一种恶意挖矿检测处理方法和装置与流程

技术特征：
1.一种恶意挖矿检测处理方法，其特征在于，包括：获取云平台实时采集到的租户云主机的监控数据，将所述监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警；若确定触发预警，则向所述云平台发送预警信息，并从所述云平台中调取在触发预警时刻之前的预设时间段内采集到的所述租户云主机的历史监控数据；根据所述历史监控数据，检测所述租户云主机是否存在挖矿行为；若存在挖矿行为，则通过所述云平台对所述租户云主机中的挖矿行为进行阻断处理。2.根据权利要求1所述的方法，其特征在于，所述根据所述历史监控数据，检测所述租户云主机是否存在挖矿行为进一步包括：将所述历史监控数据输入至经过训练的挖矿行为检测模型中，利用所述挖矿行为检测模型对所述租户云主机存在挖矿行为的概率进行检测，得到挖矿概率；根据所述挖矿概率判断所述租户云主机是否存在挖矿行为。3.根据权利要求1所述的方法，其特征在于，在将所述历史监控数据输入至经过训练的挖矿行为检测模型中之前，所述方法还包括：收集多个样本云主机在预设时间段内的历史监控数据以及多个样本云主机对应的挖矿行为判定结果，构建训练样本集合；利用所述训练样本集合中的多个样本云主机的历史监控数据以及多个样本云主机对应的挖矿行为判定结果进行模型训练，得到经过训练的挖矿行为检测模型。4.根据权利要求1所述的方法，其特征在于，所述通过所述云平台对所述租户云主机中的挖矿行为进行阻断处理进一步包括：通过所述云平台的防火墙阻断指定域名、指定ip和/或指定端口对所述租户云主机的访问，以阻断所述挖矿行为；和/或，通过所述云平台限制所述租户云主机的处理资源，以阻断所述挖矿行为。5.根据权利要求2所述的方法，其特征在于，在所述通过所述云平台对所述租户云主机中的挖矿行为进行阻断处理之后，所述方法还包括：验证针对挖矿行为的阻断处理是否有效；若有效，则根据所述租户云主机的历史监控数据、挖矿概率以及验证结果，确定新样本云主机的历史监控数据以及新样本云主机对应的挖矿行为判定结果，并添加至训练样本集合中，以对所述训练样本集合进行更新；利用更新后的训练样本集合，对所述挖矿行为检测模型进行更新训练；若无效，则重新通过所述云平台对所述租户云主机中的挖矿行为进行阻断处理。6.根据权利要求1-5任一项中所述的方法，其特征在于，所述监控数据至少包括以下数据中的一项或多项：cpu利用率、内存利用率、流量信息、连接信息以及端口信息。7.一种恶意挖矿检测处理装置，其特征在于，包括：监控模块，用于获取云平台实时采集到的租户云主机的监控数据，将所述监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警；预警模块，用于若确定触发预警，则向所述云平台发送预警信息，并从所述云平台中调取在触发预警时刻之前的预设时间段内采集到的所述租户云主机的历史监控数据；检测模块，用于根据所述历史监控数据，检测所述租户云主机是否存在挖矿行为；
处理模块，用于若存在挖矿行为，则通过所述云平台对所述租户云主机中的挖矿行为进行阻断处理。8.根据权利要求7所述的装置，其特征在于，所述检测模块进一步用于：将所述历史监控数据输入至经过训练的挖矿行为检测模型中，利用所述挖矿行为检测模型对所述租户云主机存在挖矿行为的概率进行检测，得到挖矿概率；根据所述挖矿概率判断所述租户云主机是否存在挖矿行为。9.一种计算设备，其特征在于，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行如权利要求1-6中任一项所述的恶意挖矿检测处理方法对应的操作。10.一种计算机存储介质，其特征在于，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如权利要求1-6中任一项所述的恶意挖矿检测处理方法对应的操作。

技术总结
本发明公开了一种恶意挖矿检测处理方法和装置，该方法包括：获取云平台实时采集到的租户云主机的监控数据，将监控数据与预设的预警指标数据进行比对，根据比对结果判断是否触发预警；若确定触发预警，则向云平台发送预警信息，并从云平台中调取在触发预警时刻之前的预设时间段内采集到的租户云主机的历史监控数据；根据历史监控数据，检测租户云主机是否存在挖矿行为；若存在挖矿行为，则通过云平台对租户云主机中的挖矿行为进行阻断处理。本发明通过在云平台上对恶意挖矿进行检测处理，检测针对租户云主机的挖矿行为并对其进行阻断处理，无需租户配合，解决了现有技术无法对恶意挖矿进行主动防御的技术问题。意挖矿进行主动防御的技术问题。意挖矿进行主动防御的技术问题。


技术研发人员：孙磊
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2020.05.20
技术公布日：2021/11/25