本發明公開一種挖礦行為的檢測方法、系統及計算機可讀存儲介質，其中檢測方法包括包括以下步驟：監控通信函數，當所述通信函數被進程調用時，獲取所述進程的進程信息和訪問信息；基于所述訪問信息判斷所述進程所訪問的目標是否為礦池，當所述進程所訪問的目標為礦池時，判定所述進程為挖礦進程。本發明中通過監控通信函數對網絡請求進行監控，從而獲知所有進程對外訪問的目標，快速識別并定位當前系統中的挖礦進程，不依賴外部的網絡監控系統，基于各進程對外訪問的目標進行挖礦進程的檢測，通用性高，成本低，使用便捷，在linux操作系統中，單機即可實現挖礦行為的檢測。

技術領域

本發明涉及挖礦行為的檢測領域，尤其涉及一種linux下單機基于網絡請求監控檢測挖礦木馬行為的技術。

背景技術

現今檢測挖礦木馬的方案往往依賴于外部的網絡監控系統，基于外部的網絡監控系統觀測某臺計算機是否感染挖礦木馬。

但由于挖礦木馬將極大地占用系統的cpu，導致計算機在日常使用過程中發生不明卡頓，此計算機為感染挖礦木馬的顯著特征之一，故計算機的使用人員或運維人員，能夠在使用或維護管理計算機的過程中感知到計算機被挖礦木馬所感染，故現有以計算機作為檢測粒度的挖礦行為檢測方法檢測效果不佳。

發明內容

本發明針對現有技術中的以計算機作為檢測粒度的挖礦行為檢測方法檢測效果不佳缺點，提供了一種對進行挖礦的具體進程進行檢測的技術。

為了解決上述技術問題，本發明通過下述技術方案得以解決：

一種挖礦行為的檢測方法，包括以下步驟：

監控通信函數，當所述通信函數被進程調用時，獲取所述進程的進程信息和訪問信息；

基于所述訪問信息判斷所述進程所訪問的目標是否為礦池，當所述進程所訪問的目標為礦池時，判定所述進程為挖礦進程。

現有技術中，往往只能對計算機是否感染挖礦木馬進行檢測，且只能基于預設的木馬庫識別出特定的挖礦木馬，通用性差；且現有挖礦木馬檢測技術往往需要外采設備(即，外部的網絡監控系統)，且配置復雜，無法準確定位對應進程，不滿足用戶對挖礦木馬檢測的需要。

本發明中通過監控通信函數對網絡請求進行監控，從而獲知所有進程對外訪問的目標，快速識別并定位當前系統中的挖礦進程，不依賴外部的網絡監控系統，基于各進程對外訪問的目標進行挖礦進程的檢測，通用性高，成本低，使用便捷，在linux操作系統中，單機即可實現挖礦行為的檢測。

作為一種可實施方式：

所述通信函數包括udp_recvmsg、connect、sendto和recvfrom。

udp_recvmsg，報文接收函數；

connect(sys_connect)，屬于系統調用函數，用于請求連接；

sendto(sys_sendto)，屬于系統調用函數，用于向指定目的地發送數據；

recvfrom(sys_recvfrom)，屬于系統調用函數，用于接收數據，并捕獲數據發送源的地址。

當進程對外訪問并進行數據傳輸的過程中，需要調用上述通信函數，根據對應進程的進程的進程信息和訪問信息識別該進程對外訪問的目標是否為礦池，以判斷該進程是否為挖礦進程。

作為一種可實施方式：

基于kprobe掛鉤所述通信函數，當所述通信函數被進程調用時，捕獲所述進程的進程信息和訪問信息。