本發明專利技術的實施例公開一種挖礦行為檢測方法、裝置、電子設備及存儲介質。該方法包括:采集終端設備的全量信息;根據預設的挖礦行為信息庫判斷所述全量信息中是否存在挖礦行為信息;如果所述全量信息中存在所述挖礦行為信息,則刪除所述終端設備中的所述挖礦行為信息。本發明專利技術實施例可及時發現終端設備中出現的挖礦行為并進行處置,有效防護終端設備不會被植入挖礦木馬。植入挖礦木馬。植入挖礦木馬。
【技術實現步驟摘要】
一種挖礦行為檢測方法、裝置、電子設備及存儲介質
[0001]本專利技術涉及計算機
,尤其涉及一種挖礦行為檢測方法、裝置、電子設備及存儲介質。
技術介紹
[0002]挖礦木馬是通過各種手段將挖礦程序植入到受害者的計算機中,在受害者不知情的情況下,利用受害者計算機的算力進行挖礦。挖礦木馬進行超頻運算時占用大量CPU資源,導致計算機上其他應用無法正常運行。不法分子為了使用更多算力資源,一般會對全網主機進行漏洞掃描、SSH爆破等攻擊手段。部分挖礦木馬還具備橫向傳播的特點,在成功入侵一臺主機后,嘗試對內網其他機器進行蠕蟲式的橫向滲透,并在被入侵的機器上持久化駐留,長期利用機器挖礦獲利。
[0003]傳統終端殺毒軟件需要結合威脅情報和已知病毒庫對挖礦木馬進行檢測,但挖礦木馬在植入終端機器前,會利用漏洞和暴力破解等方式獲取終端設備權限,在獲取終端設備權限后,下載不同的功能性腳本進行后續操作,其中會包括卸載當前殺毒軟件操作的腳本。也就是說,在終端殺毒軟件還未檢測到挖礦木馬前,終端殺毒軟件已被卸載,因此,無法起到防護作用,挖礦程序進行挖礦將再無阻攔,并且可持久化的進行非法挖礦操作。
技術實現思路
[0004]有鑒于此,本專利技術實施例提供一種挖礦行為檢測方法、裝置、電子設備及存儲介質,可及時發現終端設備中出現的挖礦行為并進行處置,以有效防護終端設備不會被植入挖礦木馬。
[0005]在第一方面,本專利技術實施例提供一種挖礦行為檢測方法,該方法包括:
[0006]采集終端設備的全量信息;/>[0007]根據預設的挖礦行為信息庫判斷所述全量信息中是否存在挖礦行為信息;
[0008]如果所述全量信息中存在所述挖礦行為信息,則刪除所述終端設備中的所述挖礦行為信息。
[0009]優選的,所述如果所述全量信息中存在所述挖礦行為信息,則刪除所述終端設備中的所述挖礦行為信息,包括:如果所述全量信息中存在所述挖礦行為信息,則輸出第一告警信息;當收到刪除指令時,刪除所述終端設備中的所述挖礦行為信息。
[0010]優選的,在所述輸出第一告警信息之后,所述方法還包括:當收到觀察指令時或在預設時間內未收到任何指令,對所述挖礦行為信息進行隔離監測;當監測到下載行為時,生成監測日志,并輸出第二告警信息,所述第二告警信息包括所述監測日志。
[0011]優選的,所述挖礦行為信息庫包括:清除競品行為信息庫、清除網絡行為信息庫、計劃任務行為信息庫、卸載安全軟件行為信息庫、橫向移動行為信息庫。
[0012]在第二方面,本專利技術實施例提供一種挖礦行為檢測裝置,該裝置包括:
[0013]采集單元,用于采集終端設備的全量信息;
[0014]判斷單元,用于根據預設的挖礦行為信息庫判斷所述全量信息中是否存在挖礦行為信息;
[0015]處置單元,用于如果所述全量信息中存在所述挖礦行為信息,則刪除所述終端設備中的所述挖礦行為信息。
[0016]優選的,所述處置單元,具體用于:如果所述全量信息中存在所述挖礦行為信息,則輸出第一告警信息;當收到刪除指令時,刪除所述終端設備中的所述挖礦行為信息。
[0017]優選的,所述處置單元具體還用于:當收到觀察指令時或在預設時間內未收到任何指令,對所述挖礦行為信息進行隔離監測;當監測到下載行為時,生成監測日志,并輸出第二告警信息,所述第二告警信息包括所述監測日志。
[0018]優選的,所述挖礦行為信息庫包括:清除競品行為信息庫、清除網絡行為信息庫、計劃任務行為信息庫、卸載安全軟件行為信息庫、橫向移動行為信息庫。
[0019]在第三方面,本專利技術實施例提供一種電子設備,所述電子設備包括:殼體、處理器、存儲器、電路板和電源電路,其中,電路板安置在殼體圍成的空間內部,處理器和存儲器設置在電路板上;電源電路,用于為上述電子設備的各個電路或器件供電;存儲器用于存儲可執行程序代碼;處理器通過讀取存儲器中存儲的可執行程序代碼來運行與可執行程序代碼對應的程序,用于執行前述第一方面所述的挖礦行為檢測方法。
