挖礦軟件會占用電腦的大量運算資源和電力資源，而且會引起主管部門的關注。局域網內有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情，對成百上千臺電腦一臺一臺的進行排查簡直就和大海撈針一樣，需要耗費大量的時間和人力。所以很多網管人員面對上級部門發來的整改函一籌莫展。

因為局域網出口做了NAT網絡地址轉換，上級部門只能檢測到公司的公網IP，所以只能靠公司內部的網管人員來排查具體的終端了。最笨的辦法就是一臺電腦一臺電腦的檢查，通過檢查程序列表和任務管理器來找挖礦程序。

本文中，我將介紹如何用WSG上網行為管理中的“入侵防御”功能來檢查挖礦電腦。因為WSG上網行為管理是部署在局域網內部的，所以可以檢測到本地挖礦電腦的IP地址和MAC地址，從而準確的定位到具體電腦。

1. 開啟入侵防御功能

如下圖，在WSG上網行為管理的“安全防護”-“入侵防御”中，點擊“IPS檢測項”，就可以看到入侵防御的各個選項。

挖礦軟件的檢測主要在“木馬檢測”這個大分類下面，每個大類還有一些小類，點擊小類可以查看每個小類中的特征庫內容。

點擊查看，可以查看每個小類的特征庫明細列表。

2. 查詢入侵防御的記錄歷史

在“入侵防御”的“記錄查詢”中，會記錄入侵防御的檢測歷史。您可以根據IP地址去定位實際的電腦。然后對這臺電腦進行查殺整改。

3. 查詢電腦的MAC地址

在“入侵防御”中只記錄挖礦電腦的IP地址，如果電腦都是自動獲取IP，還需要根據IP地址查詢MAC地址信息。在“查詢統計”-“上網記錄”的“IP-MAC記錄”中，根據“本地IP”搜索一下就可以查詢到電腦的MAC地址。