白丝美女被狂躁免费视频网站,500av导航大全精品,yw.193.cnc爆乳尤物未满,97se亚洲综合色区,аⅴ天堂中文在线网官网

首頁 / 專利庫 / 人工智能 / 專用邏輯 / 一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法、裝置及存儲(chǔ)設(shè)備

一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法、裝置及存儲(chǔ)設(shè)備

閱讀:901發(fā)布:2020-05-08

專利匯可以提供一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法、裝置及存儲(chǔ)設(shè)備專利檢索,專利查詢,專利分析的服務(wù)。并且本 發(fā)明 實(shí)施例 公開了一種Linux平臺(tái)下 挖礦 病毒防護(hù)及清除方法、裝置及存儲(chǔ)設(shè)備,涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,提出一種對(duì)Linux系統(tǒng)下通用類型挖礦病毒防護(hù)及清除的方法。所述方法包括:提取挖礦病毒的通用行為特征形成 基礎(chǔ) 特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè) 知識(shí)庫 ;監(jiān)控正在啟動(dòng)的程序及其父子 進(jìn)程 ,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。,下面是一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法、裝置及存儲(chǔ)設(shè)備專利的具體信息內(nèi)容。

1.一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法,其特征在于,包括:
提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;
對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
2.如權(quán)利要求1所述的方法,其特征在于,所述提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫,具體為:自動(dòng)提?。宏P(guān)注挖礦事件公布網(wǎng)站,定時(shí)爬取挖礦事件信息,根據(jù)模糊匹配原則自動(dòng)提取特征;分析提?。红o態(tài)逆向挖礦病毒,提取挖礦病毒邏輯信息,使用動(dòng)態(tài)沙箱運(yùn)行挖礦病毒,提取挖礦病毒進(jìn)程行為信息,根據(jù)提取到的挖礦病毒的邏輯信息和進(jìn)程行為信息提取特征。
3.如權(quán)利要求1所述的方法,其特征在于,所述行為信息,包括:監(jiān)控正在啟動(dòng)程序的進(jìn)程及父子進(jìn)程的進(jìn)程ID、操作用戶、操作權(quán)限、操作的敏感文件、網(wǎng)絡(luò)連接、CPU占用資源占用情況、是否有隱藏操作、啟動(dòng)目錄是否正常。
4.如權(quán)利要求1所述的方法,其特征在于,所述通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定,包括:挖礦病毒檢測(cè)知識(shí)庫中的特征分類為:可選特征、必選特征和事件特征,其中,可選特征和必選特征屬于基礎(chǔ)特征,事件特征屬于增強(qiáng)特征;
可選特征:不僅僅是挖礦病毒獨(dú)有、其他類型病毒也可能存在的特征;必選特征:Linux下挖礦病毒一定具備并且通用的特征;事件特征:基于挖礦事件提取出的特征,匹配成功該特征則可判定為某一挖礦事件的特征;對(duì)可選特征、必選特征、事件特征設(shè)置權(quán)值分?jǐn)?shù);具體判定規(guī)則分為三種:一、類型組合判定規(guī)則:命中挖礦病毒檢測(cè)知識(shí)庫的必選特征和事件特征,則可判定為挖礦病毒;二、類型加權(quán)值判定規(guī)則:至少命中一條必選特征或者至少命中一條事件特征,并且命中至少三條可選特征,則可判定為挖礦病毒;三、權(quán)值判定規(guī)則:統(tǒng)計(jì)所有的命中特征的權(quán)值分?jǐn)?shù),總分達(dá)到預(yù)設(shè)分?jǐn)?shù)則可判定為挖礦病毒,上述三條判定規(guī)則符合一條即可判定為挖礦病毒。
5.如權(quán)利要求1所述的方法,其特征在于,所述對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除,具體為:查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除;對(duì)于部分挖礦病毒將進(jìn)程信息隱藏或利用init進(jìn)行進(jìn)程托管無法獲取到其父子進(jìn)程的,則通過內(nèi)存映射來獲取進(jìn)程鏈信息,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除。
6.如權(quán)利要求5所述的方法,其特征在于,所述查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,具體為:通過/proc/pid/獲取進(jìn)程信息,根據(jù)父子進(jìn)程ID進(jìn)行關(guān)聯(lián)。
7.如權(quán)利要求5所述的方法,其特征在于,所述通過內(nèi)存映射來獲取進(jìn)程鏈信息,具體為:獲取已判定挖礦程序的task_struct指針,獲取task_struct指針的vm_area_strcut的結(jié)構(gòu)變量mm_rb和mmap,進(jìn)而獲取內(nèi)存映射的起始地址、結(jié)束地址和映射文件信息,通過遍歷task_struct鏈表獲取鏈中其他關(guān)聯(lián)進(jìn)程信息,進(jìn)而關(guān)聯(lián)隱藏的進(jìn)程。
8.一種Linux平臺(tái)下挖礦病毒防護(hù)及清除裝置,其特征在于,所述裝置包括存儲(chǔ)器和處理器,所述存儲(chǔ)器用于存儲(chǔ)多條指令,所述處理器用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;
對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
9.如權(quán)利要求8所述的裝置,其特征在于,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
