CN110619217A - 恶意挖矿程序主动防御的方法及装置 - Google Patents
恶意挖矿程序主动防御的方法及装置 Download PDFInfo
- Publication number
- CN110619217A CN110619217A CN201910884078.7A CN201910884078A CN110619217A CN 110619217 A CN110619217 A CN 110619217A CN 201910884078 A CN201910884078 A CN 201910884078A CN 110619217 A CN110619217 A CN 110619217A
- Authority
- CN
- China
- Prior art keywords
- program
- data
- target
- file
- analysis data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种恶意挖矿程序主动防御的方法和装置,涉及网络安全的技术领域,包括:获取待保护设备的目标进程;对目标进程进行解析,得到目标进程的属性数据;基于属性数据,判断目标进程是否为恶意挖矿程序执行的进程;若判断结果为是,则阻断目标进程,解决了现有技术无法对恶意挖矿程序进行主动防御的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种恶意挖矿程序主动防御的方法及装置。
背景技术
对于企业机构和广大网民来说,除了面对勒索病毒这一类威胁以外,其往往面临的另一类广泛的网络威胁类型就是感染恶意挖矿程序。恶意挖矿,就是在用户不知情或未经允许的情况下,占用用户终端设备的系统资源和网络资源进行挖矿,从而获取虚拟币牟利。其通常可以发生在用户的个人电脑,企业网站或服务器,个人手机,网络路由器。随着近年来虚拟货币交易市场的发展,以及虚拟货币的金钱价值,恶意挖矿攻击已经成为影响最为广泛的一类威胁攻击,并且影响着企业机构和广大个人网民。
因此,如何对恶意挖矿程序进行防御成为亟待解决的问题。
针对上述问题,还未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种恶意挖矿程序主动防御的方法及装置,以缓解了现有技术无法对恶意挖矿程序进行主动防御的技术问题。
第一方面,本发明实施例提供了一种恶意挖矿程序主动防御的方法,包括:获取待保护设备的目标进程;对所述目标进程进行解析,得到所述目标进程的属性数据;基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程;若判断结果为是,则阻断所述目标进程。
进一步地,所述目标进程包括以下至少之一:修改定时任务的进程、文件操作进程、外联进程,对所述目标进程进行解析,得到所述目标进程的属性数据,包括:若所述目标进程为所述修改定时任务的进程,则对所述修改定时任务的进程进行解析,得到第一解析数据,并将所述第一解析数据确定为所述属性数据,其中,所述第一解析数据为用于表征执行修改定时任务的操作的信息;若所述目标进程为所述文件操作进程,则对所述文件操作进程进行解析,得到第二解析数据,并将所述第二解析数据确定为所述属性数据,其中,所述第二解析数据包括以下至少之一:用于表征对文件执行打开操作的数据,用于表征对文件关闭操作的数据;若所述目标进程为所述外联进程,则对所述外联进程进行解析,得到第三解析数据,并将所述第三解析数据确定为所述属性数据,其中,所述第三解析数据包括以下至少之一:外发数据包,接收所述外发数据包的IP地址,端口信息,传输协议。
进一步地,若所述属性数据为所述第一解析数据,则基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程,包括:基于所述第一解析数据,确定执行所述修改定时任务的进程的程序是否为第一白名单中所记录的程序;若确定出执行所述修改定时任务的进程的程序是第一白名单中所记录的程序,则执行所述修改定时任务的进程的程序为所述恶意挖矿程序。
进一步地,若所述属性数据为所述第二解析数据,则基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程,包括:基于所述第二解析数据,确定所述文件操作进程是否为创建文件操作进程;若所述文件操作进程是所述创建文件操作进程,则获取所述创建文件操作进程所创建的目标文件;对所述目标文件进行目标检测,得到检测结果,其中,所述目标检测包括以下至少之一:文件特征检测,hash检测,威胁情报检测;基于所述检测结果,确定执行所述文件操作进程的程序是否为所述恶意挖矿程序。
进一步地,若所述属性数据为所述第三解析数据,则基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程,包括:基于所述第三解析数据,确定执行所述外联进程的程序是否为第二白名单中所记录的程序;若确定出执行所述外联进程的程序是第二白名单中所记录的程序,则对所述第三解析数据进行威胁情报检测,确定所述接收所述外发数据包的IP地址是否为矿池地址;若确定出所述接收所述外发数据包的IP地址是矿池地址,则执行所述外联进程的程序是所述恶意挖矿程序。
