[发明专利]基于流量的挖矿脚本检测方法和装置

说明书

本公开涉及一种基于流量的挖矿脚本检测方法和装置。所述方法包括：响应于流量数据产生下载脚本文件的操作，通过威胁情报数据与流量数据进行匹配处理，获得匹配结果；在匹配成功的情况下，通过挖矿识别模型确定脚本文件中与特征词集合匹配的第一词语，以及与特有词集合匹配的第二词语；根据第一词语和第二词语，确定脚本文件是否为挖矿脚本；在脚本文件为挖矿脚本的情况下生成告警信息。根据本公开，可将设备中的流量数据与威胁情报数据进行匹配，并使用挖矿识别模型确定脚本文件中的特征词和特有词，进而基于特征词和特有词识别挖矿脚本，可支持在大流量下的实时检测，检测速度快，性能消耗低，可提升挖矿脚本的检测效率和准确率。

技术领域

本公开涉及计算机技术领域，尤其涉及一种基于流量的挖矿脚本检测方法和装置。

背景技术

随着区块链技术的发展，虚拟货币纷纷问世，这类货币的获取方式是通过大量运算所得，因此，各种各样的挖矿木马应运而生。挖矿木马会盗用其它设备的运算资源，让设备满负载的运行，不仅拖慢设备的运行速度，也会对设备的硬件寿命产生影响。

攻击者会利用存在漏洞的系统，向其他设备远程植入挖矿脚本文件，该脚本文件可以检测操作系统类型，用于下载对应的挖矿木马及控制程序，为了独占系统资源，还会检测操作系统的进程，并强制杀死无关进程，还具有添加定时任务、指定外联域名、清除历史记录、下载环境安装包等功能。对设备自身的影响较大，且会对设备的实际拥有者使用设备造成不便。

发明内容

本公开提出了一种基于流量的挖矿脚本检测方法和装置。

根据本公开的一方面，提供了一种基于流量的挖矿脚本检测方法，包括：

响应于流量数据产生下载脚本文件的操作，通过预设的威胁情报数据与所述流量数据进行匹配处理，获得匹配结果；

在匹配结果为匹配成功的情况下，通过挖矿识别模型确定所述脚本文件中与特征词集合匹配的第一词语，以及与特有词集合匹配的第二词语，其中，所述特征词集合为与挖矿脚本样本中出现频率大于第一阈值的词语集合，所述特有词集合为在挖矿脚本样本中出现，且不在正常脚本样本中出现的词语集合；

根据所述第一词语和所述第二词语，确定所述脚本文件是否为挖矿脚本；

在所述脚本文件为挖矿脚本的情况下，生成告警信息。

在本公开的一些实施例中，所述通过挖矿识别模型确定所述脚本文件中与特征词集合匹配的第一词语，包括：

对所述脚本文件进行分词和去噪处理，获得所述脚本文件的词语集合；

在所述词语集合中确定出现频率大于第二阈值的待定词语；

在所述待定词语中，确定出现在所述特征词集合中的所述第一词语。

在本公开的一些实施例中，所述通过挖矿识别模型确定所述脚本文件中与特有词集合匹配的第二词语，包括：

对所述脚本文件进行分词和去噪处理，获得所述脚本文件的词语集合；

在所述词语集合中，确定出现在所述特有词集合中的所述第二词语。

在本公开的一些实施例中，根据所述第一词语和所述第二词语，确定所述脚本文件是否为挖矿脚本，包括：

在所述第一词语和所述第二词语的总数大于第三阈值的情况下，确定所述脚本文件为挖矿脚本。

在本公开的一些实施例中，所述方法还包括：

在匹配结果为匹配成功，且脚本文件识别为不是挖矿脚本的情况下，获取所述脚本文件中出现，且不在正常脚本样本中出现的特有词，并将所述特有词添加至所述特有词集合；

生成告警信息。