CN109347806B - 一种基于主机监控技术的挖矿恶意软件检测系统及方法 - Google Patents

一种基于主机监控技术的挖矿恶意软件检测系统及方法 Download PDF

Info

Publication number
CN109347806B
CN109347806B CN201811100476.7A CN201811100476A CN109347806B CN 109347806 B CN109347806 B CN 109347806B CN 201811100476 A CN201811100476 A CN 201811100476A CN 109347806 B CN109347806 B CN 109347806B
Authority
CN
China
Prior art keywords
mining
analysis
user
monitoring
control center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201811100476.7A
Other languages
English (en)
Other versions
CN109347806A (zh
Inventor
张亚平
贾永恒
吕良福
刘敬成
李煜泽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianjin University
Original Assignee
Tianjin University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianjin University filed Critical Tianjin University
Priority to CN201811100476.7A priority Critical patent/CN109347806B/zh
Publication of CN109347806A publication Critical patent/CN109347806A/zh
Application granted granted Critical
Publication of CN109347806B publication Critical patent/CN109347806B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

本发明公开了一种基于主机监控技术的挖矿恶意软件检测系统及方法,包括分析与控制中心以及由分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序;所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据;DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对运行中的进程进行监控。本发明专门为检测挖矿恶意软件而设计,更有针对性;从DNS解析、网络流量、系统资源占用、API调用等多个角度对挖矿恶意软件进行检测,准确度较高;除了可以发现侵入主机的挖矿恶意软件,还能在一定程度上发现使用用户浏览器运行挖矿脚本的恶意站点。

