虛擬貨幣的主動挖礦活動檢測研究綜述

張翔

一、虛擬貨幣挖礦及其特征

虛擬貨幣的“挖礦”是指通過計(jì)算機(jī)解決一定的數(shù)學(xué)問題來產(chǎn)生新的虛擬貨幣的行為。挖礦是區(qū)塊鏈技術(shù)的重要組成部分，自虛擬貨幣誕生以來，挖礦的主要形式是工作量證明（PoW），即在比特幣等許多虛擬貨幣區(qū)塊鏈中，挖礦者（礦工）必須尋找一個特定的哈希值。這個過程是隨機(jī)的，需要大量的計(jì)算，只有找到該值，礦工才有權(quán)將新的區(qū)塊添加到區(qū)塊鏈中，并獲得一定數(shù)量的虛擬貨幣作為獎勵。挖礦通常具有以下特點(diǎn)：

1.密集性：挖礦完成大量的無意義計(jì)算，通過解決復(fù)雜數(shù)學(xué)問題，獎勵與設(shè)備性能、能耗通常成正比。

2.競爭性：礦工通過挖礦來競爭獲得虛擬貨幣。一般是第一個成功解決問題的礦工獲得獎勵，即使通過礦池，這種機(jī)制也導(dǎo)致了大量無意義計(jì)算。

3.可靠性：挖礦有助于維護(hù)虛擬貨幣網(wǎng)絡(luò)安全。礦工通過解決問題來驗(yàn)證交易并添加新的區(qū)塊以確保網(wǎng)絡(luò)的完整性和去中心化。

4.獎勵機(jī)制：礦工獲得新發(fā)行的虛擬貨幣作為獎勵，這一般是參與挖礦的根本動機(jī)。

二、挖礦的危害

我國自2021年后，由發(fā)改委、網(wǎng)信辦等十多家部委聯(lián)合開展工作，對挖礦采取了嚴(yán)厲的管制，通過多種手段監(jiān)管、防治各類挖礦活動，取得了優(yōu)異的治理效果。教育行業(yè)中，高等院校因算力大且密集的突出特點(diǎn)，成為挖礦整治的重點(diǎn)對象。挖礦的危害包括但不限于：

1.能源消耗巨大：挖礦大量消耗能源，產(chǎn)生大量碳排放，違背綠色發(fā)展理念，影響碳中和國家戰(zhàn)略。我國西部、北部等使用非可再生能源進(jìn)行挖礦的企業(yè)曾出現(xiàn)扎堆現(xiàn)象，對能源供應(yīng)和生態(tài)環(huán)境造成了負(fù)面影響。

2.擾亂金融秩序：虛擬貨幣沒有政府信用支撐，炒作擾亂正常金融秩序，甚至成為洗錢、非法轉(zhuǎn)移資產(chǎn)等違法犯罪活動的工具，也使區(qū)塊鏈產(chǎn)業(yè)污名化，發(fā)展受限。

3.網(wǎng)絡(luò)安全隱患：挖礦需要使用大量計(jì)算設(shè)備，巨大利益使得相關(guān)灰色產(chǎn)業(yè)發(fā)達(dá)，引發(fā)了數(shù)據(jù)泄露和病毒感染等安全問題，病毒和僵尸網(wǎng)絡(luò)以利用終端進(jìn)行挖礦為目的。同時(shí)其規(guī)模算力過于集中，也為正常的區(qū)塊鏈帶來了安全問題。

4.加劇市場競爭：挖礦競爭激烈，因其去中心化和匿名性，大量礦工采取不道德或非法的手段來獲取更多的利益。虛擬貨幣價(jià)格走高的同時(shí)，硬件資源競爭加劇，高性能GPU等設(shè)備價(jià)格瘋漲，影響電腦、游戲產(chǎn)業(yè)發(fā)展。

三、主動挖礦與被動挖礦

主動挖礦和被動挖礦的界定主要在于參與者的行為和動機(jī)方面有所不同。

主動挖礦，指在挖礦活動中，個人或組織有意識地積極參與挖礦活動。通過投資設(shè)備、能源和時(shí)間來進(jìn)行PoW計(jì)算，創(chuàng)建新的區(qū)塊，并驗(yàn)證交易以獲得挖礦獎勵。主動挖礦者一般出于經(jīng)濟(jì)動機(jī)，目標(biāo)是賺取虛擬貨幣獎勵和交易費(fèi)用。典型代表是比特幣、早期以太坊等PoW共識機(jī)制的虛擬貨幣。