第二方面,本发明实施例还提供了一种恶意挖矿程序主动防御的装置,所述装置包括:获取单元,解析单元,判断单元和执行单元,其中,所述获取单元用于获取待保护设备的目标进程;所述解析单元用于对所述目标进程进行解析,得到所述目标进程的属性数据;所述判断单元用于基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程;所述执行单元用于若判断结果为是,则阻断所述目标进程。
进一步地,所述目标进程包括以下至少之一:修改定时任务的进程、文件操作进程、外联进程,所述解析单元还用于:若所述目标进程为所述修改定时任务的进程,则对所述修改定时任务的进程进行解析,得到第一解析数据,并将所述第一解析数据确定为所述属性数据,其中,所述第一解析数据为用于表征执行修改定时任务的操作的信息;若所述目标进程为所述文件操作进程,则对所述文件操作进程进行解析,得到第二解析数据,并将所述第二解析数据确定为所述属性数据,其中,所述第二解析数据包括以下至少之一:用于表征对文件执行打开操作的数据,用于表征对文件关闭操作的数据;若所述目标进程为所述外联进程,则对所述外联进程进行解析,得到第三解析数据,并将所述第三解析数据确定为所述属性数据,其中,所述第三解析数据包括以下至少之一:外发数据包,接收所述外发数据包的IP地址,端口信息,传输协议。
进一步地,所述判断单元还用于:基于所述第一解析数据,确定执行所述修改定时任务的进程的程序是否为第一白名单中所记录的程序;若确定出执行所述修改定时任务的进程的程序是第一白名单中所记录的程序,则执行所述修改定时任务的进程的程序为所述恶意挖矿程序。
进一步地,所述判断单元还用于:基于所述第二解析数据,确定所述文件操作进程是否为创建文件操作进程;若所述文件操作进程是所述创建文件操作进程,则获取所述创建文件操作进程所创建的目标文件;对所述目标文件进行目标检测,得到检测结果,其中,所述目标检测包括以下至少之一:文件特征检测,hash检测,威胁情报检测;基于所述检测结果,确定执行所述文件操作进程的程序是否为所述恶意挖矿程序。
进一步地,所述判断单元还用于:基于所述第三解析数据,确定执行所述外联进程的程序是否为第二白名单中所记录的程序;若确定出执行所述外联进程的程序不是所述第二白名单中所记录的程序,则对所述第三解析数据进行威胁情报检测,确定所述接收所述外发数据包的IP地址是否为矿池地址;若确定出所述接收所述外发数据包的IP地址是矿池地址,则执行所述外联进程的程序是所述恶意挖矿程序。
在本发明实施例中,首先,获取待保护设备的目标进程,其中,目标进程包括以下至少之一:修改定时任务的进程,文件操作进程,外联进程;接着,对目标进程进行解析,得到目标进程的属性数据;然后,基于属性数据,判断目标进程是否为恶意挖矿程序执行的进程;最后,若判断结果为是,则阻断目标进程。
本发明实施例中,通过截获待保护设备执行的目标进程,并通过对目标进程进行解析和分析,从而判断出目标进程是否为恶意挖矿程序执行的进程,当判断出目标进程是恶意挖矿程序执行的进程时,阻断目标进程,达到了对恶意挖矿程序进行主动防御的目的,进而解决了现有技术中无法对恶意挖矿程序进行主动防御的技术问题,从而实现了保障了用户设备的网络安全的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种恶意挖矿程序主动防御的方法的流程图;
图2为本发明实施例提供的判断执行文件操作进程的程序是否为恶意挖矿程序的流程图;
图3为本发明实施例提供的一种恶意挖矿程序主动防御的装置的示意图;
图4为本发明实施例提供的一种服务器的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
根据本发明实施例,提供了一种恶意挖矿程序主动防御的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
现在数字货币市场繁荣,各种虚拟货币的价格持续上涨,被很多黑产团伙盯上。黑产团伙通过非法入侵、系统漏洞等非法方式,侵入受害者的机器,恶意部署挖矿程序获利。恶意挖矿程序会占用受害者机器的硬件和网络等宝贵资源,甚至有些恶意挖矿程序会非法停止正常的系统业务,以便更大限度的攫取算量资源。如果不解决这些这些问题,会严重影响受害者的正常业务的运行。
针对恶意挖矿泛滥的市场情况,推出了很多解决方案,常见的解决方案如下所示。
1、通过网页特征,识别网页挖矿。
这种方式对通过恶意程序的挖矿方式无效。
2、通过流量探测结合机器学习的方式,识别挖矿程序。
这种方式需要流量探测设别,部署麻烦。并且有一定的局限性,比如数据加密等方式可以绕过这种解决方案。
3、恶意程序的识别通过程序解析,调用的接口进行识别。
这种方式有局限性,对网页挖矿、无文件的挖矿无效,且需要手工触发。
4、恶意程序的识别通过编译的第一路径信息识别恶意程序(包括挖矿)。
这种方式有局限性,对网页挖矿、无文件的挖矿无效,且需要手工触发。
