logo好方法网

一种网页挖矿攻击检测及保护方法和装置

发布时间:2020-09-20 发布人:admin 分类:专利技术 资料大小:0.89M 资料格式:pdf 举报 版权申诉

技术摘要:
本发明公开一种网页挖矿攻击检测及保护方法和装置。该方法使用轻量级的Web API保护机制保护网页挖矿相关的Web API,进而获取asm.js和/或WebAssembly代码;然后抽取统计特征;将抽取出的统计特征送至分类器中进行分类,以判别asm.js和/或WebAssembly代码是否为挖矿程序  全部
背景技术:
随着加密货币价格的水涨船高,催生出了一系列以获取加密货币为目标的网络攻 击,而网页挖矿攻击就是其中最为常见的一种。一般来讲,加密货币挖矿的本质是通过不断 的运行哈希函数算法,以寻找满足特定满足要求的函数输入,从而获取到加密货币并盈利 的行为。网页挖矿攻击所常用的手段是:攻击者在被控网站上植入用于挖矿攻击的脚本链 接,而当正常用户通过浏览器访问以上网站时则会运行攻击者植入到被控网站上的攻击脚 本;用户浏览器在运行攻击者植入的脚本时会导致大量的计算资源被挖矿脚本恶意占用, 从而造成被害者计算机死机、运行缓慢和加快电池电量消耗等问题。 目前为止,此类网页挖矿攻击为了保证其攻击的效率和效益,一般通过运行效率 更高的运行时进行,例如asm .js或WebAssembly。Asm .js和WebAssembly是两种用于解决 JavaScript运行效率过慢问题的解决方案,两者都被设计用于在浏览器中执行CPU密集型 的计算任务。对于asm.js,它是传统JavaScript的一个子集,简化后的得到的asm.js可以得 到更高的运行效率。而WebAssembly,缩写为Wasm,则是一个新的基于栈虚拟机的二进制指 令格式,它在设计中就考虑了解析速度、运行速度等。 考虑到asm.js和WebAssembly才是挖矿攻击的实际攻击载荷,也即挖矿攻击进行 时大部分CPU占用都是由此两类语言编写的程序占用的,所以asm.js和WebAssembly对于判 定网页应用是否包含挖矿攻击时起到了至关重要的作用。
技术实现要素:
针对上述问题,本发明提供了一种基于asm.js/WebAssembly的网页挖矿攻击检测 及保护方法和装置。 本发明采用的技术方案如下: 一种网页挖矿攻击检测方法,包括以下步骤: 使用轻量级的Web  API保护机制保护网页挖矿相关的Web  API,通过Web  API获取 asm.js和/或WebAssembly代码; 从获取的asm.js和/或WebAssembly代码中抽取统计特征; 将抽取出的统计特征送至分类器中进行分类,以判别asm.js和/或WebAssembly代 码是否为挖矿程序。 进一步地,所述网页挖矿相关的Web  API包括:用于加载asm.js和/或WebAssembly 的核心API,用于运行asm.js和/或WebAssembly的核心API。 进一步地,所述统计特征包括:指令计数的统计特征,控制流图的统计特征; 所述指令计数的统计特征包括:Add指令计数、Sub指令计数、Xor指令计数、Shl指 3 CN 111585961 A 说 明 书 2/5 页 令计数、And指令计数、Or指令计数; 所述控制流图的统计特征包括:基本块最大大小、控制流图节点数目、控制流图边 数、控制流图最大出度、控制流图直径、控制流图循环数目、控制流图三分岔数目。 进一步地,通过在浏览器中注入保护代码,保护网页挖矿相关的Web  API。 进一步地,在未知WebAssembly或asm.js是否为恶意的情况下,所述保护代码默认 允许代码执行以降低对系统运行速度的影响,同时加载的WebAssembly和/或asm.js代码由 保护代码包裹,生成受控的程序模块,以在后续环节中控制该模块是否继续执行。 一种网页挖矿攻击检测装置,其包括: API保护模块,用于使用轻量级的Web  API保护机制保护网页挖矿相关的Web  API, 通过Web  API获取asm.js和/或WebAssembly代码; 特征抽取模块,用于从获取的asm.js和/或WebAssembly代码中抽取统计特征; 分类模块,将抽取出的统计特征送至分类器中进行分类,以判别asm .js和/或 WebAssembly代码是否为挖矿程序。 一种网页挖矿攻击保护方法,包括以下步骤: 根据上面所述网页挖矿攻击检测方法的分类器得到的分类结果,生成安全规则; 根据安全规则,选择是否阻止挖矿程序的运行。 一种网页挖矿攻击保护装置,其包括: 安全规则生成模块,用于根据上面所述网页挖矿攻击检测方法的分类器得到的分 类结果,生成安全规则; 挖矿攻击保护模块,用于根据安全规则,选择是否阻止挖矿程序的运行。 一种电子装置,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程 序被配置为由所述处理器执行,所述计算机程序包括用于执行上面所述网页挖矿攻击检测 方法或网页挖矿攻击保护方法的指令。 一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,所述计算 机程序被计算机执行时,实现上面所述的网页挖矿攻击检测方法或网页挖矿攻击保护方 法。 本发明的有益效果如下: 本发明利用网页挖矿恶意攻击程序指令码的统计特性和其控制流图特征,检测网 页挖矿攻击,并通过劫持特定与挖矿攻击所使用的Web  API实现网页挖矿攻击的保护。故本 发明可适用于检测并防御和减轻网页挖矿攻击。 附图说明 图1是本发明的整体系统结构图。 图2是本发明的基本流程图。
    分享到:
    收藏

    相关推荐