The invention discloses a detection system and method of mining malware based on host monitoring technology, including analysis and control center, DNS parsing monitoring program invoked by analysis and control center, network connection monitoring program, system resource monitoring program and API invoking monitoring program; the DNS parsing monitoring program, network connection monitoring program, system resource monitoring program and API invoking monitoring program. The monitoring program is called to return the monitoring data to the analysis and control center in real time; DNS parses the monitoring program, network connection monitoring program, system resource monitoring program and API calls monitoring program to monitor the running process. The invention is specially designed for detecting mining malware, and has more pertinence. It detects mining malware from the perspectives of DNS parsing, network traffic, system resource occupancy, API call and so on, with high accuracy; besides detecting mining malware intruding host, it can also discover malicious sites using user browser to run mining scripts to a certain extent.
【技术实现步骤摘要】
一种基于主机监控技术的挖矿恶意软件检测系统及方法
本专利技术属于网络安全
,特别是涉及一种主机上挖矿恶意软件的发现和检测方法。
技术介绍
“挖矿”是指根据加密货币的发行规则,利用计算机的算力获得加密货币的过程,最常见的加密货币就是比特币。“挖矿恶意软件”是在受害者不知情的情况下,利用受害者的计算机资源进行挖矿的恶意软件。挖矿恶意软件的攻击范围从企业服务器、个人电脑到安卓手机,包括Linux/Unix、Windows、Android系统。被“挖矿恶意软件”入侵后,用户主机会出现卡顿、CPU占用率高等状况,企业服务器可能会由于CPU资源耗尽而服务崩溃。挖矿恶意软件的威胁有愈演愈烈的趋势,挖矿恶意软件已经成为了一种新型的重大威胁。目前还没有专门对挖矿恶意软件进行检测的方法。
技术实现思路
针对上述现有技术背景,本专利技术提出了一种基于主机监控技术的挖矿恶意软件检测方法,。本专利技术的一种基于主机监控技术的挖矿恶意软件检测系统,该检测系统包括分析与控制中心以及由所述分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序;DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据;所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对对当前运行进程的进程进行监控,其中:所述DNS解析监控程序,通过对当前运行进程的所有DNS解析求进行监控,获得所有DNS解析请求,并实时将DNS解析监控数据返回给分析与控制中心实时收集数据;监控过程中发现与挖矿相关的D...
【技术保护点】
1.一种基于主机监控技术的挖矿恶意软件检测系统,其特征在于,该检测系统包括分析与控制中心以及由所述分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序;DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据;所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对对当前运行进程的进程进行监控,其中:所述DNS解析监控程序,通过对当前运行进程的所有DNS解析求进行监控,获得所有DNS解析请求,并实时将DNS解析监控数据返回给分析与控制中心实时收集数据;监控过程中发现与挖矿相关的DNS请求,该DNS请求至少包括对于挖矿恶意软件连接到矿池或者从特定URL下载脚本这些对已知矿池的DNS解析请求,当判定为发出相应DNS请求的进程为挖矿进程,向用户发出主机被挖矿恶意软件感染的警告;所述网络连接监控程序,通过监控对当前运行进程的网络连接,获得所有向外发出的请求,并实时将网络连接监控数据返回给分析与控制中心;一方面,提取远程地址,若该地址是已知的与挖矿有关的地址,如已知矿池的地址,...
【技术特征摘要】
1.一种基于主机监控技术的挖矿恶意软件检测系统,其特征在于,该检测系统包括分析与控制中心以及由所述分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序;DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据;所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对对当前运行进程的进程进行监控,其中:所述DNS解析监控程序,通过对当前运行进程的所有DNS解析求进行监控,获得所有DNS解析请求,并实时将DNS解析监控数据返回给分析与控制中心实时收集数据;监控过程中发现与挖矿相关的DNS请求,该DNS请求至少包括对于挖矿恶意软件连接到矿池或者从特定URL下载脚本这些对已知矿池的DNS解析请求,当判定为发出相应DNS请求的进程为挖矿进程,向用户发出主机被挖矿恶意软件感染的警告;所述网络连接监控程序,通过监控对当前运行进程的网络连接,获得所有向外发出的请求,并实时将网络连接监控数据返回给分析与控制中心;一方面,提取远程地址,若该地址是已知的与挖矿有关的地址,如已知矿池的地址,或者是已知挖矿脚本的地址,则立即判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;另一方面,监控网络流量,分析与控制中心判断每个进程的网络流量的特征是否符合挖矿恶意软件的网络流量特征,若某进程的网络流量特征与挖矿恶意软件的网络流量特征相符,则判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;所述系统资源监控程序,通过监控对当前运行进程的系统资源使用情况,并实时将系统资源监控数据返回给分析与控制中心;当分析与控制中心发现某进程对CPU的使用率和时间超过一定阈值后,判定进程可疑,分析与控制中心向用户发出警报,提示用户有高度可疑的进程在运行;并且,当分析与控制中心发现某进程占用CPU的比例和时间超过一定阈值后,会启动高级分析;分析与控制中心立即调用API监控模块,通过进程调用的API序列对进程进行详细的分析;所述API调用监控程序,由分析与控制中心调用,用于详细分析可疑的进程,将API调用监控程序数据发...
【专利技术属性】
技术研发人员:张亚平,贾永恒,吕良福,刘敬成,李煜泽,
申请(专利权)人:天津大学,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。