被動挖礦的情況目前主要有兩種：其一是指個人或組織不直接積極參與挖礦活動，而通過其他方式獲得收益，例如權(quán)益證明（Proof of Stake，PoS）或委托權(quán)益證明（Delegated Proof of Stake，DPoS）等等，此類收益通常通過質(zhì)押來獲得，不用進(jìn)行大量計(jì)算，例如以太坊2.0；其二是指硬件設(shè)備被人為操縱，被病毒、木馬、網(wǎng)頁腳本等手段控制后，被動地參與了PoW挖礦，這種情況硬件設(shè)備通常是網(wǎng)絡(luò)安全問題的被害者。特別是瀏覽器挖礦，WEB服務(wù)器被入侵后植入挖礦腳本到頁面中，致使訪問者一旦訪問該網(wǎng)頁，設(shè)備就可能開始被動挖礦，危害范圍較廣。

四、挖礦檢測發(fā)展現(xiàn)狀

過去數(shù)年，我國高壓態(tài)勢打擊挖礦，相關(guān)企業(yè)大規(guī)模外遷，轉(zhuǎn)向北美、俄羅斯、中亞，甚至中東、非洲、南美洲，國外對挖礦活動的監(jiān)管寬松，相關(guān)研究動力匱乏，國內(nèi)對挖礦檢測的研究相對國外更具有持續(xù)性，力度更大。

目前對主動挖礦行為的檢測技術(shù)分類未見統(tǒng)一標(biāo)準(zhǔn)。中國信息通信研究院安全研究所將檢測技術(shù)分為：挖礦協(xié)議流量識別、威脅情報(bào)匹配、攻擊鏈模型關(guān)聯(lián)識別、基于AI的基因模型監(jiān)測四類。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心將檢測識別技術(shù)分為三類：一是基于異常能耗與實(shí)地調(diào)查的方法；二是基于AI算法的網(wǎng)絡(luò)流量檢測方法；三是基于礦池IP流量的檢測識別方法。也有研究認(rèn)為有兩條路線，一種是模型單機(jī)部署，另一種是網(wǎng)絡(luò)中心結(jié)點(diǎn)部署模型。

本文通過整理近年來國內(nèi)文獻(xiàn)得出，主機(jī)端和流量端兩個方向是最適用于描述檢測的基本分類，并將主動挖礦的檢測技術(shù)歸納分類如下圖：

圖1 主動挖礦檢測

（一）基于網(wǎng)絡(luò)流量

1.基于礦池協(xié)議：挖掘活動普遍需要與礦池連接，通信過程采用特殊的協(xié)議。目前比特幣、門羅幣等PoW虛擬貨幣使用了如Stratum、GetWork、GetBlockTemplate等協(xié)議。Stratum協(xié)議是當(dāng)前最主要的礦機(jī)和礦池之間的通信協(xié)議，礦工通過該協(xié)議連接礦池、獲取任務(wù)、獲取挖礦任務(wù)，提交工作量。通過識別通信流量中的挖礦協(xié)議，可以找到明顯的標(biāo)識特征。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的研究提出了一種檢測識別模型和多維度挖礦指紋特征提取方法，實(shí)現(xiàn)了挖礦自動檢測識別。童瑞謙等人[1]提出的面向未知挖礦行為通信協(xié)議流量的自動化識別方法實(shí)現(xiàn)了99%的識別準(zhǔn)確率。

2.基于流量特征：徐寧等人[2]提取挖礦流量在統(tǒng)計(jì)和時(shí)序方面的特征以及數(shù)據(jù)包特征參數(shù)進(jìn)行建模，形成了檢測模型。楊家海等人[3]提出了一種基于時(shí)間序列追蹤的挖礦流量檢測方法和裝置，采集檢測時(shí)間區(qū)間的原始流量數(shù)據(jù)集，以區(qū)塊創(chuàng)建時(shí)間序列為基準(zhǔn)，通過相似度計(jì)算生成檢測結(jié)果。余文等人[4]提出了提取協(xié)議流，再分析挖礦通信協(xié)議封裝的傳輸數(shù)據(jù)包，最終識別并定位出源主機(jī)的方法。近期的研究趨于結(jié)合AI，Caprolu等人提出了一種基于機(jī)器學(xué)習(xí)的框架，覆蓋了礦池挖礦、單獨(dú)挖礦以及活動節(jié)點(diǎn)，證明了流量特征對于挖礦檢測的有效性[5]。

3.基于DNS：中國聯(lián)通廣東分公司提出了一種算法，基于DNS流量、AAA日志和威脅情報(bào)數(shù)據(jù)，自動識別挖礦行為和礦工。此類方法適合網(wǎng)絡(luò)運(yùn)營商或管理機(jī)構(gòu)。

