18、DeCrypto：在ISP网络中检测加密货币矿工

DeCrypto：在ISP网络中检测加密货币矿工

1. 引言

随着加密货币价值的不断攀升，越来越多的人参与到加密货币挖矿中。然而，这也带来了一些安全问题，如滥用挖矿资源等。因此，检测加密货币矿工变得至关重要。本文将介绍一种名为DeCrypto的检测方法，它可以在ISP网络中可靠地检测挖矿实体。

2. TLS SNI分类器

2.1 挖矿池域名分析

挖矿池可以运营多个挖矿服务器，并为多种加密货币提供服务。在设计数据集中，共有4361个具有非空SNI的加密货币矿工流量。这些挖矿池域名包含加密货币名称和特定服务器标识，同时也包含暗示挖矿过程的关键词，如“pool”或“mine”。

2.2 关键词分组

• 第一组关键词 ：包含加密货币缩写，如“rvn”、“xmr”和“eth”。在设计数据集中，“rvn”出现在1239个SNI值中，“xmr”出现在835个中，“eth”出现在1267个中。该组关键词覆盖了约75%的加密货币矿工流量。此外，TLS SNI分类器还基于观察到的域名创建了四种增强模式：-$NAME, $NAME-, .$NAME和$NAME（$NAME是加密货币的缩写）。
• 第二组关键词 ：包含表示挖矿过程的关键词“mine”和“pool”。“mine”出现在2287个SNI值中，“pool”出现在2074个中，且没有流量的SNI同时包含这两个关键词。这两个关键词可以匹配所有具有非空SNI值的加密货币矿工流量。

2.3 分类器输出

TLS SNI分