top of page
研究主題:偵測挖礦惡意軟體
挖礦時難以掩蓋的兩項特徵
這張圖可以看出兩者波動的模式明顯不同,L2 Cache Miss值出現異常增加時,cpu電壓的波動也同時開始縮小。表示兩者的變化是一致的。因此本系統利用電腦執行挖礦演算法的上述兩項特徵去判斷是否有在挖礦。
一、 L2 Cache Miss
利用挖礦時快取遺失(Cache Miss) 特徵。此特徵指系統或應用程式無法在快取中找到數據。因挖礦軟體在執行時會嘗試占用電腦L2 Cache所有資源,並且在快取裡做大量浮點運算,因而導致在L2快取中長時間的出現大量遺失(Miss)的情況。
二、 CPU電壓
CPU電壓(CPU VID)。這是指挖礦惡意軟體在執行挖礦時產生的熱量和長時間執行同樣動作,會使設備為了最佳能耗比而使用固定的頻率電壓進行計算。
系統運作流程
數據收集
數據分析
數據判斷
結果通知
系統運作流程
準確率
-
低模型:95%
-
中模型:95%
-
高模型:93%
系統特色
一、 速度快:一旦發生挖礦行為便能在20 ~ 30秒內給出有效的判斷。
二、 準確高:根據硬體底層數據進行檢測,不易進行規避。
三、 耗能低:可以當成背景程式執行,不會影響系統本身的性能。
四、 成本低:可以獨立在本機上運作。
bottom of page