技术摘要：
本发明公开了一种检测挖矿虚拟货币的方法、设备及存储介质，所述方法包括：形成一虚拟货币矿池情报库；生成虚拟货币矿池域名AI检测模型；获取DNS元数据以及Netflow流信息，将请求的域名与虚拟货币矿池情报库进行域名匹配，并在匹配成功时，将请求的域名对应的IP地址以  全部
背景技术：
随着虚加密货币价格增长，挖矿已经成为了网络黑产团伙在入侵服务器之后最直 接的变现手段。网络中出现大量挖矿木马、蠕虫入侵服务器，盗取服务器资源进行挖矿活 动。怎么能精准快速发现网络中存在的挖矿行为，成为网络运营人员非常重要的一个工作。 挖矿一般采用Stratum、GetWork、GetBlockTemplate协议，目前的方案主要是采用 特征签名的方式，识别出挖矿协议。比如利用IPS基于签名的匹配技术识别出挖矿行为，判 断应用程序是否访问了虚拟货币矿池相关的域名，导致目前的挖矿方式存在以下缺陷： 1、攻击者为了逃避基于特征签名技术的检测方法，在挖矿协议通信过中加入混淆 技术，导致基于签名的检测技术无效，甚至很多攻击已经开始利用https加密挖矿通信流 量，目前的检测方案无法检测出利用https加密的挖矿行为。 2、只判断应用虚拟货币矿池节点域名会存在大量的误报，比如一般虚拟货币矿池 域名80端口用来提供HTTP网站服务，但是3333、443等端口用来提供挖矿服务。当用户去查 看相关网站或者访问到相关网站的广告链接时，都会错误检测。 3、现有方案基于全域名匹配，虚拟货币矿池提供商扩充节点的时候会变化域名前 缀，基于全域名检测系统无法检测这种情况。 4、攻击者自己部署虚拟货币矿池节点，不对外公布矿池节点域名或者直接通过IP 进行访问，基于域名检测系统无法检测这种情况。 因而现有技术还有待改进和提高。
技术实现要素：
鉴于上述现有技术的不足之处，本发明的目的在于提供一种检测挖矿虚拟货币的 方法、设备及存储介质，可准确无误的检测出挖矿行为，避免误报。 为了达到上述目的，本发明采取了以下技术方案： 一方面，本发明提供了一种检测挖矿虚拟货币的方法，包括如下步骤： S1、获取若干个虚拟货币矿池的挖矿地址，以形成一虚拟货币矿池情报库； S2、使用卷积神经网络对所述虚拟货币矿池情报库中的所有矿池域名进行训练， 生成虚拟货币矿池域名AI检测模型； S3、获取采集的DNS请求中的DNS元数据以及Netflow流信息，将所述DNS元数据中 请求的域名与虚拟货币矿池情报库进行域名匹配，并在匹配成功时，将请求的域名对应的 IP地址以及请求的域名在虚拟货币矿池情报库中对应的端口与Netflow流信息进行比较， 以判断出是否存在挖矿行为； S4、当域名匹配不成功时，利用所述AI检测模型对所述请求的域名进行检测； 4 CN 111600850 A 说　明　书 2/8 页 S5、当检测出所述请求的域名为高可疑矿池域名时，利用预设的矿池服务探测组 件进行服务扫描，并将扫描获取的端口以及请求的域名对应的IP地址与Netflow流信息进 行比较，以判断出是否存在挖矿行为。 优选的，所述的检测挖矿虚拟货币的方法中，所述步骤S3具体包括： S31、获取采集的NDS请求中的DNS元数据以及Netflow流信息； S32、将所述DNS元数据中请求的域名的全域名与虚拟货币矿池情报库进行全域名 匹配，如果匹配成功，则将请求的域名对应的IP地址以及请求的域名在虚拟货币矿池情报 库中对应的端口与Netflow流信息进行比较，以判断出是否存在挖矿行为； S33、当全域名匹配不成功时，将所述DNS元数据中请求的域名的一级域名和二级 域名与虚拟货币矿池情报库进行分级域名匹配，如果匹配成功，则将请求的域名对应的IP 地址以及请求的域名在虚拟货币矿池情报库中对应的端口与Netflow流信息进行比较，以 判断出是否存在挖矿行为。 