Description

一种基于主机监控技术的挖矿恶意软件检测系统及方法
技术领域
本发明属于网络安全技术领域,特别是涉及一种主机上挖矿恶意软件的发现和检测方法。
背景技术
“挖矿”是指根据加密货币的发行规则,利用计算机的算力获得加密货币的过程,最常见的加密货币就是比特币。“挖矿恶意软件”是在受害者不知情的情况下,利用受害者的计算机资源进行挖矿的恶意软件。挖矿恶意软件的攻击范围从企业服务器、个人电脑到安卓手机,包括Linux/Unix、Windows、Android系统。被“挖矿恶意软件”入侵后,用户主机会出现卡顿、CPU占用率高等状况,企业服务器可能会由于CPU资源耗尽而服务崩溃。挖矿恶意软件的威胁有愈演愈烈的趋势,挖矿恶意软件已经成为了一种新型的重大威胁。
目前还没有专门对挖矿恶意软件进行检测的方法。
发明内容
针对上述现有技术背景,本发明提出了一种基于主机监控技术的挖矿恶意软件检测方法,。
本发明的一种基于主机监控技术的挖矿恶意软件检测系统,该检测系统包括分析与控制中心以及由所述分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序;DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据;所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对对当前运行进程的进程进行监控,其中:
所述DNS解析监控程序,通过对当前运行进程的所有DNS解析求进行监控,获得所有DNS解析请求,并实时将DNS解析监控数据返回给分析与控制中心实时收集数据;监控过程中发现与挖矿相关的DNS请求,该DNS请求至少包括对于挖矿恶意软件连接到矿池或者从特定URL下载脚本这些对已知矿池的DNS解析请求,当判定为发出相应DNS请求的进程为挖矿进程,向用户发出主机被挖矿恶意软件感染的警告;
所述网络连接监控程序,通过监控对当前运行进程的网络连接,获得所有向外发出的请求,并实时将网络连接监控数据返回给分析与控制中心;一方面,提取远程地址,若该地址是已知的与挖矿有关的地址,如已知矿池的地址,或者是已知挖矿脚本的地址,则立即判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;另一方面,监控网络流量,分析与控制中心判断每个进程的网络流量的特征是否符合挖矿恶意软件的网络流量特征,若某进程的网络流量特征与挖矿恶意软件的网络流量特征相符,则判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;
所述系统资源监控程序,通过监控对当前运行进程的系统资源使用情况,并实时将系统资源监控数据返回给分析与控制中心;当分析与控制中心发现某进程对CPU的使用率和时间超过一定阈值后,判定进程可疑,分析与控制中心向用户发出警报,提示用户有高度可疑的进程在运行;并且,当分析与控制中心发现某进程占用CPU的比例和时间超过一定阈值后,会启动高级分析;分析与控制中心立即调用API监控模块,通过进程调用的API序列对进程进行详细的分析;
所述API调用监控程序,由分析与控制中心调用,用于详细分析可疑的进程,将API调用监控程序数据发送给所述分析与控制中心,所述分析与控制中心判断该对当前运行进程的API调用的特征是否符合挖矿恶意软件的API调用特征,若该进程的API调用特征与挖矿恶意软件的API调用特征相符,则判定该进程为挖矿进程;分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程。
本发明的一种基于主机监控技术的挖矿恶意软件检测方法,包括以下步骤:
步骤一、对当前运行进程的所有DNS解析请求进行监控,获得所有DNS解析请求,并实时上传DNS解析监控数据,监控过程中发现与挖矿相关的DNS请求,该DNS请求至少包括对于挖矿恶意软件连接到矿池或者从特定URL下载脚本这些对已知矿池的DNS解析请求,当判定为发出相应DNS请求的进程为挖矿进程,向用户发出主机被挖矿恶意软件感染的警告;
