南通市教育技术中心：重击恶意挖矿 还中小学健康网络环境

南通市教育技术中心是隶属于南通市教育局领导的事业单位，主要负责全市各中小学的现代教育技术工作，并负责全市现代远程教育技术设施建设和教育城域网与校园网的规划、评估及管理工作。

在上级教育行政部门的领导下，经过多年的不懈努力，南通市教育技术中心在现代教育技术的推广应用方面取得了丰硕的成果，在教师现代教育技术培训、教育信息化建设和教育电视宣传等方面都积极发挥着重要作用。

随着信息技术在中小学教育中的深入应用，网络安全问题也成为南通市教育技术中心不得不面对的难题。

恶意挖矿——校园网络安全的拦路虎

尤其近几年来，随着网络犯罪活动的日益频繁，黑客技术不断提升，攻击手段日趋多样化，这让防火墙、网关等传统解决方案越来越难发挥其作用。南通市各中小学校的计算机等教育资源也成为网络攻击者眼中的香饽饽，遭到各路网络攻击者的觊觎，在这之中，最让南通市教育技术中心头痛的就是“恶意挖矿”。

恶意挖矿通常与设备感染挖矿木马有关。网络攻击者通过窃取计算资源进行“挖矿”牟利，被感染挖矿木马的设备通常会出现卡顿、性能降低乃至死机等现象，严重影响计算机等设备的正常运行与寿命。因此，在2021年9月，国家发改委就发出了整治“挖矿”的通知，各地开始重拳打击挖矿行为，恶意挖矿是一种典型的网络攻击行为，更是重点整治对象。

南通市教育技术中心也迅速集中力量整治各中小学遭遇的恶意挖矿等网络攻击行为，但却面临一个现实难题：下属各中小学网络出口都收敛到南通市教育技术中心统一接入互联网，尽管发现了恶意挖矿线索，但却很难定位到具体的失陷主机。要排查全市的中小学校，整个过程要耗费大量时间，效率难以提高。

为了满足新时期的网络安全需求，南通市教育技术中心迫切需要新的网络安全解决方案，不仅用于当前的“恶意挖矿”整治，还希望满足长远的安全统一管控需求，并能实时掌握各中小学等普教单位的安全情况。

经过多方调研分析，并经验证，南通市教育技术中心最终选择了微步在线的安全DNS网关OneDNS产品。通过云端威胁情报赋能，利用OneDNS的自动化处置能力、威胁定位能力以及统一管控能力，帮助南通市教育技术中心快速、精准、高效地清理了各种“恶意挖矿”木马，同时还有效地检测并响应了其他网络攻击行为。

初战告捷：一周内定位3起恶意挖矿，阻断2300+次恶意反连

由于OneDNS提供类似SaaS云服务，南通市教育技术中心很轻松就可对OneDNS的能力进行验证：在出口防火墙上进行相应的配置，并将2-3所中小学出网DNS请求转发至OneDNS。这一测试阶段主要以验证OneDNS针对恶意挖矿的实时拦截能力与威胁定位能力。

OneDNS在接收到中小学的出网请求（域名解析请求）后，会先利用威胁情报进行检测，发现是矿池或其他恶意域名后会直接拦截，第一时间阻断反连；如果是正常域名，则会提供正常的域名解析服务。

OneDNS在南通市教育技术中心的应用，不改变原有网络架构，接入即检测拦截

仅接入OneDNS一周，就发现并定位了3起挖矿事件，阻断了2300+次的矿池连接行为。南通市教育技术中心通过利用OneDNS的定位取证功能，简单高效地清除了恶意挖矿木马。

大获全胜：不止恶意挖矿，各类恶意软件一网打尽

OneDNS在测试阶段展现的恶意挖矿阻断能力极大地增强了南通市教育技术中心的信心。在综合评估之后，利用OneDNS的轻量化部署特点，南通市教育技术中心迅速将市直属的35所学校及5个市属单位接入了OneDNS服务。

在此后的约1个月时间，OneDNS累计阻断了13起恶意挖矿行为、约36万多次的矿池反连行为。同时，经过威胁情报赋能的OneDNS还检测出17起威胁事件，包括APT-Carbanak团伙、木马-柠檬鸭、勒索软件-WannaCry_attack、木马-IndoneMiner挖矿等高危事件。

仅1个月时间，OneDNS为南通市教育技术中心下属的各中小学校提供了约23.41亿次解析服务，拦截了453+万次恶意域名反连，并定位了包括木马、勒索软件以及恶意软件在内的各种网络威胁，协助南通市教育技术中心高效地打击了网络犯罪