优选的，所述的检测挖矿虚拟货币的方法中，所述步骤S32和步骤S33中，判断是否 存在挖矿行为的方法为： 当Netflow流信息中的目的IP地址等于所述请求的域名对应的IP地址，且所述 Netflow流信息中的目的端口等于所述请求的域名在虚拟货币矿池情报库中对应的端口 时，判断存在挖矿行为；否则判断不存在挖矿行为。 优选的，所述的检测挖矿虚拟货币的方法中，所述步骤S5具体包括： 当检测出所述请求的域名为高可疑矿池域名时，利用预设的矿池服务探测组件根 据挖矿协议探测域名服务器是否开启了矿池服务，并通过构造挖矿订阅请求进行服务扫 描，如果判断所述域名服务器开启了矿池服务，则将服务扫描获取的端口以及请求的域名 对应的IP地址与Netflow流信息进行比较，以判断出是否存在挖矿行为。 优选的，所述的检测挖矿虚拟货币的方法中，所述挖矿协议至少包括Stratum协 议、GetWork协议、GetBlockTemplate协议中的一种或多种。 优选的，所述的检测挖矿虚拟货币的方法中，所述步骤S5中，判断是否存在挖矿行 为的方法为： 当服务扫描获取的端口等于Netflow流信息中的目的端口，且所述请求的域名对 应的IP地址等于Netflow流信息中的目的IP地址时，判断存在挖矿行为；否则判断不存在挖 矿行为。 优选的，所述的检测挖矿虚拟货币的方法中，所述步骤S2之后还包括： 获取访问请求输入的IP地址，根据预设的流量行为分析规则对Netflow流信息进 行分析打分，当打分值超过预设值时，利用预设的矿池服务探测组件进行服务扫描，并将扫 描获取的端口以及所述输入的的IP地址与Netflow流信息进行比较，以判断出是否存在挖 矿行为。 优选的，所述的检测挖矿虚拟货币的方法中，所述流量行为分析规则具体为： 设置初始得分为0，当响应报文TCP头部90％以上都有PSH ACK标志位时，得到加3； 当请求报文的长度都是在50-70字节之间时，得分加2；当响应报文的长度都是在400-600字 节之间时，得分加2；当情报报文的间隔都是在30秒以上时，得到加3。 另一方面，本发明还提供了一种检测挖矿虚拟货币的设备，包括处理器和存储器， 5 CN 111600850 A 说　明　书 3/8 页 所述存储器上存储有可被所述处理器执行的计算机可读程序； 所述处理器执行所述计算机可读程序时实现如上所述的检测挖矿虚拟货币的方 法中的步骤。 又一方面，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质 存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现 如上所述的检测挖矿虚拟货币的方法中的步骤。 相较于现有技术，本发明具有以下有益效果： 1、能检测通过加密流量进行挖矿的行为； 2、结合虚拟货币矿池域名和服务端口，达到100％精确检测，不存在误报； 3、基于全域名匹配和二级域名匹配方式，能够对于虚拟货币矿池提供商扩充节点 进行有效检测； 4、利用AI技术能够检测没有被收集到的虚拟货币矿池节点，减少漏检测； 5、利用流量行为分析规则，可以不基于域名进行检测，直接通过流量行为就能识 别可疑流量，对于直接通过IP访问虚拟货币矿池服务节点也能有效检测。 附图说明 图1为本发明提供的检测挖矿行为虚拟货币的方法的一较佳实施例的流程图； 图2为本发明提供的检测挖矿行为虚拟货币的方法中，所述步骤S3的一较佳实施 例的流程图； 图3为本发明检测挖矿行为虚拟货币的程序的较佳实施例的运行环境示意图； 图4为本发明安装检测挖矿行为虚拟货币的程序的系统较佳实施例的功能模块 图。