[发明专利]一种恶意挖矿行为识别方法、装置、设备及存储介质

说明书

本申请公开了一种恶意挖矿行为识别方法、装置、设备及存储介质。该方法包括：当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；从所述操作数据中提取钱包地址，得到钱包地址集；获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。可见，通过提取目标操作行为对应的操作数据中的钱包地址，并监控网络外连行为数据中是否含有相应的钱包地址，判断是否存在恶意挖矿行为，由于钱包地址是获取收益的必备信息，因此利用挖矿时用于登录的钱包地址对恶意挖矿行为进行识别，提高了恶意挖矿行为识别的准确性。

技术领域

本发明涉及计算机领域，特别涉及一种恶意挖矿行为识别方法、装置、设备及存储介质。

背景技术

目前，随着区块链的不断发展，很多人通过挖矿获取比特币以获取利润。比特币系统每隔一个时间点会在系统节点上生成一个随机代码，互联网中的所有计算机都可以去寻找此代码，谁找到此代码就会产生一个区块，而每促成一个区块的生成比特币该节点便获得相应奖励，这样大家就有动力投入资金去维护整个交易网络的正常运行，这个寻找代码获得奖励的过程就是挖矿。但是挖矿中要计算出符合条件的值需要大量运算，于是部分黑客就会通过入侵服务器的方式来控制别人的计算机帮助自己挖矿。

现有技术中，通过检测流量包里特定的字符串特征来进行恶意挖矿识别，但不同的协议不同版本的挖矿程序所携带的特征存在不确定性，同时也可能被攻击者进行格式修改，从而会导致检测无效；现有技术中还通过识别挖矿矿池地址来验证，但攻击者一般不会选择直接连接被检测概率较高的热门矿池，一般会选择让矿机连接矿池代理地址来进行挖矿，且矿池代理地址存在不确定性，无法准确定位，降低了恶意挖矿行为检测的准确性。

发明内容

有鉴于此，本发明的目的在于提供一种恶意挖矿行为识别方法、装置、设备及介质，能够提高恶意挖矿行为识别的准确性。其具体方案如下：

第一方面，本申请公开了一种恶意挖矿行为识别方法，包括：

当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据；

从所述操作数据中提取钱包地址，得到钱包地址集；

获取对外访问的网络外连行为数据，并判断所述网络外连行为数据中是否存在所述钱包地址集中的钱包地址；

若存在，则判定所述网络外连行为数据对应的行为属于恶意挖矿行为。

可选的，所述从所述操作数据中提取钱包地址，包括：

利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址；其中，所述预设钱包地址检测规则为利用正则匹配检测钱包地址相邻关键字段的检测规则。

可选的，所述当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据，包括：

当捕获到文件修改行为，则获取被修改文件的文件内容以得到所述操作数据；

相应的，所述利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址，包括：

利用与所述文件修改行为对应的第一预设钱包地址检测规则，对所述文件内容进行检测以得到所述钱包地址。

可选的，所述当捕获到目标操作行为时，获取与所述目标操作行为对应的操作数据，包括：

当捕获到进程创建行为，则获取与所述进程创建行为对应的进程执行命令参数，以得到所述操作数据；

相应的，所述利用与所述目标操作行为对应的预设钱包地址检测规则对所述操作数据进行检测，以得到所述钱包地址，包括：