高 見，孫 懿，王潤正，袁得崳

1.中國人民公安大學(xué) 安全防范與風(fēng)險評估公安部重點實驗室，北京102623

2.中國人民公安大學(xué) 信息網(wǎng)絡(luò)安全學(xué)院，北京100038

2008 年11 月1 日，中本聰發(fā)布了比特幣白皮書《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)》[1]，提出了一種P2P形式的虛擬加密數(shù)字貨幣。比特幣是由網(wǎng)絡(luò)節(jié)點的計算產(chǎn)生的本質(zhì)，是其與法定貨幣之間的明顯差別，是一種利用數(shù)字簽名、散列算法、共識機制、激勵機制等技術(shù)手段作為支撐，形成分布式、匿名性、完全去中心化的支付系統(tǒng)。

比特幣的獲取主要依靠算力[2]，通過在一定時間內(nèi)的隨機散列運算并求取隨機數(shù)獲得出礦獎勵。這也意味著只要你擁有一臺電腦即可參與到挖礦之中。因其開采的便利性且具有一般等價物的價值，引得大批人員投入到挖礦的潮流之中。

但隨著技術(shù)的發(fā)展，也帶來了許多安全方面的問題。大量的黑客通過一定的攻擊手段，以非法的方式使用受害者的系統(tǒng)資源和網(wǎng)絡(luò)資源[3]開采貨幣，造成大量損失。根據(jù)深信服安全團隊統(tǒng)計，如圖1 所示，2019 年上半年挖礦木馬攔截次數(shù)達54 億次，安全事件的發(fā)生也致使挖礦木馬數(shù)量驟增，挖礦攻擊已然成為目前最具威脅性的攻擊類型之一。

圖1 2019年上半年惡意挖礦攔截統(tǒng)計Fig.1 Interception statistics of malicious mining in the first half of 2019

隨著Web技術(shù)WebAssembly的完善，專門用以工作量證明的Cryptonight等算法的出現(xiàn)以及云服務(wù)的普及，黑客們的攻擊手段也更加花樣倍出。通過攻擊云服務(wù)器的方式，感染用戶進行挖礦也將成為新趨勢。這將會造成大量的資源被非法占用，受害者規(guī)模倍增，損失重大。因此對惡意挖礦的檢測也顯得尤為重要。

根據(jù)用戶經(jīng)常上網(wǎng)的方式來看，加強對利用瀏覽器進行挖礦的檢測具有重要意義。目前針對瀏覽器的挖礦檢測具有單一性，通常靜態(tài)檢測網(wǎng)頁源代碼或動態(tài)監(jiān)測瀏覽器各種事件響應(yīng)，且使用的模型較為單一。

因此本文通過使用混合檢測的方法將以往學(xué)者們提取的網(wǎng)頁挖礦特征進行融合，使用四種機器學(xué)習(xí)算法模型進行訓(xùn)練。在找出最適合于瀏覽器挖礦檢測模型的同時，也希望找出對瀏覽器挖礦檢測最具有標(biāo)識性的特征組合。

1 相關(guān)工作

近年來國內(nèi)外對惡意挖礦攻擊檢測均較為重視，也開發(fā)了許多檢測惡意挖礦攻擊的程序軟件。涉及到的檢測主要使用機器學(xué)習(xí)算法和深度學(xué)習(xí)算法，主要包括樸素貝葉斯、隨機森林、K近鄰、支持向量機、卷積神經(jīng)網(wǎng)絡(luò)等。

Konoth等人[4]通過運行時監(jiān)視CPU緩存事件、內(nèi)存訪問模式以及結(jié)合對代碼的靜態(tài)分析提出了Mine-Sweeper，一種基于監(jiān)視運行時的緩存事件和代碼靜態(tài)分析的模型，具有較高的抗混淆性。Kharraz等人[5]設(shè)計了一種可以自動檢測加密劫持的檢測系統(tǒng)Outguard，通過使用定制Web 瀏覽器提取特征，并使用SVM 分類算法構(gòu)建模型，得到了97.9%TPR和1.1%FPR的高性能檢測模型。Saad等人[6]通過對惡意加密劫持進行動態(tài)和靜態(tài)的分析，基于內(nèi)容、貨幣、代碼，得出加密劫持是一種針對各種網(wǎng)站類型并廣泛傳播的威脅，同時強調(diào)開采貨幣平臺與貨幣之間具有相似性，并以加密腳本的代碼復(fù)雜度特征設(shè)計出一個準(zhǔn)確率高達96.4%的檢測方法。