所述提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫,具體為:自動(dòng)提?。宏P(guān)注挖礦事件公布網(wǎng)站,定時(shí)爬取挖礦事件信息,根據(jù)模糊匹配原則自動(dòng)提取特征;分析提?。红o態(tài)逆向挖礦病毒,提取挖礦病毒邏輯信息,然后使用動(dòng)態(tài)沙箱運(yùn)行挖礦病毒,提取挖礦病毒進(jìn)程行為信息,根據(jù)提取到的挖礦病毒的邏輯信息和進(jìn)程行為信息提取特征。
10.如權(quán)利要求8所述的裝置,其特征在于,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
所述行為信息,包括:監(jiān)控正在啟動(dòng)程序的進(jìn)程及父子進(jìn)程的進(jìn)程ID、操作用戶、操作權(quán)限、操作的敏感文件、網(wǎng)絡(luò)連接、CPU占用資源占用情況、是否有隱藏操作、啟動(dòng)目錄是否正常。
11.如權(quán)利要求8所述的裝置,其特征在于,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
所述通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定,包括:
挖礦病毒檢測(cè)知識(shí)庫中的特征分類為:可選特征、必選特征和事件特征,其中,可選特征和必選特征屬于基礎(chǔ)特征,事件特征屬于增強(qiáng)特征;可選特征:不僅僅是挖礦病毒獨(dú)有、其他類型病毒也可能存在的特征;必選特征:Linux下挖礦病毒一定具備并且通用的特征;事件特征:基于挖礦事件提取出的特征,匹配成功該特征則可判定為某一挖礦事件的特征;對(duì)可選特征、必選特征、事件特征設(shè)置權(quán)值分?jǐn)?shù);具體判定規(guī)則分為三種:一、類型組合判定規(guī)則:命中挖礦病毒檢測(cè)知識(shí)庫的必選特征和事件特征,則可判定為挖礦病毒;二、類型加權(quán)值判定規(guī)則:至少命中一條必選特征或者至少命中一條事件特征,并且命中至少三條可選特征,則可判定為挖礦病毒;三、權(quán)值判定規(guī)則:統(tǒng)計(jì)所有的命中特征的權(quán)值分?jǐn)?shù),總分達(dá)到預(yù)設(shè)分?jǐn)?shù)則可判定為挖礦病毒,上述三條判定規(guī)則符合一條即可判定為挖礦病毒。
12.如權(quán)利要求8所述的裝置,其特征在于,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
所述對(duì)已啟動(dòng)的挖礦服務(wù)進(jìn)程進(jìn)行關(guān)聯(lián)性清除,具體為:查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除;對(duì)于部分挖礦病毒將進(jìn)程信息隱藏或利用init進(jìn)行進(jìn)程托管無法獲取到其父子進(jìn)程的,則通過內(nèi)存映射來獲取進(jìn)程鏈信息,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除。
13.如權(quán)利要求12所述的裝置,其特征在于,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
所述查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,具體為:通過/proc/pid/獲取進(jìn)程信息,根據(jù)父子進(jìn)程ID進(jìn)行關(guān)聯(lián)。
14.如權(quán)利要求12所述的裝置,其特征在于,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
所述通過內(nèi)存映射來獲取進(jìn)程鏈信息,具體為:獲取已判定挖礦程序的task_struct指針,獲取task_struct指針的vm_area_strcut的結(jié)構(gòu)變量mm_rb和mmap,進(jìn)而獲取內(nèi)存映射的起始地址、結(jié)束地址和映射文件信息,通過遍歷task_struct鏈表獲取鏈中其他關(guān)聯(lián)進(jìn)程信息,進(jìn)而關(guān)聯(lián)隱藏的進(jìn)程。
15.一種Linux平臺(tái)下挖礦病毒防護(hù)及清除裝置,包括:
特征提取模:用于提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
知識(shí)庫構(gòu)建模塊:用于根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
行為監(jiān)控模塊:用于監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
挖礦威脅判定模塊:用于通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;
進(jìn)程關(guān)聯(lián)清除模塊:用于對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
16.一種存儲(chǔ)設(shè)備,其特征在于,所述存儲(chǔ)設(shè)備中存儲(chǔ)有多條指令,所述指令適于由處理器加載并執(zhí)行權(quán)1-7任一所述的方法的步驟。

說明書全文

一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法、裝置及存儲(chǔ)設(shè)備

技術(shù)領(lǐng)域

[0001] 本發(fā)明涉及網(wǎng)絡(luò)傳輸安全技術(shù)領(lǐng)域,尤其涉及一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法、裝置及存儲(chǔ)設(shè)備。

背景技術(shù)

[0002] 虛擬貨幣市場的巨大利潤,引得越來越多的攻擊者開始使用各種惡意代碼對(duì)普通用戶的計(jì)算機(jī)實(shí)施攻擊,Linux平臺(tái)下流行的攻擊類型并不多,挖礦事件在近些年來占比較高,攻擊者將惡意腳本掛在自己或入侵的網(wǎng)站上,只要普通用戶點(diǎn)擊訪問這些被加入惡意腳本的網(wǎng)站,就會(huì)成為羅幣等虛擬貨幣挖礦工,攻擊者將直接利用被植入惡意代碼用戶的電腦資源來挖礦。
[0003] 目前的挖礦清除手段都是基于已知事件進(jìn)行分析,通過挖礦行為對(duì)應(yīng)進(jìn)行專殺,對(duì)已知挖礦事件和未知挖礦病毒的防護(hù)并沒有一個(gè)成熟的機(jī)制,很難做到對(duì)Linux系統(tǒng)下通用類型的挖礦進(jìn)行防護(hù)。

