Monero Kripto Para Madenciliğinin Ağ Trafiği Analizi: İstatistiksel ve Tayf Karakteristiği

Yıl 2025, Cilt: 6 Sayı: 2, 54 - 64

Semih Taha Köylü , Ali Gezer

https://doi.org/10.53525/jster.1744331

Öz

Ağ trafiği analizi, siber güvenlik ve bilişim sistemlerin performansı için günümüzde stratejik öneme sahiptir. Bu çalışma, Monero kripto para biriminin madencilik süreci sırasında ve sistemin boşta olduğu anlarda yakalanan ağ trafiği verilerini karşılaştırmalı olarak analiz etmektedir. Amaç, madencilik etkinliklerinin ağ trafiğinde oluşturduğu istatistiksel farkları ortaya koymak ve bu farklardan yola çıkarak izinsiz kripto madenciliği (cryptojacking) gibi tehditlerin tespiti için yöntem geliştirmektir. Çalışmada, Ubuntu işletim sisteminde tcpdump aracıyla toplanan toplam 7.5 milyondan fazla ağ paketi analiz edilmiştir. Ağ trafiği, madencilik yapılan iki ayrı gün ve sistemin boşta kaldığı bir dönem için ayrı ayrı incelenmiştir. Analiz sürecinde Hurst katsayısı ile özbenzerlik, CDF ile dağılım yapısı, otokorelasyon ile periyodiklik, güç spektral yoğunluğu (PSD) ile frekans bileşenleri ve toplu trafik analizi ile zaman ölçeğindeki değişimler değerlendirilmiştir. Madencilik trafiğinde daha yüksek ortalama paket boyutları (~950 bayt), daha kısa paket arası süreler (~0.02 sn) ve daha belirgin periyodik desenler gözlemlenmiştir. Buna karşın sistem boşta iken trafik, düşük yoğunluklu, daha rastlantısal ve istatistiksel olarak farklı karakterde seyretmiştir. Elde edilen bulgular, kripto madenciliğinin ağda iz bırakan yapısal özellikler oluşturduğunu ve bu özelliklerin ağ izleme sistemleri tarafından istatistiksel yöntemlerle tespit edilebileceğini göstermektedir. Böylece siber güvenlik kapsamında erken uyarı sistemlerinin geliştirilmesi ve zararlı madencilik faaliyetlerinin belirlenmesi mümkün hale gelmektedir.

Anahtar Kelimeler

Paket yakalama , ağ trafiği , kripto para madenciliği , Hurst üstel katsayısı , zaman serisi analizi

Network Traffic Analysis of Monero Cryptocurrency Mining: Statistical and Spectral Characteristic

Öz

Network traffic analysis is of strategic importance today for cybersecurity and the performance of information systems. This study comparatively analyzes the network traffic data captured during the mining process of the Monero cryptocurrency and during idle moments of the system. The aim is to reveal the statistical differences in network traffic caused by mining activities and to develop a method for detecting threats such as unauthorized cryptocurrency mining (cryptojacking) based on these differences. In the study, a total of more than 7.5 million network packets collected with the tcpdump tool on the Ubuntu operating system were analyzed. Network traffic was examined separately for two different days of mining and a period when the system was idle. During the analysis process, self-similarity with the Hurst exponent, distribution structure with CDF, periodicity with autocorrelation, frequency components with power spectral density (PSD), and changes in the time scale with aggregate traffic analysis were evaluated. In mining traffic, higher average packet sizes (~950 bytes), shorter inter-packet intervals (~0.02 seconds), and more distinct periodic patterns have been observed. In contrast, when the system was idle, the traffic was low-density, more random, and statistically different in character. The findings obtained indicate that cryptocurrency mining creates structural features that leave traces on the network, and these features can be detected by network monitoring systems using statistical methods. Thus, it becomes possible to develop early warning systems within the scope of cybersecurity and to identify malicious mining activities.

