“挖矿”之道

学院和大学拥有许多高性能服务器。同时，用户的个人网络安全防护意识相对薄弱，有大量的算力等资源可供使用。因此，它们往往成为黑客“挖矿”活动和病毒传播的重要目标。 .

虚拟货币“挖矿”会消耗大量学校电力和精力，参与“挖矿”设备的性能和使用寿命也会受到严重影响。高校急需一套“挖矿”活动管理方案。

“挖矿”原理

虚拟货币“挖矿”是利用计算机设备资源（如算力、带宽等）、硬盘存储等）解决复杂数学运算的过程，从而产生去中心化虚拟货币的行为基于区块链技术的货币，生成的虚拟货币主要是比特币和以太坊。

例如，比特币使用工作量证明来实现区块链不同节点之间的共识，确保分布式节点上的账本是相同的。

工作量证明是指使用 CPU 或 GPU 计算能力来解决复杂的数学运算问题。当计算出特定的答案时，会产生一个新的区块，计算出该区块的用户将获得一定数量的金钱。比特币数量作为奖励，这个过程就是“挖矿”。用来“挖矿”的机器叫“矿工”，操作“矿工”的人叫“矿工”。

为了保证能够尽快计算出问题的答案以获得虚拟货币奖励，参与“挖矿”的“矿工”需要投入尽可能多的算力，从而获得尽可能多的收益尽可能控制“矿机”成为增加“矿机”收入的主要手段。

“挖矿”的危害

虚拟货币“挖矿”主要有以下危害：

“挖矿”活动需要专门的“挖矿”计算机“计算”产生大量的能源消耗和碳排放，对产业发展和科技进步没有积极的带动作用。

“挖矿”产生的虚拟货币推动了网络黑产的快速升级，变相滋生各种网络犯罪。例如，勒索软件往往与虚拟货币相关联，时刻威胁着校园网络环境。 .

参与“挖矿”的设备，由于其CPU、GPU、存储等设备资源长期处于高负载状态，会加速老化，降低使用寿命，给矿工带来严重的经济损失。学校损失和安全威胁。

“挖矿”之道

常见的“挖矿”方式主要分为基于程序的“挖矿”方式和基于网站脚本的“挖矿”方式。类别。

基于程序的“挖矿”方式是“矿工”上传“挖矿”木马程序，然后设置定时任务或修改系统文件权限，实现“挖矿”木马程序。持久化操作。

基于网站脚本的方法是在浏览器中执行用JavaScript等编写的“挖矿”脚本。当使用“挖矿”脚本的网站时，浏览器会解析并执行“挖矿”脚本（如Coinhive、JSEcoin等），并在后台进行“挖矿”。这种方法比传统的基于程序的“挖掘”方法更阴险，不易被发现。

目前学校“挖”活动的常见原因如下：

内部人员私下利用学校公共资源“挖矿”。

黑客通过利用漏洞、暴力破解密码等方式入侵主机，获得主机控制权，导致主机崩溃，植入“挖矿”程序进行“挖矿”。

黑客利用部分校园网用户的安全意识薄弱，传播病毒，如钓鱼诈骗、恶意链接、伪装成普通文件等手段，让用户在不知情的情况下“挖矿”。

“挖矿”检测

目前，针对“挖矿”活动的检测技术可以分为三类：基于黑名单的检测技术、基于恶意行为的检测技术和基于机器学习的检测技术。

基于黑名单的检测技术是通过收集“矿池”及相关网站的域名和IP列表来实现的。

“矿池”是结合少量算力建立的网站虚拟货币挖矿名单，是矿工在网络上共享处理能力的资源池。

“矿机”在“挖矿”过程中需要与“矿池”通信。 “挖矿”木马与“矿池”之间的通信通常以域名或IP的形式进行控制和传播。当检测到服务器访问黑名单中的内容时虚拟货币挖矿名单，确定有“挖矿”活动。

基于恶意行为的检测技术是通过专家系统对“挖矿”软件或脚本运行时的行为进行分析，如函数调用的周期性、程序中运行的线程数等行为进行比较查找特定于“挖掘”脚本的行为。

基于机器学习的检测技术利用机器学习算法自动识别“挖掘”活动的特征，省去了人工寻找特征的过程，但需要大量的学习和训练。

当校园网检测到“挖矿”活动时，后两种技术距离实际实施还很遥远，仅依靠黑名单技术并不能完全识别“挖矿”活动。

校园网络环境具有开放性和复杂性的特点。部署单一安全设备无法准确识别和及时处理“挖矿”活动。

在南京理工大学校园网中，我们利用已建立的网络安全运营中心，综合结合态势感知、应用流量识别与分析、资产测绘等设备，对“挖矿”活动进行识别。

防止“挖矿”

加强校园网用户的安全意识，对来源不明的网站和设备保持警惕，避免访问恶意“挖矿”程序文件、网站和未知移动存储介质，并安装必要的终端杀毒和安全防护软件。

检查设备资产、设备上运行的服务、校园网开放端口，关闭不必要的开放端口，避免可能的风险暴露。及时更新设备上运行的系统和服务应用，修复现有漏洞，做好相关服务的安全配置，对服务器使用高强度密码策略，避免账号弱密码问题。

根据最少权限的原则改进对内网用户的权限分配，避免不必要的高级权限分配，做好重要数据的备份，最大限度地提高系统安全和数据安全。