挖矿活动会带来很多负面影响，不仅会消耗网络资源、影响网络安全，还会带来经济损失。河南省教育信息安全监测中心（以下简称“安全监测中心”）根据河南省教育系统的实际情况，开展了挖矿治理工作，重点针对挖矿检测识别、阻断治理、审计溯源、持续管控等问题，构建了适合教育行业的挖矿治理方案，并取得了一定的成效。

树立治理目标分析现有技术

河南省教育系统挖矿治理的主要目标包括以下几个方面。

第一，建立工作体系。通过开展河南省教育系统网络挖矿治理活动，逐步建立有效防范并处置挖矿活动的工作体系，保障教育系统挖矿治理的规范化，提升教育系统对挖矿活动的防范能力。

第二，形成常态化监测和治理机制。以安全监测中心和各教育机构信息化管理部门为核心，形成挖矿活动常态化监测和治理机制，确保能够及时发现和处理教育系统挖矿行为，最大程度保护用户个人信息安全和教育资产安全。

第三，提升安全管理水平。通过加强用户安全意识教育，规范安全管理制度，采用最新的技术手段，切实提高河南省教育机构的网络安全管理水平，为河南省教育信息化建设提供坚实的基础保障。

要实现以上治理目标，离不开先进技术的支持。目前，针对挖矿行为的检测识别技术主要包括以下几类。

一是基于用电异常的检测技术。该技术适用于大规模、集中式、专业矿机挖矿行为监测。目前，教育行业的挖矿行为主要以分散式、小规模、非专业设备为主。因此，该技术在教育行业中的检测准确度不高、且效率较低。

二是基于黑名单的检测技术。该技术是通过收集矿池域名和IP清单来实现检测。矿机在挖矿过程中需要与矿池进行通讯，挖矿木马也通常采用域名或IP地址的形式进行控制和传播。当检测到终端访问黑名单中的域名时，则判定该终端存在挖矿活动。该技术在教育行业的网络安全管理部门中使用较为广泛。

三是基于机器学习的异常流量检测技术。该技术能够实时检测网络流量中的异常行为，通过分析挖矿软件或脚本运行时的行为特征，并与正常的操作行为进行比较，找出挖矿软件或脚本特有的行为。这在挖矿识别领域已经得到广泛研究和应用。但由于网络流量和分析计算量较大，更适合计算资源较为充分的省级网络管理部门。

四是基于矿池IP流量的检测识别技术。该技术通过分析矿工与矿池通信的WebSockets流量检测是否存在挖矿行为，能够低成本轻量化地识别连接目标矿池，但仅通过网络连接信息无法掌握挖矿活动的核心指标，例如挖矿币种、能耗等。

立足五个环节开展全局化治理

为了使挖矿活动治理常态化、规范化，结合河南省内情况，安全监测中心基于威胁情报库设计了包含省级教育科研网和省内各教育机构的分级挖矿活动治理方案。

该方案按照“监测发现、审计溯源、等级划分、处置加固、持续管控”五个环节开展，通过先进的检测技术、专业的管理人员和有效的管理措施实现适合教育系统的全局化挖矿活动治理。

1.监测发现

通过部署流量探针和威胁数据库，并与第三方安全厂商的威胁情报数据库进行联动。结合主流挖矿协议、流量大小和常用端口等流量特征，对教育系统核心交换机镜像流量和威胁情报数据库进行分析比对，确认是否存在挖矿活动。安全监测中心利用构建的信息安全监测平台持续监测省网出口流量，结合主、被动网络流量分析和特征识别，判断是否存在挖矿行为。如果有则产生挖矿告警，及时预警和追踪溯源。

2.审计溯源

针对检测出的挖矿活动，迅速对矿机进行溯源追踪，深度追溯挖矿事件的发展脉络，及时治理。要完成审计溯源，就要求各单位建立完善的信息资产台账，确保资产信息的准确。同时，部署统一身份认证系统，将入网用户的个人信息与终端信息相关联，确保网络空间的实体可证、入网可控和行为可查。

3.等级划分

挖矿活动的特征主要包括破坏性和传染性。破坏性是指挖矿攻击者通过网络漏洞和暴力破解方式入侵主机，获得主机控制权并植入挖矿程序，对计算机系统造成不同程度的安全威胁和损坏。传染性是指挖矿病毒程序通过移动介质或者网络实现间接和主动传播，特别是在校园网内网自动扫描端口并利用多漏洞组合攻击的方式进行横向扩散，造成内网短时间内大面积感染挖矿病毒程序。挖矿病毒程序危险程度等级划分是进行处置和安全加固的基础，其危险等级按照破坏性和传染性划分为低危、中危和高危。安全监测中心对挖矿病毒程序和行为大致可以从恶意程度、影响范围、挖矿时长、利益损失和敏感信息泄露风险几个方面进行定级（见表1）。

表1 挖矿危险等级划分

4.处置加固

安全监测中心根据监测到的不同等级的挖矿活动，发出不同级别的告警信息。针对低危挖矿行为，通常由省级安全监管人员通过邮件、企业微信或电话等方式，通知相关单位的网络管理部门，清理挖矿软件，拉黑矿池地址，并在防火墙或者域名服务器上限制终端的上网功能，同时对学生宣传安全知识，提高安全意识。针对中危挖矿行为，由相关网络管理部门隔离感染主机并重置主机系统，清除病毒，查明感染途径，切断与外部控制端的通信。针对高危挖矿行为，则发送严重告警信息，网络管理部门立即断开重要系统与外网的连接，查看日志进行审计溯源，查找原因，针对性清除相关挖矿模块，切断内外部网络传播渠道，提高关键软硬件系统的安全强度，根据情况追查事件责任人，检查信息泄露情况，评估损失。

5.持续管控

挖矿治理的核心是持续态势感知与评估，因此要求挖矿的监测发现、审计溯源、等级划分、处置加固等环节实现规范化和常态化。安全监测中心持续关注最新的网络安全事件和第三方安全厂商公布的漏洞、木马和矿池域名等信息，及时更新特征库和行为数据库等情报。加强对安全设备的日常管理和维护，留存相关设备和安全事件日志，便于后续分析、取证和溯源。定期备份重要系统和数据，保证数据的安全性。最后，加强对挖矿治理的宣传和教育，对挖矿背景、政策法规以及挖矿的危害进行宣传，从源头上杜绝主动挖矿行为，提高教育用户网络安全意识，通过采取安全防范措施，减少被动挖矿行为出现。

总结

安全监测中心按照“监测发现、审计溯源、等级划分、处置加固、持续管控”策略，在省级教育系统部署安全态势感知平台检测挖矿活动，结合校园网安全可信体系定位和对挖矿事件溯源，在等级划分基础上实现对不同等级挖矿活动有效处置，并持续进行扫描服务和软件更新，整体上形成了对挖矿活动的闭环治理，达到了较好的治理效果。

但是，随着新的挖矿病毒不断出现，针对教育用户的挖矿活动治理也不存在一劳永逸的方案，只有通过合适的技术手段配合持续性的常态化管理，才能让整治方案达到预期成效。

基金项目：本文研究工作得到河南省高等学校重点科研项目（22A520044，23A520019）资助。

来源：《中国教育网络》2024年2-3月合刊

作者：张宏涛、庞海波、尚柯慧、李沛谕（作者单位为郑州大学河南省教育信息安全监测中心）

责编：余秀