WO2022222270A1

WO2022222270A1 - 一种恶意挖矿行为识别方法、装置、设备及存储介质

Info

Publication number: WO2022222270A1
Application number: PCT/CN2021/103572
Authority: WO
Inventors: 郑云超; 范渊; 黄进
Original assignee: 杭州安恒信息技术股份有限公司
Priority date: 2021-04-23
Filing date: 2021-06-30
Publication date: 2022-10-27
Also published as: US20240137385A1; CN113177791A

Abstract

一种恶意挖矿行为识别方法、装置、设备及存储介质。该方法包括：当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据(S11)；从所述操作数据中提取钱包地址，得到钱包地址集(S12)；获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址(S13)；若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为(S14)。该方法通过提取目标操作行为对应的操作数据中的钱包地址，并监控网络外连行为数据中是否含有相应的钱包地址，判断是否存在恶意挖矿行为，由于钱包地址是获取收益的必备信息，因此利用挖矿时用于登录的钱包地址对恶意挖矿行为进行识别，提高了恶意挖矿行为识别的准确性。

Description

一种恶意挖矿行为识别方法、装置、设备及存储介质

本申请要求于2021年04月23日提交中国专利局、申请号为202110463363.9、发明名称为“一种恶意挖矿行为识别方法、装置、设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及计算机领域，特别涉及一种恶意挖矿行为识别方法、装置、设备及存储介质。

背景技术

目前，随着区块链的不断发展，很多人通过挖矿获取比特币以获取利润。比特币系统每隔一个时间点会在系统节点上生成一个随机代码，互联网中的所有计算机都可以去寻找此代码，谁找到此代码就会产生一个区块，而每促成一个区块的生成比特币该节点便获得相应奖励，这样大家就有动力投入资金去维护整个交易网络的正常运行，这个寻找代码获得奖励的过程就是挖矿。但是挖矿中要计算出符合条件的值需要大量运算，于是部分黑客就会通过入侵服务器的方式来控制别人的计算机帮助自己挖矿。

现有技术中，通过检测流量包里特定的字符串特征来进行恶意挖矿识别，但不同的协议不同版本的挖矿程序所携带的特征存在不确定性，同时也可能被攻击者进行格式修改，从而会导致检测无效；现有技术中还通过识别挖矿矿池地址来验证，但攻击者一般不会选择直接连接被检测概率较高的热门矿池，一般会选择让矿机连接矿池代理地址来进行挖矿，且矿池代理地址存在不确定性，无法准确定位，降低了恶意挖矿行为检测的准确性。

发明内容

有鉴于此，本发明的目的在于提供一种恶意挖矿行为识别方法、装置、设备及介质，能够提高恶意挖矿行为识别的准确性。其具体方案如下：

第一方面，本申请公开了一种恶意挖矿行为识别方法，包括：

当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；

从所述操作数据中提取钱包地址，得到钱包地址集；

获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；

若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。

可选的，所述从所述操作数据中提取钱包地址，包括：

利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址；其中，所述预设钱包地址检测规则为利用正则匹配检测钱包地址相邻关键字段的检测规则。

可选的，所述当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据，包括：

当捕获到文件修改行为，则获取被修改文件的文件内容以得到所述操作数据；

相应的，所述利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址，包括：

利用与所述文件修改行为对应的第一预设钱包地址检测规则，对所述文件内容进行检测以得到所述钱包地址。

当捕获到进程创建行为，则获取与所述进程创建行为对应的进程执行命令参数，以得到所述操作数据；

利用与所述进程创建行为对应的第二预设钱包地址检测规则，对所述进程执行命令参数进行检测以得到所述钱包地址。

可选的，所述获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址，包括：

获取对外访问的网络外连行为数据；所述网络外连行为数据包括访问进程信息、访问目的地址和网络流量数据包；

根据预设数据包长度阈值对所述网络流量数据包进行筛选，得到筛选后数据包；

判断所述筛选后数据包中是否存在所述钱包地址集中的钱包地址。

可选的，所述若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为，包括：

若所述筛选后数据包中存在所述钱包地址集中的钱包地址，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为；

