云平台内主机挖矿行为检测方法、装置和系统

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种云平台内主机挖矿行为检测方法、装置和系统。

背景技术

随着社会科技的进步，网络技术也随之进步，人们的生活和工作越来越离不开网络。最近几年云计算技术不断发展和普及，越来越多的企业采用云平台来部署其服务。在云平台运行中人们最关注的是云平台的安全问题，云平台的安全在于能否抵御各种网络恶意行为。

在众多网络恶意行为中挖矿行为较为普遍。挖矿行为主要由挖矿木马导致，挖矿木马是一类通过入侵计算机系统并植入挖矿机赚取加密数字货币获利的木马，被植入挖矿木马的计算机会出现CPU使用率飙升、系统卡顿、部分服务无法正常使用等情况。攻击者大多通过未授权、弱口令、以及恶意暗链等方式进行挖矿病毒传播，从中获取大量的不正当利益。

目前现有技术中需要在用户主机中设置代理软件对网络恶意挖矿行为进行检测和阻断，在用户主机中设置代理软件容易造成主机性能损耗，并且不是所有主机都能适配代理软件，从而使得对恶意行为进行检测和阻断的效果并不好。

发明内容

鉴于上述问题，本发明实施例提供了一种云平台内主机挖矿行为检测方法、装置和系统，不需要对云平台内的主机植入代理模块，降低了主机性能损耗。

根据本发明实施例的一个方面，提供了一种云平台内主机挖矿行为检测方法，所述方法包括：

通过物理机上的流量采集虚拟机采集物理机上运行的虚拟交换机的流量；

对所述流量数据进行解析，得到流量数据信息，其中所述流量数据信息包括IP五元组信息、实例ID信息、包内容和通讯时序信息中的一种或多种；

将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。

在一种可选的方式中，所述对所述流量数据进行解析，得到流量数据信息，包括：

通过对所述流量数据的数据报文和特征进行提取分析，得到流量数据信息。

在一种可选的方式中，所述计算模型是通过多组训练数据训练sequence tosequence模型得到的。

在一种可选的方式中，通过多组训练数据训练sequence to sequence模型得到计算模型，包括：

构建sequence to sequence模型；

输入层获取多组训练数据，每组训练数据为一组表征单个IP地址的各项流量数据信息的数值序列；

将所述多组训练数据通过编码层循环神经网络进行编码，得到语义向量c；

将所述语义向量c通过解码层循环神经网络进行解码，得到与输入的训练数据的序列长度一样的向量；

将与输入的训练数据的序列长度一样的输出序列输出到输出层；

使用优化方法对训练数据进行训练，得到各层的模型参数；

根据所述模型参数，确定计算模型。

在一种可选的方式中，所述将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为，包括：

输入层输入的流量数据信息{x

编码层状态计算公式为h

语义向量计算公式为c＝q(h

解码层计算公式为s

输出层的输出序列计算公式为：y

输出序列的损失值计算公式为L＝-logP(y

将L值与

在一种可选的方式中，所述

训练数据的输出序列为{y

计算所有训练数据的L均值

将所有训练数据的均值

在一种可选的方式中，所述方法还包括：

若通过计算模型确定流量数据中有挖矿行为，生成确定信息，其中所述确定信息包括云内主机IP、逻辑位置、首次发现时间、最近发现时间、矿池地址和通信包详情；

根据所述确定信息生成用于展示所述确定信息的可视界面；

接收阻断命令，根据所述阻断命令阻断所述挖矿行为。

根据本发明实施例的另一方面，提供了一种云平台内主机挖矿行为检测装置，所述装置包括：

采集模块，用于采集物理机上运行的虚拟交换机的流量；

解析模块，用于对所述流量数据进行解析，得到流量数据信息，其中所述流量数据信息包括IP五元组信息、实例ID信息、包内容和通讯时序信息中的一种或多种；

计算模块，用于将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。

根据本发明实施例的另一方面，提供了一种云平台内主机挖矿行为检测系统，所述系统包括：

流量采集虚拟机，位于物理机，其对物理机上运行的虚拟交换机进行流量采集，将采集到的流量数据上传至分析中心；

分析中心的规则分析引擎模块接收流量数据，对所述流量数据进行解析，得到流量数据信息并传送至分析中心的机器学习模块，其中所述流量数据信息包括IP五元组信息、实例ID信息、包内容和通讯时序信息中的一种或多种；

