一种挖矿行为检测方法、系统、装置、介质及设备与流程

本发明涉及网络安全，特别是涉及一种挖矿行为检测方法、系统、装置、介质及设备。

背景技术：

1、随着互联网应用的越来越广泛，随着互联网的快速发展，网络安全问题也越来越严峻。其中，恶意“挖矿”攻击已经成为当前最为泛滥的网络威胁之一。“挖矿”是指对加密货币的开采。以开采比特币为例，每隔一段时间，比特币系统会生成一个面向全体矿工的“计算题”，互联网中所有计算机均可计算题目，第一个算出的矿工会得到相应的奖励，随即向世界广播，这个过程就是“挖矿”。

2、“挖矿”又可以分为主动“挖矿”和被动“挖矿”，主动“挖矿”是指个人或团体通过在专业机器或普通电脑安装“挖矿”软件、超频工具等主动进行的“挖矿”行为；被动“挖矿”是指攻击者通过各种手段将“挖矿”程序植入受害者的计算机中，在受害者不知情的情况下利用其计算机的算力进行“挖矿”，从而获取利益。

3、“挖矿”活动还会消耗大量能源、资源，会造成大量的能源消耗和碳排放。相关数据显示，每“生产”一个比特币，消耗的能量相当于三口之家一年的用电量。其次，“挖矿”会消耗大量计算资源，使系统、软件、应用服务运行缓慢，个人电脑或服务器一旦被“挖矿”程序控制，则会造成数据泄或感染病毒，容易引发网络安全问题。再者是“挖矿”会扰乱正常的金融市场秩序，催生违法犯罪活动，并成为洗钱、逃税、恐怖融资和跨境资金转移的通道。

4、现有的相关技术中，基本是通过建立“挖矿”相关的恶意特征库，并将对应的待测特征与其进行匹配，通过匹配结果来确定是否存在挖矿行为。但是现有技术中，对于具有未知恶意挖矿特征的挖矿行为的监测能力较低，无法及时有效的检测出未知恶意挖矿特征的挖矿行为。

技术实现思路

1、针对上述无法及时有效的检测出未知恶意挖矿特征的挖矿行为的技术问题，本发明采用的技术方案为：

2、根据本发明的一个方面，提供了一种挖矿行为检测方法，该方法包括如下步骤：

3、获取待测主机的当前资源状态变化值；

4、若当前资源状态变化值大于第一阈值，则对待测主机进行异常判定处理；以确定待测主机中是否存在挖矿行为；

5、异常判定处理包括：

6、获取每一进程对应的当前资源状态变化值；

7、若存在任意未知进程对应的当前资源状态变化值大于第二阈值，则确定待测主机中存在挖矿行为。

8、在本发明中，进一步的，异常判定处理还包括：

9、获取预设时段中待测主机的网络流量；

10、若网络流量中存在多个固定数据结构的数据包，且多个固定数据结构的数据包具有相同的发送频率，则确定待测主机中存在挖矿行为。

11、在本发明中，进一步的，当前资源状态变化值包括cpu占用率变化值、磁盘占用率变化值及gpu占用率变化值。

12、在本发明中，进一步的，在获取待测主机的当前资源状态变化值之前，方法还包括：

13、获取待测主机中每一落地文件的文件特征值；

14、对每一文件特征值进行恶意特征匹配处理，以从多个落地文件中确定恶意文件。

15、在本发明中，进一步的，该方法还包括：

16、获取待测主机对应的网络流量；

17、根据每一网络流量中的域名和/或ip，确定待测主机中是否存在挖矿行为。

18、根据本发明的第二个方面，提供了一种挖矿行为检测系统，包括服务器与多个客户端，每一客户端与服务器连接；多个客户端分别设置于对应的待测主机上；

19、每一客户端用于执行上述一种挖矿行为检测方法；

20、服务器用于接收每一客户端生成的检测结果。

21、在本发明中，进一步的，客户端用于获取对应待测主机的历史资源状态变化值；

22、服务器用于根据史资源状态变化值，生成对应待测主机的第一阈值并发送至对应的客户端。

23、根据本发明的第三个方面，提供了一种挖矿行为检测装置，该装置包括：

24、获取模块，用于获取待测主机的当前资源状态变化值；

25、判定模块，用于若当前资源状态变化值大于第一阈值，则对待测主机进行异常判定处理；以确定待测主机中是否存在挖矿行为；

26、异常判定处理包括：

27、获取每一进程对应的当前资源状态变化值；

28、若存在任意未知进程对应的当前资源状态变化值大于第二阈值，则确定待测主机中存在挖矿行为。

29、根据本发明的第四个方面，提供了一种非瞬时性计算机可读存储介质，非瞬时性计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的一种挖矿行为检测方法。

