(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111457492.3 (22)申请日 2021.12.02 (71)申请人 上海交通大 学 地址 200240 上海市闵行区东川路80 0号 (72)发明人 邹福泰　贺皓涵　王梓帆　吴越　 昌洵成　 (74)专利代理 机构 上海旭诚知识产权代理有限 公司 312 20 代理人 郑立 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种基于深度学习的轻量型加密劫持攻击 检测系统 (57)摘要 本发明公开了一种基于深度学习的轻量型 加密劫持攻击检测系统， 涉及计算机网络安全领 域。 包括模型训练和部署检测两部分。 本发明针 对现有检测系统的不足， 使用深度学习技术对转 为图像的挖矿程序进行分类检测。 本发明使用恶 意代码矢量化技术， 将挖矿程序的语义特征加入 图片中， 实现更高的分类精度。 同时保证良好的 异构性， 可同时对主流的两种语言(JavaScript、 WebAssembly)编写的挖矿 程序进行检测。 本发明 可以部署 到校园或企业网关， 对每日流量进行监 控检测。 并将检出的挂载恶意挖矿脚本的域名加 入到黑名单数据库中。 本发明提出的检测系统在 校园以及企业的网络防御中起到至关重要的作 用， 对加密劫持攻击的实时检测与防御有着积极 意义。 权利要求书2页 说明书6页 附图2页 CN 114157481 A 2022.03.08 CN 114157481 A 1.一种基于深度学习的轻量型加密劫持攻击检测系统， 其特征在于， 包括模型训练与 部署检测： 所述模型训练包括收集恶意挖矿脚本数据集； 数据 清洗， 筛选出适合于训练的样 本； 将样本矢量化成灰度图； 设计与训练用于识别挖矿脚本的深度学习神经网络； 所述部署 检测包括 获取待检测的url链接； 获取检测系统的输入； 利用训练至收敛的深度模 型进行推 断； 将域名加入黑名单与白名单。 2.如权利要求1所述的基于深度 学习的轻量型加密劫持攻击检测系统， 其特征在于， 所 述收集恶意挖矿脚本数据集包括： 从publicWWW搜索引擎获得含有JavaScript、 WebAssembly脚本的url列表； 爬取url所挂载的Javascript、 WebAssembly脚本； 分析 VirusShare网站提供的恶意代码， 并从中筛选出JavaScript、 WebAssembly脚本； 从github 的相关开源项目中获取JavaScript、 WebAs sembly样本 。 3.如权利要求1所述的基于深度 学习的轻量型加密劫持攻击检测系统， 其特征在于， 所 述数据清洗包括： 删除训练数据集中重复的样 本； 将样本集通过VirusTotal进行标注， 选取 恶意挖矿脚本以及正常的安全脚本 。 4.如权利要求1所述的基于深度 学习的轻量型加密劫持攻击检测系统， 其特征在于， 所 述样本矢量化成灰度图包括以下步骤： 步骤101： 利用编译工具以及反汇编工具将标定后的样本集 转换为一种统一文本表示； 步骤102： 分析文本表示， 定位恶意挖矿样本中的挖矿语义部分的位置区段， 并将所有 样本截取到相同区段； 步骤103： 将截取后的文本表示通过数值到灰度的映射填充成统一大小的图片， 这些图 片构成了模型的训练集。 5.如权利要求1所述的基于深度 学习的轻量型加密劫持攻击检测系统， 其特征在于， 所 述设计与训练用于识别挖矿脚本的深度学习神经网络包括： 在传统的卷积神经网络的基础 上， 加入模型轻量化技术， 减少模型参数与体积； 用训练集训练模型， 并调整参数以提高预 测性能； 训练曲线收敛后， 保存 模型参数。 6.如权利要求1所述的基于深度 学习的轻量型加密劫持攻击检测系统， 其特征在于， 所 述获取待检测的URL包括： 步骤201： 从网关获取流 量日志； 步骤202： 将流量日志中的域名提取出来， 利用黑白名单筛去已知含有或不含挖矿脚本 的域名； 步骤203： 获取不受信的域名的一级、 二级子目录 。 7.如权利要求1所述的基于深度 学习的轻量型加密劫持攻击检测系统， 其特征在于， 所 述获取检测系统的输入包括： 根据待测的URL， 获取页面所加载的脚本文件； 筛选出 javascript文件、 wasm模块以及html里的script标签元素； 将样本转换成一种统一表示， 并 矢量化成图片。 8.如权利要求1所述的基于深度 学习的轻量型加密劫持攻击检测系统， 其特征在于， 所 述利用训练至 收敛的深度模型进行推 断包括： 将图片输入到训练好的模型中， 并得到检测 结果； 根据检测结果将脚本所属域名进行 标记为挖矿域名或非挖矿域名。 9.如权利要求1所述的基于深度 学习的轻量型加密劫持攻击检测系统， 其特征在于， 将 检测到含有挖矿脚本的域名加入到黑名单中。权　利　要　求　书 1/2 页 2 CN 114157481 A 210.如权利要求1所述的基于深度学习的轻量型加密劫持攻击检测系统， 其特征在于， 所述将检测到不含有挖矿脚本的域名加入到白名单中。权　利　要　求　书 2/2 页 3 CN 114157481 A 3