Cryptojacking occurs when an adversary illicitly runs crypto-mining software over the devices of unaware users. This novel cybersecurity attack, that is emerging in both the literature and in the wild, has proved to be very effective given the simplicity of running a crypto-client into a target device. Several countermeasures have recently been proposed, with different features and performance, but all characterized by a host-based architecture. The cited solutions, designed to protect the individual user, are not suitable for efficiently protecting a corporate network, especially against insiders. In this paper, we propose a network-based approach to detect and identify crypto-clients activities by solely relying on the network traffic, even when encrypted and mixed with non-malicious traces. First, we provide a detailed analysis of the real network traces generated by three major cryptocurrencies, Bitcoin, Monero, and Bytecoin, considering both the normal traffic and the one shaped by a VPN. Then, we propose Crypto-Aegis, a Machine Learning (ML) based framework built over the results of our investigation, aimed at detecting cryptocurrencies related activities, e.g., pool mining, solo mining, and active full nodes. Our solution achieves a striking 0.96 of F1-score and 0.99 of AUC for the ROC, while enjoying a few other properties, such as device and infrastructure independence. Given the extent and novelty of the addressed threat we believe that our approach, supported by its excellent results, pave the way for further research in this area.

当攻击者在无意识用户的设备上非法运行加密矿软件时，就会发生加密劫持。考虑到将加密客户端运行到目标设备中的简单性，这种新颖的网络安全攻击在文献中和野外都已出现，已经证明是非常有效的。最近已经提出了几种对策，这些对策具有不同的功能和性能，但都具有基于主机的体系结构。所引用的旨在保护个人用户的解决方案不适合有效地保护公司网络，尤其是针对内部人员的保护。在本文中，我们提出了一种基于网络的方法，即使仅加密并与非恶意跟踪混合使用，也可以仅依靠网络流量来检测和识别加密客户端活动。第一的，我们提供了对三种主要加密货币（比特币，门罗币和Bytecoin）生成的真实网络踪迹的详细分析，同时考虑了正常流量和VPN形成的流量。然后，我们提出基于我们研究结果的基于机器学习（ML）的框架Crypto-Aegis，旨在检测与加密货币相关的活动，例如池挖掘，单独挖掘和活动的完整节点。我们的解决方案在ROC上达到了惊人的F1分数0.96和AUC 0.99，同时还享有其他一些特性，例如设备和基础架构的独立性。考虑到所解决威胁的范围和新颖性，我们相信我们的方法在其出色的研究结果的支持下为该领域的进一步研究铺平了道路。同时考虑正常流量和受VPN影响的流量。然后，我们提出基于我们研究结果的基于机器学习（ML）的框架Crypto-Aegis，旨在检测与加密货币相关的活动，例如池挖掘，单独挖掘和活动的完整节点。我们的解决方案在ROC上达到了惊人的F1分数0.96和AUC 0.99，同时还享有其他一些特性，例如设备和基础架构的独立性。考虑到所解决威胁的范围和新颖性，我们认为我们的方法得到了出色的结果的支持，为在该领域的进一步研究铺平了道路。同时考虑正常流量和受VPN影响的流量。然后，我们提出基于研究结果构建的基于机器学习（ML）的框架Crypto-Aegis，旨在检测与加密货币相关的活动，例如池挖掘，单独挖掘和活动的完整节点。我们的解决方案在ROC上达到了惊人的F1分数0.96和AUC 0.99，同时还享有其他一些特性，例如设备和基础架构的独立性。考虑到所解决威胁的范围和新颖性，我们认为我们的方法得到了出色的结果的支持，为在该领域的进一步研究铺平了道路。池挖掘，单独挖掘和活动的完整节点。我们的解决方案在ROC上达到了惊人的F1分数0.96和AUC 0.99，同时还享有其他一些特性，例如设备和基础架构的独立性。考虑到所解决威胁的范围和新颖性，我们认为我们的方法得到了出色的结果的支持，为在该领域的进一步研究铺平了道路。池挖掘，单独挖掘和活动的完整节点。我们的解决方案在ROC上达到了惊人的F1分数0.96和AUC 0.99，同时还享有其他一些特性，例如设备和基础架构的独立性。考虑到所解决威胁的范围和新颖性，我们认为我们的方法得到了出色的结果的支持，为在该领域的进一步研究铺平了道路。