龍廷艷等人[7]將JavaScript 惡意代碼轉(zhuǎn)化為灰階圖像，并使用卷積神經(jīng)網(wǎng)絡(luò)對圖像數(shù)據(jù)進行分類。張衛(wèi)豐等人[8]提出了基于動態(tài)行為分析的網(wǎng)頁木馬檢測方法，通過針對攻擊腳本獲取、動態(tài)執(zhí)行函數(shù)數(shù)量等行為，形成相關(guān)字符串操作記錄特征，得到準(zhǔn)確率96.64%的檢測模型。魏旭、成衛(wèi)青[9]基于URL 特征、網(wǎng)頁代碼特征和HTTP 請求特征，使用多種機器學(xué)習(xí)算法進行惡意網(wǎng)頁識別，最終得到準(zhǔn)確率高達98%的網(wǎng)頁識別模型。秦玉海等人[10]則通過對網(wǎng)頁挖礦原理進行分析，基于python正則表達式對網(wǎng)頁后臺代碼進行匹配的方式進行識別，同時介紹一些防范策略。

除去上述研究外，一些網(wǎng)站或拓展程序也可實現(xiàn)對惡意挖礦進行檢測：CoinBlockerLists 依靠開源化、用戶更新的方式獲取惡意網(wǎng)頁列表，并可用以添加黑名單來達到防護目的。谷歌瀏覽器中的Wappalyzer拓展程序，可分析Cryptominers 類別中九種技術(shù)手段，同時涵蓋12 900多個黑名單，具有較高檢測率。

2 瀏覽器挖礦特征提取及檢測方案

2.1 瀏覽器挖礦檢測方案設(shè)計

本文構(gòu)建了一個基于機器學(xué)習(xí)用以檢測惡意挖礦網(wǎng)站的模型，其構(gòu)建流程如圖2 所示：根據(jù)一般機器學(xué)習(xí)模型的構(gòu)建流程，首先明確用來檢測惡意挖礦網(wǎng)站的目的，其次在了解惡意挖礦的相關(guān)內(nèi)容后選取如2.2 節(jié)所示的特征，然后通過爬蟲獲取相關(guān)數(shù)據(jù)集用來訓(xùn)練模型，接著根據(jù)評估標(biāo)準(zhǔn)對模型進行優(yōu)化，最后將模型部署運行。

圖2 模型構(gòu)建流程Fig.2 Model building process

同時本文通過nodejs 模塊構(gòu)建了一個基于Chrome的遠程調(diào)試協(xié)議的爬蟲系統(tǒng)[5]。爬蟲系統(tǒng)設(shè)計如圖3所示：主要使用nodejs中的Chrome-launcher、Chrome-remoteinterface、request模塊[11]，分別用以從node.js中啟動Chrome瀏覽器，使用谷歌瀏覽器調(diào)試協(xié)議與網(wǎng)頁進行交互，發(fā)送HTTP請求等。其次按照自己需求編寫JavaScript代碼，用以獲取特征提取中所涉及到的內(nèi)容。主要使用Chromeremote-interface 模塊中Page 域、Network 域、Profiler 域、Debugger域的方法和事件，模擬用戶瀏覽該網(wǎng)頁時的情況，并對事件進行追蹤，同時將收集到的事件序列返回。最后使用python 從收集到的數(shù)據(jù)[12]中提取出特征及特征相應(yīng)數(shù)量，形成csv 格式的數(shù)據(jù)集。本文按照惡意挖礦網(wǎng)站與良性網(wǎng)站為1∶1的比例，獲取了一個大小為2 000的數(shù)據(jù)集用以訓(xùn)練模型。

圖3 爬蟲系統(tǒng)結(jié)構(gòu)Fig.3 Architecture of crawler system

2.2 特征提取

本文主要構(gòu)建嵌入惡意JavaScript腳本的挖礦攻擊檢測模型，并從PublicWWW及Netlab360中獲取其公開發(fā)布的惡意挖礦網(wǎng)站數(shù)據(jù)集。在國內(nèi)外研究的基礎(chǔ)上，融合提取出如下特征用以訓(xùn)練模型。