Anahtar Kelimeler

Packet capture , network traffic , cryptocurrency mining , Hurst exponential coefficient , time series analysis

Kaynakça

• [1] M. K. Awad, G. Alsholi, H. Altabaa, D. H. Abu Daqar, S. Alshaher, ve H. M. K. Alazemi, “Self-similarity-based DDoS Detection for Software-defined Networks”, içinde 2025 International Conference on Computing, Networking and Communications (ICNC), Şub. 2025, ss. 185-189. doi: 10.1109/ICNC64010.2025.10993986.
• [2] J. Scharfman, The Cryptocurrency and Digital Asset Fraud Casebook, Volume II: DeFi, NFTs, DAOs, Meme Coins, and Other Digital Asset Hacks. Cham: Springer Nature Switzerland, 2024. doi: 10.1007/978-3-031-60836-0.
• [3] A. Siswanto, A. Syukur, E. A. Kadir, ve Suratin, “Network Traffic Monitoring and Analysis Using Packet Sniffer”, içinde 2019 International Conference on Advanced Communication Technologies and Networking (CommNet), Nis. 2019, ss. 1-4. doi: 10.1109/COMMNET.2019.8742369.
• [4] “Mining Monero”, getmonero.org, The Monero Project. Erişim: 16 Temmuz 2025. [Çevrimiçi]. Erişim adresi: https://www.getmonero.org/get-started/mining/index.html
• [5] “Guidance For A Risk-Based Approach Virtual Currencies”, Financial Action Task Force (FATF)-OECD, 2015. [Çevrimiçi]. Erişim adresi: https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Guidance-RBA-Virtual-Currencies.pdf.coredownload.inline.pdf
• [6] F. E. A. Longa, “Cryptocurrency and Money Laundering”, Am. J. Ind. Bus. Manag., c. 15, sy 2, ss. 362-371, Şub. 2025, doi: 10.4236/ajibm.2025.152017.
• [7] “Hurst exponent”, Wikipedia. 20 Haziran 2025. Erişim: 16 Temmuz 2025. [Çevrimiçi]. Erişim adresi: https://en.wikipedia.org/w/index.php?title=Hurst_exponent&oldid=1296531667
• [8] C. Çiflikli, A. Gezer, ve A. Özşahin, “Packet traffic features of IPv6 and IPv4 protocol traffic”, Turk. J. Electr. Eng. Comput. Sci., c. 20, sy 5, ss. 727-749, Oca. 2012, doi: 10.3906/elk-1008-696.
• [9] A. Gezer, “Identification of abnormal DNS traffic with Hurst parameter”, Balk. J. Electr. Comput. Eng., c. 6, sy 3, ss. 191-197, Tem. 2018, doi: 10.17694/bajece.435230.
• [10] S. Giordano, S. Miduri, M. Pagano, F. Russo, ve S. Tartarelli, “A wavelet-based approach to the estimation of the Hurst parameter for self-similar data”, içinde Proceedings of 13th International Conference on Digital Signal Processing, Tem. 1997, ss. 479-482 c.2. doi: 10.1109/ICDSP.1997.628209.
• [11] B. W. Silverman, Density Estimation for Statistics and Data Analysis, 1. bs. Routledge, 2018. doi: 10.1201/9781315140919.
• [12] “Autocorrelation”, Wikipedia. 20 Haziran 2025. Erişim: 16 Temmuz 2025. [Çevrimiçi]. Erişim adresi: https://en.wikipedia.org/w/index.php?title=Autocorrelation&oldid=1296438196
• [13] S. S. Kim, A. L. N. Reddy, ve M. Vannucci, “Detecting Traffic Anomalies through Aggregate Analysis of Packet Header Data”, içinde Networking 2004, N. Mitrou, K. Kontovasilis, G. N. Rouskas, I. Iliadis, ve L. Merakos, Ed., Berlin, Heidelberg: Springer, 2004, ss. 1047-1059. doi: 10.1007/978-3-540-24693-0_86.