發(fā)明內(nèi)容

[0004] 有鑒于此,本發(fā)明實(shí)施例提供了一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法、裝置及存儲(chǔ)設(shè)備,通過挖礦特征提取、行為信息比對(duì)、威脅判定、進(jìn)程關(guān)聯(lián)清除,解決了目前的挖礦清除手段都是基于已知事件進(jìn)行分析通過挖礦行為對(duì)應(yīng)進(jìn)行專殺,對(duì)已知挖礦事件和未知挖礦病毒的防護(hù)并沒有一個(gè)成熟的機(jī)制,很難做到對(duì)Linux系統(tǒng)下通用類型的挖礦進(jìn)行防護(hù)的問題。
[0005] 第一方面,本發(fā)明實(shí)施例提供一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法,包括:
[0006] 提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
[0007] 根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
[0008] 監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
[0009] 通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;
[0010] 對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
[0011] 進(jìn)一步地,所述提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫,具體為:自動(dòng)提取:關(guān)注挖礦事件公布網(wǎng)站,定時(shí)爬取挖礦事件信息,根據(jù)模糊匹配原則自動(dòng)提取特征;分析提?。红o態(tài)逆向挖礦病毒,提取挖礦病毒邏輯信息,使用動(dòng)態(tài)沙箱運(yùn)行挖礦病毒,提取挖礦病毒進(jìn)程行為信息,根據(jù)提取到的挖礦病毒的邏輯信息和進(jìn)程行為信息提取特征。
[0012] 進(jìn)一步地,所述行為信息,包括:監(jiān)控正在啟動(dòng)程序的進(jìn)程及父子進(jìn)程的進(jìn)程ID、操作用戶、操作權(quán)限、操作的敏感文件、網(wǎng)絡(luò)連接、CPU占用資源占用情況、是否有隱藏操作、啟動(dòng)目錄是否正常。
[0013] 進(jìn)一步地,所述通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定,包括:挖礦病毒檢測(cè)知識(shí)庫中的特征分類為:可選特征、必選特征和事件特征,其中,可選特征和必選特征屬于基礎(chǔ)特征,事件特征屬于增強(qiáng)特征;可選特征:不僅僅是挖礦病毒獨(dú)有、其他類型病毒也可能存在的特征;必選特征:Linux下挖礦病毒一定具備并且通用的特征;事件特征:基于挖礦事件提取出的特征,匹配成功該特征則可判定為某一挖礦事件的特征;對(duì)可選特征、必選特征、事件特征設(shè)置權(quán)值分?jǐn)?shù);具體判定規(guī)則分為三種:一、類型組合判定規(guī)則:命中挖礦病毒檢測(cè)知識(shí)庫的必選特征和事件特征,則可判定為挖礦病毒;二、類型加權(quán)值判定規(guī)則:至少命中一條必選特征或者至少命中一條事件特征,并且命中至少三條可選特征,則可判定為挖礦病毒;三、權(quán)值判定規(guī)則:統(tǒng)計(jì)所有的命中特征的權(quán)值分?jǐn)?shù),總分達(dá)到預(yù)設(shè)分?jǐn)?shù)則可判定為挖礦病毒,上述三條判定規(guī)則符合一條即可判定為挖礦病毒。
[0014] 進(jìn)一步地,所述對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除,具體為:查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除;對(duì)于部分挖礦病毒將進(jìn)程信息隱藏或利用init進(jìn)行進(jìn)程托管無法獲取到其父子進(jìn)程的,則通過內(nèi)存映射來獲取進(jìn)程鏈信息,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除。
[0015] 進(jìn)一步地,所述查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,具體為:通過/proc/pid/獲取進(jìn)程信息,根據(jù)父子進(jìn)程ID進(jìn)行關(guān)聯(lián)。
[0016] 進(jìn)一步地,所述通過內(nèi)存映射來獲取進(jìn)程鏈信息,具體為:獲取已判定挖礦程序的task_struct指針,獲取task_struct指針的vm_area_strcut的結(jié)構(gòu)變量mm_rb和mmap,進(jìn)而獲取內(nèi)存映射的起始地址、結(jié)束地址和映射文件信息,通過遍歷task_struct鏈表獲取鏈中其他關(guān)聯(lián)進(jìn)程信息,進(jìn)而關(guān)聯(lián)隱藏的進(jìn)程。
[0017] 第二方面,本發(fā)明實(shí)施例提供一種Linux平臺(tái)下挖礦病毒防護(hù)及清除裝置,包括存儲(chǔ)器和處理器,所述存儲(chǔ)器用于存儲(chǔ)多條指令,所述處理器用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
[0018] 提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
[0019] 根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
[0020] 監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
[0021] 通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;
[0022] 對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
[0023] 進(jìn)一步地,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
[0024] 所述提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫,具體為:自動(dòng)提取:關(guān)注挖礦事件公布網(wǎng)站,定時(shí)爬取挖礦事件信息,根據(jù)模糊匹配原則自動(dòng)提取特征;分析提取:靜態(tài)逆向挖礦病毒,提取挖礦病毒邏輯信息,然后使用動(dòng)態(tài)沙箱運(yùn)行挖礦病毒,提取挖礦病毒進(jìn)程行為信息,根據(jù)提取到的挖礦病毒的邏輯信息和進(jìn)程行為信息提取特征。