30、根据本发明的第五个方面，提供了一种电子设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的一种挖矿行为检测方法。

31、本发明至少具有以下有益效果：

32、通常，当存在挖矿文件在主机上进行挖矿活动时，会占用主机中大量的运行资源。由此，在开始进行挖矿行为时，主机上的运行资源会存在较大幅度的变化。由此，基于该行为特征，本发明通过获取待测主机的当前资源状态变化值，来实时获取待测主机的运行资源的变化幅度。并且，若当前资源状态变化值大于第一阈值，则对待测主机进行异常判定处理；以确定待测主机中是否存在挖矿行为。异常判定处理主要用于对待测主机中的每一在运行状态的进程对应的当前资源状态变化值进行判断。以进一步确定待测主机中是否存在挖矿行为。通常，若有可执行文件在进行挖矿活动，则可执行文件对应的进程所占用的运行资源，同样会存在较大幅度的变化。所以，若进程对应的当前资源状态变化值大于第二阈值，则可以更加精确的确定待测主机中存在挖矿行为。以提高挖矿行为的检出能力，并且可以预防一些未知的恶意挖矿行为。

33、由此，本发明可以对具有未知恶意挖矿特征的挖矿行为进行检测，可以及时有效的检测出未知恶意挖矿特征的挖矿行为。对于挖矿行为的检测，能预防以前未出现过的挖矿木马，从而补全了现有的检测方式对未知威胁行为的检测弱项。

34、同时，本发明中的方法可以仅通过待测主机的运行资源的变化幅度，即可确定出挖矿行为，无需其他的软件进行配合。由此，本方法可以以一种更为轻量化的方式出现，如插件。由于本方法更加轻量化，所以可以降低对待测主机的资源占用率，进而降低对待测主机的日常运行性能的影响。

技术特征：

1.一种挖矿行为检测方法，其特征在于，所述方法包括如下步骤：

2.根据权利要求1所述的方法，其特征在于，所述异常判定处理还包括：

3.根据权利要求1所述的方法，其特征在于，所述当前资源状态变化值包括cpu占用率变化值、磁盘占用率变化值及gpu占用率变化值。

4.根据权利要求1所述的方法，其特征在于，在获取待测主机的当前资源状态变化值之前，所述方法还包括：

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

6.一种挖矿行为检测系统，其特征在于，包括服务器与多个客户端，每一所述客户端与所述服务器连接；多个所述客户端分别设置于对应的待测主机上；

7.根据权利要求6所述的系统，其特征在于，所述客户端用于获取对应待测主机的历史资源状态变化值；

8.一种挖矿行为检测装置，其特征在于，所述装置包括：

9.一种非瞬时性计算机可读存储介质，所述非瞬时性计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种挖矿行为检测方法。

10.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种挖矿行为检测方法。

技术总结
本发明涉及网络安全技术领域，特别是涉及一种挖矿行为检测方法、系统、装置、介质及设备。包括获取待测主机的当前资源状态变化值；若当前资源状态变化值大于第一阈值，则对待测主机进行异常判定处理；以确定待测主机中是否存在挖矿行为。本发明可以对具有未知恶意挖矿特征的挖矿行为进行检测，可以及时有效的检测出未知恶意挖矿特征的挖矿行为。对于挖矿行为的检测，能预防以前未出现过的挖矿木马，从而补全了现有的检测方式对未知威胁行为的检测弱项。同时，本方法更加轻量化，所以可以降低对待测主机的资源占用率，进而降低对待测主机的日常运行性能的影响。

技术研发人员：腾飞,马森,肖新光
受保护的技术使用者：北京安天网络安全技术有限公司
技术研发日：
技术公布日：2024/1/11