（1）Websocket[5]：是一種讓通訊雙方可以在TCP 的單個連接上進行全雙工交流的協(xié)議（通訊雙方可以相互之間主動交換數(shù)據(jù)），同時建立連接的雙方之間只需完成一次認證，即可建立持久性的連接，使得服務(wù)器和客戶端之間的通信變得更加便捷。且相比于HTTP 協(xié)議每次請求的三次握手連接，Websocket 協(xié)議的持久性連接，避免了多次建立請求響應(yīng)消息對而產(chǎn)生的冗余頭部信息，節(jié)省了大量帶寬資源，又保證了通訊的實時性。并且大多惡意挖礦網(wǎng)站使用Websocket協(xié)議用以受害者和攻擊者之間建立聯(lián)系，方便傳遞信息。

（2）Web Worker[5]：JavaScript語言采用單線程模式，所有任務(wù)在一個線程上完成，按照順序一步一步執(zhí)行。當(dāng)某一任務(wù)耗時較長時，即便后面的任務(wù)多么簡單也會致使其延后，即造成阻塞。Web Worker 理念允許創(chuàng)建附屬于主線程的Worker 線程，這些附屬線程可以接受并處理來自主線程分配的任務(wù)，這種Worker 線程獨立于其他腳本，在后臺運行。對于一些計算復(fù)雜、時延較長的任務(wù)可通過該線程在后臺運行，這樣通常用于交互的JavaScript主線程就不會被阻塞或拖慢。大部分惡意挖礦網(wǎng)站都會使用Worker 線程，因為其主要使用受害者資源進行大量數(shù)據(jù)計算，如果僅靠主線程進行計算，一般會使網(wǎng)頁界面反應(yīng)緩慢，導(dǎo)致用戶體驗感不佳而放棄瀏覽或引起用戶懷疑。

（3）Postmessage[5]及onmessage 事件：人們已經(jīng)知道主線程可以創(chuàng)建其附屬線程來避免阻塞，但二者之間如何進行數(shù)據(jù)交換，Postmessage及onmessage事件解決了這個問題。主線程通過調(diào)用worker.postMessage（）方法向Worker線程發(fā)送信息，并通過worker.onmessage監(jiān)聽Worker 線程接受其發(fā)送回來的信息。發(fā)現(xiàn)惡意挖礦網(wǎng)站進行大量計算的同時還需要將結(jié)果進行提交，因此會在子線程和主線程之間進行頻繁數(shù)據(jù)交換，即發(fā)生較多的Postmessage、onmessage事件。

（4）Messageloop 事件[5]：瀏覽器是一種多進程的結(jié)構(gòu)設(shè)計，每個進程內(nèi)又有許多線程，多線程之間的交互則通過Messageloop 事件進行。人們已經(jīng)知道Web Worker 的出現(xiàn)可以使主線程創(chuàng)建多個子線程用以處理任務(wù)，子線程之間可以通過共同運算得出結(jié)果，而線程之間的交互則通過Messageloop 事件進行，因此選取其作為識別惡意挖礦網(wǎng)站的特征之一。

（5）CPU 使用率：挖礦網(wǎng)站通常會占據(jù)用戶大量的CPU 資源進行挖礦計算，獲取CPU 使用率的高低對識別惡意挖礦也具有分辨性。

（6）關(guān)鍵字匹配：觀察提供商所提供的挖礦腳本，可以發(fā)現(xiàn)同屬于一個提供商的腳本具有相似的代碼關(guān)鍵字。因此可以通過正則表達式匹配網(wǎng)頁代碼段中是否含有該關(guān)鍵字，來進行識別判斷。各提供商關(guān)鍵字如表1所示。

