随着Web技术的发展,许多网站所有者通过网页来挖掘密码货币以获取收益。然而这种收益方式很快被网络攻击者所利用。攻击者未经网站所有者同意,在网页中嵌入挖矿代码来劫持网站访问者的计算资源,以进行密码货币的挖掘从而创造灰色收入。2017年开始,网页挖矿攻击在全球大范围出现,大大小小的网站都成为被攻击的目标。然而,现有的网页挖矿行为识别技术大多是通过黑名单和关键字匹配技术来实现,因此无法很好的检测基于CPU阈值、代码混淆和代码隐藏等技术的挖矿攻击。为此,如何有效并准确地识别网页挖矿行为就变得至关重要。考虑到现有检测方法的不足,本文从代码逻辑、挖矿行为以及通信机制方面深度挖掘和分析挖矿网页存在的特征,并结合机器学习算法来实现网页挖矿行为的识别。本文的主要工作和贡献如下:(1)针对传统的基于关键字匹配的挖矿脚本识别存在误报率高及漏报率高等问题,本文提出了一种基于规则的网页挖矿脚本识别模型FRSM。首先,将网页源代码中的Java Script代码以及引用的本地服务器和远程服务器的Java Script文件定义为有效的网页源代码,将其作为检测对象。其次,通过深度分析13类不同挖矿家族的挖矿脚本,制定了挖矿函数规则集。最后,使用挖矿函数规则集对有效的网页源代码进行匹配,以识别网页中可能存在的挖矿脚本及其所属的挖矿家族。实验结果表明该模型可以识别13类挖矿家族的挖矿脚本,准确率为99.85%。(2)针对目前挖矿行为识别方法存在特征维度单一,且静态分析技术无法对混淆的挖矿脚本进行有效检测的问题,本文提出了一种基于动态分析的网页挖矿行为识别模型Mul-RF。该模型从挖掘算法、运行行为和网络行为三个维度出发,提取哈希函数占比序列、线程数、Wasm模块数、Web Sockets连接数以及函数调用中子序列的最大频度这5个特征,并结合随机森林算法训练分类模型。最后通过模拟实验和对比实验对模型进行评估,该模型表现出98.23%精准率和3.56%的误报率。(3)考虑到现有工具只能检测挖矿网页,而不具有防御功能或仅通过禁止网页访问来达到防御目的的问题,本文开发了网页挖矿实时检测工具No Miner。首先,提取挖矿线程特有的特征结合支持向量机算法,训练网页挖矿线程识别模型。其次,通过Tensorflow.js将基于规则的网页挖矿脚本识别模型、基于动态分析的网页挖矿行为识别模型以及上述的网页挖矿线程识别模型部署到No Miner中,以实现对挖矿网页的实时检测和防御。当No Miner识别出挖矿网页时,会自动移除网页中的挖矿脚本并停用网页中的挖矿线程,以保证用户在不受挖矿攻击的情况下仍可以正常访问该页面。本文将No Miner安装到Chrome浏览器中进行试验,实际运行结果表明,No Miner可以有效的识别并防御挖矿攻击。