步骤二、当前运行进程的在网络连接进行监控,获得所有向外发出的请求,并实时上传网络连接监控数据;一方面,提取远程地址,若该地址是已知的与挖矿有关的地址,如已知矿池的地址,或者是已知挖矿脚本的地址,则立即判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;另一方面,监控网络流量,分析与控制中心判断每个进程的网络流量的特征是否符合挖矿恶意软件的网络流量特征,若某进程的网络流量特征与挖矿恶意软件的网络流量特征相符,则判定该进程为挖矿进程;分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;
步骤三、对当前运行进程的系统资源使用情况进行监控,当某进程对CPU的使用率和时间超过阈值后,判定进程可疑,向用户发出警报,提示用户有高度可疑的进程在运行,并且,当发现某进程占用CPU的比例和时间超过阈值后,立即启动API调用监控,;
步骤四、对当前运行进程的调用系统API情况进行监控,通过进程调用的API序列对进程实现进一步分析,判断该进程的API调用的特征是否符合挖矿恶意软件的API调用特征,若该进程的API调用特征与挖矿恶意软件的API调用特征相符,则判定该进程为挖矿进程;向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程。
与现有技术相比,本发明具有以下有益效果:
(1)本方法专门为检测挖矿恶意软件而设计,更有针对性;
(2)本方法从DNS解析、网络流量、系统资源占用、API调用等多个角度对挖矿恶意软件进行检测,准确度较高;
(3)本方法使用的DNS监控除了可以发现侵入主机的挖矿恶意软件,还能在一定程度上发现使用用户浏览器运行挖矿脚本的恶意站点。
附图说明
图1为本发明的一种基于主机监控技术的挖矿恶意软件检测方法实施例架构图;
图2为本发明的一种基于主机监控技术的挖矿恶意软件检测方法整体流程图。
具体实施方式
下面将结合示例对本发明的技术方案作进一步的详细描述。
如图1、图2所示,为本发明的一种基于主机监控技术的挖矿恶意软件检测系统及方法。本发明的一种基于主机监控技术的挖矿恶意软件检测系统中,在主机内部安装检测程序,该检测程序包括以下部分分析与控制中心、DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序;
分析与控制中心负责控制各监控程序的运行,分析和处理各监控模块获取到的数据,并对各种情况进行响应,如发现可疑进程,分析与控制中心会发出警报、对可疑进程进行进一步分析以及其他操作;
DNS解析监控程序:目前的挖矿方式有两种,一种是直接连接到中心网络;第二种是矿池挖矿,相当于多个小算力的设备合作挖矿。挖矿恶意软件几乎都会以第二种方式为攻击对象。由于挖矿恶意软件连接到矿池或者从特定URL下载脚本,因此出现对已知矿池的DNS解析或其他一些挖矿所需要的信息要通过网络请求。例如恶意站点会在用户浏览器上运行挖矿脚本,这样的脚本需要从特定站点下载,这些操作都可能会首先对相关域名进行解析;这样通过发现与挖矿相关的DNS请求,可以立即判定发出相应请求的进程为挖矿进程,分析与控制中心向用户发出警告,主机很可能已经被挖矿恶意软件感染。使用DNS解析监控程序,监控所有进程对域名的解析活动,将数据传回分析与控制中心,一旦发现某进程想要解析的域名与挖矿有关,如对已知矿池的域名进行解析,或者其他与挖矿有关的域名,可立即判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;
网络连接监控程序:即使挖矿恶意软件绕过了DNS监控,它仍然不可避免地要与矿池产生连接,并产生特定的网络流量。所以第一,提取远程地址,若该地址是已知的与挖矿有关的地址,如已知矿池的地址,或者是已知挖矿脚本的地址,则可以立即判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程。第二,监控网络流量,分析与控制中心判断每个进程的网络流量的特征是否符合挖矿恶意软件的网络流量特征,若某进程的网络流量特征与挖矿恶意软件的网络流量特征相符,则判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;
