(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211046575.8 (22)申请日 2022.08.30 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 温敏锐　范渊　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 任洁芳 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种挖矿行为监测方法、 装置、 设备及存储 介质 (57)摘要 本申请公开了一种挖矿行为监测方法、 装 置、 设备及存储介质， 涉及网络安全技术领域。 该 方法包括： 获取主机中的多种性能指标数据； 所 述性能指标数据为用于表征所述主机在挖矿行 为中存在异常变化的行为特征数据； 确定预设监 测周期内每个所述性能指标数据的平均值， 并将 所述平均值与第一预设阈值进行比较， 以判断是 否触发告警提示； 若触发所述告警提示， 则对所 述主机的通信行为进行监测， 并判断所述通信行 为是否符合预设挖矿行为判断规则， 以便根据判 断结果判断是否存在虚拟货币的挖矿 行为。 通过 本申请的技术方案， 可以判断目标机器上是否存 在虚拟货币挖矿行为， 从而提升 检测效率。 权利要求书2页 说明书8页 附图4页 CN 115426154 A 2022.12.02 CN 115426154 A 1.一种挖矿行为 监测方法， 其特 征在于， 包括： 获取主机 中的多种性 能指标数据； 所述性 能指标数据为用于表征所述主机在挖矿行为 中存在异常变化的行为特 征数据； 确定预设监测周期内每个所述性能指标数据的平均值， 并将所述平均值与第 一预设阈 值进行比较， 以判断是否触发告警提 示； 若触发所述告警提示， 则对所述主机的通信行为进行监测， 并判断所述通信行为是否 符合预设挖矿行为判断规则， 以便根据判断结果判断是否存在虚拟货币的挖矿行为。 2.根据权利要求1所述的挖矿行为监测方法， 其特征在于， 所述获取主机 中的多种性 能 指标数据之前， 还 包括： 基于所述主机的CPU使用率、 GPU使用率、 主机温度、 硬盘使用率以及系统响应速度构建 性能指标库； 相应的， 所述获取主机中的多种性能指标 数据， 包括： 获取所述性能指标库中主机的所述CPU使用率、 所述GPU使用率、 所述主机温度、 所述硬 盘使用率以及所述系统响应速度。 3.根据权利要求1所述的挖矿行为监测方法， 其特征在于， 所述确定预设监测周期内每 个所述性能指标 数据的平均值， 并将所述平均值与第一预设阈值进行比较之后， 还 包括： 将所述平均值与所述第 一预设阈值的比较结果进行记录， 并统计所述比较结果中超出 所述第一预设阈值的性能指标 数据的个数。 4.根据权利要求3所述的挖矿行为监测方法， 其特征在于， 所述将所述平均值与第 一预 设阈值进行比较， 以判断是否触发告警提 示， 包括： 若所述比较结果中超出所述第 一预设阈值的性能指标数据的个数达到第 二预设阈值， 则触发所述告警提 示； 若所述比较结果中超出所述第一预设阈值的性能指标数据的个数没有达到所述第二 预设阈值， 则跳转至所述获取主机中的多种性能指标数据的步骤， 以继续监测所述性能指 标数据。 5.根据权利要求1所述的挖矿行为监测方法， 其特征在于， 所述对所述主机的通信行为 进行监测， 并判断所述 通信行为是否符合预设挖矿行为判断规则， 包括： 对所述主机的通信流量数据进行监测， 并判断所述通信流量数据 是否符合预设挖矿行 为判断规则。 6.根据权利要求5所述的挖矿行为监测方法， 其特征在于， 所述对所述主机的通信行为 进行监测， 并判断所述 通信行为是否符合预设挖矿行为判断规则， 包括： 对所述主机的通信流量数据进行监测， 并通过所述通信流量数据中通信的IP地址以及 域名与矿池域名库的IP地址以及域名判断所述通信流量数据是否存在于所述矿池域名库 中； 和/或， 对所述主机的通信流量数据进行监测， 并判断在所述预设监测周期内所述通信 流量数据的结果 提交行为的次数 是否达到第三预设阈值； 和/或， 对所述主机的通信流量数据进行监测， 并判断在所述预设监测周期内所述通信 流量数据 的矿机登记行为、 任务下发行为以及账号登录行为的次数是否达到第四预设阈 值。权　利　要　求　书 1/2 页 2 CN 115426154 A 27.根据权利要求1至6任一项所述的挖矿行为监测方法， 其特征在于， 所述判断所述通 信行为是否符合预设挖矿行为判断规则， 以便根据判断结果判断是否存在虚拟货币的挖矿 行为， 包括： 判断所述 通信行为是否符合预设挖矿行为判断规则； 如果所述通信行为符合所述预设挖矿行为判断规则， 则判定所述主机存在所述虚拟货 币的挖矿行为； 如果所述通信行为不符合所述预设挖矿行为判断规则， 则判定所述主机不存在所述虚 拟货币的挖矿行为。 8.一种挖矿行为 监测装置， 其特 征在于， 包括： 性能指标数据获取模块， 用于获取主机中的多种性能指标数据； 所述性能指标数据为 用于表征 所述主机在挖矿行为中存在异常变化的行为特 征数据； 告警提示触发判断模块， 用于确定预设监测周期内每个所述性能指标数据的平均值， 并将所述平均值与第一预设阈值进行比较， 以判断是否触发告警提 示； 挖矿行为判断模块， 用于若触发所述告警提示， 则对所述主机的通信行为进行监测， 并 判断所述通信行为是否符合预设挖矿行为判断规则， 以便根据判断结果判断是否存在虚拟 货币的挖矿行为。 9.一种电子设备， 其特征在于， 所述电子设备包括处理器和存储器； 其中， 所述存储器 用于存储计算机程序， 所述计算机程序由所述处理器加载并执行以实现如权利要求 1至7任 一项所述的挖矿行为 监测方法。 10.一种计算机可读存储介质， 其特征在于， 用于存储计算机程序； 其中所述计算机程 序被处理器执行时实现如权利要求1至7任一项所述的挖矿行为 监测方法。权　利　要　求　书 2/2 页 3 CN 115426154 A 3