[发明专利]一种基于主机监控技术的挖矿恶意软件检测系统及方法

摘要

本发明公开了一种基于主机监控技术的挖矿恶意软件检测系统及方法，包括分析与控制中心以及由分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序；所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据；DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对运行中的进程进行监控。本发明专门为检测挖矿恶意软件而设计，更有针对性；从DNS解析、网络流量、系统资源占用、API调用等多个角度对挖矿恶意软件进行检测，准确度较高；除了可以发现侵入主机的挖矿恶意软件，还能在一定程度上发现使用用户浏览器运行挖矿脚本的恶意站点。

主权项

1.一种基于主机监控技术的挖矿恶意软件检测系统，其特征在于，该检测系统包括分析与控制中心以及由所述分析与控制中心调用的DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序；DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序实时向所述分析与控制中心返回监控数据；所述DNS解析监控程序、网络连接监控程序、系统资源监控程序和API调用监控程序对对当前运行进程的进程进行监控，其中：所述DNS解析监控程序，通过对当前运行进程的所有DNS解析求进行监控，获得所有DNS解析请求，并实时将DNS解析监控数据返回给分析与控制中心实时收集数据；监控过程中发现与挖矿相关的DNS请求，该DNS请求至少包括对于挖矿恶意软件连接到矿池或者从特定URL下载脚本这些对已知矿池的DNS解析请求，当判定为发出相应DNS请求的进程为挖矿进程，向用户发出主机被挖矿恶意软件感染的警告；所述网络连接监控程序，通过监控对当前运行进程的网络连接，获得所有向外发出的请求，并实时将网络连接监控数据返回给分析与控制中心；一方面，提取远程地址，若该地址是已知的与挖矿有关的地址，如已知矿池的地址，或者是已知挖矿脚本的地址，则立即判定该进程为挖矿进程。分析与控制中心向用户发出警告，若用户对此进程的挖矿行为不知情，即不是用户自身在挖矿，则用户已被入侵，该进程为挖矿恶意软件创建的挖矿进程；另一方面，监控网络流量，分析与控制中心判断每个进程的网络流量的特征是否符合挖矿恶意软件的网络流量特征，若某进程的网络流量特征与挖矿恶意软件的网络流量特征相符，则判定该进程为挖矿进程。分析与控制中心向用户发出警告，若用户对此进程的挖矿行为不知情，即不是用户自身在挖矿，则用户已被入侵，该进程为挖矿恶意软件创建的挖矿进程；所述系统资源监控程序，通过监控对当前运行进程的系统资源使用情况，并实时将系统资源监控数据返回给分析与控制中心；当分析与控制中心发现某进程对CPU的使用率和时间超过一定阈值后，判定进程可疑，分析与控制中心向用户发出警报，提示用户有高度可疑的进程在运行；并且，当分析与控制中心发现某进程占用CPU的比例和时间超过一定阈值后，会启动高级分析；分析与控制中心立即调用API监控模块，通过进程调用的API序列对进程进行详细的分析；所述API调用监控程序，由分析与控制中心调用，用于详细分析可疑的进程，将API调用监控程序数据发送给所述分析与控制中心，所述分析与控制中心判断该对当前运行进程的API调用的特征是否符合挖矿恶意软件的API调用特征，若该进程的API调用特征与挖矿恶意软件的API调用特征相符，则判定该进程为挖矿进程；分析与控制中心向用户发出警告，若用户对此进程的挖矿行为不知情，即不是用户自身在挖矿，则用户已被入侵，该进程为挖矿恶意软件创建的挖矿进程。