[发明专利]一种Linux平台下挖矿病毒防护及清除方法、装置及存储设备

说明书

本发明实施例公开了一种Linux平台下挖矿病毒防护及清除方法、装置及存储设备，涉及网络安全技术领域，提出一种对Linux系统下通用类型挖矿病毒防护及清除的方法。所述方法包括：提取挖矿病毒的通用行为特征形成基础特征库，提取挖矿病毒的专用行为形成增强特征库；根据基础特征库和增强特征库形成挖矿病毒检测知识库；监控正在启动的程序及其父子进程，并提取行为信息，将所述行为信息与挖矿病毒检测知识库中的特征进行比对；通过基础特征评分和增强特征评分混合打分机制进行挖矿病毒威胁判定；对已经判定为挖矿病毒的进程进行拦截，并对已启动的挖矿病毒进程进行关联性清除。

技术领域

本发明涉及网络传输安全技术领域，尤其涉及一种Linux平台下挖矿病毒防护及清除方法、装置及存储设备。

背景技术

虚拟货币市场的巨大利润，引得越来越多的攻击者开始使用各种恶意代码对普通用户的计算机实施攻击，Linux平台下流行的攻击类型并不多，挖矿事件在近些年来占比较高，攻击者将恶意脚本挂在自己或入侵的网站上，只要普通用户点击访问这些被加入恶意脚本的网站，就会成为罗门币等虚拟货币挖矿工，攻击者将直接利用被植入恶意代码用户的电脑资源来挖矿。

目前的挖矿清除手段都是基于已知事件进行分析，通过挖矿行为对应进行专杀，对已知挖矿事件和未知挖矿病毒的防护并没有一个成熟的机制，很难做到对Linux系统下通用类型的挖矿进行防护。

发明内容

有鉴于此，本发明实施例提供了一种Linux平台下挖矿病毒防护及清除方法、装置及存储设备，通过挖矿特征提取、行为信息比对、威胁判定、进程关联清除，解决了目前的挖矿清除手段都是基于已知事件进行分析通过挖矿行为对应进行专杀，对已知挖矿事件和未知挖矿病毒的防护并没有一个成熟的机制，很难做到对Linux系统下通用类型的挖矿进行防护的问题。

第一方面，本发明实施例提供一种Linux平台下挖矿病毒防护及清除方法，包括：

提取挖矿病毒的通用行为特征形成基础特征库，提取挖矿病毒的专用行为形成增强特征库；

根据基础特征库和增强特征库形成挖矿病毒检测知识库；

监控正在启动的程序及其父子进程，并提取行为信息，将所述行为信息与挖矿病毒检测知识库中的特征进行比对；

通过基础特征评分和增强特征评分混合打分机制进行挖矿病毒威胁判定；

对已经判定为挖矿病毒的进程进行拦截，并对已启动的挖矿病毒进程进行关联性清除。

进一步地，所述提取挖矿病毒的通用行为特征形成基础特征库，提取挖矿病毒的专用行为形成增强特征库，具体为：自动提取：关注挖矿事件公布网站，定时爬取挖矿事件信息，根据模糊匹配原则自动提取特征；分析提取：静态逆向挖矿病毒，提取挖矿病毒逻辑信息，使用动态沙箱运行挖矿病毒，提取挖矿病毒进程行为信息，根据提取到的挖矿病毒的逻辑信息和进程行为信息提取特征。

进一步地，所述行为信息，包括：监控正在启动程序的进程及父子进程的进程ID、操作用户、操作权限、操作的敏感文件、网络连接、CPU占用资源占用情况、是否有隐藏操作、启动目录是否正常。