如何發(fā)現(xiàn)數(shù)據(jù)中心的挖礦行為和治理方案

現(xiàn)&

01

什么挖礦礦礦工場錢包挖礦對加密貨幣（比如比特幣）開采的一個俗稱開采比特幣就像是求解一道學題最先得到答案，就獲得相應獎勵所以整個求解并驗證的過程就叫做挖.挖礦主要有三種方式：第使用業(yè)的礦機，第二使用高速顯卡挖礦，第三使挖礦礦機:助破數(shù)字答案的設備就稱為礦.礦工:行礦，獲得收益的人群就被成為工礦場礦場是很多臺礦機組合到一起，使得算力強錢包像一張銀行卡一樣，擁有一個唯一卡號（址）接收或發(fā)送你的數(shù)字貨幣礦池挖到幣以后，給你發(fā)到個地上，幣就進入了你的錢包4

什么是礦池礦池:隨參與挖礦的人越來越多，比特幣全網的算力不斷上漲,單個設備或者少量的算力都很難再挖到比特幣,這個時候礦池就產生了，礦池是突破地址位置的限制，將各地的算匯聚起來增強算，并把收益平分給所有算力，保證礦池參與者收入穩(wěn)定那么所有隊伍中的人會根據(jù)每個人的電腦性能進行分紅。比如：1000在同一個礦池挖礦，挖出一個塊后，這個區(qū)塊產生的N個比特幣的酬，會根據(jù)這人的電腦性能進行分紅。如果你的電腦性能強勁，也許會分到100之，如果性能落后，也可能會分到分之15

怎么挖礦—挖軟件挖礦模式軟件挖礦。通過運行在或Windows的件進行挖礦，如：礦工、長*礦工之類的，這種是傻瓜式的挖礦只要把錢包地址填進去，選擇幣種和礦池開始挖礦就行了，這種簡單方便，但是他抽成比較高。此外，也有一些黑客，通過非法手段上傳挖礦木馬程序到計算機或者服務器上，然后通過設置計劃任務或者修改系統(tǒng)文件權限等方式，現(xiàn)挖礦”木馬程的持久化運行。6

怎么礦—腳模式挖礦模式2：基網站腳本式基于網站腳本的方式是通等編寫的“挖礦腳本在瀏覽器中執(zhí)行，通過在網站中嵌入含有礦代碼腳本，當瀏覽訪問帶“挖腳本網站時，瀏覽器將解析并執(zhí)“礦”本（如Coin），在后臺進行“礦。這種方式比傳統(tǒng)的基于程序的“礦方式更加隱蔽，難以被發(fā)現(xiàn)。7

挖礦收益和支出挖礦收益和支出：軟件幫你算得清清數(shù)數(shù)，能掙多少，虧多少..例如：某電腦顯卡GTX1050Ti，于電費支出非常大，完全虧本的。因此，會出現(xiàn)有人利用單位的電資源進行挖礦。8

02

挖礦排查由于挖礦行為有類，挖礦排查也分為兩(DPI排查和威脅情報排)。1、在Panalog中【內容分析】虛擬貨幣】中查詢，基于虛擬貨的協(xié)議鎖定（主要針對挖礦軟件）。2、在Panalog中【安全分析】威脅情報】中查詢，先定位威脅報中挖礦域名或者IP，然后再查詢內網IP用戶。（主要針對網頁腳本挖礦）

挖礦排查方法1—DPI查在【虛擬貨幣】中直接選中某一個時間段查，凡是排名靠前、上行流量明顯高于下行流量、上行流量速率超過的IP址為主要排查對象?？梢栽陧撁嬷袑С鯥P址列表。

挖礦排查方法1—DPI查在【會話日志】中選擇排名第一的地址作源IP，議選擇“虛擬貨幣，進行查詢

挖礦排查方法2威脅情報排查LOG升級最新本威脅情報升級到最新版本

挖礦排查方法2威脅情報排查在【安全分析】【威脅情報】中查詢，在類中輸入挖礦應用類別bitcoin”如下所示：

...|2021-12-08URL

E

URLhp:1

I

|

X

.J2

@

3

I4

cn.eth.k/

I

|

Comodo

Phiing

挖礦排查方法2威脅情報排查點擊對應的域名，便可以看到內網那些用戶問過這些域名，以及訪問的次數(shù)。

03

挖礦行為阻斷1通過DPI阻斷方案通過流控管控規(guī)則，把“虛擬貨幣”的應用進行阻；

挖礦行為阻斷2通過礦池黑名單阻斷方案創(chuàng)建礦池域名群組，然后阻斷配置方法：第一步，先創(chuàng)建域名群組。在“對象管理—“域名群組”里面自定義挖礦域名

挖礦行為阻斷2通過礦池黑名單阻斷方案創(chuàng)建礦池域名群組，然后阻斷配置方法：第二步，創(chuàng)建控規(guī)則，對挖域名進行阻斷

挖礦行為阻斷2通過礦池黑名單阻斷方案創(chuàng)建礦池域名群組，然后阻斷配置方法：第三步，創(chuàng)建控規(guī)則，對挖礦域名的DNS歸解析進行阻斷。

挖礦行為阻斷3態(tài)威脅情報方案3：過派網APP來動態(tài)獲得挖域名。首先需要安裝“威脅情報同”，然后進行情報同步

挖礦行為阻斷3態(tài)威脅情報情報同步后，在域名群組就可以看到相關的脅情報域名?！緡乐囟日f明】：H：高嚴重度，建議執(zhí)行“阻