现有分析恶意挖矿的方法:
针对网页挖矿是通过特征分析等方法对网页挖矿程序进行分析和识别,但是该方法对恶意程序挖矿无效。
针对恶意挖矿程序是通过特征、hash、调用接口、编译的第一路径等进行分析和识别。但是,新的变种恶意挖矿程序有的不存在恶意特征、有的hash值不在特征库中、有的调用接口没有恶意操作的行为等。存在不同程序的绕过的行为,且需要主动出发检测,如果没有主动发起检测,肯定不会捕获到恶意挖矿程序,即使主动发起检测,由于检测周期的问题,也很可能会遗漏恶意程序。
针对上述的缺点,提出以下解决方案:
图1是根据本发明实施例的一种恶意挖矿程序主动防御的方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取待保护设备的目标进程;
步骤S104,对所述目标进程进行解析,得到所述目标进程的属性数据;
步骤S106,基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程;
步骤S106,若判断结果为是,则阻断所述目标进程。
本发明实施例中,通过截获待保护设备执行的目标进程,并通过对目标进程进行解析和分析,从而判断出目标进程是否为恶意挖矿程序执行的进程,当判断出目标进程是恶意挖矿程序执行的进程时,阻断目标进程,达到了对恶意挖矿程序进行主动防御的目的,进而解决了现有技术中无法对恶意挖矿程序进行主动防御的技术问题,从而实现了保障了用户设备的网络安全的技术效果。
需要说明的是,上述的目标进程包括以下至少之一:修改定时任务的进程、文件操作进程、外联进程。
需要说明的是,挖矿程序一般可以分为写入待保护设备中的挖矿程序和针对网页的挖矿程序,本申请通过获取针对网页的挖矿程序会使待保护设备执行外联进程的特性,对外联进程进行分析,从而确定出针对网页的挖矿程序是否为恶意挖矿程序;通过写入待保护设备中的挖矿程序会使待保护设备执行修改定时任务的进程和文件操作进程的特性,对修改定时任务的进程和文件操作进程进行分析,从而确定出写入待保护设备中的挖矿程序是否为恶意挖矿程序,进而能够达到对写入待保护设备中的挖矿程序和针对网页的挖矿程序进行主动防御的技术效果。
另外,还需要说明的是,可以通过安装文件驱动获取文件操作进程,通过安装网络驱动获取外联进程,通过待保护设备的监控系统获取修改定时任务的进程。
在本发明实施例中,步骤S104还包括如下步骤:
步骤S11,若所述目标进程为所述修改定时任务的进程,则对所述修改定时任务的进程进行解析,得到第一解析数据,并将所述第一解析数据确定为所述属性数据,其中,所述第一解析数据为用于表征执行修改定时任务的操作的信息;
步骤S12,若所述目标进程为所述文件操作进程,则对所述文件操作进程进行解析,得到第二解析数据,并将所述第二解析数据确定为所述属性数据,其中,所述第二解析数据包括以下至少之一:用于表征对文件执行打开操作的数据,用于表征对文件关闭操作的数据;
步骤S13,若所述目标进程为所述外联进程,则对所述外联进程进行解析,得到第三解析数据,并将所述第三解析数据确定为所述属性数据,其中,所述第三解析数据包括以下至少之一:外发数据包,接收所述外发数据包的IP地址,端口信息,传输协议。
在本发明实施例中,待保护设备的监控系统对待保护设备执行的修改定时任务的进程进行解析,从而用于表征执行修改定时任务的操作的信息,由于,恶意挖矿程序入侵待保护设备后,会修改系统定时任务,以便恶意挖矿程序被发现后,还可以自动下载并启动,因此,需要监控待保护设备所执行修改定时任务的进程。
通过待保护设备中安装的文件驱动对文件操作进程进行解析,从而得到用于表征对文件执行打开操作的数据和用于表征对文件关闭操作的数据,由于当恶意挖矿程序入侵待保护设备后,会在待保护设备的硬盘内写入新的文件,因此,通过对需要文件操作进程进行解析,判断文件操作进程是否为新建文件的进程。
另外,还需要说明的是,还可以获取被操作文件的内核API参数,通过内核API参数也可以判定出被操作文件所执行的操作是否为新建文件操作。
通过待保护设备中安装的网络驱动对外联进程进行解析,从而得到外发数据包,接收所述外发数据包的IP地址,端口信息和传输协议等信息,由于网页挖矿程序会控制待保护设备向外发送外联数据包,因此,可以通过对外联进程进行解析,判断该外联进程是否为待保护设备在网页挖矿程序的控制下执行的进程。
在本发明实施例中,如果属性数据为第一解析数据,那么步骤S106还包括如下步骤:
步骤S21,基于所述第一解析数据,确定执行所述修改定时任务的进程的程序是否为第一白名单中所记录的程序;
步骤S21,若确定出执行所述修改定时任务的进程的程序是第一白名单中所记录的程序,则执行所述修改定时任务的进程的程序为所述恶意挖矿程序。
在本发明实施例中,通过第一解析数据,确定出执行所述修改定时任务的进程的程序是否为第一白名单中所记录的程序。
需要说明的是,第一白名单为待保护设备的监控系统中所设置的白名单。
当确定出执行修改定时任务的进程的程序是第一白名单中所记录的程序,那么就可以确定出执行修改定时任务的进程的程序为恶意挖矿程序。
