挖矿软件会占用电脑的大量运算资源和电力资源，而且会引起主管部门的关注。局域网内有电脑被安装了挖矿软件是一件让人很头疼的事情，对成百上千台电脑一台一台的进行排查简直就和大海捞针一样，需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展。

因为局域网出口做了NAT网络地址转换，上级部门只能检测到公司的公网IP，所以只能靠公司内部的网管人员来排查具体的终端了。最笨的办法就是一台电脑一台电脑的检查，通过检查程序列表和任务管理器来找挖矿程序。

本文中，我将介绍如何用WSG上网行为管理中的“入侵防御”功能来检查挖矿电脑。因为WSG上网行为管理是部署在局域网内部的，所以可以检测到本地挖矿电脑的IP地址和MAC地址，从而准确的定位到具体电脑。

1. 开启入侵防御功能

如下图，在WSG上网行为管理的“安全防护”-“入侵防御”中，点击“IPS检测项”，就可以看到入侵防御的各个选项。

挖矿软件的检测主要在“木马检测”这个大分类下面，每个大类还有一些小类，点击小类可以查看每个小类中的特征库内容。

点击查看，可以查看每个小类的特征库明细列表。

2. 查询入侵防御的记录历史

在“入侵防御”的“记录查询”中，会记录入侵防御的检测历史。您可以根据IP地址去定位实际的电脑。然后对这台电脑进行查杀整改。

3. 查询电脑的MAC地址

在“入侵防御”中只记录挖矿电脑的IP地址，如果电脑都是自动获取IP，还需要根据IP地址查询MAC地址信息。在“查询统计”-“上网记录”的“IP-MAC记录”中，根据“本地IP”搜索一下就可以查询到电脑的MAC地址。