山石网科四大场景化方案，助力高校破解“挖矿”难题

---

挖矿分布多行业，高校成为重灾区

根据统计数据，挖矿木马攻击的行业分布来看，黑产更倾向于攻击企业、政府、教育行业。教育行业的基础设施基量较大，而高校又占据着最大的比重。

为什么高校会成为挖矿重灾区？

高校拥有众多的高性能服务器，用户个人网络安全防护意识比较薄弱，存在大量可被利用的算力等资源，因此成为黑客入侵、病毒传播进行挖矿活动的重要目标。

校内挖矿活动常见原因如下：

内部人员私自利用学校公共资源挖矿。

黑客通过漏洞利用、暴力破解口令等方式入侵主机，获得主机控制权使主机失陷，植入程序进行挖矿。

黑客利用部分校园网用户安全意识淡薄的特点传播病毒，比如钓鱼欺诈、恶意链接、伪装成普通文件等手段，让用户在毫不知情的情况下进行挖矿。

政策要求，挖矿整治刻不容缓

2021年9月，国家发展改革委、中央宣传部、中央网信办等11部门印发《国家发展改革委等部门关于整治虚拟货币挖矿活动的通知》（发改运行〔2021〕1283号），《通知》中明确了各单位对于挖矿行为的整治措施。

高校挖矿治理五大难点

1. 入口管控难：众“口”难防，多个挖矿病毒入口：办公区、宿舍网、校园服务网、终端。

2. 传播速度快：大部分学校基本是一个内网互通的局域网，不同区域业务未划分安全区域，挖矿病毒可能在校园网肆意传播。

3. 破坏范围广：校内存在海量的终端、服务器、业务系统，且很多师生安全意识不强，容易大面积感染挖矿病毒。

4. 清除难度大：校园网庞大复杂、责权问题等导致挖矿攻击清除难度巨大。

5. 溯源分析难：校园网实时产生海量流量和日志，难以精准定位挖矿威胁。

面对猖獗的挖矿行为及挖矿治理难的现状，各高校亟需一套针对挖矿行为的治理方案。山石网科高校挖矿场景化解决方案，供各高校开展挖矿整治专项活动。

山石网科高校挖矿场景化解决方案

校园网边界场景—下一代防火墙

现状分析：高校互联网出口面临众多安全威胁，挖矿、勒索、僵木蠕等病毒会随着师生访问互联网进入校园网络，进行传播。校园内有终端感染挖矿病毒，失陷主机会向校外的矿池服务器发起连接，进行挖矿工作。

解决方案：防火墙部署在互联网出口，对常规的病毒、木马、入侵行为进行防御，对师生访问互联网，外部人员访问校园网行为访问控制。并监控网络出口数据，云端威胁情报持续赋能，实时检测阻断失陷主机与矿池服务器的连接。

校园内网场景—BDS+EDR

现状分析：高校内网分为宿舍网、办公网、教学楼网络等，人数众多，角色复杂，有海量终端。存在大量安全隐患，巨量的挖矿病毒潜伏在校园内网。

解决方案：BDS（智能内网威胁感知系统）的挖矿病毒检测不仅基于特征库和流量分析，还有异常行为检测，未知威胁分析检测，精准定位校园内网特定区域风险终端，关联资产的脆弱性，确认攻击有效性。定位风险终端后，使用EDR(云鉴主机安全管理系统）定位挖矿程序和进程，进行隔离和清除。

校园数据中心场景—智源平台+威胁探针+EDR

现状分析：数据中心承载的业务系统多且重要，安全性要求高。需要全面、精准定位内部挖矿威胁，及时处置清除，避免病毒在业务系统大量传播，影响业务正常运行。需要建立可预防、可检测、可阻断、可溯源的挖矿防御体系。

解决方案：智源平台采集数据中心各个区域流量和设备日志数据，统一关联分析、人工智能学习建模，实现对APT攻击、挖矿、勒索、僵木蠕等已知未知威胁，异常行为的全面有效检测。发现威胁，智源平台与EDR联动，对风险主机及业务系统一键隔离，快速清除挖矿程序和进程。

校园网全网场景—智源平台+威胁探针+防火墙+BDS+EDR

现状分析：高校用户繁多，校园网庞大复杂，有海量终端和服务器，大量业务系统分散在各个部门。挖矿病毒藏匿点众多，难以进行全面的监测、预警、清除。同样运维人员面对复杂的校园网，面临巨大压力。

解决方案：智源平台采集校园各个区域流量和设备日志数据，统一关联分析、人工智能学习建模，实现对APT攻击、挖矿、勒索、僵木蠕等已知未知威胁，异常行为的全面有效检测。对校园网络整体进行安全总览，对全网安全风险进行综合评分及同期对比，对热点威胁统计展示，及可视化分布呈现。

防火墙在互联网边界，过滤传统挖矿病毒木马，阻断失陷主机与矿池连接。态势感知发现未知挖矿病毒行为时，向防火墙下发策略，及时阻断恶意连接。

高校内网终端众多，BDS和态势感知平台与实名认证系统对接，定位失陷主机及个人，使用EDR对挖矿程序和进程清除，或者与短信平台对接，通知相关人员查杀挖矿病毒。

智源平台对数据中心整体网络情况进行监测，精准定位失陷主机，实时联动EDR，对挖矿程序及进程隔离、清除。

高校挖矿专项解决方案推荐表