[发明专利]一种基于主机监控技术的挖矿恶意软件检测系统及方法

说明书

本发明公开了一种基于主机监控技术的挖矿恶意软件检测系统及方法，包括分析与控制中心以及由分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序；所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据；DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对运行中的进程进行监控。本发明专门为检测挖矿恶意软件而设计，更有针对性；从DNS解析、网络流量、系统资源占用、API调用等多个角度对挖矿恶意软件进行检测，准确度较高；除了可以发现侵入主机的挖矿恶意软件，还能在一定程度上发现使用用户浏览器运行挖矿脚本的恶意站点。

技术领域

本发明属于网络安全技术领域，特别是涉及一种主机上挖矿恶意软件的发现和检测方法。

背景技术

“挖矿”是指根据加密货币的发行规则，利用计算机的算力获得加密货币的过程，最常见的加密货币就是比特币。“挖矿恶意软件”是在受害者不知情的情况下，利用受害者的计算机资源进行挖矿的恶意软件。挖矿恶意软件的攻击范围从企业服务器、个人电脑到安卓手机，包括Linux/Unix、Windows、Android系统。被“挖矿恶意软件”入侵后，用户主机会出现卡顿、CPU占用率高等状况，企业服务器可能会由于CPU资源耗尽而服务崩溃。挖矿恶意软件的威胁有愈演愈烈的趋势，挖矿恶意软件已经成为了一种新型的重大威胁。

目前还没有专门对挖矿恶意软件进行检测的方法。

发明内容

针对上述现有技术背景，本发明提出了一种基于主机监控技术的挖矿恶意软件检测方法，。

本发明的一种基于主机监控技术的挖矿恶意软件检测系统，该检测系统包括分析与控制中心以及由所述分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序；DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据；所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对对当前运行进程的进程进行监控，其中：

所述DNS解析监控程序，通过对当前运行进程的所有DNS解析求进行监控，获得所有DNS解析请求，并实时将DNS解析监控数据返回给分析与控制中心实时收集数据；监控过程中发现与挖矿相关的DNS请求，该DNS请求至少包括对于挖矿恶意软件连接到矿池或者从特定URL下载脚本这些对已知矿池的DNS解析请求，当判定为发出相应DNS请求的进程为挖矿进程，向用户发出主机被挖矿恶意软件感染的警告；

所述网络连接监控程序，通过监控对当前运行进程的网络连接，获得所有向外发出的请求，并实时将网络连接监控数据返回给分析与控制中心；一方面，提取远程地址，若该地址是已知的与挖矿有关的地址，如已知矿池的地址，或者是已知挖矿脚本的地址，则立即判定该进程为挖矿进程。分析与控制中心向用户发出警告，若用户对此进程的挖矿行为不知情，即不是用户自身在挖矿，则用户已被入侵，该进程为挖矿恶意软件创建的挖矿进程；另一方面，监控网络流量，分析与控制中心判断每个进程的网络流量的特征是否符合挖矿恶意软件的网络流量特征，若某进程的网络流量特征与挖矿恶意软件的网络流量特征相符，则判定该进程为挖矿进程。分析与控制中心向用户发出警告，若用户对此进程的挖矿行为不知情，即不是用户自身在挖矿，则用户已被入侵，该进程为挖矿恶意软件创建的挖矿进程；

所述系统资源监控程序，通过监控对当前运行进程的系统资源使用情况，并实时将系统资源监控数据返回给分析与控制中心；当分析与控制中心发现某进程对CPU的使用率和时间超过一定阈值后，判定进程可疑，分析与控制中心向用户发出警报，提示用户有高度可疑的进程在运行；并且，当分析与控制中心发现某进程占用CPU的比例和时间超过一定阈值后，会启动高级分析；分析与控制中心立即调用API监控模块，通过进程调用的API序列对进程进行详细的分析；