在确定出出执行修改定时任务的进程的程序为恶意挖矿程序后,通过阻断该修改定时任务的进程,从而达到对恶意挖矿程序进行主动防御的技术效果。
在本发明实施例中,如图2所示,如果属性数据为第二解析数据,那么步骤S106还包括如下步骤:
步骤S31,基于所述第二解析数据,确定所述文件操作进程是否为创建文件操作进程;
步骤S32,若所述文件操作进程是所述创建文件操作进程,则获取所述创建文件操作进程所创建的目标文件;
步骤S33,对所述目标文件进行目标检测,得到检测结果,其中,所述目标检测包括以下至少之一:文件特征检测,hash检测,威胁情报检测;
步骤S34,基于所述检测结果,确定执行所述文件操作进程的程序是否为所述恶意挖矿程序。
在本发明实施例中,通过第二解析数据,首先确定文件操作进程是否为创建文件操作进程。
如果确定出文件操作进程是创建文件操作进程,那么则截获创建文件操作进程所创建的目标文件,并阻塞该创建文件操作进程的写入操作。
接着,对该目标文件进行文件特征检测,hash检测,威胁情报检测等目标检测,得到检测结果,从而根据检测结果确定出该创建文件操作进程是否为恶意挖矿程序锁执行的进程。
如果确定出该创建文件操作进程为恶意挖矿程序所执行的进程,那么则阻断该创建文件操作进程,并向待保护设备的所有者发送告警信息,以提示待保护设备的所有者及时对该进程进行处理。
如果确定出该创建文件操作进程不是恶意挖矿程序所执行的进程,则放行该创建文件操作进程,以使该创建文件操作进程在待保护设备的硬盘内写入目标文件。
在本发明实施例中,如果属性数据为第三解析数据,那么步骤S106还包括如下步骤:
步骤S41,基于所述第三解析数据,确定执行所述外联进程的程序是否为第二白名单中所记录的程序;
步骤S42,若确定出执行所述外联进程的程序不是第二白名单中所记录的程序,则对所述第三解析数据进行威胁情报检测,确定所述接收所述外发数据包的IP地址是否为矿池地址;
步骤S43,若确定出所述接收所述外发数据包的IP地址是矿池地址,则执行所述外联进程的程序是所述恶意挖矿程序。
在本发明实施例中,通过第三解析数据,确定出执行外联进程的程序是否为第二白名单中所记录的程序。
如果确定出执行所述外联进程的程序不是第二白名单中所记录的程序,那么则需要对第三解析数据进行威胁情报检测,从而确定出第三解析数据中所包含的外发数据包的IP地址是否为矿池地址。
如果第三解析数据中所包含的外发数据包的IP地址为矿池地址,那么执行外联进程的程序是恶意挖矿程序,并立即阻断该外联进程。
如果第三解析数据中所包含的外发数据包的IP地址不是矿池地址,那么还可以对外联进程的CPU占用率,外联进程的特性信息,进行常规的恶意挖矿程序检测,从而进一步确定执行外联进程的程序是否为恶意挖矿程序。
在确定出执行外联进程的程序不是恶意挖矿程序后,则立即放行该外联进程。
实施例二:
本发明还提供了一种恶意挖矿程序主动防御的装置,该装置用于执行本发明实施例上述内容所提供的恶意挖矿程序主动防御的方法,以下是本发明实施例提供的恶意挖矿程序主动防御的装置的具体介绍。
如图3所示,上述的恶意挖矿程序主动防御的装置包括:获取单元10,解析单元20,判断单元30和执行单元40。
所述获取单元10用于获取待保护设备的目标进程;
所述解析单元20用于对所述目标进程进行解析,得到所述目标进程的属性数据;
所述判断单元30用于基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程;
所述执行单元40用于若判断结果为是,则阻断所述目标进程。
本发明实施例中,通过截获待保护设备执行的目标进程,并通过对目标进程进行解析和分析,从而判断出目标进程是否为恶意挖矿程序执行的进程,当判断出目标进程是恶意挖矿程序执行的进程时,阻断目标进程,达到了对恶意挖矿程序进行主动防御的目的,进而解决了现有技术中无法对恶意挖矿程序进行主动防御的技术问题,从而实现了保障了用户设备的网络安全的技术效果。
优选地,所述目标进程包括以下至少之一:修改定时任务的进程、文件操作进程、外联进程,所述解析单元还用于:若所述目标进程为所述修改定时任务的进程,则对所述修改定时任务的进程进行解析,得到第一解析数据,并将所述第一解析数据确定为所述属性数据,其中,所述第一解析数据为用于表征执行修改定时任务的操作的信息;若所述目标进程为所述文件操作进程,则对所述文件操作进程进行解析,得到第二解析数据,并将所述第二解析数据确定为所述属性数据,其中,所述第二解析数据包括以下至少之一:用于表征对文件执行打开操作的数据,用于表征对文件关闭操作的数据;若所述目标进程为所述外联进程,则对所述外联进程进行解析,得到第三解析数据,并将所述第三解析数据确定为所述属性数据,其中,所述第三解析数据包括以下至少之一:外发数据包,接收所述外发数据包的IP地址,端口信息,传输协议。
优选地,所述判断单元还用于:基于所述第一解析数据,确定执行所述修改定时任务的进程的程序是否为第一白名单中所记录的程序;若确定出执行所述修改定时任务的进程的程序不是所述第一白名单中所记录的程序,则执行所述修改定时任务的进程的程序为所述恶意挖矿程序。
