虚拟货币的ATM机有哪些 高校如何整治“挖矿”？

今年9月，国家发改委印发了《国家发改委等部门关于整顿虚拟货币“挖矿”活动的通知。

11月10日，国家发展改革委组织召开虚拟货币“挖矿”治理专题视频会议，要求各省、自治区、直辖市坚决落实虚拟货币“挖矿”整治工作，全面管控虚拟货币“挖矿”问题。该地区的虚拟货币。 “挖掘”活动进行清理整顿。

随着一系列关于虚拟货币“挖矿”活动的整改文件和要求的出台，各省市、地区的相关单位已经开始积极应对和开展行动。对货币“挖矿”活动进行专项整治。

大学拥有大量高性能服务器。同时，用户的个人网络安全防护意识比较薄弱，有大量的算力等资源可以使用。因此，它往往成为黑客和病毒传播的“挖矿”。活动的重要目标。

虚拟货币“挖矿”会消耗大量学校电力和精力，参与“挖矿”设备的性能和使用寿命也会受到严重影响。高校急需一套“挖矿”活动管理方案。

本文介绍了深圳大学基于网络安全操作系统的“矿”治理方案，供各高校在“矿”活动整治中参考。

“挖矿”原理

虚拟货币“挖矿”是一种利用计算机设备资源（如计算能力、带宽、硬盘存储等）来解决复杂数学运算的方法。过程，导致了基于区块链技术的去中心化虚拟货币的行为，生成的虚拟货币主要是比特币和以太坊。

例如，比特币使用工作量证明来实现区块链不同节点之间的共识虚拟货币的ATM机有哪些，确保分布式节点上的账本是相同的。

工作量证明是指使用 CPU 或 GPU 计算能力来解决复杂的数学运算问题。当计算出特定的答案时，会产生一个新的区块，计算出该区块的用户将获得一定数量的金钱。比特币数量作为奖励，这个过程就是“挖矿”。用来“挖矿”的机器叫“矿工”，操作“矿工”的人叫“矿工”。

为了保证能够尽快计算出问题的答案以获得虚拟货币奖励，参与“挖矿”的“矿工”需要投入尽可能多的算力，从而获得尽可能多的收益尽可能控制“矿机”成为增加“矿机”收入的主要手段。

“挖矿”的危害

虚拟货币“挖矿”主要有以下危害：

“挖矿”活动需要专门的“挖矿”计算机“计算”产生大量的能源消耗和碳排放，对产业发展和科技进步没有积极的带动作用。 “挖矿”产生的虚拟货币推动了网络黑产的快速升级，变相滋生了各种网络犯罪。例如，勒索软件往往与虚拟货币相关联，时刻威胁着校园网络环境。参与“挖矿”的设备，由于其CPU、GPU、存储等设备资源长期处于高负荷运行状态，将加速老化，降低使用寿命，这将带来严重的经济损失和对学校的安全威胁。

“挖矿”之道

常见的“挖矿”方式主要分为基于程序的“挖矿”方式和基于网站脚本的“挖矿”方式。类别。

基于程序的“挖矿”方式是“矿工”上传“挖矿”木马程序，然后设置定时任务或修改系统文件权限，实现“挖矿”木马程序。持久化操作。

基于网站脚本的方法是在浏览器中执行用JavaScript等编写的“挖矿”脚本。当使用“挖矿”脚本的网站时，浏览器会解析并执行“挖矿”脚本（如Coinhive、JSEcoin等），并在后台进行“挖矿”。这种方法比传统的基于程序的“挖掘”方法更阴险，不易被发现。

目前学校“挖”活动的常见原因如下：

内部人员私自利用学校公共资源“挖矿”。黑客通过利用漏洞、暴力破解密码等方式入侵主机，获得主机控制权，使主机倒下，植入“挖矿”程序进行“挖矿”。黑客利用部分校园网用户的安全意识薄弱，传播病毒，如钓鱼诈骗、恶意链接、伪装成普通文件等手段，让用户在不知情的情况下“挖矿”。

“挖矿”检测

目前，针对“挖矿”活动的检测技术可以分为三类：基于黑名单的检测技术、基于恶意行为的检测技术和基于机器学习的检测技术。

基于黑名单的检测技术是通过收集“矿池”及相关网站的域名和IP列表来实现的。

“矿池”是结合少量算力建立的网站，是矿工在网络上共享处理能力的资源池。

“矿机”在“挖矿”过程中需要与“矿池”通信。 “挖矿”木马与“矿池”之间的通信通常以域名或IP的形式进行控制和传播。当检测到服务器访问黑名单中的内容时，确定有“挖矿”活动。

