论文部分内容阅读
近年来,浏览器挖矿已经成为一种新的网站盈利方式。不法分子利用其便捷的特性将挖矿脚本注入到他人或自己的网站中,一旦访客访问了这些站点,恶意挖矿脚本就会在后台默认运行。这些恶意挖矿脚本利用各种规避技术以逃避安全检测,长期侵占访客的计算资源,获取非法利益。为了应对浏览器挖矿攻击,研究人员围绕网站的动静态特征提出了各种不同的检测方法。尽管这些方法在已知的数据集中表现良好,但是在真实场景中仍然存在查全率不足、查准率较低等问题。为此,本文从静态和动态两个角度分别提出了两种不同的浏览器挖矿检测方法。本文主要工作和贡献如下:(1)针对现有的浏览器挖矿脚本检测方法难以抵御规避技术且查全率较低的问题,提出了一种基于静态关键字的挖矿脚本检测方法。该方法以跟踪文件为输入,提取网站的资源请求和服务连接请求,通过与挖矿服务关键字列表进行正则匹配来找出挖矿脚本。该方法能有效对抗域名变换和代码混淆技术,及时发现已知的挖矿脚本。(2)针对现有的浏览器挖矿行为检测方法无法理解挖矿本质且查准率较低的问题,本文深入分析了浏览器挖矿的动态特征,并且根据网站的行为构建了多边关系图结构。以多边关系图为基础,提出了一种基于图神经网络的挖矿行为检测方法,该方法可以准确提取网站的运行时行为并找出实时运行的挖矿网站。由于多边关系图对挖矿本质特征的准确表达,该方法在真实场景下对未知的网站行为具有更高的检测精度。(3)融合上述动静态检测方法,本文设计并实现了一套浏览器挖矿检测原型系统Miner Lamp。本文从真实环境中收集了21923条数据以开展实证研究,同时将Miner Lamp与6种已有的检测工具在查准率、查全率、F1值和性能等方面进行了深入比较。最终,Miner Lamp在挖矿脚本检测实验中达到了100%的查准率和99.68%的查全率,在挖矿行为检测实验中达到了100%的F1值。实验结果表明,基于静态关键字的方法和基于图神经网络的方法相结合能有效提升浏览器挖矿检测系统的查准率和查全率。