[0020]第四方面,本專利技術實施例提供一種計算機可讀存儲介質,所述計算機可讀存儲介質存儲有一個或者多個程序,所述一個或者多個程序可被一個或者多個處理器執行,以實現第一方面所述的挖礦行為檢測方法。
[0021]本專利技術實施例提供的一種挖礦行為檢測方法、裝置、電子設備及存儲介質,通過采集終端設備的全量信息,根據預設的挖礦行為信息庫判斷全量信息中是否存在挖礦行為信息,如果全量信息中存在所述挖礦行為信息,則刪除終端設備中的挖礦行為信息。基于此,可及時發現終端設備中出現的挖礦行為并進行處置,以有效防護終端設備不會被植入挖礦木馬。
附圖說明
[0022]為了更清楚地說明本專利技術實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本專利技術的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其它的附圖。
[0023]圖1為本專利技術的實施例提供的一種挖礦行為檢測方法的流程示意圖;
[0024]圖2為本專利技術的實施例提供的另一種挖礦行為檢測方法的流程示意圖;
[0025]圖3為本專利技術的實施例提供的一種挖礦行為檢測裝置的結構示意圖;
[0026]圖4為本專利技術電子設備一個實施例的結構示意圖。
具體實施方式
[0027]下面結合附圖對本專利技術實施例進行詳細描述。
[0028]應當明確,所描述的實施例僅僅是本專利技術一部分實施例,而不是全部的實施例。基于本專利技術中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其
它實施例,都屬于本專利技術保護的范圍。
[0029]圖1為本專利技術的實施例提供的一種挖礦行為檢測方法的流程示意圖。該挖礦行為檢測方法可以應用于電子設備,具體由終端防護中心(EDR)執行。
[0030]如圖1所示,本實施例的挖礦行為檢測方法可以包括:
[0031]步驟101,采集終端設備的全量信息。
[0032]在一個例子中,全量信息包括但不限于:報告終端的進程信息、網絡信息、啟動項信息、內核信息、鉤子掃描信息、服務信息、驅動信息、文件信息和注冊表信息。
[0033]優選的,如果存在未知挖礦行為并進行全量信息采集,會造成終端設備卡頓,影響性能,因此,該全量信息可以具體為腳本信息,這樣能排除大面積的正常文件采集工作。而且終端設備一般情況下不會使用腳本進行工作,因此采集腳本信息具有一定的針對性,不會影響操作系統性能。具體的,針對Windows平臺需要采集批處理(bat)和PowerShell(ps1)文件,針對Linux平臺采集sh腳本。
[0034]步驟102,根據預設的挖礦行為信息庫判斷該全量信息中是否存在挖礦行為信息。
[0035]具體的,預設的挖礦行為信息庫是依據長期對終端挖礦行為進行實時發現得到的攻擊信息進行畫像而生成的行為信息庫。挖本文檔來自技高網...
【技術保護點】
【技術特征摘要】
1.一種挖礦行為檢測方法,其特征在于,所述方法包括:采集終端設備的全量信息;根據預設的挖礦行為信息庫判斷所述全量信息中是否存在挖礦行為信息;如果所述全量信息中存在所述挖礦行為信息,則刪除所述終端設備中的所述挖礦行為信息。2.根據權利要求1所述的方法,其特征在于,所述如果所述全量信息中存在所述挖礦行為信息,則刪除所述終端設備中的所述挖礦行為信息,包括:如果所述全量信息中存在所述挖礦行為信息,則輸出第一告警信息;當收到刪除指令時,刪除所述終端設備中的所述挖礦行為信息。3.根據權利要求2所述的方法,其特征在于,在所述輸出第一告警信息之后,所述方法還包括:當收到觀察指令時或在預設時間內未收到任何指令,對所述挖礦行為信息進行隔離監測;當監測到下載行為時,生成監測日志,并輸出第二告警信息,所述第二告警信息包括所述監測日志。4.根據權利要求1所述的方法,其特征在于,所述挖礦行為信息庫包括:清除競品行為信息庫、清除網絡行為信息庫、計劃任務行為信息庫、卸載安全軟件行為信息庫、橫向移動行為信息庫。5.一種挖礦行為檢測裝置,其特征在于,所述裝置包括:采集單元,用于采集終端設備的全量信息;判斷單元,用于根據預設的挖礦行為信息庫判斷所述全量信息中是否存在挖礦行為信息;處置單元,用于如果所述全量信息中存在所述挖礦行為信息,則刪除所述終端設備中的所述挖礦行為信息。6.根據權利要求5...
【專利技術屬性】
技術研發人員:郭洪亮,張慧云,
申請(專利權)人:安天科技集團股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。