[发明专利]一种恶意挖矿行为识别方法、装置、设备及存储介质

权利要求书

1.一种恶意挖矿行为识别方法，其特征在于，包括：

当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；

从所述操作数据中提取钱包地址，得到钱包地址集；

获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；

若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。

2.根据权利要求1所述的恶意挖矿行为识别方法，其特征在于，所述从所述操作数据中提取钱包地址，包括：

利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址；其中，所述预设钱包地址检测规则为利用正则匹配检测钱包地址相邻关键字段的检测规则。

3.根据权利要求2所述的恶意挖矿行为识别方法，其特征在于，所述当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据，包括：

当捕获到文件修改行为，则获取被修改文件的文件内容以得到所述操作数据；

相应的，所述利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址，包括：

利用与所述文件修改行为对应的第一预设钱包地址检测规则，对所述文件内容进行检测以得到所述钱包地址。

4.根据权利要求2所述的恶意挖矿行为识别方法，其特征在于，所述当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据，包括：

当捕获到进程创建行为，则获取与所述进程创建行为对应的进程执行命令参数，以得到所述操作数据；

相应的，所述利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址，包括：

利用与所述进程创建行为对应的第二预设钱包地址检测规则，对所述进程执行命令参数进行检测以得到所述钱包地址。

5.根据权利要求1至4任意一项所述的恶意挖矿行为识别方法，其特征在于，所述获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址，包括：

获取对外访问的网络外连行为数据；所述网络外连行为数据包括访问进程信息、访问目的地址和网络流量数据包；

根据预设数据包长度阈值对所述网络流量数据包进行筛选，得到筛选后数据包；

判断所述筛选后数据包中是否存在所述钱包地址集中的钱包地址。

6.根据权利要求5所述的恶意挖矿行为识别方法，其特征在于，所述若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为，包括：

若所述筛选后数据包中存在所述钱包地址集中的钱包地址，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为；

基于所述网络外连行为数据中的所述访问进程信息生成恶意挖矿告警信息。

7.一种恶意挖矿行为识别装置，其特征在于，包括：

操作数据获取模块，用于当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；

钱包地址获取模块，用于从所述操作数据中提取钱包地址，得到钱包地址集；

判断模块，用于获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；

行为判定模，用于若所述判断模块的判断结果为存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。

8.根据权利要求7所述的恶意挖矿行为识别装置，其特征在于，所述钱包地址获取模块，包括：

钱包地址检测单元，用于利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址；其中，所述预设钱包地址检测规则为利用正则匹配检测钱包地址相邻关键字段的检测规则。

9.一种电子设备，其特征在于，包括：

存储器，用于保存计算机程序；

处理器，用于执行所述计算机程序，以实现如权利要求1至6任一项所述的恶意挖矿行为识别方法。

10.一种计算机可读存储介质，其特征在于，用于存储计算机程序；其中计算机程序被处理器执行时实现如权利要求1至6任一项所述的恶意挖矿行为识别方法。