系统资源监控程序:挖矿恶意软件窃取的是用户的计算机计算能力,被挖矿恶意程序感染后,挖矿进程通常会长时间占用大量的CPU,一般能达到80%以上,而一般用户的应用都不会如此长时间占用如此大量的CPU。因此通过系统资源监控程序对系统资源的监控,可以立即发现运行中的挖矿进程。系统资源监控程序将数据发送给分析与控制中心,当分析与控制中心发现某进程对CPU的使用率和时间超过一定阈值后,分析与控制中心向用户发出警报,提示用户有高度可疑的进程在运行;并且,当分析与控制中心发现某进程占用CPU的比例和时间超过一定阈值后,分析与控制中心立即调用API监控模块,通过进程调用的API序列对进程进行详细的分析;
加密货币采用PoW(Proof of work)时会占用大量的CPU,对于已经被提到的PoS(Proof of Space)方案,依然可以通过监控系统资源,获得主机空间的被使用情况,发现正在占有大量资源的挖矿恶意软件。
API调用监控程序:API调用监控程序在被分析与控制中心调用时才打开,用来详细分析可疑度较高的进程。API调用监控程序监控进程所进行的系统调用,将数据发送给分析与控制中心。分析与控制中心判断该进程的API调用的特征是否符合挖矿恶意软件的API调用特征,若该进程的API调用特征与挖矿恶意软件的API调用特征相符,则判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程。
本发明的一种基于主机监控技术的挖矿恶意软件检测方法整体流程图,该方法包括以下步骤:
步骤1、通过监控DNS解析,获得所有DNS解析请求,并实时将数据返回给分析与控制中心,由于挖矿恶意软件需要连接到矿池,或者从特定URL下载脚本,因此很有可能出现对已知矿池的DNS解析,这样通过发现与挖矿相关的DNS解析请求,就可以立即判定发出相应请求的进程为挖矿进程,分析与控制中心向用户发出警告,主机很可能已经被挖矿恶意软件感染;
步骤2、通过监控网络连接,获得所有向外发出的请求,并实时将数据返回给分析与控制中心。因为挖矿恶意软件需要连接到矿池,即使挖矿恶意软件绕过了DNS监控,它仍然不可避免地要与矿池产生连接,并产生特定的网络流量。所以第一,提取远程地址,若该地址是已知的与挖矿有关的地址,如已知矿池的地址,或者是已知挖矿脚本的地址,则可以立即判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程。第二,监控网络流量,分析与控制中心判断每个进程的网络流量的特征是否符合挖矿恶意软件的网络流量特征,若某进程的网络流量特征与挖矿恶意软件的网络流量特征相符,则判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;
步骤3、监控系统资源使用情况。挖矿恶意软件窃取的是用户的计算机计算能力,被挖矿恶意程序感染后,挖矿进程通常会长时间占用大量的CPU,一般能达到80%以上,而一般用户的应用都不会如此长时间占用如此大量的CPU。这种对CPU的长时间高占有率特征十分明显,有系统因为被挖矿恶意软件占有太多CPU而服务崩溃,因此通过系统资源监控程序对系统资源的监控,挖矿进程运行后可以立即被发现。挖矿恶意软件和正常合法软件对资源的占有有巨大的差别,一般软件一般占用CPU较少,或者只在短时间内CPU利用率较高。当分析与控制中心发现某进程对CPU的使用率和时间超过一定阈值后,判定进程可疑,分析与控制中心向用户发出警报,提示用户有高度可疑的进程在运行。并且,当分析与控制中心发现某进程占用CPU的比例和时间超过一定阈值后,会启动高级分析。分析与控制中心立即调用API监控模块,通过进程调用的API序列对进程进行详细的分析;
步骤4、API调用监控,在需要时监控进程的API调用。API调用监控为高级分析方式,由分析与控制中心调用,用于详细分析可疑的进程。API调用监控程序监控进程所进行的系统调用,将数据发送给分析与控制中心。分析与控制中心判断该进程的API调用的特征是否符合挖矿恶意软件的API调用特征,若该进程的API调用特征与挖矿恶意软件的API调用特征相符,则判定该进程为挖矿进程。分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程。

