[发明专利]一种挖矿行为检测方法、装置、电子设备及存储介质

说明书

本发明的实施例公开一种挖矿行为检测方法、装置、电子设备及存储介质。该方法包括：采集终端设备的全量信息；根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息；如果所述全量信息中存在所述挖矿行为信息，则删除所述终端设备中的所述挖矿行为信息。本发明实施例可及时发现终端设备中出现的挖矿行为并进行处置，有效防护终端设备不会被植入挖矿木马。

技术领域

本发明涉及计算机技术领域，尤其涉及一种挖矿行为检测方法、装置、电子设备及存储介质。

背景技术

挖矿木马是通过各种手段将挖矿程序植入到受害者的计算机中，在受害者不知情的情况下，利用受害者计算机的算力进行挖矿。挖矿木马进行超频运算时占用大量CPU资源，导致计算机上其他应用无法正常运行。不法分子为了使用更多算力资源，一般会对全网主机进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马还具备横向传播的特点，在成功入侵一台主机后，尝试对内网其他机器进行蠕虫式的横向渗透，并在被入侵的机器上持久化驻留，长期利用机器挖矿获利。

传统终端杀毒软件需要结合威胁情报和已知病毒库对挖矿木马进行检测，但挖矿木马在植入终端机器前，会利用漏洞和暴力破解等方式获取终端设备权限，在获取终端设备权限后，下载不同的功能性脚本进行后续操作，其中会包括卸载当前杀毒软件操作的脚本。也就是说，在终端杀毒软件还未检测到挖矿木马前，终端杀毒软件已被卸载，因此，无法起到防护作用，挖矿程序进行挖矿将再无阻拦，并且可持久化的进行非法挖矿操作。

发明内容

有鉴于此，本发明实施例提供一种挖矿行为检测方法、装置、电子设备及存储介质，可及时发现终端设备中出现的挖矿行为并进行处置，以有效防护终端设备不会被植入挖矿木马。

在第一方面，本发明实施例提供一种挖矿行为检测方法，该方法包括：

采集终端设备的全量信息；

根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息；

如果所述全量信息中存在所述挖矿行为信息，则删除所述终端设备中的所述挖矿行为信息。

优选的，所述如果所述全量信息中存在所述挖矿行为信息，则删除所述终端设备中的所述挖矿行为信息，包括：如果所述全量信息中存在所述挖矿行为信息，则输出第一告警信息；当收到删除指令时，删除所述终端设备中的所述挖矿行为信息。

优选的，在所述输出第一告警信息之后，所述方法还包括：当收到观察指令时或在预设时间内未收到任何指令，对所述挖矿行为信息进行隔离监测；当监测到下载行为时，生成监测日志，并输出第二告警信息，所述第二告警信息包括所述监测日志。

优选的，所述挖矿行为信息库包括：清除竞品行为信息库、清除网络行为信息库、计划任务行为信息库、卸载安全软件行为信息库、横向移动行为信息库。

在第二方面，本发明实施例提供一种挖矿行为检测装置，该装置包括：

采集单元，用于采集终端设备的全量信息；

判断单元，用于根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息；

处置单元，用于如果所述全量信息中存在所述挖矿行为信息，则删除所述终端设备中的所述挖矿行为信息。

优选的，所述处置单元，具体用于：如果所述全量信息中存在所述挖矿行为信息，则输出第一告警信息；当收到删除指令时，删除所述终端设备中的所述挖矿行为信息。

优选的，所述处置单元具体还用于：当收到观察指令时或在预设时间内未收到任何指令，对所述挖矿行为信息进行隔离监测；当监测到下载行为时，生成监测日志，并输出第二告警信息，所述第二告警信息包括所述监测日志。