分析中心的机器学习模块将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。

根据本发明实施例的另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令在计算设备上运行时，使得计算设备执行如上所述的云平台内主机挖矿行为检测方法的操作。

本发明实施例通过物理机上的流量采集虚拟机采集物理机上运行的虚拟交换机的流量，对流量数据进行解析，并将流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。由于通过流量采集虚拟机采集物理机的流量，不需要对云平台内的主机植入代理模块，降低了主机性能损耗。

上述说明仅是本发明实施例技术方案的概述，为了能够更清楚了解本发明实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

附图仅用于示出实施方式，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的云平台内主机挖矿行为检测系统的结构示意图；

图2示出了训练sequence to sequence模型得到本发明实施例所需的计算模型的流程示意图；

图3示出了本发明实施例提供的计算模型的架构图；

图4示出了本发明另一实施例提供的云平台内主机挖矿行为检测系统的结构示意图；

图5示出了本发明实施例提供的云平台内主机挖矿行为检测方法的流程图；

图6示出了本发明实施例提供的云平台内主机挖矿行为检测装置的结构示意图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。

本发明实施例提出了一种云平台内主机挖矿行为检测系统及方法，通过在云平台物理机(也称为宿主机或主机)上创建流量采集虚拟机(Virtual Machine，VM)，并对物理机上运行的虚拟交换机(OpenvSwitch)进行流量采集，从而不需要对云平台内的主机植入代理模块(例如代理软件)，提高了适配性，避免了对云平台内的主机的性能损耗。由于云平台内的所有主机获取数据均需要通过虚拟交换机，能够对云平台内的所有主机上网流量数据进行镜像，避免采集对象遗漏。对镜像的流量数据均进行判断，避免挖矿行为判断的遗漏，提高了判断准确性。采用对每个主机都建立针对性的神经网络计算模型参数，进一步提高了判断的准确性，在判断出挖矿行为时还能够进行阻断，实现对云平台网络的安全性防护。

图1示出了本发明实施例提供的云平台内主机挖矿行为检测系统的结构示意图。如图1所示，该系统100包括流量采集虚拟机11和分析中心12。分析中心12包括规则分析引擎模块121和机器学习模块122。分析中心12可以通过服务器或者服务器集群实现。规则分析引擎模块121和机器学习模块122可以为软件模块。

(一)云平台内所有主机上网流量数据采集

流量采集虚拟机11位于物理机，其对物理机上运行的虚拟交换机进行流量采集，将采集到的流量数据上传至分析中心。物理机包括一台或多台，每台物理机上均分别部署一个流量采集虚拟机11，每台物理机上还设置有一个或多个虚拟机(Virtual Machine，VM)，每台虚拟机通过其所属的物理机上的虚拟交换机获取数据。

具体实现时，通过在云平台每台物理机上部署流量采集虚拟机11，流量采集虚拟机11对物理机上的虚拟交换机内的所有流量实时进行镜像上传至分析中心12。虚拟交换机是物理机上各个虚拟机东西向和南北向流量传输的必经节点。流量采集虚拟机11采集的为原始数据流量，该流量数据以数据包的形式进行上传。通过对虚拟交换机内的所有流量数据进行镜像上传，能够采集到云平台内所有主机上网的流量数据情况，避免了采集数据不完整的情况，为之后的挖矿行为判断提供准确全面的基础数据。本发明实施例不设置白名单、黑名单，对采集来的流量都进行挖矿行为判断，避免挖矿行为判断的遗漏，提高判断准确性。流量采集过程不对云租户操作系统做任何操作，避免对云租户系统带来性能及稳定性的影响。上述方式为采用旁路部署的方式，无需业务逻辑链路串联，不存在单点故障，无需更改业务网络链路环境，兼容OpenStack、VMware等各大云厂商。

