为了更好的配合国家对加密货币“挖矿”的全面整治行动，网络安全公司奇虎360通过对典型客户的调研和分析，与多年的产品研发经验和技术积累，研制了“挖矿”监测处置功能，可以分别从监管侧、企业侧、城市侧形成常态化“挖矿”监测机制。这项能力具备零部署、全覆盖、亲业务、多场景等优势，能将大网资产测绘与“挖矿”类威胁情报进行综合分析，从而获得全网“挖矿”主机数据。根据360威胁态势监控系统11月监测数据显示，日均挖矿主机IP活跃量10.9万个，主要使用的网络类型为家庭宽带、企业专线、数据中心，主要分布在我国广东省、江苏省、浙江省、山东省等地。

11月全国挖矿主机IP活跃趋势图

面对防不胜防的挖矿木马，360威胁态势监控系统形成了“测+治”的防护闭环。一方面通过基于地理区域（省/市/区县）、网络类型（数据中心、企业专线）等多个维度进行宏观态势统计监测，帮助监管用户了解辖区“挖掘”态势。另一方面基于“挖矿”整治需要，直接输出挖矿主机清单，清单内容包含涉及单位的挖矿主机的IP地址、地理位置、网络类型、连接频率、处置建议等信息，辅助监管单位下发处置和指导企业机构进行响应处置。

然而，挖矿木马的攻击过程一般不会局限于一台单点主机，而是以点带面的方式在内网多台机器内扩散，所以360威胁态势监控系统是如何助力“挖矿”的清理整治？其关键就在实现“挖矿”活动的全周期监测和分析，我们将这个过程总结为以下三个阶段：

第一阶段，事前摸底。提供全国、省、市、区县范围内利用数据中心、企业专线、组织机构等网络类型的挖矿主机IP总量、风险等级、活动趋势，帮助监管单位及企业机构实时掌握挖矿主机活动态势；

第二阶段，事中协查。基于区域挖矿主机事件优先级，提供事件涉及的威胁简介、家族团伙、持续时间、连接次数、处置建议等详情报告，协助监管及企业单位下发处置；

第三阶段，事后验证。360威胁态势监控系统持续性提供监控能力，追踪事件处置结果，对监管效果进行验证评估，形成监管闭环体系。