基于所述网络外连行为数据中的所述访问进程信息生成恶意挖矿告警信息。

第二方面，本申请公开了一种恶意挖矿行为识别装置，包括：

操作数据获取模块，用于当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；

钱包地址获取模块，用于从所述操作数据中提取钱包地址，得到钱包地址集；

判断模块，用于获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；

行为判定模，用于若所述判断模块的判断结果为存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。

可选的，所述钱包地址获取模块，包括：

钱包地址检测单元，用于利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址；其中，所述预设钱包地址检测规则为利用正则匹配检测钱包地址相邻关键字段的检测规则。

第三方面，本申请公开了一种电子设备，包括：

存储器，用于保存计算机程序；

处理器，用于执行所述计算机程序，以实现前述的恶意挖矿行为识别方法。

第四方面，本申请公开了一种计算机可读存储介质，用于存储计算机程序；其中计算机程序被处理器执行时实现前述的恶意挖矿行为识别方法。

本申请中，当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；从所述操作数据中提取钱包地址，得到钱包地址集；获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。可见，通过提取目标操作行为对应的操作数据中的钱包地址，并监控网络外连行为数据，如果发现网络外连行为数据中包含钱包地址，则可以确认该流量数据对应进程在执行挖矿行为，由于钱包地址是获取收益的必备信息，因此利用挖矿时用于登录的钱包地址对恶意挖矿行为进行识别，提高了恶意挖矿行为识别的能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请提供的一种恶意挖矿行为识别方法流程图；

图2为本申请提供的一种具体的恶意挖矿行为识别方法流程图；

图3为本申请提供的一种具体的操作数据示意图；

图4为本申请提供的一种具体的恶意挖矿行为识别方法流程图；

图5为本申请提供的一种具体的恶意挖矿行为识别方法流程图；

图6为本申请提供的一种恶意挖矿行为识别装置结构示意图；

图7为本申请提供的一种电子设备结构图。

具体实施方式

现有技术中，通过检测流量包里特定的字符串特征来进行挖矿识别，但不同的协议不同版本的挖矿程序所携带的特征存在不确定性，同时也可能被攻击者进行格式修改，从而会导致检测无效；现有技术中还通过识别挖矿矿池地址来验证，且攻击者一般不会选择直接连接被检测概率较高的热门矿池，一般会选择让矿机连接矿池代理地址来进行挖矿，但矿池代理地址存在不确定性，无法准确定位，降低了恶意挖矿行为检测的准确性。为克服上述技术问题，本申请提出一种恶意挖矿行为识别方法，能够提高恶意挖矿行为识别的准确性。

本申请实施例公开了一种恶意挖矿行为识别方法，参见图1所示，该方法可以包括以下步骤：

步骤S11：当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据。

本实施例中，首先对本地操作系统的操作行为进行捕获，当捕获到目标操作行为时，获取与上述目标操作行为对应的操作数据，可以理解的是，挖矿过程中会执行某些类型的操作，与这类操作行为对应的操作数据中存在挖矿的钱包地址，因此当捕获到这些类型的操作行为后，获取与该操作行为对应的操作数据。其中，上述目标操作行为可以包括但不限于文件修改行为和进程创建行为等。

步骤S12：从所述操作数据中提取钱包地址，得到钱包地址集。

本实施例中，得到上述操作数据后，从上述操作数据中提取出挖矿的钱包地址，得到钱包地址集。

本实施例中，所述从所述操作数据中提取钱包地址，可以包括：利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址；其中，所述预设钱包地址检测规则为利用正则匹配检测钱包地址相邻关键字段的检测规则。可以理解的是，对于不同类型的操作行为产生的不同类型的操作数据，根据操作数据的特征预设不同的钱包地址检测规则，然后在得到操作数据后，利用与操作类型对应的预设钱包地址检测规则对上述操作数据进行检测以提取出钱包地址。上述预设钱包地址检测规则可以为利用正则匹配检测钱包地址相邻关键字段的检测规则，如根据操作数据特点钱包地址位于某些特定字段之后，因此通过正则匹配检测出特定的目标关键字段然后确定出钱包地址的位置进行提取。

步骤S13：获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址。

本实施例中，收集本地对外访问时产生的网络外连行为数据，然后根据上述钱包地址集，判断上述网络外连行为数据中是否存在上述钱包地址集中的任意一个钱包地址。

步骤S14：若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。

本实施例中，若上述网络外连行为数据中存在上述钱包地址集中的钱包地址，则说明上述网路外连行为数据可能为黑客通过侵入服务器控制服务器帮自己挖矿的行为数据，因此判定上述网络外连行为数据对应的行为属于恶意挖矿行为。