优选地,所述判断单元还用于:基于所述第二解析数据,确定所述文件操作进程是否为创建文件操作进程;若所述文件操作进程是所述创建文件操作进程,则获取所述创建文件操作进程所创建的目标文件;对所述目标文件进行目标检测,得到检测结果,其中,所述目标检测包括以下至少之一:文件特征检测,hash检测,威胁情报检测;基于所述检测结果,确定执行所述文件操作进程的程序是否为所述恶意挖矿程序。
优选地,所述判断单元还用于:基于所述第三解析数据,确定执行所述外联进程的程序是否为第二白名单中所记录的程序;若确定出执行所述外联进程的程序不是所述第二白名单中所记录的程序,则对所述第三解析数据进行威胁情报检测,确定所述接收所述外发数据包的IP地址是否为矿池地址;若确定出所述接收所述外发数据包的IP地址是矿池地址,则执行所述外联进程的程序是所述恶意挖矿程序。
参见图4,本发明实施例还提供一种服务器100,包括:处理器50,存储器51,总线52和通信接口53,所述处理器50、通信接口53和存储器51通过总线52连接;处理器50用于执行存储器51中存储的可执行模块,例如计算机程序。
其中,存储器51可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线52可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器51用于存储程序,所述处理器50在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器50中,或者由处理器50实现。
处理器50可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器50中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器50可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51,处理器50读取存储器51中的信息,结合其硬件完成上述方法的步骤。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种恶意挖矿程序主动防御的方法,其特征在于,包括:
获取待保护设备的目标进程;
对所述目标进程进行解析,得到所述目标进程的属性数据;
基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程;
若判断结果为是,则阻断所述目标进程。
2.根据权利要求1所述的方法,其特征在于,所述目标进程包括以下至少之一:修改定时任务的进程、文件操作进程、外联进程;
对所述目标进程进行解析,得到所述目标进程的属性数据,包括:
若所述目标进程为所述修改定时任务的进程,则对所述修改定时任务的进程进行解析,得到第一解析数据,并将所述第一解析数据确定为所述属性数据,其中,所述第一解析数据为用于表征执行修改定时任务的操作的信息;
若所述目标进程为所述文件操作进程,则对所述文件操作进程进行解析,得到第二解析数据,并将所述第二解析数据确定为所述属性数据,其中,所述第二解析数据包括以下至少之一:用于表征对文件执行打开操作的数据,用于表征对文件关闭操作的数据;
若所述目标进程为所述外联进程,则对所述外联进程进行解析,得到第三解析数据,并将所述第三解析数据确定为所述属性数据,其中,所述第三解析数据包括以下至少之一:外发数据包,接收所述外发数据包的IP地址,端口信息,传输协议。
3.根据权利要求2所述的方法,其特征在于,若所述属性数据为所述第一解析数据,则基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程,包括:
基于所述第一解析数据,确定执行所述修改定时任务的进程的程序是否为第一白名单中所记录的程序;
若确定出执行所述修改定时任务的进程的程序不是所述第一白名单中所记录的程序,则执行所述修改定时任务的进程的程序为所述恶意挖矿程序。
4.根据权利要求2所述的方法,其特征在于,若所述属性数据为所述第二解析数据,则基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程,包括:
基于所述第二解析数据,确定所述文件操作进程是否为创建文件操作进程;
若所述文件操作进程是所述创建文件操作进程,则获取所述创建文件操作进程所创建的目标文件;
对所述目标文件进行目标检测,得到检测结果,其中,所述目标检测包括以下至少之一:文件特征检测,hash检测,威胁情报检测;
基于所述检测结果,确定执行所述文件操作进程的程序是否为所述恶意挖矿程序。
5.根据权利要求2所述的方法,其特征在于,若所述属性数据为所述第三解析数据,则基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程,包括:
基于所述第三解析数据,确定执行所述外联进程的程序是否为第二白名单中所记录的程序;
若确定出执行所述外联进程的程序不是所述第二白名单中所记录的程序,则对所述第三解析数据进行威胁情报检测,确定所述接收所述外发数据包的IP地址是否为矿池地址;
若确定出所述接收所述外发数据包的IP地址是矿池地址,则执行所述外联进程的程序是所述恶意挖矿程序。
