2020 年上半年我国互联网网络安全 监测数据分析报告 国家计算机网络应急技术处理协调中心 2020 年 9 月 目 录 一、恶意程序 .......................................................................................................... - 1 （一）计算机恶意程序捕获情况 .....................................................................- 1 （二）计算机恶意程序用户感染情况 ............................................................. - 2 （三）移动互联网恶意程序 .............................................................................- 4 （四）联网智能设备恶意程序 .........................................................................- 5 二、安全漏洞 .......................................................................................................... - 6 三、拒绝服务攻击................................................................................................... - 7 （一）攻击资源活跃情况.................................................................................- 7 （二）境内大流量攻击情况 .............................................................................- 8 （三）主流攻击平台活跃情况 .........................................................................- 8 四、网站安全 .......................................................................................................... - 9 （一）网页仿冒 ................................................................................................ - 9 （二）网站后门 ................................................................................................ - 9 （三）网页篡改 .............................................................................................. - 10 五、云平台安全 .................................................................................................... - 11 六、工业控制系统安全 ......................................................................................... - 12 （一）工业控制系统互联网侧暴露情况........................................................ - 12 （二）工业控制系统互联网侧威胁监测情况 ................................................ - 13 （三）工业控制产品安全漏洞情况 ............................................................... - 14 - 为全面反映 2020 年上半年我国互联网在恶意程序传播、 漏洞风险、DDoS 攻击、网站安全等方面的情况，CNCERT 对 上半年监测数据进行了梳理，形成监测数据分析报告如下。 一、恶意程序 （一）计算机恶意程序捕获情况 2020 年上半年，捕获计算机恶意程序样本数量约 1,815 万个，日均传播次数达 483 万余次，涉及计算机恶意程序家族 约 1.1 万余个。按照传播来源统计，境外恶意程序主要来自美 国、塞舌尔和加拿大等，境外具体分布如图 1 所示；位于境内 的恶意程序主要来自浙江省、广东省和北京市等。