本申请公开了一种挖矿行为监测方法、装置、设备及存储介质,涉及网络安全技术领域。该方法包括:获取主机中的多种性能指标数据;所述性能指标数据为用于表征所述主机在挖矿行为中存在异常变化的行为特征数据;确定预设监测周期内每个所述性能指标数据的平均值,并将所述平均值与第一预设阈值进行比较,以判断是否触发告警提示;若触发所述告警提示,则对所述主机的通信行为进行监测,并判断所述通信行为是否符合预设挖矿行为判断规则,以便根据判断结果判断是否存在虚拟货币的挖矿行为。通过本申请的技术方案,可以判断目标机器上是否存在虚拟货币挖矿行为,从而提升检测效率。从而提升检测效率。从而提升检测效率。
【技术实现步骤摘要】
一种挖矿行为监测方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全
,特别涉及一种挖矿行为监测方法、装置、设备及存储介质。
技术介绍
[0002]随着互联网的快速发展,虚拟货币区块链等技术和产品的发展以及虚拟货币价值的持续升高,让原本用于DDoS(Distributed Denial of Service,分布式拒绝服务)攻击或者发垃圾邮件的僵尸网络又看到了另一种新的变现途径:虚拟货币“挖矿”。所以一些被攻陷的主机常常也被植入挖矿木马,开始偷偷地消耗服务器资源来挖矿,甚至企业的内鬼也会给服务器安装挖矿木马,防不胜防。
[0003]挖矿木马在感染主机后显著的行为特征是极大的占用CPU(Central Processing Unit,中央处理器)及GPU(Graphics Processing Unit,图形处理器)资源,主要包括:高CPU和GPU使用率、高硬盘使用率、响应速度慢、崩溃或频繁重新启动、系统过热、异常网络活动(比如连接挖矿相关的域名或IP)等。主机在挖矿行为过程当中,通常会与矿池发生大量、长时间的通信。挖矿机器与矿池之间的通信需要遵循特定的协议,目前主流的挖矿协议为Stratum协议。在Stratum中,挖矿机器与矿池之间采用TCP(Transmission Control Protocol,传输控制协议)的形式传输数据,数据传输的过程基于JSON
‑
RPC(一个无状态且轻量级的远程过程调用RPC传送协议)。如图1所示,在挖矿主机和矿池的交互过程中支持挖矿主机登记、任务下发、账号登录、结果提交和挖矿任务难度调整这五种行为。
[0004]目前,针对虚拟货币挖矿行为的监测方法,都是从主机和矿池之间的挖矿协议行为进行分析,通过流量分析,通过挖矿协议的特征值、特征字段、加以矿池库来综合进行判断,从而判断主机是否存在挖矿行为,然而这种做法忽视了主机在挖矿行为发生后的早期阶段,一旦主机开始进行虚拟货币的挖矿行为,即与矿池发生大量、长时间的通信行为,则会对主机自身的性能产生极大的影响。
[0005]综上,如何更加高效的检测主机是否存在虚拟货币挖矿行为是一个迫在眉睫的问题。
技术实现思路
[0006]有鉴于此,本专利技术的目的在于提供一种挖矿行为监测方法、装置、设备及存储介质,能够更加高效的检测主机是否存在虚拟货币挖矿行为。其具体方案如下:
[0007]第一方面,本申请公开了一种挖矿行为监测方法,包括:
[0008]获取主机中的多种性能指标数据;所述性能指标数据为用于表征所述主机在挖矿行为中存在异常变化的行为特征数据;
[0009]确定预设监测周期内每个所述性能指标数据的平均值,并将所述平均值与第一预设阈值进行比较,以判断是否触发告警提示;
[0010]若触发所述告警提示,则对所述主机的通信行为进行监测,并判断所述通信行为
是否符合预设挖矿行为判断规则,以便根据判断结果判断是否存在虚拟货币的挖矿行为。
[0011]可选的,所述获取主机中的多种性能指标数据之前,还包括:
[0012]基于所述主机的CPU使用率、GPU使用率、主机温度、硬盘使用率以及系统响应速度构建性能指标库;
[0013]相应的,所述获取主机中的多种性能指标数据,包括:
[0014]获取所述性能指标库中主机的所述CPU使用率、所述GPU使用率、所述主机温度、所述硬盘使用率以及所述系统响应速度。
[0015]可选的,所述确定预设监测周期内每个所述性能指标数据的平均值,并将所述平均值与第一预设阈值进行比较之后,还包括:
[0016]将所述平均值与所述第一预设阈值的比较结果进行记录,并统计所述比较结果中超出所述第一预设阈值的性能指标数据的个数。
[0017]可选的,所述将所述平均值与第一预设阈值进行比较,以判断是否触发告警提示,包括:
[0018]若所述比较结果中超出所述第一预设阈值的性能指标数据的个数达到第二预设阈值,则触发所述告警提示;
[0019]若所述比较结果中超出所述第一预设阈值的性能指标数据的个数没有达到所述第二预设阈值,则跳转至所述获取主机中的多种性能指标数据的步骤,以继续监测所述性能指标数据。
[0020]可选的,所述对所述主机的通信行为进行监测,并判断所述通信行为是否符合预设挖矿行为判断规则,包括:
[0021]对所述主机的通信流量数据进行监测,并判断所述通信流量数据是否符合预设挖矿行为判断规则。
[0022]可选的,所述对所述主机的通信行为进行监测,并判断所述通信行为是否符合预设挖矿行为判断规则,包括:
[0023]对所述主机的通信流量数据进行监测,并通过所述通信流量数据中通信的IP地址以及域名与矿池域名库的IP地址以及域名判断所述通信流量数据是否存在于所述矿池域名库中;
[0024]和/或,对所述主机的通信流量数据进行监测,并判断在所述预设监测周期内所述通信流量数据的结果提交行为的次数是否达到第三预设阈值;
[0025]和/或,对所述主机的通信流量数据进行监测,并判断在所述预设监测周期内所述通信流量数据的矿机登记行为、任务下发行为以及账号登录行为的次数是否达到第四预设阈值。
[0026]可选的,所述判断所述通信行为是否符合预设挖矿行为判断规则,以便根据判断结果判断是否存在虚拟货币的挖矿行为,包括:
[0027]判断所述通信行为是否符合预设挖矿行为判断规则;
[0028]如果所述通信行为符合所述预设挖矿行为判断规则,则判定所述主机存在所述虚拟货币的挖矿行为;
[0029]如果所述通信行为不符合所述预设挖矿行为判断规则,则判定所述主机不存在所述虚拟货币的挖矿行为。
[0030]第二方面,本申请公开了一种挖矿行为监测装置,包括:
[0031]性能指标数据获取模块,用于获取主机中的多种性能指标数据;所述性能指标数据为用于表征所述主机在挖矿行为中存在异常变化的行为特征数据;
[0032]告警提示触发判断模块,用于确定预设监测周期内每个所述性能指标数据的平均值,并将所述平均值与第一预设阈值进行比较,以判断是否触发告警提示;
[0033]挖矿行为判断模块,用于若触发所述告警提示,则对所述主机的通信行为进行监测,并判断所述通信行为是否符合预设挖矿行为判断规则,以便根据判断结果判断是否存在虚拟货币的挖矿行为。
[0034]第三方面,本申请公开了一种电子设备,所述电子设备包括处理器和存储器;其中,所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现如前所述的挖矿行为监测方法。
[0035]第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中所述计算机程序被处理器执行时实现如前所述的挖矿行为监测方法。
[0036]本申请中,通过获取主机中的多种性能指标数据;所述性能指标数据为用于表征所述主机在挖矿行为中存在异常变化的行为特征数据;然后确定预设监测周本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种挖矿行为监测方法,其特征在于,包括:获取主机中的多种性能指标数据;所述性能指标数据为用于表征所述主机在挖矿行为中存在异常变化的行为特征数据;确定预设监测周期内每个所述性能指标数据的平均值,并将所述平均值与第一预设阈值进行比较,以判断是否触发告警提示;若触发所述告警提示,则对所述主机的通信行为进行监测,并判断所述通信行为是否符合预设挖矿行为判断规则,以便根据判断结果判断是否存在虚拟货币的挖矿行为。2.根据权利要求1所述的挖矿行为监测方法,其特征在于,所述获取主机中的多种性能指标数据之前,还包括:基于所述主机的CPU使用率、GPU使用率、主机温度、硬盘使用率以及系统响应速度构建性能指标库;相应的,所述获取主机中的多种性能指标数据,包括:获取所述性能指标库中主机的所述CPU使用率、所述GPU使用率、所述主机温度、所述硬盘使用率以及所述系统响应速度。3.根据权利要求1所述的挖矿行为监测方法,其特征在于,所述确定预设监测周期内每个所述性能指标数据的平均值,并将所述平均值与第一预设阈值进行比较之后,还包括:将所述平均值与所述第一预设阈值的比较结果进行记录,并统计所述比较结果中超出所述第一预设阈值的性能指标数据的个数。4.根据权利要求3所述的挖矿行为监测方法,其特征在于,所述将所述平均值与第一预设阈值进行比较,以判断是否触发告警提示,包括:若所述比较结果中超出所述第一预设阈值的性能指标数据的个数达到第二预设阈值,则触发所述告警提示;若所述比较结果中超出所述第一预设阈值的性能指标数据的个数没有达到所述第二预设阈值,则跳转至所述获取主机中的多种性能指标数据的步骤,以继续监测所述性能指标数据。5.根据权利要求1所述的挖矿行为监测方法,其特征在于,所述对所述主机的通信行为进行监测,并判断所述通信行为是否符合预设挖矿行为判断规则,包括:对所述主机的通信流量数据进行监测,并判断所述通信流量数据是否符合预设挖矿行为判断规则。6.根据权利要求5所述的挖矿行为监测方法,其特征在于,所述对所述主机的通信行为进行监测,并...
【专利技术属性】
技术研发人员:温敏锐,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。