(二)流量数据解析

分析中心12的规则分析引擎模块121接收流量数据，对所述流量数据进行解析，得到流量数据信息并传送至分析中心12的机器学习模块122，其中所述流量数据信息包括IP五元组信息、实例ID信息、包内容和通讯时序信息中的一种或多种。

规则分析引擎模块121可以通过对所述流量数据的数据报文和特征进行提取分析，得到流量数据信息，为之后的挖矿行为判断做准备。

(三)挖矿行为判断

分析中心12的机器学习模块122将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。

机器学习模块122对所有镜像获得的流量数据均进行挖矿行为判断。机器学习模块122中具有建立好的计算模型，流量数据信息进入到计算模型中，通过计算和分析判定流量数据中是否有挖矿行为。

所述计算模型是通过多组训练数据训练sequence to sequence(sequence2sequence，或者seq2seq)模型得到的。也即计算模型设计基于自编码器sequence2sequence的神经网络节点对基础特征进行训练与预测，输入层特征经过循环神经网络(Long Short-Term Memory，LSTM cell)进行编码，编码成语义向量c，然后通过解码器循环神经网络(LSTM cell)解码成与输入序列长度一样的向量输出，然后使用优化方法对训练数据进行训练得到各层的模型参数。

如图2和图3所示，通过多组训练数据训练sequence to sequence模型得到本发明实施例所需的计算模型，包括如下步骤：

步骤21：构建sequence to sequence模型；

sequence to sequence模型是以编码(Encode)和解码(Decode)为代表的架构方式，根据输入序列X来生成输出序列Y，在翻译、文本自动摘要和机器人自动问答以及一些回归预测任务上有着广泛的运用。Encode是将输入序列转化成一个固定长度的向量，Decode是将输入的固定长度向量解码成输出序列。其中编码解码的方式可以是循环神经网络(RecurrentNeuralNetwork,RNN)、卷积神经网络(Convolutional Neural Network,CNN)等。本发明实施例中，sequence to sequence模型结构图如图3所示，包括输入层、编码层(也称为编码器)、解码层(也称为解码器)和输出层。其中编码层和解码层内部包括一个或多个隐藏层。

步骤22：输入层获取多组训练数据，每组训练数据为一组表征单个IP地址的各项流量数据信息的数值序列；

其中，输入层输入的流量数据信息{x

其中，编码层状态计算公式为：

h

其中h

语义向量计算公式为：

c＝q(h

其中q为归一化指数函数，也即softmax函数，例如采用tanh去、双曲正切函数。

步骤24：将所述语义向量c通过解码层循环神经网络进行解码，得到与输入的训练数据的序列长度一样的向量；

其中，解码层计算公式为：

s

其中s

步骤25：将与输入的训练数据的序列长度一样的输出序列输出到输出层；

其中，输出层的输出序列计算公式为：

y

其中y

步骤26：使用优化方法对训练数据进行训练，得到各层的模型参数；

其中，输出序列的损失值(loss值)计算公式为：

L＝-logP(y

将损失值L值与

所述

得到输出序列的损失函数：

L＝-logP(y

计算所有训练数据的L均值

对输入的值x与输入层的权重矩阵U相乘使用公式(1)计算得到每一个隐藏层神经元的状态，然后将隐藏层的每个神经元节点h

解码层使用与编码层同样的方法，对语义向量c与解码层权重W’相乘进行解码，使用公式(3)对语义编码进行计算，得到解码层每个神经元的状态值s’，然后使用s’与隐含层(解码层)状态到输出层的权重矩阵V相乘得到y，y与实际的x长度一致，且希望通过模型计算出来的y能很好的表示x，即y的值与x的差距越低越好。通过公式(5)描述x经过模型转换后的y与本身x的损失值，使用梯度下降的方法计算将模型权重，使得loss函数值最小，得到一个模型参数，是最佳拟合正常数据的参数。当出现异常数据的时候，经过模型的权重计算出来的y与真实x的loss值会很大，一般认为数据符合高斯分布的情况下均值左右的3σ(3倍的标准差)是覆盖99.7％的正常数据，当模型loss值超过此范围的时候认为是异常的数据，当成攻击处理。