[0025] 進(jìn)一步地,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
[0026] 所述行為信息,包括:監(jiān)控正在啟動(dòng)程序的進(jìn)程及父子進(jìn)程的進(jìn)程ID、操作用戶、操作權(quán)限、操作的敏感文件、網(wǎng)絡(luò)連接、CPU占用資源占用情況、是否有隱藏操作、啟動(dòng)目錄是否正常。
[0027] 進(jìn)一步地,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
[0028] 所述通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定,包括:挖礦病毒檢測(cè)知識(shí)庫中的特征分類為:可選特征、必選特征和事件特征,其中,可選特征和必選特征屬于基礎(chǔ)特征,事件特征屬于增強(qiáng)特征;可選特征:不僅僅是挖礦病毒獨(dú)有、其他類型病毒也可能存在的特征;必選特征:Linux下挖礦病毒一定具備并且通用的特征;事件特征:基于挖礦事件提取出的特征,匹配成功該特征則可判定為某一挖礦事件的特征;對(duì)可選特征、必選特征、事件特征設(shè)置權(quán)值分?jǐn)?shù);具體判定規(guī)則分為三種:一、類型組合判定規(guī)則:命中挖礦病毒檢測(cè)知識(shí)庫的必選特征和事件特征,則可判定為挖礦病毒;二、類型加權(quán)值判定規(guī)則:至少命中一條必選特征或者至少命中一條事件特征,并且命中至少三條可選特征,則可判定為挖礦病毒;三、權(quán)值判定規(guī)則:統(tǒng)計(jì)所有的命中特征的權(quán)值分?jǐn)?shù),總分達(dá)到預(yù)設(shè)分?jǐn)?shù)則可判定為挖礦病毒,上述三條判定規(guī)則符合一條即可判定為挖礦病毒。
[0029] 進(jìn)一步地,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
[0030] 所述對(duì)已啟動(dòng)的挖礦服務(wù)進(jìn)程進(jìn)行關(guān)聯(lián)性清除,具體為:查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除;對(duì)于部分挖礦病毒將進(jìn)程信息隱藏或利用init進(jìn)行進(jìn)程托管無法獲取到其父子進(jìn)程的,則通過內(nèi)存映射來獲取進(jìn)程鏈信息,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除。
[0031] 進(jìn)一步地,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
[0032] 所述查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,具體為:通過/proc/pid/獲取進(jìn)程信息,根據(jù)父子進(jìn)程ID進(jìn)行關(guān)聯(lián)。
[0033] 進(jìn)一步地,所述處理器還用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
[0034] 所述通過內(nèi)存映射來獲取進(jìn)程鏈信息,具體為:獲取已判定挖礦程序的task_struct指針,獲取task_struct指針的vm_area_strcut的結(jié)構(gòu)變量mm_rb和mmap,進(jìn)而獲取內(nèi)存映射的起始地址、結(jié)束地址和映射文件信息,通過遍歷task_struct鏈表獲取鏈中其他關(guān)聯(lián)進(jìn)程信息,進(jìn)而關(guān)聯(lián)隱藏的進(jìn)程。
[0035] 第三方面,本發(fā)明實(shí)施例還提供一種Linux平臺(tái)下挖礦病毒防護(hù)及清除裝置,包括:
[0036] 特征提取模:用于提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
[0037] 知識(shí)庫構(gòu)建模塊:用于根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
[0038] 行為監(jiān)控模塊:用于監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
[0039] 挖礦威脅判定模塊:用于通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;
[0040] 進(jìn)程關(guān)聯(lián)清除模塊:用于對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
[0041] 第四方面,本發(fā)明實(shí)施例提供了一種存儲(chǔ)設(shè)備,所述存儲(chǔ)設(shè)備中存儲(chǔ)有多條指令,所述指令適于由處理器加載并執(zhí)行本發(fā)明實(shí)施例提供的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法步驟。
[0042] 本發(fā)明實(shí)施例提供的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法、裝置及存儲(chǔ)介質(zhì),包括:提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
[0043] 本發(fā)明實(shí)施例能夠達(dá)到如下技術(shù)效果:本發(fā)明可以針對(duì)已知事件和未知挖礦病毒的進(jìn)行檢測(cè)防護(hù),技術(shù)方案具有一定通用性,基于對(duì)挖礦特征的提取、打分、判定,阻止挖礦程序運(yùn)行,并且采用進(jìn)程關(guān)聯(lián)方法對(duì)挖礦病毒進(jìn)行清除,可在挖礦的事前、事中和事后各個(gè)階段進(jìn)行應(yīng)急處理。附圖說明
[0044] 為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其它的附圖。
[0045] 圖1為本發(fā)明的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法的一實(shí)施例流程圖
[0046] 圖2為本發(fā)明的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法的又一實(shí)施例流程圖;
[0047] 圖3為本發(fā)明的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除裝置的一實(shí)施例結(jié)構(gòu)示意圖;
[0048] 圖4為本發(fā)明的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除裝置的又一實(shí)施例結(jié)構(gòu)示意圖。

