本發(fā)明提供了一種基于SOAR處置主機(jī)挖礦病毒的系統(tǒng)和電子設(shè)備，包括：主機(jī)防護(hù)軟件系統(tǒng)在主機(jī)資源占用異常時，收集占用主機(jī)資源的進(jìn)程信息，將進(jìn)程信息發(fā)送至沙盒系統(tǒng)和威脅情報(bào)系統(tǒng)；沙盒系統(tǒng)確定樣本文件是否為惡意文件；威脅情報(bào)系統(tǒng)確定進(jìn)程屬性信息是否合法；主機(jī)防護(hù)軟件管控中心根據(jù)沙盒系統(tǒng)發(fā)送的第一確定信息和威脅情報(bào)系統(tǒng)發(fā)送的第二確定信息確定進(jìn)程信息是否為挖礦病毒的進(jìn)程信息，在得到進(jìn)程信息為挖礦病毒的進(jìn)程信息時，下發(fā)處置策略至主機(jī)防護(hù)軟件系統(tǒng)和網(wǎng)關(guān)防火墻系統(tǒng)，以使主機(jī)防護(hù)軟件系統(tǒng)和網(wǎng)關(guān)防火墻系統(tǒng)對挖礦病毒進(jìn)行處置。本發(fā)明通過安全編排自動響應(yīng)的方式處置全網(wǎng)挖礦病毒，提高了安全運(yùn)維效率，響應(yīng)快。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全的技術(shù)領(lǐng)域，尤其是涉及一種基于SOAR處置主機(jī)挖礦病毒的系統(tǒng)和電子設(shè)備。

背景技術(shù)

目前，隨著虛擬貨幣的持續(xù)火熱，隨之而來的挖礦病毒也日益泛濫。挖礦病毒是一種利用電腦CPU和GPU資源計(jì)算產(chǎn)生虛擬貨幣的惡意程序，會極大的占用CPU的計(jì)算資源，導(dǎo)致CPU的處理能力減弱。每個主機(jī)系統(tǒng)都存在被挖礦病毒利用的問題，主機(jī)系統(tǒng)一旦被挖礦病毒植入后，會造成主機(jī)系統(tǒng)CPU負(fù)載升高，并且挖礦病毒還會自動橫向傳播，從而造成全網(wǎng)計(jì)算機(jī)的計(jì)算資源被惡意盜用，降低正常業(yè)務(wù)的運(yùn)行效率。所以，如何對主機(jī)挖礦病毒進(jìn)行處置成為了亟待解決的問題。

目前，在對主機(jī)挖礦病毒進(jìn)行處置時，一般先利用主機(jī)防護(hù)軟件對主機(jī)進(jìn)行掃描，當(dāng)掃描到主機(jī)資源占用異常時，再用專殺工具(可以為殺毒軟件)手工處置，進(jìn)行人為的查殺。而當(dāng)要對全網(wǎng)的主機(jī)系統(tǒng)都進(jìn)行挖礦病毒的處置時，只能對每個主機(jī)系統(tǒng)進(jìn)行逐一查殺，效率低，挖礦病毒的處置響應(yīng)慢。

綜上，現(xiàn)有的處置主機(jī)挖礦病毒的方法存下效率低下、響應(yīng)慢的技術(shù)問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于SOAR處置主機(jī)挖礦病毒的系統(tǒng)和電子設(shè)備，以緩解現(xiàn)有的處置主機(jī)挖礦病毒的方法效率低下、響應(yīng)慢的技術(shù)問題。

本發(fā)明提供的一種基于SOAR處置主機(jī)挖礦病毒的系統(tǒng)，包括：主機(jī)防護(hù)軟件管控中心、主機(jī)防護(hù)軟件系統(tǒng)、沙盒系統(tǒng)、威脅情報(bào)系統(tǒng)和網(wǎng)關(guān)防火墻系統(tǒng)；

部署在各個主機(jī)上的主機(jī)防護(hù)軟件系統(tǒng)，用于監(jiān)控主機(jī)資源是否占用異常，并在主機(jī)資源占用異常時，收集占用主機(jī)資源的進(jìn)程信息，將所述進(jìn)程信息中的樣本文件發(fā)送至所述沙盒系統(tǒng)，以及將所述進(jìn)程信息中的進(jìn)程屬性信息發(fā)送至所述威脅情報(bào)系統(tǒng)，其中，所述樣本文件為與進(jìn)程關(guān)聯(lián)的文件；

所述沙盒系統(tǒng)，用于確定所述樣本文件是否為惡意文件，并將確定得到的第一確定信息發(fā)送至所述主機(jī)防護(hù)軟件管控中心；

所述威脅情報(bào)系統(tǒng)，用于確定所述進(jìn)程屬性信息是否合法，并將確定得到的第二確定信息發(fā)送至所述主機(jī)防護(hù)軟件管控中心；

所述主機(jī)防護(hù)軟件管控中心，用于根據(jù)所述第一確定信息和所述第二確定信息確定所述進(jìn)程信息是否為挖礦病毒的進(jìn)程信息，并在確定得到所述進(jìn)程信息為挖礦病毒的進(jìn)程信息時，下發(fā)處置策略至所述主機(jī)防護(hù)軟件系統(tǒng)和所述網(wǎng)關(guān)防火墻系統(tǒng)，以使所述主機(jī)防護(hù)軟件系統(tǒng)和所述網(wǎng)關(guān)防火墻系統(tǒng)對所述挖礦病毒進(jìn)行處置。

進(jìn)一步的，所述主機(jī)資源占用異常為：在預(yù)設(shè)周期內(nèi)，主機(jī)平均占用率達(dá)到預(yù)設(shè)閾值。

進(jìn)一步的，所述主機(jī)防護(hù)軟件系統(tǒng)包括：資源監(jiān)控模塊、收集模塊和發(fā)送模塊；

所述資源監(jiān)控模塊，用于實(shí)時監(jiān)控主機(jī)資源是否占用異常，并將監(jiān)控結(jié)果發(fā)送至所述收集模塊；

所述收集模塊，用于在所述監(jiān)控結(jié)果為主機(jī)資源占用異常時，收集占用主機(jī)資源的進(jìn)程信息；

所述發(fā)送模塊，用于將所述進(jìn)程信息中的樣本文件發(fā)送至所述沙盒系統(tǒng)，并將所述進(jìn)程信息中進(jìn)程屬性信息發(fā)送至所述威脅情報(bào)系統(tǒng)，以及將主機(jī)資源占用異常告警發(fā)送至所述主機(jī)防護(hù)軟件管控中心。