本發明公開了一種挖礦惡意軟件的識別方法、系統和存儲介質，所述方法包括以下步驟：不同維度的數據預處理；文本特征提取并向量化；基于Stacking構建多模型集成的挖礦惡意軟件識別模型；得到預測結果。本發明是目前為數不多的針對二進制文件進行挖礦惡意軟件檢測的方法，針對性強，實現過程簡單，效率高；且本發明通過多個角度對挖礦軟件特征進行了多維度特征提取，并對不同維度的特征設計了多模型集成的方法，構造了挖礦惡意軟件識別組合模型，該模型識別準確率高，誤報率低。

技術領域

本發明屬于網絡安全的技術領域，具體涉及一種挖礦惡意軟件的識別方法、系統和存儲介質。

背景技術

近年來，隨著加密貨幣經濟價值的不斷攀升，越來越多的網絡犯罪分子在用戶不知情或未經允許的情況下，利用惡意軟件占用受害者的系統資源和網絡資源進行挖礦，從而獲取加密貨幣牟利。挖礦惡意軟件一般隱蔽性較強，難以被檢測到，一旦計算機被入侵，惡意軟件就會在后臺默默運行。由于挖礦程序會消耗大量的CPU或GPU資源，占用大量的系統資源和網絡資源，會造成系統運行卡頓或狀態異常，使得受入侵者計算機性能有所下降，且性能下降的程度會隨著挖礦惡意軟件占用計算資源的增多而增加。由于獲益的直接性，挖礦惡意軟件已經成為不法分子使用最為頻繁的攻擊方式之一，每年全國有大量服務器被挖礦惡意軟件感染。

目前對于挖礦木馬檢測方法主要為主機挖礦行為檢測和網頁挖礦腳本檢測。主機挖礦行為檢測方法主要基于流量分析，通過提取的流量，檢測流量傳輸包中是否存在挖礦相關的數據包。網頁挖礦腳本檢測方法主要是獲取待測頁面與挖礦腳本有關的特征，并判斷其特征值與預設特征值閾值的大小關系，來判定待測頁面中是否存在挖礦腳本。而對于二進制文件的挖礦木馬樣本的檢測方法比較少，基于二進制的挖礦樣本檢測主要分為靜態分析和動態分析兩種方式。靜態分析在不執行程序的情況下，通過反匯編、反編譯等方法使用詞法分析、文本解析、控制流等技術來挖掘程序，提取其有用特征信息。而動態的分析是通過實際運行軟件，捕捉行為進行分析。

現有的挖礦木馬檢測方法主要集中在主機挖礦行為檢測和網頁挖礦腳本檢測，缺少對于二進制挖礦樣本的有效實用檢測方法。其中基于二進制文件的挖礦惡意樣本檢測的靜態方法由于無須實際執行惡意軟件，因此速度相對較快且不會產生危害操作系統的惡意行為，但對惡意軟件多態，變形和加殼的手段很難提取有效的特征。靜態方法中基于特征碼的檢測方法和基于啟發的檢測方法簡單有效，但分別依賴于特征庫和安全人員對于挖礦惡意軟件的分析，都會隨著挖礦惡意樣本的增大受到局限性，導致檢測效率低下。基于二進制文件的挖礦惡意樣本檢測的動態分析方法需要真正地運行惡意軟件，對于不能運行的挖礦惡意樣本就無法使用動態方法對其進行檢測。另外，模擬所有惡意軟件行為需要對惡意軟件行為進行持續監控，導致計算機資源的巨大浪費，所以在檢測大量挖礦惡意軟件時，動態分析方法并不很適用。

發明內容

本發明的主要目的在于克服現有技術的缺點與不足，提供一種挖礦惡意軟件的識別方法、系統和存儲介質，該方法首先基于二進制文件樣本，通過多維度分析，使用靜態分析方法對其進行預處理，并向量化提取出有效的挖礦惡意軟件的多維度特征，然后構建多模型集成的挖礦惡意軟件識別模型，可以應用于實際網絡環境中，有效地識別挖礦惡意軟件。

為了達到上述目的，本發明采用以下技術方案：

本發明提供了一種挖礦惡意軟件的識別方法，包括以下步驟：

S1、數據預處理，對二進制樣本進行多維度數據操作，得到對應的不同維度的特征數據；

S2、文本特征提取，使用TF-IDF算法結合n-gram對所述不同維度的特征數據進行特征提取并向量化；