[发明专利]一种服务器挖矿病毒防护的系统和方法

摘要

本发明涉及一种服务器挖矿病毒防护的系统和方法，由于虚拟货币的巨大利益诱惑，挖矿病毒的气焰日渐高涨，目前大多数黑客组织已经转向挖矿病毒阵营，这就导致挖矿病毒新型变种极多，从而导致目前基于特征库方式防护挖矿病毒的方式大多不能取得很好的效果。本发明以服务器资源细粒度管控为核心，利用进程管控驱动技术，控制服务器的核心资源(CPU、内存、显存、硬盘、网络)的使用率，非法进程使用以上资源被限定在很低的水平，这样从根本上就限制了挖矿病毒的核心功能。再结合网络侧对全部进出被保护服务器的流量进行分析，与挖矿病毒流量特征进行比对，并与矿池资源池进行比对，以识别网内是否存在挖矿病毒流量。资源、主机、网络三层联动，让挖矿病毒无处遁形，同时可以及时将挖矿病毒疫情通知给安全管理员，及时处置。

主权项

1.本发明涉及一种服务器挖矿病毒防护的系统和方法，在主机、进程、网络三个层面对挖矿病毒进行纵深防御。资源层面，利用服务器资源消耗控制技术结合白名单技术；进程层面，采用黑名单技术和驱动层进程启停控制技术；网络层面，利用流量分析技术和挖矿威胁情报技术。采用可视化技术将发现的挖矿病毒风险预警实时呈现。该系统包含进程管控驱动、资源控制模块、挖矿病毒阻断模块、全流量分析模块、矿池资源匹配模块、配置中心、告警中心模块。其中：/nA.进程管控驱动：监视各个进程对系统资源的使用情况，并且根据配置规则，控制进程的启停动作。/nB.资源控制模块：接收配置中心的配置规则，并根据其他模块反馈的判定结果自动增加配置规则，并将生成的配置规则上传到配置中心同步全网。/nC.挖矿病毒阻断模块：根据已知挖矿病毒进程库和实时判定的结果，通知进程管控驱动停掉挖矿病毒。/nD.全流量分析模块：抓取被保护服务器的全量进出流量，并根据已知挖矿病毒的特征进行服务器流量与挖矿病毒流量的匹配度判定，并将判定结果上报告警中心和其他关联模块。/nE.矿池资源匹配模块：获取全流量解析模块解析出的服务器对外通信IP地址，与全球各大矿池地址进行匹配判定，并将判定结果上报告警中心和其他关联模块。/nF.配置中心，作为多台服务器配置的中心，统筹管理各个服务器的配置；/nG.告警中心，接受告警并可视化展示。/n