要求误报率0%,漏报率5%以下,能做到的PM我
预算不够能加
之前想的是CPU占用率长时间60%以上且连接过主流矿场IP就判为挖矿,但存在一定误报率,而且非主流矿场很多
能不能根据CPU计算内容或通信内容来判定
不能读取客户硬盘上的文件,不能在客户机器内运行程序
-----------------------------------------------------
网友回复:
这玩意,机器预警,然后人工审核吧,准确率100%的事不存在
网友回复:
引用:cucldk发表于2021-9-1123:17
这玩意,机器预警,然后人工审核吧,准确率100%的事不存在
网友回复:
参考谷歌的检测原理 数据包 你限制cpu都没用
网友回复:
xmrig的数据包特征太明显了 这还不好识别?
网友回复:
99%的人都是一键脚本
ip一看就知道
网友回复:
不能读硬盘文件,不能在机器内运行间谍脚本
那你检测个鸡毛,就只看CPU、IO、网络长期跑满吗?
遇到长期沾满资源的,打个快照,恢复到新机器上看看整啥玩意的。
history命令就能检测出很多东西,顺带着监测进程
网友回复:
这种你靠母鸡无法检测的只能运行组件在小鸡上别想着客户数据隐私在云上就没有什么隐私可言只要你不损害他怕毛线想想大厂照样读取数据不然怎么监控违规违法
网友回复:
引用:apt-get发表于2021-9-1109:19
人工怎么审核,不能动客户机器,xmrig通信流量又没什么特征
网友回复:
引用:NiDiPiZiNaFongQ发表于2021-9-1200:31
弱问,tls方式也能数据包检测?
网友回复:
检测矿池很好绕过,走代理就好。cpu限制,也能限制cpu用量
CPU高度消耗有多种情况,我能想到编译/富强加解密运算/压缩解压缩/挖矿,有些是合法用途
加解密运算会大量依赖AES运算
编译运算我比较不确定...应该啥都有,生成语法树,不同阶段做不同事
挖矿就要看种类,btc主要会有大量sha256的运算,xmr的CryptoNight也是大量依赖AES,还有数种hash算法。总之hash应该跑不掉
kvm/qemu/virtualbox有debugger功能,类似一般的debugger,能看到guest里面的cpu指令运作情况,下中断点,读写寄存器状态。代价是效能下降
但是全部的process还有kernel的上下文切换,指令会全部混在一起。不向OSlevel只看一个process
不过这不是问题,因为挖矿的人通常就只挖矿,90%的cputime都在挖矿程式上,剩下10%才是其他ssh/杂七杂八的process/内核之类
所以会有明显特征。除非他全部混在一起,30%挖矿,40%编译,20%压缩,10%网路流量加密解密。这个可能就真的难抓
限制cpu用量也没用,可以过滤掉idle指令,只看有参与运算的指令
我想到的做法是针对可疑的用户(长年cpu占用高,或是稳定没波动),启用debug模式(它的性能会下降),记录下他的cpu指令纪录,使用深度学习进行比对
至于深度学习模型的算法,可以找找cryptojackingdetection之类的论文。
训练资料,可能只能自己生,跑编译/vtoray/压缩解压缩/btc/etc/xmr,纪录cpu指令调用纪录,让模型去分类,抓出挖矿的
当然不只分析cpu指令调用,还可以搭配memorydump一起分析。看能不能找到类似挖矿的程式码
你只说不能扫硬碟/硬盘,可没说不能扫记忆体/内存。程式要运作都要先载入到记忆体,扫记忆体还更加精准
这个弄出来估计能生一篇新的论文
网友回复:
引用:s920361发表于2021-9-1215:30
检测矿池很好绕过,走代理就好。cpu限制,也能限制cpu用量
CPU高度消耗有多种情况,我能想到编译/富强加...
网友回复:
引用:wmfy808发表于2021-9-1215:48
能干这活的,三五万请不动,百万以上可以考虑。