17、DeCrypto：在ISP网络中发现加密货币矿工

DeCrypto：在ISP网络中发现加密货币矿工

1. 研究贡献概述

本次研究的贡献主要体现在以下几个方面：
- 开发了规则生成器脚本，用于每日更新加密货币挖矿池的阻止列表，可用于基于可靠阻止列表的挖矿检测。该软件已公开，还用于创建大型加密货币挖矿通信数据集。
- 创建了两个包含真实流量的带注释数据集。它们总共包含超过100万个加密货币矿工通信的扩展双向流记录，以及约180万个其他类型流量的记录作为反例类别。目前尚未有类似规模的挖矿数据集，因此将其公开。
- 提出了一种名为DeCrypto的新型挖矿检测系统，使用弱挖矿指标。该检测器可以使用扩展流实时准确识别挖矿网络流量。高准确性与扩展流相结合，使该检测器可部署在高速ISP骨干线上，保护数百万台设备。
- 实现了所提出的检测器，并在拥有50万用户的全国性ISP基础设施上进行了评估。该实现作为开源项目在GitHub上公开。

2. 相关工作

由于挖矿被视为可疑活动，让网络运营商了解其网络中何时发生此类活动至关重要。一种可能的方法是使用知名挖矿池的基于IP的阻止列表来识别挖矿活动。然而，基于阻止列表的检测不可靠，因为阻止列表永远无法完整，且每个域名或IP地址可能托管多个服务，会导致误报。因此，多项研究提出了不同的挖矿检测方法：
- Jingqiang等人专注于检测基于浏览器的“静默矿工”。他们的方法使用沙箱加载网站，然后分析其资源以检测JavaScript（JS）矿工。
- Kharraz等人也专注于JS矿工。他们利用JS编译时间、JS引擎执行时间、垃圾回收等统计信息来训练机器学习（ML）检测器，实现了超过95%的真阳性率。但这些方法不使用计算机网络遥测来检测矿工，而是需要