【技术实现步骤摘要】
一种挖矿行为检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种挖矿行为检测方法、装置、电子设备及存储介质。
技术介绍
[0002]挖矿木马是通过各种手段将挖矿程序植入到受害者的计算机中,在受害者不知情的情况下,利用受害者计算机的算力进行挖矿。挖矿木马进行超频运算时占用大量CPU资源,导致计算机上其他应用无法正常运行。不法分子为了使用更多算力资源,一般会对全网主机进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马还具备横向传播的特点,在成功入侵一台主机后,尝试对内网其他机器进行蠕虫式的横向渗透,并在被入侵的机器上持久化驻留,长期利用机器挖矿获利。
[0003]传统终端杀毒软件需要结合威胁情报和已知病毒库对挖矿木马进行检测,但挖矿木马在植入终端机器前,会利用漏洞和暴力破解等方式获取终端设备权限,在获取终端设备权限后,下载不同的功能性脚本进行后续操作,其中会包括卸载当前杀毒软件操作的脚本。也就是说,在终端杀毒软件还未检测到挖矿木马前,终端杀毒软件已被卸载,因此,无法起到防护作用,挖矿程...
【技术保护点】
【技术特征摘要】
1.一种挖矿行为检测方法,其特征在于,所述方法包括:采集终端设备的全量信息;根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息;如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息。2.根据权利要求1所述的方法,其特征在于,所述如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息,包括:如果所述全量信息中存在所述挖矿行为信息,则输出第一告警信息;当收到删除指令时,删除所述终端设备中的所述挖矿行为信息。3.根据权利要求2所述的方法,其特征在于,在所述输出第一告警信息之后,所述方法还包括:当收到观察指令时或在预设时间内未收到任何指令,对所述挖矿行为信息进行隔离监测;当监测到下载行为时,生成监测日志,并输出第二告警信息,所述第二告警信息包括所述监测日志。4.根据权利要求1所述的方法,其特征在于,所述挖矿行为信息库包括:清除竞品行为信息库、清除网络行为信息库、计划任务行为信息库、卸载安全软件行为信息库、横向移动行为信息库。5.一种挖矿行为检测装置,其特征在于,所述装置包括:采集单元,用于采集终端设备的全量信息;判断单元,用于根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息;处置单元,用于如果所述全量信息中存在所述挖矿行为信息,则删除所述终端设备中的所述挖矿行为信息。6.根据权利要求5...
【专利技术属性】
技术研发人员:郭洪亮,张慧云,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。