6.一种恶意挖矿程序主动防御的装置,其特征在于,所述装置包括:获取单元,解析单元,判断单元和执行单元,其中,
所述获取单元用于获取待保护设备的目标进程;
所述解析单元用于对所述目标进程进行解析,得到所述目标进程的属性数据;
所述判断单元用于基于所述属性数据,判断所述目标进程是否为恶意挖矿程序执行的进程;
所述执行单元用于若判断结果为是,则阻断所述目标进程。
7.根据权利要求6所述的装置,其特征在于,所述目标进程包括以下至少之一:修改定时任务的进程、文件操作进程、外联进程,所述解析单元还用于:
若所述目标进程为所述修改定时任务的进程,则对所述修改定时任务的进程进行解析,得到第一解析数据,并将所述第一解析数据确定为所述属性数据,其中,所述第一解析数据为用于表征执行修改定时任务的操作的信息;
若所述目标进程为所述文件操作进程,则对所述文件操作进程进行解析,得到第二解析数据,并将所述第二解析数据确定为所述属性数据,其中,所述第二解析数据包括以下至少之一:用于表征对文件执行打开操作的数据,用于表征对文件关闭操作的数据;
若所述目标进程为所述外联进程,则对所述外联进程进行解析,得到第三解析数据,并将所述第三解析数据确定为所述属性数据,其中,所述第三解析数据包括以下至少之一:外发数据包,接收所述外发数据包的IP地址,端口信息,传输协议。
8.根据权利要求7所述的装置,其特征在于,所述判断单元还用于:
基于所述第一解析数据,确定执行所述修改定时任务的进程的程序是否为第一白名单中所记录的程序;
若确定出执行所述修改定时任务的进程的程序不是所述第一白名单中所记录的程序,则执行所述修改定时任务的进程的程序为所述恶意挖矿程序。
9.根据权利要求7所述的装置,其特征在于,所述判断单元还用于:
基于所述第二解析数据,确定所述文件操作进程是否为创建文件操作进程;
若所述文件操作进程是所述创建文件操作进程,则获取所述创建文件操作进程所创建的目标文件;
对所述目标文件进行目标检测,得到检测结果,其中,所述目标检测包括以下至少之一:文件特征检测,hash检测,威胁情报检测;
基于所述检测结果,确定执行所述文件操作进程的程序是否为所述恶意挖矿程序。
10.根据权利要求7所述的装置,其特征在于,所述判断单元还用于:
基于所述第三解析数据,确定执行所述外联进程的程序是否为第二白名单中所记录的程序;
若确定出执行所述外联进程的程序不是所述第二白名单中所记录的程序,则对所述第三解析数据进行威胁情报检测,确定所述接收所述外发数据包的IP地址是否为矿池地址;
若确定出所述接收所述外发数据包的IP地址是矿池地址,则执行所述外联进程的程序是所述恶意挖矿程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910884078.7A CN110619217A (zh) | 2019-09-18 | 2019-09-18 | 恶意挖矿程序主动防御的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910884078.7A CN110619217A (zh) | 2019-09-18 | 2019-09-18 | 恶意挖矿程序主动防御的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110619217A true CN110619217A (zh) | 2019-12-27 |
Family
ID=68923561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910884078.7A Pending CN110619217A (zh) | 2019-09-18 | 2019-09-18 | 恶意挖矿程序主动防御的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110619217A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111176236A (zh) * | 2019-12-31 | 2020-05-19 | 四川红华实业有限公司 | 一种离心工厂工控安全防护系统及其安全防护运行方法 |
| CN111428239A (zh) * | 2020-03-18 | 2020-07-17 | 西安电子科技大学 | 一种恶意挖矿软件的检测方法 |
| CN111585961A (zh) * | 2020-04-03 | 2020-08-25 | 北京大学 | 一种网页挖矿攻击检测及保护方法和装置 |
| CN111679951A (zh) * | 2020-05-29 | 2020-09-18 | 中国人民银行清算总中心 | 基于交易支付系统的监控方法及装置 |
| CN111797393A (zh) * | 2020-06-23 | 2020-10-20 | 哈尔滨安天科技集团股份有限公司 | 基于gpu恶意挖矿行为的检测方法与装置 |