按照目标 IP 统计，我国境内受计算机恶意程序攻击的 IP 地址约 4,208 万个，约占我国 IP 总数的 12.4%，这些受攻击的 IP 地址主要 集中在山东省、江苏省、广东省、浙江省等，我国受计算机恶 意程序攻击的 IP 分布情况如图 2 所示。 图 1 计算机恶意代码传播源位于境外分布情况 - 1 - 图 2 我国受计算机恶意代码攻击的 IP 分布情况 （二）计算机恶意程序用户感染情况 我国境内感染计算机恶意程序的主机数量约 304 万台，同 比增长 25.7%。位于境外的约 2.5 万个计算机恶意程序控制服 务器控制我国境内约 303 万台主机。就控制服务器所属国家或 地区来看，位于美国、中国香港地区和荷兰的控制服务器数量 分列前三位，分别是约 8,216 个、1,478 个和 1,064 个，具体 分布如图 3 所示；就所控制我国境内主机数量来看，位于美国、 荷兰和德国的控制服务器控制规模分列前三位，分别控制我国 境内约 252 万、127 万和 117 万台主机，如图 4 所示。此外， 根据抽样监测数据发现，针对 IPv6 网络的攻击情况也开始出 现，境外累计约 1,200 个 IPv6 地址的计算机恶意程序控制服 务器控制了我国境内累计约 1.5 万台 IPv6 地址主机。 - 2 - 图 3 控制我国境内主机的境外木马僵尸网络控制端分布 图 4 控制我国境内主机数量 TOP10 的国家或地区 从我国境内感染计算机恶意程序主机数量地区分布来看， 主要分布在江苏省（占我国境内感染数量的 15.3%）、浙江省 （占 11.9%）、广东省（占 11.6%）等，具体分布如图 5 所示。 在因感染计算机恶意程序而形成的僵尸网络中，规模在 100 台主机以上的僵尸网络数量 4,696 个，规模在 10 万台以上的 僵尸网络数量 16 个，如图 6 所示。相关机构处置了 45 个控制 规模较大的僵尸网络，有效控制计算机恶意程序感染主机引发 - 3 - 的危害。 图 5 我国境内感染木马僵尸程序的主机数量按地区分布 图 6 僵尸网络的规模分布 （三）移动互联网恶意程序 通过自主捕获和厂商交换发现新增移动互联网恶意程序 163 万余个，同比增长 58.3%。通过对恶意程序的恶意行为统 计发现，排名前三的仍然是流氓行为类、资费消耗类和信息窃 取类，占比分别为 36.5%、29.2%和 15.1%。为有效防范移动互 联网恶意程序的危害，严格控制移动互联网恶意程序传播途径， 国内 125 家提供移动应用程序下载服务的平台下架 812 个移动 - 4 - 互联网恶意程序，有效防范移动互联网恶意程序危害，严格控 制移动互联网恶意程序传播途径。 近年来，我国逐步加大对应用商店、应用程序的安全管理 力度，要求应用商店对上架 App 的开发者进行实名审核，对 App 进行安全检测和内容版权审核等，使得互联网黑产应用商 店传播恶意 App 的难度明显增加。但同时，能够逃避监管并 实现不良目的的“擦边球”式灰色应用却有所增长，例如：具 有钓鱼目的、欺诈行为的仿冒 App 成为黑产的重要工具，持 续对金融、交通、电信等重要行业的用户形成较大威胁。2020 年上半年，通过自主监测和投诉举报方式发现新出现的仿冒 App 下载链接 180 个。这些仿冒 App 具有容易复制、版本更 新频繁、蹭热点快速传播等特点，主要集中在仿冒公检法、银 行、社交软件、支付软件、抢票软件等热门应用上，仿冒方式 以仿冒名称、图标、页面等内容为主，具有很强的欺骗性。目 前，由于开发者在应用商店申请 App 上架前，需提交软件著 作权等证明材料，因此仿冒 App 很难在应用商店上架，其流 通渠道主要集中在网盘、云盘、广告平台等其他线上传播渠道。 （四）联网智能设备恶意程序 目前活跃在智能设备上的恶意程序家族超过 15 种，包括 Mirai、Gafgyt、Dofloo、Tsunami、Hajime、MrBlack、Mozi、 PinkPot 等。这些恶意程序一般通过漏洞、暴力破解等途径入 侵和控制智能设备。遭入侵控制后，联网智能设备存在用户信 - 5 - 息和设备数据被窃、硬件设备遭控制和破坏、设备被用作跳板 对内攻击内网其他主机或对外发动 DDoS 攻击等安全威胁和 风险。 上半年，发现智能设备恶意程序样本约 126 万余个，其中 大部分属于 Mirai 家族和 Gafgyt 家族，占比超过 96.0%。服务 端传播源 IP 地址 5 万余个，我国境内疑似受感染智能设备 IP 地址数量约 92 万个，与 2019 上半年相比基本持平，主要位于 浙江省、江苏省、安徽省、山东省、辽宁省等地。被控联网智 能设备日均向 1 千余个目标发起 DDoS 攻击，与 2019 年上半 年相比也基本持平。 二、安全漏洞 国家信息安全漏洞共享平台（CNVD）收录通用型安全漏 洞 11,073 个，同比大幅增长 89.0%。其中，高危漏洞收录数 量为 4,280 个（占 38.7%），同比大幅增长 108.3%， “零日”漏 洞收录数量为 4,582 个（占 41.4%） ，同比大幅增长 80.7%。安 全漏洞主要涵盖的厂商或平台为谷歌（Google）、WordPress、 甲骨文（Oracle）等。按影响对象分类统计，排名前三的是应 用程序漏洞（占 48.5%）、Web 应用漏洞（占 26.5%）、操作系 统漏洞（占 10.