表1 提供商關(guān)鍵字Table 1 Provider keywords

（7）計算函數(shù)：比特幣系統(tǒng)中共識機制使得系統(tǒng)得以維護統(tǒng)一的賬本，其主要使用哈希函數(shù)求解隨機數(shù)運行。隨著技術(shù)的發(fā)展，除SHA-256 算法外，CryptoNight算法也常用來實現(xiàn)共識。此外，進行挖礦需要下載有效載荷，一般是wasm模塊。結(jié)合以上兩個特點，本文選取“Cryptonight、SHA256、hash、wasmwrapper、WebAssembly、scrypt”這6 個關(guān)鍵字用以匹配函數(shù)名稱來標(biāo)識有無出現(xiàn)上述特點的函數(shù)。

（8）動態(tài)函數(shù)：動態(tài)執(zhí)行函數(shù)及生成函數(shù)的存在，使得攻擊者可以把想要隱藏的代碼經(jīng)過處理后隱藏在一個或多個字符串中[2]，在運行期間又可恢復(fù)原狀并執(zhí)行，進而規(guī)避一些檢測手段。因此對于該方式下的檢測也尤為重要，本文通過統(tǒng)計setTimeout（）、setInterval（）[8]函數(shù)的個數(shù)來識別挖礦網(wǎng)站。

可以將本文所提取的特征按照性能簡單分為兩類：Web 技術(shù)類和靜態(tài)代碼類。本文提取到的特征如表2所示。

表2 瀏覽器挖礦特征Table 2 Mining features of browser

3 實驗結(jié)果與分析

實驗的目的是用來驗證本文選取的特征對于識別惡意挖礦網(wǎng)站是否有效，選出檢測效果最優(yōu)的模型以及對于檢測惡意挖礦網(wǎng)站具有標(biāo)識性的特征。

3.1 數(shù)據(jù)獲取

本文通過Outguard的爬蟲框架[5]，以chrome瀏覽器插件的方法爬取URL 的相關(guān)特征數(shù)據(jù)，并采取了部分Outguard已標(biāo)注好的惡意網(wǎng)站數(shù)據(jù)。本文爬取的數(shù)據(jù)，其中惡意挖礦網(wǎng)站來自PublicWWW 和Netlab360 公開的惡意挖礦名單（其中剔除了一些無效網(wǎng)站），良性網(wǎng)站則隨機選擇在Alexa排名在前的網(wǎng)頁（其中選取了一些特征值具有特殊性的網(wǎng)站）。

3.2 分類模型

實驗使用四種分類算法，分別是邏輯回歸算法、支持向量機算法、決策樹算法和隨機森林算法[13-14]，模型訓(xùn)練時均使用五折交叉驗證。主要使用混淆矩陣、F1 度量、ROC曲線作為評估指標(biāo)。

混淆矩陣：對于二分類問題能夠最為直觀地展示出分類結(jié)果[14]，矩陣組成如圖4所示。

圖4 混淆矩陣Fig.4 Confusion matrix

F1度量：精準(zhǔn)率和召回率的調(diào)和平均值，是一種比精度更好的評價指標(biāo)，其公式如下：

ROC 曲線：受試者工作特征曲線，簡稱為ROC 曲線，它通過分類器給定不同的閾值來顯示假正例率和真正例率的曲線圖。假正例率公式如下：

其中正確檢測出含有挖礦腳本的網(wǎng)頁為真正例（TP），錯誤地認為正常網(wǎng)頁含有挖礦腳本的為假正例（FP），正確地檢測出是正常網(wǎng)頁的為真反例（TN），沒有正確檢測出含有挖礦腳本的網(wǎng)頁為假反例（FN）。

實驗1 進行四種檢測模型訓(xùn)練，并將各模型評價指標(biāo)數(shù)據(jù)進行對比找出最佳結(jié)果模型。該實驗得出的結(jié)果如表3及圖5所示。

圖5 四種模型的ROC曲線圖及混淆矩陣Fig.5 ROC curve and confusion matrix of four models

表3 四種模型的F1度量值Table 3 F1 measures of four models

通過直觀對比可以看出，隨機森林得到的結(jié)果最佳，F(xiàn)1指標(biāo)高達0.989且在混淆矩陣中錯分分類個數(shù)最小。即隨機森林在該環(huán)境下最適宜于網(wǎng)頁挖礦檢測。

實驗2 通過篩選特定組合后的特征數(shù)據(jù)集用以訓(xùn)練模型，比較篩選前評價指標(biāo)的變化差值，找出對瀏覽器挖礦具有較高識別性的特征組合。