（二）基于計(jì)算設(shè)備

主動挖礦的大量計(jì)算活動會導(dǎo)致CPU或GPU使用率較高，能耗陡增，所以對計(jì)算設(shè)備的檢測會從系統(tǒng)行為、程序文件特征、能耗表現(xiàn)等方面進(jìn)行分析，主要包括：

1.基于特征簽名：檢測惡意軟件的成熟方法，靜態(tài)分析與特征庫進(jìn)行匹配從而識別出挖礦程序。近年來的研究將此類方法歸為“傳統(tǒng)手段”，作為其他新檢測的參照物。

2.基于多種特征：傅建明等人[6]的研究從內(nèi)在層級聯(lián)系出發(fā)，提取多種靜態(tài)特征，訓(xùn)練三層模型將這些特征分別嵌入向量化，利用分類器實(shí)現(xiàn)了挖礦惡意軟件的檢測。目前靜態(tài)分析逐步趨向混合化。

3.基于API調(diào)用：挖礦在系統(tǒng)中難以避免調(diào)用，所以調(diào)用檢測在研究中倍受青睞。Berecz等人[7]基于API序列選擇與挖礦關(guān)聯(lián)的API與動態(tài)鏈接庫、文件屬性作為特征，建立了機(jī)器學(xué)習(xí)檢測模型。曹傳博等人[8]提出了“挖礦軟件行為多樣期（Behavioral Diversity Period of Cryptominer，BDP）”的概念以及相應(yīng)的挖礦惡意軟件早期檢測方法，并迅速改進(jìn)為基于AECD詞嵌入的挖礦惡意軟件早期檢測方法，以軟件在運(yùn)行初期所調(diào)用的一定長度的API序列為檢測對象，實(shí)施對挖礦惡意軟件的早期檢測，取得了98.21%的Accuracy值檢測效果。

4.基于系統(tǒng)負(fù)載：此類檢測技術(shù)方法早先多見于被動挖礦的檢測，如“cryptojacking”，多數(shù)以CPU和GPU的負(fù)載情況為數(shù)據(jù)依據(jù)。邢寶玉等人[9]通過監(jiān)測GPU的第一調(diào)用信息和第二調(diào)用信息，判斷加載進(jìn)程是否為惡意挖礦行為。Gangwal等人[10]利用硬件性能計(jì)數(shù)器（HPC）結(jié)合機(jī)器學(xué)習(xí)手段提取明晰特征，通過決策模型實(shí)現(xiàn)了在不同處理器上的檢測。

5.基于能源消耗：基于能耗的檢測是依據(jù)挖礦活動大量消耗能源的活動特征，通過對能耗數(shù)據(jù)進(jìn)行分析而得出檢測結(jié)果的一種有效方式。早在2018年，基于機(jī)器學(xué)習(xí)與能耗的檢測方法被提出，通過監(jiān)控物聯(lián)網(wǎng)設(shè)備的能耗來檢測挖礦，并監(jiān)控不同進(jìn)程的能源消耗模式而將應(yīng)用程序分類。2019年國際嵌入式計(jì)算與系統(tǒng)設(shè)計(jì)研討會文獻(xiàn)中，有學(xué)者比較研究了在嵌入式設(shè)備中的挖礦時(shí)的功耗、電源變化及其對整個系統(tǒng)的影響。

五、相關(guān)研究展望

虛擬貨幣挖礦從高潮回落低潮，網(wǎng)絡(luò)安全行業(yè)相關(guān)研究成果豐碩，我國作為曾經(jīng)的虛擬貨幣算力大國，為響應(yīng)政府嚴(yán)厲打擊挖礦活動的政策法規(guī)，研究熱度出現(xiàn)了逐年上升的現(xiàn)象。根據(jù)Hashrate Index最新發(fā)布的2023年第三季度比特幣挖礦報(bào)告，當(dāng)前的算力價(jià)格處于歷史最低水平?；ヂ?lián)網(wǎng)的檢索數(shù)據(jù)也證實(shí)了挖礦熱度逐漸退卻的這一趨勢。

從研究發(fā)展趨勢看，融合多種方法是大勢所趨。比如威脅情報(bào)與人工智能就是各個研究中常見的檢測方法強(qiáng)化手段。本文所歸納的各種檢測類型正在更多地以模塊、環(huán)節(jié)的形式互相結(jié)合，特別是以深度學(xué)習(xí)為代表的多種算法。此外，也有研究者認(rèn)為使用PoS共識替代PoW有助于減少其能源消耗，這體現(xiàn)了個別地區(qū)解決挖礦危害采取了堵不如疏的解決思路。本文大膽預(yù)測，挖礦檢測相應(yīng)的關(guān)注與研究也將在全球范圍內(nèi)逐步減少，但新檢測方法的有效性和檢出率將持續(xù)提高。