本發明實施例公開了一種Linux平臺下挖礦病毒防護及清除方法、裝置及存儲設備，涉及網絡安全技術領域，提出一種對Linux系統下通用類型挖礦病毒防護及清除的方法。所述方法包括：提取挖礦病毒的通用行為特征形成基礎特征庫，提取挖礦病毒的專用行為形成增強特征庫；根據基礎特征庫和增強特征庫形成挖礦病毒檢測知識庫；監控正在啟動的程序及其父子進程，并提取行為信息，將所述行為信息與挖礦病毒檢測知識庫中的特征進行比對；通過基礎特征評分和增強特征評分混合打分機制進行挖礦病毒威脅判定；對已經判定為挖礦病毒的進程進行攔截，并對已啟動的挖礦病毒進程進行關聯性清除。

技術領域

本發明涉及網絡傳輸安全技術領域，尤其涉及一種Linux平臺下挖礦病毒防護及清除方法、裝置及存儲設備。

背景技術

虛擬貨幣市場的巨大利潤，引得越來越多的攻擊者開始使用各種惡意代碼對普通用戶的計算機實施攻擊，Linux平臺下流行的攻擊類型并不多，挖礦事件在近些年來占比較高，攻擊者將惡意腳本掛在自己或入侵的網站上，只要普通用戶點擊訪問這些被加入惡意腳本的網站，就會成為羅門幣等虛擬貨幣挖礦工，攻擊者將直接利用被植入惡意代碼用戶的電腦資源來挖礦。

目前的挖礦清除手段都是基于已知事件進行分析，通過挖礦行為對應進行專殺，對已知挖礦事件和未知挖礦病毒的防護并沒有一個成熟的機制，很難做到對Linux系統下通用類型的挖礦進行防護。

發明內容

有鑒于此，本發明實施例提供了一種Linux平臺下挖礦病毒防護及清除方法、裝置及存儲設備，通過挖礦特征提取、行為信息比對、威脅判定、進程關聯清除，解決了目前的挖礦清除手段都是基于已知事件進行分析通過挖礦行為對應進行專殺，對已知挖礦事件和未知挖礦病毒的防護并沒有一個成熟的機制，很難做到對Linux系統下通用類型的挖礦進行防護的問題。

第一方面，本發明實施例提供一種Linux平臺下挖礦病毒防護及清除方法，包括：

提取挖礦病毒的通用行為特征形成基礎特征庫，提取挖礦病毒的專用行為形成增強特征庫；

根據基礎特征庫和增強特征庫形成挖礦病毒檢測知識庫；

監控正在啟動的程序及其父子進程，并提取行為信息，將所述行為信息與挖礦病毒檢測知識庫中的特征進行比對；

通過基礎特征評分和增強特征評分混合打分機制進行挖礦病毒威脅判定；

對已經判定為挖礦病毒的進程進行攔截，并對已啟動的挖礦病毒進程進行關聯性清除。

進一步地，所述提取挖礦病毒的通用行為特征形成基礎特征庫，提取挖礦病毒的專用行為形成增強特征庫，具體為：自動提?。宏P注挖礦事件公布網站，定時爬取挖礦事件信息，根據模糊匹配原則自動提取特征；分析提取：靜態逆向挖礦病毒，提取挖礦病毒邏輯信息，使用動態沙箱運行挖礦病毒，提取挖礦病毒進程行為信息，根據提取到的挖礦病毒的邏輯信息和進程行為信息提取特征。

進一步地，所述行為信息，包括：監控正在啟動程序的進程及父子進程的進程ID、操作用戶、操作權限、操作的敏感文件、網絡連接、CPU占用資源占用情況、是否有隱藏操作、啟動目錄是否正常。