本发明专利技术的实施例公开一种挖矿行为检测方法、装置、电子设备及存储介质。该方法包括:采集终端设备的全量信息;根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息;如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息。本发明专利技术实施例可及时发现终端设备中出现的挖矿行为并进行处置,有效防护终端设备不会被植入挖矿木马。植入挖矿木马。植入挖矿木马。
【技术实现步骤摘要】
一种挖矿行为检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种挖矿行为检测方法、装置、电子设备及存储介质。
技术介绍
[0002]挖矿木马是通过各种手段将挖矿程序植入到受害者的计算机中,在受害者不知情的情况下,利用受害者计算机的算力进行挖矿。挖矿木马进行超频运算时占用大量CPU资源,导致计算机上其他应用无法正常运行。不法分子为了使用更多算力资源,一般会对全网主机进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马还具备横向传播的特点,在成功入侵一台主机后,尝试对内网其他机器进行蠕虫式的横向渗透,并在被入侵的机器上持久化驻留,长期利用机器挖矿获利。
[0003]传统终端杀毒软件需要结合威胁情报和已知病毒库对挖矿木马进行检测,但挖矿木马在植入终端机器前,会利用漏洞和暴力破解等方式获取终端设备权限,在获取终端设备权限后,下载不同的功能性脚本进行后续操作,其中会包括卸载当前杀毒软件操作的脚本。也就是说,在终端杀毒软件还未检测到挖矿木马前,终端杀毒软件已被卸载,因此,无法起到防护作用,挖矿程序进行挖矿将再无阻拦,并且可持久化的进行非法挖矿操作。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供一种挖矿行为检测方法、装置、电子设备及存储介质,可及时发现终端设备中出现的挖矿行为并进行处置,以有效防护终端设备不会被植入挖矿木马。
[0005]在第一方面,本专利技术实施例提供一种挖矿行为检测方法,该方法包括:
[0006]采集终端设备的全量信息;/>[0007]根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息;
[0008]如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息。
[0009]优选的,所述如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息,包括:如果所述全量信息中存在所述挖矿行为信息,则输出第一告警信息;当收到删除指令时,删除所述终端设备中的所述挖矿行为信息。
[0010]优选的,在所述输出第一告警信息之后,所述方法还包括:当收到观察指令时或在预设时间内未收到任何指令,对所述挖矿行为信息进行隔离监测;当监测到下载行为时,生成监测日志,并输出第二告警信息,所述第二告警信息包括所述监测日志。
[0011]优选的,所述挖矿行为信息库包括:清除竞品行为信息库、清除网络行为信息库、计划任务行为信息库、卸载安全软件行为信息库、横向移动行为信息库。
[0012]在第二方面,本专利技术实施例提供一种挖矿行为检测装置,该装置包括:
[0013]采集单元,用于采集终端设备的全量信息;
[0014]判断单元,用于根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息;
[0015]处置单元,用于如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息。
[0016]优选的,所述处置单元,具体用于:如果所述全量信息中存在所述挖矿行为信息,则输出第一告警信息;当收到删除指令时,删除所述终端设备中的所述挖矿行为信息。
[0017]优选的,所述处置单元具体还用于:当收到观察指令时或在预设时间内未收到任何指令,对所述挖矿行为信息进行隔离监测;当监测到下载行为时,生成监测日志,并输出第二告警信息,所述第二告警信息包括所述监测日志。
[0018]优选的,所述挖矿行为信息库包括:清除竞品行为信息库、清除网络行为信息库、计划任务行为信息库、卸载安全软件行为信息库、横向移动行为信息库。
[0019]在第三方面,本专利技术实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述第一方面所述的挖矿行为检测方法。
[0020]第四方面,本专利技术实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现第一方面所述的挖矿行为检测方法。
[0021]本专利技术实施例提供的一种挖矿行为检测方法、装置、电子设备及存储介质,通过采集终端设备的全量信息,根据预设的挖矿行为信息库判断全量信息中是否存在挖矿行为信息,如果全量信息中存在所述挖矿行为信息,则删除终端设备中的挖矿行为信息。基于此,可及时发现终端设备中出现的挖矿行为并进行处置,以有效防护终端设备不会被植入挖矿木马。
附图说明
[0022]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0023]图1为本专利技术的实施例提供的一种挖矿行为检测方法的流程示意图;
[0024]图2为本专利技术的实施例提供的另一种挖矿行为检测方法的流程示意图;
[0025]图3为本专利技术的实施例提供的一种挖矿行为检测装置的结构示意图;
[0026]图4为本专利技术电子设备一个实施例的结构示意图。
具体实施方式
[0027]下面结合附图对本专利技术实施例进行详细描述。
[0028]应当明确,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其
它实施例,都属于本专利技术保护的范围。
[0029]图1为本专利技术的实施例提供的一种挖矿行为检测方法的流程示意图。该挖矿行为检测方法可以应用于电子设备,具体由终端防护中心(EDR)执行。
[0030]如图1所示,本实施例的挖矿行为检测方法可以包括:
[0031]步骤101,采集终端设备的全量信息。
[0032]在一个例子中,全量信息包括但不限于:报告终端的进程信息、网络信息、启动项信息、内核信息、钩子扫描信息、服务信息、驱动信息、文件信息和注册表信息。
[0033]优选的,如果存在未知挖矿行为并进行全量信息采集,会造成终端设备卡顿,影响性能,因此,该全量信息可以具体为脚本信息,这样能排除大面积的正常文件采集工作。而且终端设备一般情况下不会使用脚本进行工作,因此采集脚本信息具有一定的针对性,不会影响操作系统性能。具体的,针对Windows平台需要采集批处理(bat)和PowerShell(ps1)文件,针对Linux平台采集sh脚本。
[0034]步骤102,根据预设的挖矿行为信息库判断该全量信息中是否存在挖矿行为信息。
[0035]具体的,预设的挖矿行为信息库是依据长期对终端挖矿行为进行实时发现得到的攻击信息进行画像而生成的行为信息库。挖本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种挖矿行为检测方法,其特征在于,所述方法包括:采集终端设备的全量信息;根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息;如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息。2.根据权利要求1所述的方法,其特征在于,所述如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息,包括:如果所述全量信息中存在所述挖矿行为信息,则输出第一告警信息;当收到删除指令时,删除所述终端设备中的所述挖矿行为信息。3.根据权利要求2所述的方法,其特征在于,在所述输出第一告警信息之后,所述方法还包括:当收到观察指令时或在预设时间内未收到任何指令,对所述挖矿行为信息进行隔离监测;当监测到下载行为时,生成监测日志,并输出第二告警信息,所述第二告警信息包括所述监测日志。4.根据权利要求1所述的方法,其特征在于,所述挖矿行为信息库包括:清除竞品行为信息库、清除网络行为信息库、计划任务行为信息库、卸载安全软件行为信息库、横向移动行为信息库。5.一种挖矿行为检测装置,其特征在于,所述装置包括:采集单元,用于采集终端设备的全量信息;判断单元,用于根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息;处置单元,用于如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息。6.根据权利要求5...
【专利技术属性】
技术研发人员:郭洪亮,张慧云,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。