校园网用户数量大、接入端口多，具有一定的隐藏便利性，极易成为挖矿木马攻击的对象，许多高校深受其害。与此同时，网信办等多部门在9月份联合发布《关于整治虚拟货币“挖矿”的通知》，对虚拟货币“挖矿”活动监管升级。锐捷深入洞察高校校园网络场景，如何不让校园变“矿场”，保护校园网络的安全，锐捷给出了“网络+安全”的解决方案。

什么是挖矿木马？它会给校园带来什么危害？

通过大量计算机的运算获取虚拟货币被称为“挖矿”，而在受害者不知情的情况下，非法在其电脑里植入的挖矿程序称为挖矿木马。挖矿木马会严重占据主机算力资源，干扰正常业务运行。同时消耗大量电力，与当前的能源战略、碳中和战略背道而驰。甚至有高校被挖矿木马入侵招生网站，严重影响正常工作开展。多家高校因对校园挖矿监管不到位而被通报批评。

其实在挖矿木马爆发趋势显现之初，许多高校就开始了防范的探索，但当下仍然遇到了难题：

第一， 已经建有防火墙却形同虚设。一方面一些防火墙开启防病毒后性能大幅下降，无法满足防护要求。另一方面，一些防火墙防护手段不完善，依然踩了通报“高压线”。

第二， IP告警溯源困难。校园网多为DHCP环境，目前防火墙多基于IP告警，需要运维老师查询多个日志才能进行溯源。高校学生数量众多，运维老师往往只有几人，面对大量告警的实时处理难免力有不逮。

第三，无法抑制病毒横向扩散。挖矿木马的防治和疫情的防控是相似的：除了避免外来的传染源，内部有了传播苗头也要及时切断，才能将危害降到最低。只通过出口拦截的方式无法彻底治理病毒。

那么，高校如何全面排查整治虚拟货币“挖矿”活动，营造安全有序的校园网络环境？锐捷结合高教场景特点，给出了自己的解法：发掘网络设备安全能力，联动安全设备从整体架构解决挖矿难题。

高校木马防护方案整体架构

高校木马防护方案整体介绍

1.无忧防通报，不踩“高压线”

锐捷防挖矿木马方案出口部署锐捷防火墙，同时核心交换机旁挂流量探针。联动腾讯云安全平台，采用流量检测技术精准识别挖矿木马。

挖矿木马入侵的常规步骤是先发起挖矿相关的DNS域名申请，然后根据DNS返回的IP，发起到矿池的登录和交互。传统的方案需要首先检测域名，然后针对后续的IP通讯进行阻断。虽然也起到阻隔挖矿的效果，但是由于放行DNS解析过程，容易被监管部门监测系统识别、通报。
锐捷与腾讯云安全联动，将挖矿DNS域名一网打尽，主机一旦发起对挖矿域名的申请，态势感知与防火墙立刻就能将其隔断，直接阻止其解析过程，避免被通告。同时流量探针对流量进行深度识别，哪怕挖矿木马更隐蔽，直接在主机里写IP也不用担心，流量探针的识别库可以根据钱包字段、秘钥交互等挖矿的特征行为将其精准识别，全面封堵挖矿病毒。

威胁情报和腾讯云安全联动

2. 精准定位学号，解放运维老师

在将挖矿木马的DNS拦截后，需要对其进行治理，被通报的则要举证完整的证据链。锐捷采用防火墙与态势感知（BDS）和身份认证（SAM）联动的架构，将SAM中学生/老师的账号、IP、时间信息与防火墙等安全设备中的告警、IP、时间信息在BDS中进行匹配，可以轻松得出包括学号、时间和具体告警信息的完整的溯源。
这样可以统一时间集中溯源和处理挖矿主机，显著提升了运维效率。且解决方案定位的不是IP地址而是学号，运维老师可以直接通过学号联系到需要进行杀毒操作的老师和同学，规避了DHCP环境下无法精准定位人员的问题。

BDS联动SAM+实名定位到账号

3．阻断横向扩散，遏制内部传播

对于挖矿木马的整治，防通报只是一方面，形成有效的治理体系才是关键。目前业界大部分方案都是在网络边界部署安全设备，这样无法阻止病毒在内部传播。部分挖矿木马还具备蠕虫化的特点，可以渗透内网，严重威胁服务器安全。

锐捷态势感知实现与交换机联动，通过收集交换机Sflow采样，实现全校东西向挖矿流量的识别阻断。在态势感知平台识别感染主机后，同时下发策略给交换机，在端口将中毒主机下线，阻断挖矿木马内部的横向病毒复制，挖矿整治更加彻底。

BDS下发策略给交换机，阻断横向扩散

锐捷深耕教育行业，深入洞察校园网络应用与监管场景。针对高校的防挖矿场景，以校园网整体架构出发，充分发掘现有网络设备安全能力，通过出口封堵，实名溯源，内部阻断等三重手段，实现挖矿病毒的快速发现和阻断、准确定位、避免传播，为清朗安全的校园网络环境保驾护航。

鸿蒙官方战略合作共建――HarmonyOS技术社区