CERT 2021年上半年我国互联网网络安全监测数据分析报告在线下载,免费下载

2021 b u m o c . 5 h t i g 2021 7 一、恶意程序........................................................................................ - 1 （一）恶意程序捕获情况 .............................................................. - 1 （二）计算机恶意程序用户感染情况 ........................................... - 2 - m o c . 5 （三）移动互联网恶意程序 .......................................................... - 4 - 二、安全漏洞........................................................................................ - 5 三、拒绝服务攻击 ................................................................................ - 6 - b u （一）境内目标遭大流量 DDoS 攻击情况 ................................... - 6 （二）被用于进行 DDoS 攻击的网络资源活跃情况 ................... - 7 - h t i g 四、网站安全........................................................................................ - 7 （一）网页仿冒 .............................................................................. - 7 （二）网站后门 .............................................................................. - 8 （三）网页篡改 .............................................................................. - 9 五、云平台安全.................................................................................... - 9 六、工业控制系统安全 ...................................................................... - 10 - 为全面反映 2021 年上半年我国互联网在恶意程序传播、漏洞风险、DDoS 攻击、网站安全等方面的情况，CNCERT 对上半年监测数据进行了梳理，形成监测数据分析报告如下。一、恶意程序（一）恶意程序捕获情况 2021 年上半年，捕获恶意程序样本数量约 2,307 万个，日均传播次数达 582 万余次，涉及恶意程序家族约 20.8 万个。 m o c . 5 按照传播来源统计，境外来源主要来自美国、印度和日本等，具体分布如图 1 所示；境内来源主要来自河南省、广东省和浙江省等。按照攻击目标 IP 地址统计，我国境内受恶意程序攻 b u 击的 IP 地址近 3,048 万个，约占我国 IP 地址总数的 7.8%， h t i g 这些受攻击的 IP 地址主要集中在广东省、江苏省、浙江省等地区，我国受恶意程序攻击的 IP 地址分布情况如图 2 所示。其他 24.4% 韩国 1.8% 中国香港 1.9% 英国 2.4% 加拿大 2.4% 俄罗斯德国 2.8% 3.2% 塞舌尔日本 3.4% 4.0% 美国 49.0% 印度 4.9% 图 1 恶意程序传播源位于境外分布情况 - 1 - 广东 9.8% 其他 39.5% 江苏 8.4% 浙江 7.0% 山东 6.9% 河北 5.5% 湖北 3.9% 辽宁 3.9% 北京 4.3% 四川 5.2% 河南 5.5% m o c . 5 图 2 我国受恶意程序攻击的 IP 分布情况（二）计算机恶意程序用户感染情况我国境内感染计算机恶意程序的主机数量约 446 万台，同 b u 比增长 46.8%。位于境外的约 4.9 万个计算机恶意程序控制服务器控制我国境内约 410 万台主机。就控制服务器所属国家 h t i g 或地区来看，位于美国、越南和中国香港地区的控制服务器数量分列前三位，分别是约 7,580 个、3,752 个和 2,451 个，具体分布如图 3 所示；就所控制我国境内主机数量来看，位于美国、中国香港地区和荷兰的控制服务器控制规模分列前三位，分别控制我国境内约 314.5 万、118.9 万和 108.6 万台主机，如图 4 所示。