由上可见，本实施例中当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；从所述操作数据中提取钱包地址，得到钱包地址集；获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。可见，通过提取目标操作行为对应的操作数据中的钱包地址，并监控网络外连行为数据，如果发现网络外连行为数据中包含钱包地址，则可以确认该流量数据对应进程在执行挖矿行为，由于钱包地址是获取收益的必备信息，因此利用挖矿时用于登录的钱包地址对恶意挖矿行为进行识别，提高了恶意挖矿行为识别的能力和准确性。

本申请实施例公开了一种具体的恶意挖矿行为识别方法，参见图2所示，该方法可以包括以下步骤：

步骤S21：当捕获到文件修改行为，则获取被修改文件的文件内容。

本实施例中，若捕获到文件修改行为，则获取文件修改行为对应的被修改文件的文件内容，可以理解的是，上述文件修改行为即为上一实施例中的目标操作行为，上述文件内容即为操作数据。

步骤S22：利用与所述文件修改行为对应的第一预设钱包地址检测规则，对所述文件内容进行检测以得到钱包地址。

本实施例中，得到上述文件内容后，利用与文件修改行为对应的第一预设钱包地址检测规则，对上述文件内容进行检测，提取得到文件内容中的钱包地址。其中上述第一预设钱包地址检测规则可以为利用正则匹配检测钱包地址相邻关键字段的检测规则，即根据数据规则通过正则匹配得到特定的目标关键字段确定出钱包地址的位置，进而提取得到钱包地址，如文件内容中钱包地址可能出现在“login”字段之后，因此上述第一预设钱包地址检测规则中的相邻关键字段可以包括字段“login”。

步骤S23：当捕获到进程创建行为，则获取与所述进程创建行为对应的进程执行命令参数。

本实施例中，若捕获到进程创建行为，则获取进程创建行为对应的进程执行命令参数，可以理解的是，上述进程创建行为即为上一实施例中的目标操作行为，上述进程执行命令参数即为操作数据。

步骤S24：利用与所述进程创建行为对应的第二预设钱包地址检测规则，对所述进程执行命令参数进行检测以得到钱包地址。

本实施例中，得到上述进程执行命令参数后，利用与进程创建行为对应的第二预设钱包地址检测规则，对上述进程执行命令参数进行检测，提取得到进程执行命令参数中的钱包地址。其中上述第二预设钱包地址检测规则可以为利用正则匹配检测钱包地址相邻关键字段的检测规则，即根据数据规则通过正则匹配得到特定的目标关键字段确定出钱包地址的位置，进而提取得到钱包地址，如图3所示进程执行命令参数中钱包地址可能出现在“-u”字段之后，因此上述第二预设钱包地址检测规则中的相邻关键字段可以包括字段“-u”。

步骤S25：获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在钱包地址集中的钱包地址。

步骤S26：若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。

其中，关于上述步骤S25、步骤S26的具体过程可以参考前述实施例公开的相应内容，在此不再进行赘述。

由上可见，本实施例中当捕获到文件修改行为，则获取被修改文件的文件内容，然后利用与所述文件修改行为对应的第一预设钱包地址检测规则，对所述文件内容进行检测以得到钱包地址；当捕获到进程创建行为，则获取与所述进程创建行为对应的进程执行命令参数，然后利用与所述进程创建行为对应的第二预设钱包地址检测规则，对所述进程执行命令参数进行检测以得到钱包地址。可见，通过监控对文件新增修改行为和进程创建行为，并从监控行为中提取出文件内容以及进程执行命令行参数，再按检测规则从中获取钱包地址，同时监控网络外连行为数据，如果网络外连行为数据中包含钱包地址，则确认对应进程在执行恶意挖矿行为，提高了恶意挖矿行为识别的准确性。

本申请实施例公开了一种具体的恶意挖矿行为识别方法，参见图4所示，该方法可以包括以下步骤：

步骤S31：当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据。

步骤S32：从所述操作数据中提取钱包地址，得到钱包地址集。

步骤S33：获取对外访问的网络外连行为数据；所述网络外连行为数据包括访问进程信息、访问目的地址和网络流量数据包。

本实施例中，收集本地对外访问的网络外连行为数据，即对外访问时产生的相应的网络外连行为数据，上述网络外连行为数据包括但不限于访问的进程信息、访问的目标地址和访问的网络流量数据包。