具體實(shí)施方式

[0049] 下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)描述。
[0050] 應(yīng)當(dāng)明確,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0051] 為了更清楚地陳述本發(fā)明的具體實(shí)施例,對(duì)如下名詞進(jìn)行解釋:
[0052] 利用init進(jìn)行進(jìn)程托管:系統(tǒng)啟動(dòng)時(shí),init程序根據(jù)/etc/inittab文件的配置,拉起系統(tǒng)服務(wù)、getty登陸終端,自定義的進(jìn)程同樣也可交由init程序管理。
[0053] 通過/proc/pid/獲取進(jìn)程信息:/proc文件系統(tǒng)是系統(tǒng)內(nèi)核的映像,該目錄中的文件是存放在系統(tǒng)內(nèi)存中的,它以文件系統(tǒng)的形式為訪問系統(tǒng)內(nèi)核數(shù)據(jù)的操作提供接口。
[0054] task_struct指針:在Linux中每一個(gè)進(jìn)程都由task_struct數(shù)據(jù)結(jié)構(gòu)來定義,是對(duì)進(jìn)程控制的唯一手段也是最有效的手段。當(dāng)調(diào)用fork()時(shí),系統(tǒng)會(huì)產(chǎn)生一個(gè)task_struct結(jié)構(gòu),并繼承父進(jìn)程的一些數(shù)據(jù)把新的進(jìn)程插入到進(jìn)程樹中,以待進(jìn)行進(jìn)程管理。
[0055] 第一方面,本發(fā)明實(shí)施例提供一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法,通過挖礦特征提取、行為信息比對(duì)、威脅判定、進(jìn)程關(guān)聯(lián)清除,解決了目前的挖礦清除手段都是基于已知事件進(jìn)行分析通過挖礦行為對(duì)應(yīng)進(jìn)行專殺,對(duì)已知挖礦事件和未知挖礦病毒的防護(hù)并沒有一個(gè)成熟的機(jī)制,很難做到對(duì)Linux系統(tǒng)下通用類型的挖礦進(jìn)行防護(hù)的問題。
[0056] 圖1為本發(fā)明的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法的一實(shí)施例流程圖,包括:
[0057] S101、提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
[0058] S102、根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
[0059] S103、監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
[0060] S104、通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;
[0061] S105、對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦服務(wù)進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
[0062] 優(yōu)選地,所述提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫,具體為:自動(dòng)提?。宏P(guān)注挖礦事件公布網(wǎng)站,定時(shí)爬取挖礦事件信息,根據(jù)模糊匹配原則自動(dòng)提取特征;分析提?。红o態(tài)逆向挖礦病毒,提取挖礦病毒邏輯信息,使用動(dòng)態(tài)沙箱運(yùn)行挖礦病毒,提取挖礦病毒進(jìn)程行為信息,根據(jù)提取到的挖礦病毒的邏輯信息和進(jìn)程行為信息提取特征。
[0063] 優(yōu)選地,所述行為信息,包括:監(jiān)控正在啟動(dòng)程序的進(jìn)程及父子進(jìn)程的進(jìn)程ID、操作用戶、操作權(quán)限、操作的敏感文件、網(wǎng)絡(luò)連接、CPU占用資源占用情況、是否有隱藏操作、啟動(dòng)目錄是否正常。
[0064] 優(yōu)選地,所述通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定,包括:挖礦病毒檢測(cè)知識(shí)庫中的特征分類為:可選特征、必選特征和事件特征,其中,可選特征和必選特征屬于基礎(chǔ)特征,事件特征屬于增強(qiáng)特征;可選特征:不僅僅是挖礦病毒獨(dú)有、其他類型病毒也可能存在的特征;必選特征:Linux下挖礦病毒一定具備并且通用的特征;事件特征:基于挖礦事件提取出的特征,匹配成功該特征則可判定為某一挖礦事件的特征;對(duì)可選特征、必選特征、事件特征設(shè)置權(quán)值分?jǐn)?shù);具體判定規(guī)則分為三種:一、類型組合判定規(guī)則:命中挖礦病毒檢測(cè)知識(shí)庫的必選特征和事件特征,則可判定為挖礦病毒;二、類型加權(quán)值判定規(guī)則:至少命中一條必選特征或者至少命中一條事件特征,并且命中至少三條可選特征,則可判定為挖礦病毒;三、權(quán)值判定規(guī)則:統(tǒng)計(jì)所有的命中特征的權(quán)值分?jǐn)?shù),總分達(dá)到預(yù)設(shè)分?jǐn)?shù)則可判定為挖礦病毒,上述三條判定規(guī)則符合一條即可判定為挖礦病毒。
[0065] 權(quán)值判定規(guī)則舉例:可選特征權(quán)值設(shè)置為1分,必選特征權(quán)值設(shè)置為2分,事件特征權(quán)值設(shè)置為3分,統(tǒng)計(jì)所有的命中特征的權(quán)值分?jǐn)?shù),總分達(dá)到6分則可判定為挖礦病毒。