Claims (2)

1.一种基于主机监控技术的挖矿恶意软件检测系统,其特征在于,该检测系统包括分析与控制中心以及由所述分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序;DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据;所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对对当前运行进程的进程进行监控,其中:
所述DNS解析监控程序,通过对当前运行进程的所有DNS解析求进行监控,获得所有DNS解析请求,并实时将DNS解析监控数据返回给分析与控制中心实时收集数据;监控过程中发现与挖矿相关的DNS请求,该DNS请求至少包括对于挖矿恶意软件连接到矿池或者从特定URL下载脚本这些对已知矿池的DNS解析请求,当判定为发出相应DNS请求的进程为挖矿进程,向用户发出主机被挖矿恶意软件感染的警告;
所述网络连接监控程序,通过监控对当前运行进程的网络连接,获得所有向外发出的请求,并实时将网络连接监控数据返回给分析与控制中心;一方面,提取远程地址,若该地址是已知的与挖矿有关的地址,包括已知矿池的地址和已知挖矿脚本的地址,则立即判定该进程为挖矿进程;分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;另一方面,监控网络流量,分析与控制中心判断每个进程的网络流量的特征是否符合挖矿恶意软件的网络流量特征,若某进程的网络流量特征与挖矿恶意软件的网络流量特征相符,则判定该进程为挖矿进程;分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;
所述系统资源监控程序,通过监控对当前运行进程的系统资源使用情况,并实时将系统资源监控数据返回给分析与控制中心;当分析与控制中心发现某进程对CPU的使用率和时间超过一定阈值后,判定进程可疑,分析与控制中心向用户发出警报,提示用户有高度可疑的进程在运行;并且,当分析与控制中心发现某进程占用CPU的比例和时间超过一定阈值后,会启动高级分析;分析与控制中心立即调用API监控模块,通过进程调用的API序列对进程进行详细的分析;
所述API调用监控程序,由分析与控制中心调用,用于详细分析可疑的进程,
将API调用监控程序数据发送给所述分析与控制中心,所述分析与控制中心判断该对当前运行进程的API调用的特征是否符合挖矿恶意软件的API调用特征,若该进程的API调用特征与挖矿恶意软件的API调用特征相符,则判定该进程为挖矿进程;分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程。
2.一种基于主机监控技术的挖矿恶意软件检测方法,其特征在于,该方法包括以下步骤:
步骤一、对当前运行进程的所有DNS解析请求进行监控,获得所有DNS解析请求,并实时上传DNS解析监控数据,监控过程中发现与挖矿相关的DNS请求,该DNS请求至少包括对于挖矿恶意软件连接到矿池或者从特定URL下载脚本这些对已知矿池的DNS解析请求,当判定为发出相应DNS请求的进程为挖矿进程,向用户发出主机被挖矿恶意软件感染的警告;
步骤二、当前运行进程的在网络连接进行监控,获得所有向外发出的请求,并实时上传网络连接监控数据;一方面,提取远程地址,若该地址是已知的与挖矿有关的地址,包括已知矿池的地址和已知挖矿脚本的地址,则立即判定该进程为挖矿进程;分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;另一方面,监控网络流量,分析与控制中心判断每个进程的网络流量的特征是否符合挖矿恶意软件的网络流量特征,若某进程的网络流量特征与挖矿恶意软件的网络流量特征相符,则判定该进程为挖矿进程;分析与控制中心向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程;
步骤三、对当前运行进程的系统资源使用情况进行监控,当某进程对CPU的使用率和时间超过阈值后,判定进程可疑,向用户发出警报,提示用户有高度可疑的进程在运行,并且,当发现某进程占用CPU的比例和时间超过阈值后,立即启动API调用监控;
步骤四、对当前运行进程的调用系统API情况进行监控,通过进程调用的API序列对进程实现进一步分析,判断该进程的API调用的特征是否符合挖矿恶意软件的API调用特征,若该进程的API调用特征与挖矿恶意软件的API调用特征相符,则判定该进程为挖矿进程;向用户发出警告,若用户对此进程的挖矿行为不知情,即不是用户自身在挖矿,则用户已被入侵,该进程为挖矿恶意软件创建的挖矿进程。
CN201811100476.7A 2018-09-20 2018-09-20 一种基于主机监控技术的挖矿恶意软件检测系统及方法 Expired - Fee Related CN109347806B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811100476.7A CN109347806B (zh) 2018-09-20 2018-09-20 一种基于主机监控技术的挖矿恶意软件检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811100476.7A CN109347806B (zh) 2018-09-20 2018-09-20 一种基于主机监控技术的挖矿恶意软件检测系统及方法

