(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210680410.X (22)申请日 2022.06.15 (71)申请人 江苏水清沐苑 数字技术有限公司 地址 江苏省苏州市昆山市张浦镇亲和路 331号 (72)发明人 于春华　李明晖　 (51)Int.Cl. H04L 9/40(2022.01) G10L 15/22(2006.01) G06F 9/50(2006.01) (54)发明名称 一种基于AI技术的网页木马挖矿行为检测 方法 (57)摘要 本发明公开了一种基于AI技术的网页木马 挖矿行为检测方法， 涉及人工智 能技术领域， 包 括AI系统， AI系统包括语音识别模块、 语音播报 模块、 授权模块、 CPU 运转检测模块、 定位模 块、 清 除模块、 溯源模块， AI系统通过软件安装的方式 安装在被检测主机上， AI系统通过语音进行交 流， 使用者通过与AI系统通过语音发送指令， AI 系统进行智能处理后对被检测机器进行网页木 马挖矿行为检测、 清理。 本发明通过AI系统对网 页木马挖矿行为检测， 对AI系统的操作简单方 便， 使用者通过简单的语音命令对AI系统进行操 作， 避免使用者需要手动对网页木马挖矿行为进 行检测、 清除的复杂操作， 适用人群广泛， 且AI系 统安全系数高， 适 合推广。 权利要求书2页 说明书5页 附图2页 CN 115051858 A 2022.09.13 CN 115051858 A 1.一种基于AI技术的网页木马挖矿行为检测方法， 包括AI系统， 其特征在于， 所述AI系 统包括语音识别模块、 语音播报模块、 授权模块、 CPU运转检测模块、 定位模块、 清除模块、 溯 源模块， 所述AI系统通过软件安装的方式安装在被检测主机上， 所述AI系统通过语音进行 交流， 所述AI系统的操作方法包括以下步骤： 步骤1、 对AI系统进行安装后， 对其授权语音识别， 使用者通过对被检测仪器说出 “木马 挖矿检测 ”指令唤醒AI系统， 待AI系统被唤醒后， 对其说出意思为 “检测该机是否存在木马 挖矿”指令的命令； 步骤2、 根据AI系统的语音播报模块所带来的反馈， 使用者判断是否对AI系统进行授 权， 若不授权则说出意思为 “不授权”指令的语音， 若授权则说出意思为 “确认授权检测 ”指 令的语音； 步骤3， 在确认授权后， AI系统的CPU运转检测模块在后台进行运转， 使用者正常使用被 检测主机， 在CPU运转检测模块确认CPU运转情况后， 若CPU运转正常， 语音播报模块播放未 发现木马挖矿行为语音， 使用者通过说出意思为 “关闭AI系统 ”指令对AI系统进行关闭， 或 说出意思为 “继续检测 ”指令进行深度检查， 若CPU运转具有网页木马挖矿行为现象时， 语音 播报模块 播放发现木马 挖矿行为语音； 步骤4、 在语音播报模块播放发现木马挖矿行为语音情况下， 使用者对AI系统进行授 权， 通过说出意思为 “确认授权定位 ”指令对AI系统发出指 令， AI系统上的定位模块运转， 查 找路径文件， 对木马 挖矿进行定位； 步骤5、 语音播报模块发出定位完成语音后， 使用者对AI系统进行授权， 通过说出意思 为“确认授权清除 ”指令对AI系统发出指令， AI系统上清除模块运转， 找到与挖矿进程和 木 马相关的计划任务、 服 务、 WMI等， 进行清理； 步骤6、 语音播报模块发出清理完成语音后， 使用者判断是否进行授权溯源， 不需要的 情况下通过说出意思为 “关闭AI系统”指令对AI系统进行关闭， 若需要溯源通过说出意思为 “查找木马挖矿源头 ”指令对AI系统发出命令， 溯源模块运转， 根据日志的分析结果为主， 如 果仅开放了web服务端口， 根据时间定位范围后进行排查， 如果开放了其他端口， 需要根据 脚本创建时间去 进行排查， 思路有限以能直接获取系统权限的问题为切入点； 步骤7、 在对AI系统使用完毕后， 使用者通过说出意思为 “关闭AI系统 ”指令对AI系统进 行关闭， 通过说出意思为 “木马挖矿检测 ”指令唤醒AI系统。 2.根据权利要求1所述的一种基于AI技术的网页木马挖矿行为检测方法， 其特征在于， 语音识别模块为连接大数据的智能模块， 其对接 收到的语音与相关指令进行对比， 分析使 用者表达的相关指令 。 3.根据权利要求1所述的一种基于AI技术的网页木马挖矿行为检测方法， 其特征在于， 定位模块在授权后， 浏览被检测主机内的文件， 自动在linux 下使用top 命令， 查看进程 持续 保持在80％ ‑90％以上的CPU， 打开文件位置 定位到对应目录 。 4.根据权利要求1所述的一种基于AI技术的网页木马挖矿行为检测方法， 其特征在于， 清除模块在得到授权指 令进行清除后， 定位模块自动进行通过定时任务命令看有 无可疑内 容。 5.根据权利要求1所述的一种基于AI技术的网页木马挖矿行为检测方法， 其特征在于， AI系统连接有 大数据网络， 通过大数据进行分析使用者指令， 并对相应的模块 发送命令， AI权　利　要　求　书 1/2 页 2 CN 115051858 A 2系统在安装后， 需要 使用者进行语音授权， 在AI系统关闭后所有授权关闭。权　利　要　求　书 2/2 页 3 CN 115051858 A 3