首先按照2.2節(jié)特征提取中劃分的兩類進行篩選組合，得出結(jié)果如表4及圖6、圖7所示。

圖7 去除靜態(tài)代碼特征后的模型比較Fig.7 Models after removing static code features

表4 按類去除特征后四種模型的F1度量值Table 4 F1 measures of four models after feature removal by class

圖6 去除Web技術(shù)特征后的模型比較Fig.6 Models after removing technical features of Web

結(jié)合上述數(shù)據(jù)可以直觀地看到：去除靜態(tài)代碼特征后的模型評價結(jié)果無較大差別，其中隨機森林算法模型結(jié)果有所提高，但其他三種模型結(jié)果均有所下降。去除Web技術(shù)特征后，四種模型評估指標(biāo)均較大下降且數(shù)據(jù)結(jié)果無差別。在混淆矩陣中可以看到四種模型均錯誤地識別83個數(shù)據(jù)為良性網(wǎng)站，經(jīng)手動查看后，該83個數(shù)據(jù)點均無靜態(tài)代碼特征所標(biāo)識值，因此被錯誤地識別為良性網(wǎng)站。以上可以得出Web 技術(shù)特征對惡意挖礦網(wǎng)站的識別更具重要性。

下面將通過去除Web 技術(shù)特征類中的特征或特征組合，來找出對惡意挖礦識別最具標(biāo)識性的特征。通過去除單個特征后，ROC曲線的波動的比較，挑選出對模型影響較大的特征，使用邏輯回歸、支持向量機、決策樹和隨機森林四種模型計算F1值，如表5所示。

表5 篩選特征組合后四種模型F1度量值Table 5 F1 measures of four models after screening feature combination

綜合每個模型混淆矩陣錯誤分類個數(shù)、F1 值相較全特征數(shù)據(jù)集之間的差值、ROC曲線的波動，可以看出Websocket、Web Worker 及Postmessage 及onmessage 事件對模型的影響較大，采用將三者剔除后的數(shù)據(jù)集進行模型訓(xùn)練，得到如表6 及圖8 所示數(shù)據(jù)。較之前所有結(jié)果，去除后的F1度量值浮動最大，且混淆矩陣錯誤分類數(shù)據(jù)個數(shù)最多，因此可以得出結(jié)論：Websocket、Web Worker和Postmessage 及onmessage 事件這三個特征結(jié)合后對識別惡意挖礦網(wǎng)站具有最高標(biāo)識性。

圖8 去除三種特征后ROC曲線圖及混淆矩陣Fig.8 ROC curve and confusion matrix after removing three features

表6 去除三種特征后F1度量值Table 6 F1 measures after removing three features

4 結(jié)束語

本文架構(gòu)主要基于比特幣系統(tǒng)及惡意攻擊手段。首先對虛擬貨幣系統(tǒng)支撐技術(shù)和惡意挖礦攻擊手段進行簡單描述。然后綜合國內(nèi)外現(xiàn)有的惡意挖礦檢測技術(shù)，融合八個特征進行模型訓(xùn)練，完成了惡意挖礦檢測模型的設(shè)計。本文主要研究成果如下：實現(xiàn)了一種平均F1度量值為98.7%的瀏覽器挖礦檢測模型，并綜合評價得出Websocket、Web Worker 和Postmessage 及onmessage事件這三個特征的結(jié)合對惡意挖礦檢測具有高標(biāo)識性。

本文在研究過程中主要遇到的問題在于特征的選取。在國內(nèi)外的相關(guān)研究中大量的惡意挖礦檢測特征被提出，如何在此基礎(chǔ)上選取出更優(yōu)的特征組合或者提出新的特征成為本文的最大難題。同時本文使用監(jiān)督學(xué)習(xí)方式用以訓(xùn)練檢測模型，但這種方式過于依賴特征的選擇及分類器的選擇[15]。一旦攻擊者使用某種方式避免或隱藏了該特征，就很容易規(guī)避檢測，從而造成他人權(quán)益損失。在未來工作中，將會著重于對瀏覽器挖礦特征選出更具有高效性的新特征及使用深度學(xué)習(xí)算法對模型進行優(yōu)化。