要求误报率0%,漏报率5%以下,能做到的PM我
预算不够能加
之前想的是CPU占用率长时间60%以上且连接过主流矿场IP就判为挖矿,但存在一定误报率,而且非主流矿场很多
能不能根据CPU计算内容或通信内容来判定
不能读取客户硬盘上的文件,不能在客户机器内运行程序
热议
推荐楼 h20 昨天23:19
数据包检测就是了 多大点事
2楼 optimism 昨天23:09
挺有钱 帮顶
3楼 huanx 昨天23:09
哇 好多钱阿
4楼 evafza 昨天23:14
绑定求大佬
5楼 cucldk 昨天23:17
这玩意,机器预警,然后人工审核吧,准确率100%的事不存在
6楼 apt-get 昨天23:19
这玩意,机器预警,然后人工审核吧,准确率100%的事不存在
人工怎么审核,不能动客户机器,xmrig通信流量又没什么特征
8楼 燕十三丶 昨天23:21
参考谷歌的检测原理数据包你限制cpu都没用
9楼 西行寺幽幽子 昨天23:26
xmrig的数据包特征太明显了这还不好识别?
10楼 ApkB 昨天23:46
直接封掉那几个矿池的IP、域名 不香吗?
12楼 88170351 4小时前
把矿池服务的地址都封掉,
13楼 临云 2小时前
不能读硬盘文件,不能在机器内运行间谍脚本
那你检测个鸡毛,就只看CPU、IO、网络长期跑满吗?
遇到长期沾满资源的,打个快照,恢复到新机器上看看整啥玩意的。
history 命令就能检测出很多东西,顺带着监测进程
14楼 NiDiPiZiNaFongQ 2小时前
弱问,tls方式也能数据包检测?
15楼 小旭 2小时前
这种你靠母鸡无法检测的 只能运行组件在小鸡上 别想着客户数据隐私 在云上就没有什么隐私可言 只要你不损害他 怕毛线 想想大厂照样读取数据不然怎么监控违规违法
16楼 Augustus 2小时前
人工怎么审核,不能动客户机器,xmrig通信流量又没什么特征
在网络层面屏蔽掉常用矿池地址应该可破
17楼 Augustus 2小时前
弱问,tls方式也能数据包检测?
检测到小鸡在访问星火矿池、猫池、鱼池,除了挖矿还能是啥
18楼 s920361 1小时前
检测矿池很好绕过,走代理就好。 cpu限制,也能限制cpu用量
CPU高度消耗有多种情况,我能想到编译/富强加解密运算/压缩解压缩/挖矿,有些是合法用途
加解密运算会大量依赖AES运算
编译运算我比较不确定...应该啥都有,生成语法树,不同阶段做不同事
挖矿就要看种类,btc主要会有大量sha256的运算,xmr的CryptoNight也是大量依赖AES,还有数种hash算法。总之hash应该跑不掉
kvm/qemu/virtualbox有debugger功能,类似一般的debugger,能看到guest里面的cpu指令运作情况,下中断点,读写寄存器状态。代价是效能下降
但是全部的process还有kernel的上下文切换,指令会全部混在一起。不向OS level只看一个process
不过这不是问题,因为挖矿的人通常就只挖矿,90%的cpu time都在挖矿程式上,剩下10%才是其他ssh/杂七杂八的process/内核之类
所以会有明显特征。除非他全部混在一起,30%挖矿,40%编译,20%压缩,10%网路流量加密解密。这个可能就真的难抓
限制cpu用量也没用,可以过滤掉idle指令,只看有参与运算的指令
我想到的做法是针对可疑的用户(长年cpu占用高,或是稳定没波动),启用debug模式(它的性能会下降),记录下他的cpu指令纪录,使用深度学习进行比对
至于深度学习模型的算法,可以找找cryptojacking detection之类的论文。
训练资料,可能只能自己生,跑编译/v to ray/压缩解压缩/btc/etc/xmr,纪录cpu指令调用纪录,让模型去分类,抓出挖矿的
当然不只分析cpu指令调用,还可以搭配memory dump一起分析。看能不能找到类似挖矿的程式码
你只说不能扫硬碟/硬盘,可没说不能扫记忆体/内存。程式要运作都要先载入到记忆体,扫记忆体还更加精准
这个弄出来估计能生一篇新的论文
19楼 wmfy808 1小时前
检测矿池很好绕过,走代理就好。 cpu限制,也能限制cpu用量
CPU高度消耗有多种情况,我能想到编译/富强加 ...
能干这活的,三五万请不动,百万以上可以考虑。
20楼 s920361 1小时前
能干这活的,三五万请不动,百万以上可以考虑。
单一一个case应该不用到百万吧?几十万这个数量级应该就有人会接了,不过二三万我也估计请不到
当然,包维护就不一定了
例如后续针对新的挖矿法,用更先进的深度学习模型之类,或是持续训练改进模型
22楼 我太难了 半小时前
误报0,woc这哪家敢这么标
23楼 乌鸦钱 11分钟前
检测单个也不容易,想完全屏蔽所有?gcp都做不到。
24楼 xinxin8816 7分钟前
误报/误封率0%连GCP和AWS都做不到
25楼 Lish 20秒前
到不如直接封了常见矿场的端口,但是挖还是继续挖,只是挖出来的东西发送不出去而已。。
你如果不在小鸡搞脚本,是没办法检测的
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。