高校如何打赢挖矿“清零攻坚战”，且看深信服“挖矿”解决方案

2021年，虚拟货币作为“挖矿”世界里的“大红人”，价格一度创下历史新高（诸如比特币69000美元/枚，约438515元人民币/枚）。高昂的利润催生了声势浩大的“挖矿”大军加入这场充满诱惑的所谓造富神话，“挖矿”病毒也成为全球不法分子利用最频繁的攻击方式之一，国内的情况也不容乐观。其中，不少高校也成为了不法分子实现所谓“财富梦想”的重要攻击对象。

教育行业成“挖矿”木马优先攻击对象

江苏省通信管理局曾指出，从IP地址归属和性质看，归属党政机关、高校、企业的IP被入侵利用开展虚拟货币“挖矿”行为的占比约21%；深信服发布的《2019年网络安全态势报告》也显示，教育在“挖矿”木马优先攻击的行业中排名第三。

本该是一片净土的象牙塔，为何成了不法“挖矿”分子眼中的香饽饽？一方面，高校数据中心、二级学院重点实验室（科研）、超算中心中存放着大量高性能的服务器、云主机和虚拟主机；另一方面，教育、教学及管理终端数量巨大，通过局域网即可实现快速的横向感染传播；此外，师生等个人网络安全防护意识相对薄弱。特别是那些拥有一定规模数据中心、具备海量计算资源的高职高校往往成为“挖矿”的首选目标。

恶意黑客利用智慧校园业务对外暴露的端口、应用、系统中存在的高危漏洞、弱口令等问题入侵主机，获得主机控制权限，并植入“挖矿”程序；利用部分校园网用户安全意识淡薄的特点，采用钓鱼邮件、恶意链接、访问网页挂马、下载捆绑病毒的注册机破解软件等手段，在师生毫不知情的情况下完成入侵；狡猾的黑客还有意在夜深人静时启动“挖矿”，使得白天上班的运维人员难以察觉；或者通过隐蔽的传输通道如DNS隐蔽隧道来隐藏或控制“挖矿”行为，这样一来“挖矿”病毒潜伏时间更长，攻击频率更低，更难以被安全设备监测处置。

一旦被“挖矿”病毒入侵，学校将遭受一系列的危害。除了电力能耗增大、设备老化加速，经济损失严重；黑客还会留下后门恶意窃取机密信息，直接引发或变相滋生各种网络犯罪……高校亟需补齐“挖矿”治理的基本能力，制定高效治理方案。

深信服助力高校构建“挖矿”清零治理四大能力体系

深信服认为，高校“挖矿”治理需要重视排查、封堵、处置、运营四大环节，用户安全能力的构建也应由此下手。

1. 构建准确、全面的“挖矿”排查能力

挖矿币种、协议与矿池地址快速迭代，新型币种“挖矿”通讯过程天然自带加密信息等因素导致“挖矿”检测难度增大。针对不同类型的“挖矿”方式，需要构建差异化的分析算法，匹配更全面的情报能力。

对于加密“挖矿”，深信服首推利用AI模型作为分析算法的核心解决方案，通过提取“挖矿”流量的时空特征建立预测模型。该模型算法检出率较高，且误报率低于2%。

而在应对币种信息的不断迭代上，深信服首度将对全网40亿IP主动探测的威胁情报技术应用在实时监控全网IP中的新增矿池信息上。

2. 构建自动化、闭环的挖矿封堵、处置能力

针对高校数据中心区终端：深信服通过安全感知管理平台SIP联动全网安全设备，基于边界流量、终端行为等多源维度捕捉“挖矿”行为；在发现后，通过自动化剧本，实现下一代防火墙AF流量阻断隔离、终端安全管理平台EDR关闭端口等自动化隔离，避免横向扩散；对于顽固病毒和深层“挖矿”行为，深信服还可派出安服专家进行现场处置闭环。

针对教学、办公区终端：在获得“挖矿”IP后，深信服可通过流量探针进行交换机表项读取，跨三层获取带时间戳的MAC信息；结合带时间戳的MAC、IP信息即可轻易定位终端情况。同时，深信服安全感知管理平台SIP还支持与常见校园认证系统的对接，与MAC/IP/时间等内容比对后，获得“挖矿”用户的实名信息，结合学校管理要求，可轻易实现“挖矿”终端访问的阻断或上网账号冻结。

3. 构建全流程、云地协同的挖矿运营能力

深信服安全感知管理平台SIP具备强大的工单能力，支持打通校园网络办事大厅，与学校各部门体系人员形成有效的闭环处置流程，并通过工单系统闭环每个挖矿行为。同时，可基于需要配套本地、云端安全专家协助处置。

此外，深信服还可以提供基于“挖矿”的SPA专家分析服务。安服专家借助深信服安全感知管理平台强大的安全检测能力，结合专家现场的自主发现，对安全流量日志进行“外部威胁识别、内部脆弱性问题深挖、内网安全事件判断和安全有效性”分析研判。面对面汇报与解读研判结果，帮助教育用户尽早发现关键风险问题，并通过提供可落地的修复处置建议和指导，推动用户全面提升安全健康度，实现“实时清零”。

目前，深信服已经具备丰富、强大的工具检测能力和安全经验，拥有完善的挖矿全流程构建能力；基于自动化剧本，可实现多设备联动封堵，有效降低教育用户被通报概率，提升挖矿运维便捷度；同时，基于安全运营的“挖矿”病毒事件全流程主动响应，支持按次、按时长等灵活指标进行服务化交付，帮助用户快速、轻量化获得全生命周期的挖矿事件防御能力。

可以预见，在各界的共同努力下，教育行业用户将一起打赢这场“清零攻坚战”。深信服也将不辱使命，通过创新产品、解决方案与服务，精准狙击“挖矿”病毒，还校园一片安全、美丽的蓝天。

本文链接:http://www.soxunwang.com/kjrd/2022/0329/100753.html