[发明专利]挖矿行为的检测方法、系统及计算机可读存储介质

说明书

本发明公开一种挖矿行为的检测方法、系统及计算机可读存储介质，其中检测方法包括包括以下步骤：监控通信函数，当所述通信函数被进程调用时，获取所述进程的进程信息和访问信息；基于所述访问信息判断所述进程所访问的目标是否为矿池，当所述进程所访问的目标为矿池时，判定所述进程为挖矿进程。本发明中通过监控通信函数对网络请求进行监控，从而获知所有进程对外访问的目标，快速识别并定位当前系统中的挖矿进程，不依赖外部的网络监控系统，基于各进程对外访问的目标进行挖矿进程的检测，通用性高，成本低，使用便捷，在linux操作系统中，单机即可实现挖矿行为的检测。

技术领域

本发明涉及挖矿行为的检测领域，尤其涉及一种linux下单机基于网络请求监控检测挖矿木马行为的技术。

背景技术

现今检测挖矿木马的方案往往依赖于外部的网络监控系统，基于外部的网络监控系统观测某台计算机是否感染挖矿木马。

但由于挖矿木马将极大地占用系统的cpu，导致计算机在日常使用过程中发生不明卡顿，此计算机为感染挖矿木马的显著特征之一，故计算机的使用人员或运维人员，能够在使用或维护管理计算机的过程中感知到计算机被挖矿木马所感染，故现有以计算机作为检测粒度的挖矿行为检测方法检测效果不佳。

发明内容

本发明针对现有技术中的以计算机作为检测粒度的挖矿行为检测方法检测效果不佳缺点，提供了一种对进行挖矿的具体进程进行检测的技术。

为了解决上述技术问题，本发明通过下述技术方案得以解决：

一种挖矿行为的检测方法，包括以下步骤：

监控通信函数，当所述通信函数被进程调用时，获取所述进程的进程信息和访问信息；

基于所述访问信息判断所述进程所访问的目标是否为矿池，当所述进程所访问的目标为矿池时，判定所述进程为挖矿进程。

现有技术中，往往只能对计算机是否感染挖矿木马进行检测，且只能基于预设的木马库识别出特定的挖矿木马，通用性差；且现有挖矿木马检测技术往往需要外采设备(即，外部的网络监控系统)，且配置复杂，无法准确定位对应进程，不满足用户对挖矿木马检测的需要。

本发明中通过监控通信函数对网络请求进行监控，从而获知所有进程对外访问的目标，快速识别并定位当前系统中的挖矿进程，不依赖外部的网络监控系统，基于各进程对外访问的目标进行挖矿进程的检测，通用性高，成本低，使用便捷，在linux操作系统中，单机即可实现挖矿行为的检测。

作为一种可实施方式：

所述通信函数包括udp_recvmsg、connect、sendto和recvfrom。

udp_recvmsg，报文接收函数；

connect(sys_connect)，属于系统调用函数，用于请求连接；

sendto(sys_sendto)，属于系统调用函数，用于向指定目的地发送数据；

recvfrom(sys_recvfrom)，属于系统调用函数，用于接收数据，并捕获数据发送源的地址。

当进程对外访问并进行数据传输的过程中，需要调用上述通信函数，根据对应进程的进程的进程信息和访问信息识别该进程对外访问的目标是否为矿池，以判断该进程是否为挖矿进程。

作为一种可实施方式：

基于kprobe挂钩所述通信函数，当所述通信函数被进程调用时，捕获所述进程的进程信息和访问信息。