[0066] 優(yōu)選地,所述對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除,具體為:查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除;對(duì)于部分挖礦病毒將進(jìn)程信息隱藏或利用init進(jìn)行進(jìn)程托管無法獲取到其父子進(jìn)程的,則通過內(nèi)存映射來獲取進(jìn)程鏈信息,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除。
[0067] 優(yōu)選地,所述查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,具體為:通過/proc/pid/獲取進(jìn)程信息,根據(jù)父子進(jìn)程ID進(jìn)行關(guān)聯(lián)。
[0068] 優(yōu)選地,所述通過內(nèi)存映射來獲取進(jìn)程鏈信息,具體為:獲取已判定挖礦程序的task_struct指針,獲取task_struct指針的vm_area_strcut的結(jié)構(gòu)變量mm_rb和mmap,進(jìn)而獲取內(nèi)存映射的起始地址、結(jié)束地址和映射文件信息,通過遍歷task_struct鏈表獲取鏈中其他關(guān)聯(lián)進(jìn)程信息,進(jìn)而關(guān)聯(lián)隱藏的進(jìn)程。
[0069] 圖2為本發(fā)明的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除方法的又一實(shí)施例流程圖,包括:
[0070] S201、提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
[0071] S202、根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
[0072] S203、監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
[0073] S204、所述通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定,包括:挖礦病毒檢測(cè)知識(shí)庫中的特征分類為:可選特征、必選特征和事件特征,其中,可選特征和必選特征屬于基礎(chǔ)特征,事件特征屬于增強(qiáng)特征;可選特征:不僅僅是挖礦病毒獨(dú)有、其他類型病毒也可能存在的特征;必選特征:Linux下挖礦病毒一定具備并且通用的特征;事件特征:基于挖礦事件提取出的特征,匹配成功該特征則可判定為某一挖礦事件的特征;對(duì)可選特征、必選特征、事件特征設(shè)置權(quán)值分?jǐn)?shù);具體判定規(guī)則分為三種:一、類型組合判定規(guī)則:命中挖礦病毒檢測(cè)知識(shí)庫的必選特征和事件特征,則可判定為挖礦病毒;二、類型加權(quán)值判定規(guī)則:至少命中一條必選特征或者至少命中一條事件特征,并且命中至少三條可選特征,則可判定為挖礦病毒;三、權(quán)值判定規(guī)則:統(tǒng)計(jì)所有的命中特征的權(quán)值分?jǐn)?shù),總分達(dá)到預(yù)設(shè)分?jǐn)?shù)則可判定為挖礦病毒,上述三條判定規(guī)則符合一條即可判定為挖礦病毒。
[0074] S205、對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦服務(wù)進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
[0075] 優(yōu)選地,所述提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫,具體為:自動(dòng)提取:關(guān)注挖礦事件公布網(wǎng)站,定時(shí)爬取挖礦事件信息,根據(jù)模糊匹配原則自動(dòng)提取特征;分析提取:靜態(tài)逆向挖礦病毒,提取挖礦病毒邏輯信息,然后使用動(dòng)態(tài)沙箱運(yùn)行挖礦病毒,提取挖礦病毒進(jìn)程行為信息,根據(jù)提取到的挖礦病毒的邏輯信息和進(jìn)程行為信息提取特征。
[0076] 優(yōu)選地,所述行為信息,包括:監(jiān)控正在啟動(dòng)程序的進(jìn)程及父子進(jìn)程的進(jìn)程ID、操作用戶、操作權(quán)限、操作的敏感文件、網(wǎng)絡(luò)連接、CPU占用資源占用情況、是否有隱藏操作、啟動(dòng)目錄是否正常。
[0077] 優(yōu)選地,所述對(duì)已啟動(dòng)的挖礦服務(wù)進(jìn)程進(jìn)行關(guān)聯(lián)性清除,具體為:查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除;對(duì)于部分挖礦病毒會(huì)將進(jìn)程信息進(jìn)行隱藏或利用init進(jìn)行進(jìn)程托管使得無法獲取到父子進(jìn)程的,可以通過內(nèi)存映射來獲取進(jìn)程鏈信息,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除。
[0078] 優(yōu)選地,所述查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,具體為:通過/proc/pid/獲取進(jìn)程信息,根據(jù)父子進(jìn)程ID進(jìn)行關(guān)聯(lián)。
[0079] 優(yōu)選地,所述通過內(nèi)存映射來獲取進(jìn)程鏈信息,具體為:通過獲取已判定挖礦程序的task_struct指針,進(jìn)而通過該結(jié)構(gòu)中的vm_area_strcut的結(jié)構(gòu)變量mm_rb和mmap獲取內(nèi)存映射的起始地址、結(jié)束地址和映射文件信息,然后通過遍歷task_struct鏈表獲取鏈中其他關(guān)聯(lián)進(jìn)程信息,進(jìn)而將隱藏的進(jìn)程通過關(guān)聯(lián)起來。