此外，根据 CNCERT 抽样监测数据，境外约 1.2 万个 IPv6 地址控制了我国境内约 2.3 万台 IPv6 地址主机。 - 2 - 美国 15.6% 其他 44.6% 越南 7.7% 中国香港 5.0% 俄罗斯 4.9% 中国台湾 4.4% 德国日本 2.8% 3.4% 巴西委内瑞拉 3.8% 3.5% 印度 4.2% 图 3 控制我国境内主机的境外计算机恶意程序控制服务器数量分布 m o c . 5 控制境内主机规模 3500000 3000000 2500000 2000000 b u 1500000 1000000 500000 0 h t i g 图 4 控制我国境内主机数量 TOP10 的国家或地区从我国境内感染计算机恶意程序主机所属地区看，主要分布在广东省（占我国境内感染数量的 12.2%）、浙江省（占 11.0%）、江苏省（占 8.0%）等地区，如图 5 所示。在因感染计算机恶意程序而形成的僵尸网络中，规模在 100 台主机以上的僵尸网络数量 2,307 个，规模在 10 万台以上的僵尸网络数量 68 个，如图 6 所示。CNCERT 协调相关机构成功关闭 259 个控制规模较大的僵尸网络，有效控制计算机恶意程序感染主 - 3 - 机引发的危害。广东 12.2% 其他 31.3% 浙江 11.0% 江苏 8.0% 四川 4.7% 辽宁 6.8% 山东 4.8% 吉林 4.9% 安徽 5.9% 河北 5.3% 河南 5.1% m o c . 5 图 5 我国境内感染计算机恶意程序主机数量按地区分布 1200 1000 b u 800 600 400 200 0 僵尸网络数目 h t i g 1001000 10005000 500020000 2-5万 5-10万 >10万 1135 437 368 207 92 68 图 6 僵尸网络的规模分布（三）移动互联网恶意程序通过自主捕获和厂商交换发现新增移动互联网恶意程序 86.6 万余个，同比下降 47.0%。通过对恶意程序的恶意行为统计发现，排名前三的仍然是流氓行为类、资费消耗类和信息窃取类，占比分别为 47.9%、20.0%和 19.2%，如图 7 所示。为有效防范移动互联网恶意程序的危害，严格控制移动互联网恶意程序传播途径，累计协调国内 204 家提供移动应用程序下 - 4 - 载服务的平台下架 25,054 个移动互联网恶意程序，有效防范移动互联网恶意程序危害，严格控制移动互联网恶意程序传播途径。诱骗欺诈 1.0% 恶意传播 0.3% 流氓行为 47.9% 系统破坏 1.3% 远程控制 2.1% 恶意扣费 8.1% m o c . 5 资费消耗 20.0% 信息窃取 19.2% 图 7 移动互联网恶意程序数量按行为属性统计 b u 二、安全漏洞国家信息安全漏洞共享平台（CNVD）收录通用型安全漏 h t i g 洞 13,083 个，同比增长 18.2%。其中，高危漏洞收录数量为 3,719 个（占 28.4%），同比减少 13.1%；“零日”漏洞收录数量为 7,107 个（占 54.3%），同比大幅增长 55.1%。按影响对象分类统计，排名前三的是应用程序漏洞（占 46.6%）、Web 应用漏洞（占 29.6%）、操作系统漏洞（占 6.0%），如图 8 所示。2021 年上半年，CNVD 验证和处置涉及政府机构、重要信息系统等网络安全漏洞事件近 1.8 万起。 - 5 - 智能设备漏洞 2.3% 安全产品漏洞 2.8% 数据库漏洞 1.0% 应用程序漏洞 46.6% 网络设备漏洞 11.6% 操作系统漏洞 6.0% web应用漏洞 29.6% m o c . 5 图 8 CNVD 收录安全漏洞按影响对象分类统计三、拒绝服务攻击为降低 DDoS 攻击对我国基础网络和关键信息基础设施 b u 的威胁，CNCERT 持续加强对境内目标遭大流量攻击情况的监测跟踪分析，针对所发现的被用于进行 DDoS 攻击的网络资源重点开展治理。 h t i g （一）境内目标遭大流量 DDoS 攻击情况 CNCERT 监测发现，境内目标遭受峰值流量超过 1Gbps 的大流量攻击事件同比减少 17.5%，主要攻击方式为 TCP SYN Flood、UDP Flood、NTP Amplification、DNS Amplification、 TCP ACK Flood 和 SSDP Amplification，这 6 种攻击的事件占比达到 96.1%；攻击目标主要位于浙江省、山东省、江苏省、广东省、北京市、福建省、上海市等地区，这 7 个地区的事件占比达到 81.7%；1 月份是上半年攻击最高峰，攻击较为活跃；攻击时长不超过 30 分钟的攻击事件占比高达 96.6%，比例进一步上升，表明攻击者越来越倾向于利用大流量攻击瞬间打瘫 - 6 - 攻击目标。（二）被用于进行 DDoS 攻击的网络资源活跃情况 CNCERT 通过开展对境内目标遭大流量 DDoS 攻击事件的持续分析溯源，发布《我国 DDoS 攻击资源季度分析报告》，定期公布控制端、被控端、反射服务器、伪造流量来源路由器等被用于进行 DDoS 攻击的