[发明专利]一种服务器挖矿病毒防护的系统和方法

说明书

本发明涉及一种服务器挖矿病毒防护的系统和方法，由于虚拟货币的巨大利益诱惑，挖矿病毒的气焰日渐高涨，目前大多数黑客组织已经转向挖矿病毒阵营，这就导致挖矿病毒新型变种极多，从而导致目前基于特征库方式防护挖矿病毒的方式大多不能取得很好的效果。本发明以服务器资源细粒度管控为核心，利用进程管控驱动技术，控制服务器的核心资源(CPU、内存、显存、硬盘、网络)的使用率，非法进程使用以上资源被限定在很低的水平，这样从根本上就限制了挖矿病毒的核心功能。再结合网络侧对全部进出被保护服务器的流量进行分析，与挖矿病毒流量特征进行比对，并与矿池资源池进行比对，以识别网内是否存在挖矿病毒流量。资源、主机、网络三层联动，让挖矿病毒无处遁形，同时可以及时将挖矿病毒疫情通知给安全管理员，及时处置。

技术领域

本发明涉及一种服务器挖矿病毒防护的系统和方法，在主机、进程、网络三个层面对挖矿病毒进行纵深防御。资源层面，利用服务器资源消耗控制技术结合白名单技术；进程层面，采用黑名单技术和驱动层进程启停控制技术；网络层面，利用流量分析技术和挖矿威胁情报技术。采用可视化技术将发现的挖矿病毒风险预警实时呈现。

缩略语及名词解释：

背景技术

和传统的木马一样，这些“绑架”你电脑的矿工会将这些挖矿病毒植入在某些程序内，如果你下载了这些程度很有可能就会被挖矿木马入侵你的电脑。和传统的木马不一样的是，这些挖矿木马会通过消耗你主机的性能，以此获取它们所需要的虚拟数字货币。所以，如果你的电脑中了挖矿病毒，你也不一定能及时的发现，因为挖矿木马隐蔽性极强。但相比于传统的木马病毒，挖矿木马对你电脑的危险可以说是杀伤级的。如果对比特币挖矿历史有所了解的应该知道，在早期时候因为人们还没有研发出专门挖矿的矿机，加之早期时候挖矿难度不大，很多人都是通过电脑的显卡来进行挖矿的。但因为挖矿程序复杂，利用显卡挖矿会耗费大量的电能，同时电脑的CPU及显卡也会因为强度很大的工作而损耗。所以如果你的电脑中了挖矿病毒，可以说你的电脑寿命就会极具减弱。不仅如此，由于电脑的CPU被挖矿木马占据，所以你的电脑会变得很烫，运行速率也会急剧下降，如果是一些对外提供服务的企事业单位的服务器感染挖矿病毒，则可能导致服务器因为性能损耗严重，出现拒绝服务等严重影响业务的问题。

发明内容：

本发明提出一种服务器挖矿病毒防护的系统和方法，通过在业务服务器部署负责分析网络流量的防挖矿安全网关，和在业务服务器操作系统内部署方挖矿安全软件。实现网络、进程、资源三重纵深防御。

本发明所述的服务器挖矿病毒防护的系统，可从三个层面协同进行工作。

1、资源层，服务器的关键资源(CPU、内存、显存、硬盘、网络)均通过配置中心事先进行配置，只有授权的进程才能够使用服务器的关键资源超过默认阈值(总资源的10％，可通过配置中心调整)。

2、进程层，首先针对已知的挖矿病毒，直接放入进程管控库，禁止其在服务器上启动，接着针对未知挖矿病毒进程，通过步骤1和步骤3描述的特征匹配之后，则直接动态添加到全网服务器的已知挖矿病毒进程管控库，结束正在活动的进程，并永久禁止其启动。

3、网络层，将所有进出受保护服务器的流量复制一份给到防挖矿安全网关，网关对全流量进行还原，进行挖矿病毒流量特征分析，并与矿池资源进行匹配，经过以上分析得出某台服务器感染挖矿病毒的概率。

4、三层联动，上述3个工作流一旦发现异常，则立即通知防挖矿安全网关告警中心模块进行可视化展示，以及通知安全管理员介入；同时，网络层分析的结果会同步给进程层进行关联判断，以增加判断的准确率，降低误判率。

图1为本发明所述的一种服务器挖矿病毒防护的系统示意图，该系统包括进程管控驱动、资源控制模块、挖矿病毒阻断模块、全流量分析模块、矿池资源匹配模块、配置中心、告警中心模块。

进程管控驱动：监视各个进程对系统资源的使用情况，并且根据配置规则，控制进程的启停动作。