[0080] 本實(shí)施例所述方法可以有效應(yīng)對(duì)已知挖礦病毒和未知挖礦病毒的通用檢測(cè)防護(hù)問題,提出了三種判定規(guī)則,提出了一種具有一定通用性的挖礦病毒防護(hù)方案。
[0081] 圖3為本發(fā)明的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除裝置的結(jié)構(gòu)示意圖,包括存儲(chǔ)器301和處理器302,所述存儲(chǔ)器用于存儲(chǔ)多條指令,所述處理器用于加載所述存儲(chǔ)器中存儲(chǔ)的指令以執(zhí)行:
[0082] 提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
[0083] 根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
[0084] 監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
[0085] 通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;
[0086] 對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
[0087] 優(yōu)選地,所述處理器302還用于加載所述存儲(chǔ)器301中存儲(chǔ)的指令以執(zhí)行:
[0088] 所述提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫,具體為:自動(dòng)提取:關(guān)注挖礦事件公布網(wǎng)站,定時(shí)爬取挖礦事件信息,根據(jù)模糊匹配原則自動(dòng)提取特征;分析提取:靜態(tài)逆向挖礦病毒,提取挖礦病毒邏輯信息,然后使用動(dòng)態(tài)沙箱運(yùn)行挖礦病毒,提取挖礦病毒進(jìn)程行為信息,根據(jù)提取到的挖礦病毒的邏輯信息和進(jìn)程行為信息提取特征。
[0089] 優(yōu)選地,所述處理器302還用于加載所述存儲(chǔ)器301中存儲(chǔ)的指令以執(zhí)行:
[0090] 所述行為信息,包括:監(jiān)控正在啟動(dòng)程序的進(jìn)程及父子進(jìn)程的進(jìn)程ID、操作用戶、操作權(quán)限、操作的敏感文件、網(wǎng)絡(luò)連接、CPU占用資源占用情況、是否有隱藏操作、啟動(dòng)目錄是否正常。
[0091] 優(yōu)選地,所述處理器302還用于加載所述存儲(chǔ)器301中存儲(chǔ)的指令以執(zhí)行:
[0092] 所述通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定,包括:挖礦病毒檢測(cè)知識(shí)庫中的特征分類為:可選特征、必選特征和事件特征,其中,可選特征和必選特征屬于基礎(chǔ)特征,事件特征屬于增強(qiáng)特征;可選特征:不僅僅是挖礦病毒獨(dú)有、其他類型病毒也可能存在的特征;必選特征:Linux下挖礦病毒一定具備并且通用的特征;事件特征:基于挖礦事件提取出的特征,匹配成功該特征則可判定為某一挖礦事件的特征;對(duì)可選特征、必選特征、事件特征設(shè)置權(quán)值分?jǐn)?shù);具體判定規(guī)則分為三種:一、類型組合判定規(guī)則:命中挖礦病毒檢測(cè)知識(shí)庫的必選特征和事件特征,則可判定為挖礦病毒;二、類型加權(quán)值判定規(guī)則:至少命中一條必選特征或者至少命中一條事件特征,并且命中至少三條可選特征,則可判定為挖礦病毒;三、權(quán)值判定規(guī)則:統(tǒng)計(jì)所有的命中特征的權(quán)值分?jǐn)?shù),總分達(dá)到預(yù)設(shè)分?jǐn)?shù)則可判定為挖礦病毒,上述三條判定規(guī)則符合一條即可判定為挖礦病毒。
[0093] 優(yōu)選地,所述處理器302還用于加載所述存儲(chǔ)器301中存儲(chǔ)的指令以執(zhí)行:
[0094] 所述對(duì)已啟動(dòng)的挖礦服務(wù)進(jìn)程進(jìn)行關(guān)聯(lián)性清除,具體為:查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除;對(duì)于部分挖礦病毒將進(jìn)程信息隱藏或利用init進(jìn)行進(jìn)程托管無法獲取到其父子進(jìn)程的,則通過內(nèi)存映射來獲取進(jìn)程鏈信息,對(duì)鏈上其他進(jìn)程同樣進(jìn)行判定并清除。
[0095] 優(yōu)選地,所述處理器302還用于加載所述存儲(chǔ)器301中存儲(chǔ)的指令以執(zhí)行:
[0096] 所述查找與已判定為挖礦病毒相關(guān)聯(lián)的進(jìn)程,遍歷其進(jìn)程鏈,具體為:通過/proc/pid/獲取進(jìn)程信息,根據(jù)父子進(jìn)程ID進(jìn)行關(guān)聯(lián)。
[0097] 優(yōu)選地,所述處理器302還用于加載所述存儲(chǔ)器301中存儲(chǔ)的指令以執(zhí)行:
[0098] 所述通過內(nèi)存映射來獲取進(jìn)程鏈信息,具體為:獲取已判定挖礦程序的task_struct指針,獲取task_struct指針的vm_area_strcut的結(jié)構(gòu)變量mm_rb和mmap,進(jìn)而獲取內(nèi)存映射的起始地址、結(jié)束地址和映射文件信息,通過遍歷task_struct鏈表獲取鏈中其他關(guān)聯(lián)進(jìn)程信息,進(jìn)而關(guān)聯(lián)隱藏的進(jìn)程。
[0099] 圖4為本發(fā)明的一種Linux平臺(tái)下挖礦病毒防護(hù)及清除裝置的結(jié)構(gòu)示意圖,本實(shí)施例的裝置可以包括:
[0100] 特征提取模塊401:用于提取挖礦病毒的通用行為特征形成基礎(chǔ)特征庫,提取挖礦病毒的專用行為形成增強(qiáng)特征庫;
[0101] 知識(shí)庫構(gòu)建模塊402:用于根據(jù)基礎(chǔ)特征庫和增強(qiáng)特征庫形成挖礦病毒檢測(cè)知識(shí)庫;
[0102] 行為監(jiān)控模塊403:用于監(jiān)控正在啟動(dòng)的程序及其父子進(jìn)程,并提取行為信息,將所述行為信息與挖礦病毒檢測(cè)知識(shí)庫中的特征進(jìn)行比對(duì);
[0103] 挖礦威脅判定模塊404:用于通過基礎(chǔ)特征評(píng)分和增強(qiáng)特征評(píng)分混合打分機(jī)制進(jìn)行挖礦病毒威脅判定;
[0104] 進(jìn)程關(guān)聯(lián)清除模塊405:用于對(duì)已經(jīng)判定為挖礦病毒的進(jìn)程進(jìn)行攔截,并對(duì)已啟動(dòng)的挖礦病毒進(jìn)程進(jìn)行關(guān)聯(lián)性清除。
[0105] 本發(fā)明的實(shí)施例還提供計(jì)算機(jī)可讀存儲(chǔ)設(shè)備,所述計(jì)算機(jī)可讀存儲(chǔ)設(shè)備存儲(chǔ)有一個(gè)或者多個(gè)程序,所述一個(gè)或者多個(gè)程序可被一個(gè)或者多個(gè)處理器執(zhí)行,以實(shí)現(xiàn)前述任一實(shí)現(xiàn)方式所述的方法。
[0106] 該計(jì)算機(jī)可讀存儲(chǔ)設(shè)備以多種形式存在,包括但不限于:
[0107] (1)移動(dòng)通信設(shè)備:這類設(shè)備的特點(diǎn)是具備移動(dòng)通信功能,并且以提供話音、數(shù)據(jù)通信為主要目標(biāo)。這類終端包括:智能手機(jī)(例如iPhone)、多媒體手機(jī)、功能性手機(jī),以及低端手機(jī)等。
[0108] (2)超移動(dòng)個(gè)人計(jì)算機(jī)設(shè)備:這類設(shè)備屬于個(gè)人計(jì)算機(jī)的范疇,有計(jì)算和處理功能,一般也具備移動(dòng)上網(wǎng)特性。這類終端包括:PDA、MID和UMPC設(shè)備等,例如iPad。
[0109] (3)便攜式娛樂設(shè)備:這類設(shè)備可以顯示和播放多媒體內(nèi)容。該類設(shè)備包括:音頻、視頻播放器(例如iPod),掌上游戲機(jī),電子書,以及智能玩具和便攜式車載導(dǎo)航設(shè)備。
[0110] (4)服務(wù)器:提供計(jì)算服務(wù)的設(shè)備,服務(wù)器的構(gòu)成包括處理器、硬盤、內(nèi)存、系統(tǒng)總線等,服務(wù)器和通用的計(jì)算機(jī)架構(gòu)類似,但是由于需要提供高可靠的服務(wù),因此在處理能、穩(wěn)定性、可靠性、安全性、可擴(kuò)展性、可管理性等方面要求較高。
[0111] (5)其他具有數(shù)據(jù)交互功能的電子設(shè)備。
[0112] 第四方面,本發(fā)明的實(shí)施例還提供計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有一個(gè)或者多個(gè)程序,所述一個(gè)或者多個(gè)程序可被一個(gè)或者多個(gè)處理器執(zhí)行,以實(shí)現(xiàn)前述任一實(shí)現(xiàn)方式所述的方法。
[0113] 需要說明的是,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且,術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下,由語句“包括一個(gè)……”限定的要素,并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。
[0114] 本說明書中的各個(gè)實(shí)施例均采用相關(guān)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見即可,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。
[0115] 尤其,對(duì)于裝置實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述的比較簡單,相關(guān)之處參見方法實(shí)施例的部分說明即可。
[0116] 為了描述的方便,描述以上裝置是以功能分為各種單元/模塊分別描述。當(dāng)然,在實(shí)施本發(fā)明時(shí)可以把各單元/模塊的功能在同一個(gè)或多個(gè)軟件和/或硬件中實(shí)現(xiàn)。
[0117] 本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程,是可以通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程。其中,所述的存儲(chǔ)介質(zhì)可為磁碟、光盤、只讀存儲(chǔ)記憶體(Read-Only?Memory,ROM)或隨機(jī)存儲(chǔ)記憶體(Random?Access?Memory,RAM)等。
[0118] 以上所述,僅為本發(fā)明的具體實(shí)施方式,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
高效檢索全球?qū)@?/div>

專利匯是專利免費(fèi)檢索,專利查詢,專利分析-國家發(fā)明專利查詢檢索分析平臺(tái),是提供專利分析,專利查詢,專利檢索等數(shù)據(jù)服務(wù)功能的知識(shí)產(chǎn)權(quán)數(shù)據(jù)服務(wù)商。

我們的產(chǎn)品包含105個(gè)國家的1.26億組數(shù)據(jù),免費(fèi)查、免費(fèi)專利分析。

申請(qǐng)?jiān)囉?/a>

QQ群二維碼
意見反饋