| CN111949983A (zh) * | 2020-08-13 | 2020-11-17 | 北京小佑科技有限公司 | 一种容器内挖矿行为的检测方法 |
| CN113177791A (zh) * | 2021-04-23 | 2021-07-27 | 杭州安恒信息技术股份有限公司 | 一种恶意挖矿行为识别方法、装置、设备及存储介质 |
| CN113190848A (zh) * | 2021-04-27 | 2021-07-30 | 顶象科技有限公司 | 病毒数据的检测方法、装置以及电子设备 |
| CN113704749A (zh) * | 2020-05-20 | 2021-11-26 | 中国移动通信集团浙江有限公司 | 一种恶意挖矿检测处理方法和装置 |
| CN115037500A (zh) * | 2022-04-07 | 2022-09-09 | 水利部信息中心 | 一种基于配置文件检测挖矿失陷主机的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108829829A (zh) * | 2018-06-15 | 2018-11-16 | 深信服科技股份有限公司 | 检测虚拟货币挖矿程序的方法、系统、装置及存储介质 |
| CN108900496A (zh) * | 2018-06-22 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 一种快速探测网站被植入挖矿木马的检测方法以及装置 |
| CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
| US20190146473A1 (en) * | 2016-05-09 | 2019-05-16 | Strong Force Iot Portfolio 2016, Llc | Methods of back-calculation for determining candidate sources of data collection |
-
2019
- 2019-09-18 CN CN201910884078.7A patent/CN110619217A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190146473A1 (en) * | 2016-05-09 | 2019-05-16 | Strong Force Iot Portfolio 2016, Llc | Methods of back-calculation for determining candidate sources of data collection |
| CN108829829A (zh) * | 2018-06-15 | 2018-11-16 | 深信服科技股份有限公司 | 检测虚拟货币挖矿程序的方法、系统、装置及存储介质 |
| CN108900496A (zh) * | 2018-06-22 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 一种快速探测网站被植入挖矿木马的检测方法以及装置 |
| CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 安全浅谈: "记一次linux服务器入侵应急响应", 《HTTP://WWW.CPPCNS.COM/OS/LINUX/270266.HTML》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111176236A (zh) * | 2019-12-31 | 2020-05-19 | 四川红华实业有限公司 | 一种离心工厂工控安全防护系统及其安全防护运行方法 |
| CN111428239A (zh) * | 2020-03-18 | 2020-07-17 | 西安电子科技大学 | 一种恶意挖矿软件的检测方法 |
| CN111428239B (zh) * | 2020-03-18 | 2023-05-23 | 西安电子科技大学 | 一种恶意挖矿软件的检测方法 |
| CN111585961A (zh) * | 2020-04-03 | 2020-08-25 | 北京大学 | 一种网页挖矿攻击检测及保护方法和装置 |
| CN111585961B (zh) * | 2020-04-03 | 2021-08-20 | 北京大学 | 一种网页挖矿攻击检测及保护方法和装置 |
| CN113704749A (zh) * | 2020-05-20 | 2021-11-26 | 中国移动通信集团浙江有限公司 | 一种恶意挖矿检测处理方法和装置 |
| CN113704749B (zh) * | 2020-05-20 | 2024-03-19 | 中国移动通信集团浙江有限公司 | 一种恶意挖矿检测处理方法和装置 |
| CN111679951A (zh) * | 2020-05-29 | 2020-09-18 | 中国人民银行清算总中心 | 基于交易支付系统的监控方法及装置 |