步骤S34：根据预设数据包长度阈值对所述网络流量数据包进行筛选，得到筛选后数据包，并判断所述筛选后数据包中是否存在所述钱包地址集中的钱包地址。

本实施例中，获取到上述网络外连行为数据后，根据预设数据包长度阈值对上述网络外连行为数据中的网络流量数据包进行筛选，得到筛选后数据包，可以理解的是，例如图5所示，挖矿的钱包地址在网络流量数据包中，并且挖矿登陆流量数据包至少在100字节以上，因此上述预设数据包长度阈值可以为100字节，即得到网络流量数据包后过滤掉数据包总长度在 100字节以下的数据包，得到筛选后数据包，然后判断筛选后数据包中是否存在钱包地址集中的钱包地址。由此，通过对网络流量数据包在数据大小方面进行筛选后再判断是否存在钱包地址，减少了后续的工作量提高了钱包地址检测的效率。

步骤S35：若所述筛选后数据包中存在所述钱包地址集中的钱包地址，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。

本实施例中，若筛选后数据包的内容中存在上述钱包地址集中的钱包地址，则判定上述网络外连行为数据对应的行为属于恶意挖矿行为，即判断数据内容是否存在钱包地址集合中的任一个钱包地址，如果存在，则确认这是一个挖矿流量，对应的行为即为恶意挖矿行为，此时的访问可能为挖矿登陆请求。

步骤S36：基于所述网络外连行为数据中的所述访问进程信息生成恶意挖矿告警信息。

本实施例中，判断属于恶意挖矿行为后，例如图5所示，基于上述网络外连行为数据中的访问进程信息生成恶意挖矿告警信息。即判断属于恶意挖矿行为后，从网络外连行为数据中提取出发起访问的进程信息，然后将该进程的挖矿行为发送给相应的告警模块以提醒终端的使用者终端正在遭受恶意挖矿攻击。

由上可见，本实施例中获取对外访问的网络外连行为数据中包括访问进程信息、访问目的地址和网络流量数据包，然后根据预设数据包长度阈值对所述网络流量数据包进行筛选，得到筛选后数据包，并判断所述筛选后数据包中是否存在所述钱包地址集中的钱包地址；并在判断当前行为属于恶意挖矿行为后，基于所述网络外连行为数据中的所述访问进程信息生成恶意挖矿告警信息。可见，通过预设数据包长度阈值对网络流量数据包进行筛选，提高了钱包地址检测的速度，并基于相应的访问进程信息生成恶意挖矿告警信息，以提示管理员存在恶意挖矿行为的进程。

相应的，本申请实施例还公开了一种恶意挖矿行为识别装置，参见图6所示，该装置包括：

操作数据获取模块11，用于当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；

钱包地址获取模块12，用于从所述操作数据中提取钱包地址，得到钱包地址集；

判断模块13，用于获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；

行为判定模14，用于若所述判断模块的判断结果为存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。

由上可见，本实施例中当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；从所述操作数据中提取钱包地址，得到钱包地址集；获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。可见，通过提取目标操作行为对应的操作数据中的钱包地址，并监控网络外连行为数据，如果发现网络外连行为数据中包含钱包地址，则可以确认该流量数据对应进程在执行挖矿行为，由于钱包地址是获取收益的必备信息，因此利用挖矿时用于登录的钱包地址对恶意挖矿行为进行识别，提高了恶意挖矿行为识别的准确性。

