[发明专利]挖矿行为的检测方法、系统及计算机可读存储介质在审
| 申请号: | 202111153535.9 | 申请日: | 2021-09-29 |
| 公开(公告)号: | CN113868088A | 公开(公告)日: | 2021-12-31 |
| 发明(设计)人: | 王嘉雄;孙鑫 | 申请(专利权)人: | 杭州默安科技有限公司 |
| 主分类号: | G06F11/30 | 分类号: | G06F11/30 |
| 代理公司: | 杭州裕阳联合专利代理有限公司 33289 | 代理人: | 杨琪宇 |
| 地址: | 311100 浙江省杭州市余杭*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 行为 检测 方法 系统 计算机 可读 存储 介质 | ||
1.一种挖矿行为的检测方法,其特征在于包括以下步骤:
监控通信函数,当所述通信函数被进程调用时,获取所述进程的进程信息和访问信息;
基于所述访问信息判断所述进程所访问的目标是否为矿池,当所述进程所访问的目标为矿池时,判定所述进程为挖矿进程。
2.根据权利要求1所述的挖矿行为的检测方法,其特征在于:
所述通信函数包括udp_recvmsg、connect、sendto和recvfrom。
3.根据权利要求2所述的挖矿行为的检测方法,其特征在于:
基于kprobe挂钩所述通信函数,当所述通信函数被进程调用时,捕获所述进程的进程信息和访问信息。
4.根据权利要求1至3任一所述的挖矿行为的检测方法,其特征在于:
访问信息包括对应进程所访问的域名信息和/或IP信息;
将域名信息与预设的矿池域名列表相匹配,当匹配成功时,判定所述进程所访问的目标为矿池;
将IP信息与预设的矿池IP列表相匹配,当匹配成功时,判定所述进程所访问的目标为矿池。
5.根据权利要求1至3任一所述的挖矿行为的检测方法,其特征在于:
进程信息包括对应进程的进程ID和可执行文件路径。
6.根据权利要求5所述的挖矿行为的检测方法,其特征在于,判定进程为挖矿进程后,还包括验证步骤,具体为:
基于所述可执行文件路径和预设白名单判断所述挖矿进程是否进行非法挖矿。
7.根据权利要求6所述的挖矿行为的检测方法,其特征在于,当判定挖矿进程进行非法挖矿时,上报所述挖矿进程的进程信息和访问信息,和/或结束所述挖矿进程。
8.一种挖矿行为的检测系统,其特征在于,包括:
监控模块,用于监控通信函数,当所述通信函数被进程调用时,获取所述进程的进程信息和访问信息;
监视器,用于基于所述访问信息判断所述进程所访问的目标是否为矿池,当所述进程所访问的目标为矿池时,判定所述进程为挖矿进程。
9.根据权利要求8所述的挖矿行为的检测系统,其特征在于,所述监视器包括第一判断单元和第二判断单元;
所述第一判断单元,用于基于所述访问信息判断所述进程是否为挖矿进程;
所述第二判断单元,用于提取所述挖矿进程的进程信息,基于所述进程信息和预设白名单判断所述挖矿进程是否进行非法挖矿。
10.一种计算机可读存储介质,其存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任意一项所述方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州默安科技有限公司,未经杭州默安科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111153535.9/1.html,转载请声明来源钻瓜专利网。