| CN111679951B (zh) * | 2020-05-29 | 2024-04-12 | 中国人民银行清算总中心 | 基于交易支付系统的监控方法及装置 |
| CN111797393A (zh) * | 2020-06-23 | 2020-10-20 | 哈尔滨安天科技集团股份有限公司 | 基于gpu恶意挖矿行为的检测方法与装置 |
| CN111797393B (zh) * | 2020-06-23 | 2023-05-23 | 安天科技集团股份有限公司 | 基于gpu恶意挖矿行为的检测方法与装置 |
| CN111949983A (zh) * | 2020-08-13 | 2020-11-17 | 北京小佑科技有限公司 | 一种容器内挖矿行为的检测方法 |
| WO2022222270A1 (zh) * | 2021-04-23 | 2022-10-27 | 杭州安恒信息技术股份有限公司 | 一种恶意挖矿行为识别方法、装置、设备及存储介质 |
| CN113177791A (zh) * | 2021-04-23 | 2021-07-27 | 杭州安恒信息技术股份有限公司 | 一种恶意挖矿行为识别方法、装置、设备及存储介质 |
| CN113190848A (zh) * | 2021-04-27 | 2021-07-30 | 顶象科技有限公司 | 病毒数据的检测方法、装置以及电子设备 |
| CN115037500A (zh) * | 2022-04-07 | 2022-09-09 | 水利部信息中心 | 一种基于配置文件检测挖矿失陷主机的方法 |
| CN115037500B (zh) * | 2022-04-07 | 2024-02-13 | 水利部信息中心 | 一种基于配置文件检测挖矿失陷主机的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110619217A (zh) | 恶意挖矿程序主动防御的方法及装置 | |
| US11089057B1 (en) | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits | |
| US10534906B1 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| US9848016B2 (en) | Identifying malicious devices within a computer network | |
| US9973531B1 (en) | Shellcode detection | |
| US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
| CN107506648B (zh) | 查找应用漏洞的方法、装置和系统 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
| US20210037027A1 (en) | Malicious incident visualization | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| CN110858831B (zh) | 安全防护方法、装置以及安全防护设备 | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| CN115277068A (zh) | 一种基于欺骗防御的新型蜜罐系统及方法 | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
| Kolev et al. | Instrumental Equipment for Cyberattack Prevention | |
| CN109271787A (zh) | 一种操作系统安全主动防御方法及操作系统 | |
| CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| KR20180059611A (ko) | 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 | |
| CN113923021A (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| CN112839049A (zh) | Web应用防火墙防护方法、装置、存储介质及电子设备 | |
| Arul | Hypervisor injection attack using X-cross API calls (HI-API attack) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191227 |
|
| RJ01 | Rejection of invention patent application after publication |