在一些具体实施例中，所述钱包地址获取模块12具体可以包括：

在一些具体实施例中，所述操作数据获取模块11具体可以包括：

文件内容获取单元，用于当捕获到文件修改行为，则获取被修改文件的文件内容以得到所述操作数据；

进程执行命令参数获取单元，用于当捕获到进程创建行为，则获取与所述进程创建行为对应的进程执行命令参数，以得到所述操作数据。

在一些具体实施例中，所述钱包地址检测单元具体可以包括：

第一钱包地址检测单元，用于利用与所述文件修改行为对应的第一预设钱包地址检测规则，对所述文件内容进行检测以得到所述钱包地址；

第二钱包地址检测单元，用于利用与所述进程创建行为对应的第二预设钱包地址检测规则，对所述进程执行命令参数进行检测以得到所述钱包地址。

在一些具体实施例中，所述判断模块13具体可以包括：

网络外连行为数据获取单元，用于获取对外访问的网络外连行为数据；所述网络外连行为数据包括访问进程信息、访问目的地址和网络流量数据包；

筛选单元，用于根据预设数据包长度阈值对所述网络流量数据包进行筛选，得到筛选后数据包；

钱包地址判断单元，用于判断所述筛选后数据包中是否存在所述钱包地址集中的钱包地址。

在一些具体实施例中，所述行为判定模14具体可以包括：

行为判定单元，用于若所述筛选后数据包中存在所述钱包地址集中的钱包地址，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为；

告警单元，用于基于所述网络外连行为数据中的所述访问进程信息生成恶意挖矿告警信息。

进一步的，本申请实施例还公开了一种电子设备，参见图7所示，图中的内容不能被认为是对本申请的使用范围的任何限制。

图7为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的恶意挖矿行为识别方法中的相关步骤。

本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。

另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源包括操作系统221、计算机程序222及包括操作数据在内的数据223等，存储方式可以是短暂存储或者永久存储。

其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222，以实现处理器21对存储器22中海量数据223的运算与处理，其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的恶意挖矿行为识别方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。

进一步的，本申请实施例还公开了一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现前述任一实施例公开的恶意挖矿行为识别方法步骤。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本发明所提供的一种恶意挖矿行为识别方法、装置、设备及介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

一种恶意挖矿行为识别方法，其特征在于，包括：

当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；

从所述操作数据中提取钱包地址，得到钱包地址集；

获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；

若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。
根据权利要求1所述的恶意挖矿行为识别方法，其特征在于，所述从所述操作数据中提取钱包地址，包括：

利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址；其中，所述预设钱包地址检测规则为利用正则匹配检测钱包地址相邻关键字段的检测规则。
根据权利要求2所述的恶意挖矿行为识别方法，其特征在于，所述当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据，包括：

当捕获到文件修改行为，则获取被修改文件的文件内容以得到所述操作数据；

相应的，所述利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址，包括：

利用与所述文件修改行为对应的第一预设钱包地址检测规则，对所述文件内容进行检测以得到所述钱包地址。
根据权利要求2所述的恶意挖矿行为识别方法，其特征在于，所述当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据，包括：

当捕获到进程创建行为，则获取与所述进程创建行为对应的进程执行命令参数，以得到所述操作数据；

相应的，所述利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址，包括：

利用与所述进程创建行为对应的第二预设钱包地址检测规则，对所述进程执行命令参数进行检测以得到所述钱包地址。
根据权利要求1至4任意一项所述的恶意挖矿行为识别方法，其特征在于，所述获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址，包括：

获取对外访问的网络外连行为数据；所述网络外连行为数据包括访问进程信息、访问目的地址和网络流量数据包；

根据预设数据包长度阈值对所述网络流量数据包进行筛选，得到筛选后数据包；

判断所述筛选后数据包中是否存在所述钱包地址集中的钱包地址。
根据权利要求5所述的恶意挖矿行为识别方法，其特征在于，所述若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为，包括：

若所述筛选后数据包中存在所述钱包地址集中的钱包地址，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为；

基于所述网络外连行为数据中的所述访问进程信息生成恶意挖矿告警信息。
一种恶意挖矿行为识别装置，其特征在于，包括：

操作数据获取模块，用于当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；

钱包地址获取模块，用于从所述操作数据中提取钱包地址，得到钱包地址集；

判断模块，用于获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；

行为判定模，用于若所述判断模块的判断结果为存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。
根据权利要求7所述的恶意挖矿行为识别装置，其特征在于，所述钱包地址获取模块，包括：

钱包地址检测单元，用于利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址；其中，所述预设钱包地址检测规则为利用正则匹配检测钱包地址相邻关键字段的检测规则。
一种电子设备，其特征在于，包括：

存储器，用于保存计算机程序；

处理器，用于执行所述计算机程序，以实现如权利要求1至6任一项所述的恶意挖矿行为识别方法。
一种计算机可读存储介质，其特征在于，用于存储计算机程序；其中计算机程序被处理器执行时实现如权利要求1至6任一项所述的恶意挖矿行为识别方法。