[发明专利]一种基于配置文件检测挖矿失陷主机的方法

权利要求书

1.一种基于配置文件检测挖矿失陷主机的方法，其特征在于，包括以下步骤：

S1.文件筛选

通过协议审计的方式将当前网络当中的流量进行还原成HTTP请求的文本格式，需要通过对HTTP的请求头、请求体、响应头、响应体进行匹配从而识别当前流量是否为下载流量、下载的内容是否为文本内容格式；

S2.字符泛化与指纹提取

将配置文件做字符串处理，即通过文件筛选步骤后将识别的内容当中的HTTP的响应体内容进行保存并整体转化成json的通用格式；根据字符串的内容按照按格式规则进行提取，即使用通用字符串对文档当中的内容进行替换，最后提取出规则方法；

S3.匹配算法

通过将筛选后的待检测文件按照逐行读取的方式进行读取，以换行符为分界点；按照已经提取好的规则进行模糊匹配如果达到了命中比例阈值则定义为高可疑的安全事件，命中比列＝命中的条目数据/所有的行数；

S4.匹配结果的报警模式

待筛选的数据通过匹配算法后存在3个输出结果；

结果1：未命中直接略过不产生任何告警的结果；

结果2：匹配命中比列＜70％的小部分匹配，则定义为高可疑产生告警类型A；结果3：匹配命中比列≥70％的大部分匹配，则定义为已失陷产生告警B；

S5.附加高风险命中规则及告警

高风险关键规则：每个字段都有明确标识是High Risk或者common risk的标签，命中带有High Risk标识字段的达到了高风险阈值比例，则触发高风险关键规则，进而发出已失陷的告警。