[发明专利]一种基于K-S检验的加密代理下的挖矿流量识别方法

权利要求书

1.一种基于K-S检验的加密代理下的挖矿流量识别方法，其特征在于，包括如下步骤：

(1)加入矿池挖矿，搭建加密代理来转发和混淆数据，收集挖矿流量，并生成挖矿流量的特征分布；

(2)将初始流量按五元组源IP，目的IP，源端口，目的端口，协议类型组流，接着过滤掉无关数据包，只保留带有PSH标志的TCP报文；

(3)提取预处理后的报文的特征，按所设定的每个检测单位的数据包数目生成特征分布；

(4)通过K-S检验将待检测流量的特征分布与挖矿流量进行比对，根据检验结果实现对挖矿流量的识别。

2.根据权利要求1所述的基于K-S检验的加密代理下的挖矿流量识别方法，其特征在于，步骤(1)收集使用了加密代理的挖矿流量；具体包括如下子步骤：

(1.1)使用V2Ray工具搭建加密代理，来实现数据转发、加密和混淆；

(1.2)加入Poolin矿池，挖掘以太币和以太经典两种加密货币；

(1.3)采集使用了加密代理的挖矿流量；

(1.4)生成加密代理下的挖矿流量的特征分布；

(1.5)获取公开数据集ISCX VPN作为实验待测流量。

3.根据权利要求1所述的基于K-S检验的加密代理下的挖矿流量识别方法，其特征在于，步骤(2)具体包括如下子步骤：

(2.1)将初始流量按五元组源IP，目的IP，源端口，目的端口，协议类型组流，这一步是为了区分开使用同一代理的不同应用；

(2.2)根据挖矿流量协议特征，过滤掉无关报文，只留下带有PSH标志的TCP报文，PSH标志位的作用是让接收端尽快将报文交付至应用层，而挖矿的收益与时间密切相关。

4.根据权利要求1所述的基于K-S检验的加密代理下的挖矿流量识别方法，其特征在于，所述步骤(3)具体包括如下子步骤：

(3.1)提取数据预处理后剩余流量的报文头部信息，包括数据包大小和数据包时间间隔特征；

(3.2)入度流量按每60个数据包为一个检测单位，出度流量按每40个数据包为一个检测单位，生成数据包大小和数据包时间间隔的特征分布函数。

5.根据权利要求1所述的基于K-S检验的加密代理下的挖矿流量识别方法，其特征在于，所述步骤(4)具体包括如下子步骤：

(4.1)将未识别的流量的特征分布函数输入到检测模型，使用双样本K-S检验来和已标记的挖矿流量的特征分布作比对，输出K-S检验结果；

(4.2)根据K-S检验结果，如果未识别流量的数据包大小和时间间隔特征都与挖矿流量的特征来自同一分布，那么将该流量判定为挖矿流量，否则判定为正常流量；

(4.3)输出模型识别结果。