在优选实施例中，对每个主机都建立针对性的神经网络计算模型参数，进一步提高了判断的准确性。

本发明实施例针对当前云平台内的状况进行计算模型参数调试形成针对性的挖矿行为参数标准值，接近全部的挖矿行为都能够被识别，提高了检测分析的准确性，确保云平台的安全。

步骤27：根据所述模型参数，确定计算模型。

针对当前云平台内的状况进行计算模型参数调试形成针对性的挖矿行为参数标准值，接近全部的挖矿行为都能够被识别，从而提高了检测分析的准确性，能够确保云平台的安全。通过上述计算模型的建立，能够准确判断云平台内的挖矿行为，针对性高，效率高。

如图4所示，在另一实施例中，该系统还包括控制中心13，控制中心13包括云平台开发应用程序接口(API)模块131、威胁可视化模块132和威胁阻断模块133。

(四)挖矿行为可视化展示

若机器学习模块122通过计算模型确定流量数据中有挖矿行为，则机器学习模块122生成确定信息，其中所述确定信息包括云内主机IP、逻辑位置、首次发现时间、最近发现时间、矿池地址和通信包详情。机器学习模块122将确定信息通过云平台开发API模块131发送给威胁可视化模块132，威胁可视化模块132根据所述确定信息生成用于展示确定信息的可视界面；当威胁阻断模块133接收阻断命令后，根据所述阻断命令阻断所述挖矿行为。

在一些实施例中，通过机器学习模块122检测出云平台内发现主机进行挖矿行为时，发送相关信息给云平台开发API模块131，云平台开发API模块131将信息发送给管理人员可操作的控制终端并产生可视界面，管理人员通过控制终端查看挖矿行为的相关信息，相关信息包括云内主机IP、逻辑位置、首次发现时间、最近发现时间、矿池地址、通信包详情。管理人员确定是进行阻断还是放行，在选择放行时则对该挖矿行为不进行处理；当选择阻断时，控制中心13中的威胁阻断模块133接收到阻断命令进行阻断挖矿行为，并且可设置在以后遇到这种挖矿行为时自动化处理，即直接进行阻断操作。云平台开发API模块131可以与OpenStack、VMware等平台无缝对接，自动化一键部署，在云集群的规模发现伸缩时自动适应，无需人工介入。

通过上述设置管理人员能够直接看到云平台内的安全情况，并且能够在产生挖矿行为时明确挖矿行为的各种信息，便于管理人员进行管理。同时管理人员能够及时控制对挖矿行为的阻断，并且能够设置下次自动阻断的命令，便于管理人员更好的维护云平台内的网络安全。

在确定对挖矿行为进行阻断时，威胁阻断模块开始工作发送RST数据包至流量采集模块，流量采集模块将RST数据包分别发送给有挖矿行为的主机，以及挖矿行为连接到的服务器中。接收到RST数据包的主机后，主机进入断网模式不再进行网络通信，挖矿行为连接到的服务器也相当于接收到会话中断状态，如挖矿行为连接到的服务器再次发送控制指令给挖矿行为的主机时，流量采集模块直接发送RST数据包给该服务器，避免该服务器对云平台内的主机进行攻击。

通过上述操作，从而不需要对主机植入代理模块就能够实现在发现挖矿行为时阻断主机继续上网，同时也能够阻断恶意挖矿攻击的服务器的持续攻击，从而确保挖矿行为不会再次发生，进行有效阻断挖矿行为，提高了云平台的安全性。

(五)挖矿行为阻断

在确定对挖矿行为进行阻断时，威胁阻断模块133开始工作，发送RST数据包至流量采集虚拟机11，流量采集虚拟机11将RST数据包分别发送给有挖矿行为的主机，以及挖矿行为连接到的服务器中。接收到RST数据包后，主机进入断网模式不再进行网络通信，挖矿行为连接到的服务器也相当于接收到会话中断状态，如挖矿行为连接到的服务器再次发送控制指令给挖矿行为的主机时，流量采集虚拟机11直接发送RST数据包给该服务器，避免该服务器对云平台内的主机进行攻击。

(六)数据储存

本发明实施例中对安全威胁事件日志进行数据存储。如图4所示，分析中心12还可以包括数据存储模块123，数据存储模块123通过机器学习模块122获取安全威胁事件的日志信息进行存储。通过存储操作，能够使管理人员进行云平台维护时直观了解云平台运行的状态。