基于恶意行为的检测技术是通过专家系统对“挖矿”软件或脚本运行时的行为进行分析，如函数调用的周期性、程序中运行的线程数等行为进行比较查找特定于“挖掘”脚本的行为。

基于机器学习的检测技术利用机器学习算法自动识别“挖掘”活动的特征，省去了人工寻找特征的过程，但需要大量的学习和训练。

当校园网检测到“挖矿”活动时，后两种技术距离实际实施还很遥远，仅依靠黑名单技术并不能完全识别“挖矿”活动。

校园网络环境具有开放性和复杂性的特点。部署单一安全设备无法准确识别和及时处理“挖矿”活动。

在深大校园网中，我们利用已建立的网络安全运营中心，综合结合态势感知、应用流量识别与分析、资产映射等设备识别“挖矿”活动，下面介绍关键技术实施。

1.威胁情报

威胁情报是应用黑名单技术来检测网络中的“挖掘”活动。相关安全厂商的态势感知平台提供了公司威胁情报中的“矿池”域名、IP地址、端口等较为丰富的信息。

通过校园应用流量识别等设备，结合威胁情报提供的数据，对域名、解析地址、访问端口、DNS等进行关联分析，快速定位具有“挖矿”活动的设备，并且“挖矿”活动可以被域名服务器和防火墙等设备进一步阻止，如图1所示。

图 1 威胁情报识别

2.应用流量识别与分析

“矿机”和“矿池”之间将使用特定的协议进行通信。比如最常见的stratum协议，采用JSON格式传输数据，在“挖矿”期的不同阶段，如登录、发送任务、提交结果等，会有不同的特征字段。

有时“矿工”可能会在网络中隐藏“矿工”的特征。通过使用多个不同功能的控制服务器，它们分别负责“挖矿”木马的更新和机器人的更新。更新发布远程控制木马，比如编写一些自检执行代码，保证僵尸被杀后可以从控制端下载新的僵尸，使用代理网关隐藏“矿工”的真实IP。

通过流量采集探针、防火墙等设备采集校园网出口和数据中心流量，用于需要与“矿池”通信并进行数据传输特性的“矿工”，用于回传的常用端口，根据协议和特征字段，可以检测到“挖矿”流量，然后根据IP和MAC地址追踪到具体的设备，如图2所示。

图2 Session关系识别

另外，应用流量识别装置可以提供网络流量的准确应用识别能力，直接识别并记录“挖矿”协议，从而快速发现“挖矿”活动。

3.资产映射

为了避免目标“矿工”反复感染，部分“挖矿”木马会标记对方开放的某些端口。这些被标记的端口，“挖矿”木马会检测端口是否存活，不再感染存活的目标端口。

资产测绘设备在主动检测到“挖矿”木马时，可以利用“挖矿”木马功能虚拟货币的ATM机有哪些，通过“生存”端口快速定位潜在的“挖矿”威胁资产，如图3所示。

图 3 资产映射和识别

在对校园网“挖矿”活动的检测中，通过网络安全运营中心提供的态势感知平台，基于威胁情报、应用识别、资产映射等技术对检测主流进行分析判断“挖矿”木马的行为，快速识别和发现校园网中存在的“挖矿”设备。

“挖矿”的处置

1.网络封锁

在学校网络出口、骨干网、数据中心等区域部署防火墙，流量控制、上网行为管理等设备阻断“矿机”和“矿池”之间的通信，也可以拦截解析域名服务器上的“矿池”相关域名，阻止“矿机”“挖矿”。我的”活动。

2.部署终端保护

在终端或云平台上集中部署安全防护软件，定期发布查杀策略，监控终端级硬件资源占用、系统状态、系统进程、应用程序等，通过终端安全防护软件对终端进行全面的安全检测主机，结合网络安全运营中心的分析溯源能力，可以从根源上对存在“挖矿”活动的主机进行处理。

3.人工分析

在安全运营中心发现可疑“挖矿”活动后，可进一步启动运行流程机制，人工分析疑似“挖矿”主机。检查分析，一旦确定主机被植入“挖矿”程序，需要彻底清除“挖矿”程序并修复安全漏洞，防止主机再次被植入恶意程序。

防止“挖矿”

加强校园网用户的安全意识，对来源不明的网站和设备保持警惕，避免访问恶意“挖矿”程序文件、网站和未知移动存储介质，并安装必要的终端杀毒和安全防护软件。清点设备资产、设备上运行的服务、校园网开放端口，关闭不必要的开放端口，避免可能的风险暴露。及时更新设备上运行的系统和服务应用，修复现有漏洞，做好相关服务的安全配置，对服务器使用高强度密码策略，避免账号弱密码问题。本着最小权限原则，完善对内网用户的权限分配，避免不必要的高级权限分配，做好重要数据的备份，最大限度地提高系统安全和数据安全。

我校以校内网络安全运营中心为依托，通过技术平台和自动化流程机制，结合威胁情报、应用流量识别与分析、资产映射等安全能力，对“挖矿”活动进行综合管理.

一旦发现疑似“采矿”安全问题，将第一时间进行调研验证，快速确定后续处置方案，实现发现、调研、处置全过程的闭环工作判决，通知最终处置。各高校对“挖”活动的整改情况进行参考。

作者：王宽峰、姜奎、于志航、吴博（深圳大学信息中心）