿池信息,作为检测系统的部分判断依据。最后,以之前收集的流量作为分析基础,实现一个基于流量特征识别的挖矿加密流量检测系统。

加密货币-图片2.jpg

图表 2 技术方案

 

在系统实现层面,我们关注于项目整体的系统性与可用性。首先通过多核异步并行技术实现对高速网络流量的实时采集与关键字段提取,为之后的检测分析提供基础;其次使用模块化集成的数据检测引擎,实现对各类检测方法的综合运用;最后,实现系统的综合呈现与管理,确保系统的友好性与可用性。

 

本项目针对挖矿流量逃逸策略多,IPv6地址空间巨大导致扫描困难等问题,提出了针对的技术方案,最后形成一个可用的检测系统投入使用。本系统所采用的技术路线主要有以下三个创新点:

基于主被动结合的启发式挖矿流量检测框架

使用指纹方法可以快速的识别异常行为。相比于机器学习方法,这类方法能够快速的检测大量数据,对性能的需求较小。但由于实际网络流量种类复杂,传统的、单一的指纹特征往往会带来较高的误报率,检测系统误报的数量和规模过于庞大,无法实现进一步的人工检测,给异常流量的判别带来较大的困难和干扰,因此难以用于实际情况。

 

针对传统方法中的问题,本项目提出一种主被动结合的启发式检测框架,首先基于挖矿协议、行为特征的主被动流量指纹建模技术可以结合更多维度的特征,筛选出异常流量。以此为“种子”,进行行为建模并对服务进行启发式探测,最大程度上规避使用单一指标和特征下导致的绕过行为以及误报现象。同时通过主动探测,可以有效发现潜在的隐蔽矿池实施早期预警,在IPv6网络空间中提高态势感知能力。

基于长周期行为模式的加密挖矿流量识别技术

为了逃逸检测,挖矿恶意软件逐渐采用TLS加密的方式逃连接矿池。针对加密流量进行检测,我们采用主被动多轮迭代进行长周期分析,首先在被动检测过程中,基于机器学习方法对加密协议中的可读字段进行分析,发现疑似挖矿流量,在此基础上,在矿池主动探测部分中,通过主动连接这部分TLS加密连接的矿池,我们可以进一步收集加密挖矿流量的基本数据,一方面通过这种主动交互可以进一步精准验证是否为真正的矿池,同时,对于一些未被确认的可疑加密挖矿流量,其异常行为会被进一步的存储、建模分析。

 

有别于传统的、针对单条流量检测系统,基于长周期行为模式的加密挖矿流量识别技术可以以通信双方为单位,根据矿池通信的长周期行为信息进行监测,获取长周期挖矿流量的一般行为,通过多维度时空关联分析方法,能够实现对加密挖矿行为的感知和预警。

面向IPv6空间的矿池地址快速扫描技术

 

 

 

 

 

 

在IPv6海量地址空间下,提高探测效率是进行有效探测的关键。在本项目中,我们基于IPv6地址分配特点,提出一种新的IPv6设备快速发现技术,通过发送ICMPv6探针包可以快速判断公网上活跃IPv6设备;在此基础上,可以进一步向其发送矿池通信协议探针包,根据收到回复的报文内容判断其是否为活跃矿池。

 

总的来说,本项目首先结合主被动指纹检测和矿池情报扫描,实现了对多种挖矿协议和明文密文流量的全覆盖,具有更加精准的检测能力。其次,本项目面向IPv6地址空间,提出了更加高效的探测手段,可以囊括了更大的检测范围,实现对挖矿行为的早期预警。本项目系统化实现了面向IPv6的挖矿流量检测方法,对于已有的挖矿流量检测系统是一个很有必要的补充。尤其是在目前国家正在大力开展加密货币挖矿治理工作的情况下,项目对于提升挖矿检测能力,及时发现恶意挖矿行为和挖矿木马活动有重要现实意义。