本发明实施例通过物理机上的流量采集虚拟机采集物理机上运行的虚拟交换机的流量，对流量数据进行解析，并将流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。由于通过流量采集虚拟机采集物理机的流量，不需要对云平台内的主机植入代理模块，就能够实现在发现挖矿行为时阻断主机继续上网，降低了主机性能损耗。还能够阻断恶意挖矿攻击的服务器的持续攻击，从而确保挖矿行为不会再次发生，进行有效阻断挖矿行为，提高了云平台的安全性。

现有技术中需要对流量进行筛选，并不会对所有流量数据都进行监测，而且对网络流量指标进行监测需要对主机植入代理软件，通过代理软件进行实时检测，这样对主机的性能消耗是不可估量的，必然会对主机带来损伤、卡顿等现象，而且代理软件并不能保证适配性，也就是并不是所有主机都能兼容，这样就使得安装耗时又麻烦，难以起到较优的效果。本发明实施例对主机操作系统不做任何操作，避免对主机操作系统带来性能及稳定性的影响，通过旁路采集云平台流量数据，采用镜像方式，从而对交换机工作也不产生影响，并且对全部流量数据进行监测，避免了数据的遗漏。

如图5所示，本发明实施例提供了一种云平台内主机挖矿行为检测方法，所述方法包括：

步骤51：通过物理机上的流量采集虚拟机采集物理机上运行的虚拟交换机的流量；

步骤52：对所述流量数据进行解析，得到流量数据信息，其中所述流量数据信息包括IP五元组信息、实例ID信息、包内容和通讯时序信息中的一种或多种；

步骤53：将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。

所述对所述流量数据进行解析，得到流量数据信息，包括：

通过对所述流量数据的数据报文和特征进行提取分析，得到流量数据信息。

所述计算模型是通过多组训练数据训练sequence to sequence模型得到的。

所述通过多组训练数据训练sequence to sequence模型得到计算模型，包括：

构建sequence to sequence模型；

输入层获取多组训练数据，每组训练数据为一组表征单个IP地址的各项流量数据信息的数值序列；

将所述多组训练数据通过编码层循环神经网络进行编码，得到语义向量c；

将所述语义向量c通过解码层循环神经网络进行解码，得到与输入的训练数据的序列长度一样的向量；

将与输入的训练数据的序列长度一样的输出序列输出到输出层；

使用优化方法对训练数据进行训练，得到各层的模型参数；

根据所述模型参数，确定计算模型。

所述将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为，包括：

输入层输入的流量数据信息{x

编码层状态计算公式为h

语义向量计算公式为c＝q(h

解码层计算公式为s

输出层的输出序列计算公式为：y

输出序列的损失值计算公式为L＝-logP(y

将L值与

所述

训练数据的输出序列为{y

计算所有训练数据的L均值

将所有训练数据的均值

所述方法还包括：

若通过计算模型确定流量数据中有挖矿行为，生成确定信息，其中所述确定信息包括云内主机IP、逻辑位置、首次发现时间、最近发现时间、矿池地址和通信包详情；

根据所述确定信息生成用于展示确定信息的可视界面；

接收阻断命令，根据所述阻断命令阻断所述挖矿行为。

该方法实施例的具体实现原理和过程可参考前述系统实施例，此处不再赘述。

本发明实施例还提供了一种云平台内主机挖矿行为检测装置，如图6所示，所述装置600包括采集模块61、解析模块62和计算模块63。

采集模块61用于采集物理机上运行的虚拟交换机的流量；解析模块62用于对所述流量数据进行解析，得到流量数据信息，其中所述流量数据信息包括IP五元组信息、实例ID信息、包内容和通讯时序信息中的一种或多种；计算模块63用于将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。

该装置实施例的具体实现原理和过程可参考前述系统实施例，此处不再赘述。

本发明实施例提供了一种计算机可读存储介质，所述存储介质存储有至少一可执行指令，该计算机可执行指令在计算设备上运行时，使得所述计算设备执行上述任意方法实施例中的云平台内主机挖矿行为检测方法。

在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。