Publications (2)

Publication Number Publication Date
CN109347806A CN109347806A (zh) 2019-02-15
CN109347806B true CN109347806B (zh) 2021-04-27

Family

ID=65306262

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811100476.7A Expired - Fee Related CN109347806B (zh) 2018-09-20 2018-09-20 一种基于主机监控技术的挖矿恶意软件检测系统及方法

Country Status (1)

Country Link
CN (1) CN109347806B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109889547B (zh) * 2019-03-29 2021-10-26 新华三信息安全技术有限公司 一种异常网络设备的检测方法及装置
CN110569645A (zh) * 2019-09-02 2019-12-13 慧盾信息安全科技(苏州)股份有限公司 一种服务器挖矿病毒防护的系统和方法
CN110619217A (zh) * 2019-09-18 2019-12-27 杭州安恒信息技术股份有限公司 恶意挖矿程序主动防御的方法及装置
CN110633568B (zh) * 2019-09-19 2021-03-30 北京广成同泰科技有限公司 用于主机的监控系统及其方法
CN110933060B (zh) * 2019-11-22 2021-10-22 上海交通大学 一种基于流量分析的挖矿木马检测系统
CN112989336A (zh) * 2019-12-18 2021-06-18 中国移动通信集团浙江有限公司 云平台内主机挖矿行为检测方法、装置和系统
CN111428239B (zh) * 2020-03-18 2023-05-23 西安电子科技大学 一种恶意挖矿软件的检测方法
CN111797393B (zh) * 2020-06-23 2023-05-23 安天科技集团股份有限公司 基于gpu恶意挖矿行为的检测方法与装置
CN111949983A (zh) * 2020-08-13 2020-11-17 北京小佑科技有限公司 一种容器内挖矿行为的检测方法
CN112052053B (zh) * 2020-10-10 2023-12-19 国科晋云技术有限公司 一种清理高性能计算集群中挖矿程序的方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516073A (zh) * 2014-10-20 2016-04-20 中国银联股份有限公司 网络入侵防御方法
CN106875254A (zh) * 2017-01-20 2017-06-20 暨南大学 一种基于区块链技术的Android恶意应用程序控制方法
CA3012823A1 (en) * 2016-02-22 2017-08-31 Coinplug, Inc. Tampering verification system and method for financial institution certificates, based on blockchain
CN107196934A (zh) * 2017-05-18 2017-09-22 电子科技大学 一种基于区块链的云数据管理方法
CN108156165A (zh) * 2017-12-28 2018-06-12 北京奇虎科技有限公司 一种误报检测的方法以及系统
CN108427884A (zh) * 2018-03-16 2018-08-21 北京奇虎科技有限公司 网页挖矿脚本的警示方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516073A (zh) * 2014-10-20 2016-04-20 中国银联股份有限公司 网络入侵防御方法
CA3012823A1 (en) * 2016-02-22 2017-08-31 Coinplug, Inc. Tampering verification system and method for financial institution certificates, based on blockchain
CN106875254A (zh) * 2017-01-20 2017-06-20 暨南大学 一种基于区块链技术的Android恶意应用程序控制方法
CN107196934A (zh) * 2017-05-18 2017-09-22 电子科技大学 一种基于区块链的云数据管理方法
CN108156165A (zh) * 2017-12-28 2018-06-12 北京奇虎科技有限公司 一种误报检测的方法以及系统
CN108427884A (zh) * 2018-03-16 2018-08-21 北京奇虎科技有限公司 网页挖矿脚本的警示方法及装置

Also Published As

Publication number Publication date
CN109347806A (zh) 2019-02-15

Similar Documents

Publication Publication Date Title
CN109347806B (zh) 一种基于主机监控技术的挖矿恶意软件检测系统及方法
US10893068B1 (en) Ransomware file modification prevention technique
US9171157B2 (en) Method and system for tracking access to application data and preventing data exploitation by malicious programs
US8793682B2 (en) Methods, systems, and computer program products for controlling software application installations
US10133866B1 (en) System and method for triggering analysis of an object for malware in response to modification of that object
CN107612924B (zh) 基于无线网络入侵的攻击者定位方法及装置
CN109586282B (zh) 一种电网未知威胁检测系统及方法
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US20100071063A1 (en) System for automatic detection of spyware
US10931685B2 (en) Malware analysis and recovery
EP2624163A1 (en) Method for detecting malware
US10885162B2 (en) Automated determination of device identifiers for risk-based access control in a computer network
CN107566401B (zh) 虚拟化环境的防护方法及装置
US20170147462A1 (en) Agent dynamic service
US11303670B1 (en) Pre-filtering detection of an injected script on a webpage accessed by a computing device
CN116566739B (zh) 一种安全检测系统、电子设备及存储介质
CN105243324A (zh) 一种用户终端中恶意软件的识别方法、装置及用户终端
CN111859386A (zh) 基于行为分析的木马检测方法及系统
CN107517226B (zh) 基于无线网络入侵的报警方法及装置
US11126713B2 (en) Detecting directory reconnaissance in a directory service
CN112948831B (zh) 应用程序风险识别的方法和装置
EP3252645B1 (en) System and method of detecting malicious computer systems
CN115174192A (zh) 应用安全防护方法及装置、电子设备和存储介质
US20210058414A1 (en) Security management method and security management apparatus
CN114726579A (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20210427

Termination date: 20210920

CF01 Termination of patent right due to non-payment of annual fee