中国电信天翼安全科技有限公司推出的天翼安全大脑平台，通过多维度安全分析手段，结合异常流量行为、挖矿行为、持续动作等特征，快速准确定位出风险主机和风险用户列表，同时结合下沉到政企客户出口的天翼安全网关进行联动处置，实现对挖矿动作的阻断。

1） “挖矿”行为发现

通过深度流量识别技术发现虚拟货币特征应用，同时与“挖矿”的威胁情报数据关联，快速识别“挖矿”行为，精准定位“挖矿”资产。

2） “挖矿”行为阻断

在准确探测“挖矿”行为的基础之上，利用协议特征、威胁域名等条件，及时对“挖矿”行为进行阻断与拦截。

3） “挖矿”情报库更新

情报库通过情报收集、数据交换，沙箱分析以及利用网络空间测绘引擎进行探测的方式进行虚拟货币类情报的生产加工，并将数据细分为交易所、矿池、web挖矿及劫持挖矿四个子类。目前已累计积累 10 万余条活跃的虚拟货币情报数据。此外，支持自定义情报库，及时补充新的“挖矿”特征。

天翼安全大脑防护方案，能够对数据中心出口、网络边界出口进行流量监控和分析，发现非法挖矿应用，并对相关应用进行有效的阻断，从而保障服务器、办公电脑等资产不被侵占，更好地促进节能减排，净化网络环境。

（一）挖矿发现和阻断-串接部署

网络出口串接部署天翼安全网关，网关采集网络访问流量的所有会话日志信息，同步到云端天翼安全大脑云管理平台进行统一存储，结合情报关联分析，自动拦截挖矿行为。客户可以通过互联网登录天翼安全大脑云管理平台查看所有攻击、防护安全事件，对已失陷的主机进行溯源。通过云管理平台收集到的挖矿网络黑产信息，客户可以设置相应的安全策略进行直接阻断。

（二）挖矿检测-旁路部署

网络出口旁路部署一台天翼安全网关，将访问外网流量镜像到网关设备，访问外网流量的会话日志送至云端天翼安全大脑云管理平台，再通过网络行为数据分析、协议特征分析、情报关联分析，实现网络中挖矿行为的发现和管理。客户可以通过互联网登录天翼安全大脑云管理平台查看所有攻击、防护安全事件，对已失陷的主机进行溯源。通过云管理平台收集到的挖矿网络黑产信息，客户可以设置相应的安全策略进行直接阻断。

（三）挖矿检测-SaaS化部署

通过SaaS化部署DNS防护服务，无需任何硬件部署，只需修改用户企业以及分支机构的DNS递归解析地址指向电信云端安全DNS，即可完成多机构的内网挖矿（失陷）主机定位和安全防护。

广东电信天翼安全大脑推出不到一年时间内，已经帮几十个客户成功拦截、阻断、排查了多种类型的挖矿病毒，其中包括门罗币挖矿程序、以太坊币挖矿程序、ALGO币挖矿程序、Worm.WannaMine挖矿蠕虫等。天翼安全大脑通过拦截、阻断、排查，一方面能够让客户精准定位中病毒的设备，便于客户对该设备进行病毒查杀，避免出现需要交赎金解绑的严重安全事件；另外一方面，天翼安全大脑能够阻断病毒向外攻击，避免病毒在客户内部横向渗透，避免客户挖矿病毒影响面扩大。

省内部分通过安装天翼安全大脑拦截挖矿病毒的案例：

我们来看两个具体客户案例：

该客户3月份开始部署天翼安全大脑，随着天翼安全大脑持续新增部署，检测到的攻击数量不断增加，至7月达到最高峰，天翼安全大脑监测到的失陷设备也在7月份达到了一个最高峰。经过XX局内网中病毒设备持续查杀，检测到的攻击数量和失陷设备逐月减少，同时攻击拦截率从开始的不到1%持续上升至99%以上。通过中国电信的天翼安全大脑，该客户安全防护能力得到全面的提升。

11月底，学校收到上级部门通知，学校教科网分配地址段存在挖矿行为，需进行排查和处置。学校内部断开互联出口并进行了查杀处置，但仍存在威胁告警，特向广州电信请求技术支援。电信在客户侧部署天翼安全大脑，实现多出口互联和关键汇聚点的流量监控覆盖，电信安全服务工程师优先对告警相关的矿池、C2域名、威胁IP进行会话封堵，并结合威胁情报进行网内流量分析，挖掘并确认网内多台主机存在大量异常外联和矿池通信会话，已经失陷。安服工程师完成查杀处置后，对校方运维人员进行安全基础培训，演示如何利用天翼安全大脑快速排查和定位问题。电信针对在排查过程中识别到的学校网络安全隐患逐一提供了整改建议和协助，完成了整个安全事件的闭环处置。

业务咨询请联系当地中国电信客户经理或发送咨询邮件至market@damddos.com。