目 錄

一、惡意程序

（一）計算機惡意程序捕獲情況

（二）計算機惡意程序用戶感染情況

（三）移動互聯網惡意程序

（四）聯網智能設備惡意程序

二、安全漏洞

三、拒絕服務攻擊

（一）攻擊資源活躍情況

（二）境內大流量攻擊情況

（三）主流攻擊平臺活躍情況

四、網站安全

（一）網頁仿冒

（二）網站后門

（三）網頁篡改

五、云平臺安全

六、工業控制系統安全

（一）工業控制系統互聯網側暴露情況

（二）工業控制系統互聯網側威脅監測情況

（三）工業控制產品安全漏洞情況

2020年上半年，捕獲計算機惡意程序樣本數量約1,815萬個，日均傳播次數達483萬余次，涉及計算機惡意程序家族約1.1萬余個。按照傳播來源統計，境外惡意程序主要來自美國、塞舌爾和加拿大等，境外具體分布如圖1所示；位于境內的惡意程序主要來自浙江省、廣東省和北京市等。按照目標IP統計，我國境內受計算機惡意程序攻擊的IP地址約4,208萬個，約占我國IP總數的12.4%，這些受攻擊的IP地址主要集中在山東省、江蘇省、廣東省、浙江省等，我國受計算機惡意程序攻擊的IP分布情況如圖2所示。

圖1 計算機惡意代碼傳播源位于境外分布情況

圖2 我國受計算機惡意代碼攻擊的IP分布情況

通過自主捕獲和廠商交換發現新增移動互聯網惡意程序163萬余個，同比增長58.3%。通過對惡意程序的惡意行為統計發現，排名前三的仍然是流氓行為類、資費消耗類和信息竊取類，占比分別為36.5%、29.2%和15.1%。為有效防范移動互聯網惡意程序的危害，嚴格控制移動互聯網惡意程序傳播途徑，國內125家提供移動應用程序下載服務的平臺下架812個移動互聯網惡意程序，有效防范移動互聯網惡意程序危害，嚴格控制移動互聯網惡意程序傳播途徑。

近年來，我國逐步加大對應用商店、應用程序的安全管理力度，要求應用商店對上架App的開發者進行實名審核，對App進行安全檢測和內容版權審核等，使得互聯網黑產應用商店傳播惡意App的難度明顯增加。但同時，能夠逃避監管并實現不良目的的“擦邊球”式灰色應用卻有所增長，例如：具有釣魚目的、欺詐行為的仿冒App成為黑產的重要工具，持續對金融、交通、電信等重要行業的用戶形成較大威脅。2020年上半年，通過自主監測和投訴舉報方式發現新出現的仿冒App下載鏈接180個。這些仿冒App具有容易復制、版本更新頻繁、蹭熱點快速傳播等特點，主要集中在仿冒公檢法、銀行、社交軟件、支付軟件、搶票軟件等熱門應用上，仿冒方式以仿冒名稱、圖標、頁面等內容為主，具有很強的欺騙性。目前，由于開發者在應用商店申請App上架前，需提交軟件著作權等證明材料，因此仿冒App很難在應用商店上架，其流通渠道主要集中在網盤、云盤、廣告平臺等其他線上傳播渠道。

三、拒絕服務攻擊

因攻擊成本低、攻擊效果明顯等特點，DDoS攻擊仍然是互聯網用戶面臨的最常見、影響較大的網絡安全威脅之一。抽樣監測發現，我國每日峰值流量超過10Gbps的大流量DDoS攻擊事件數量與2019年基本持平，約220起。

經過持續監測分析與處置，可被利用的DDoS攻擊資源穩定性降低，可利用活躍資源數量被控制在較低水平。累計監測發現用于發起DDoS攻擊的活躍C&C控制服務器2,379臺，其中位于境外的占比95.5%，主要來自美國、荷蘭、德國等；活躍的受控主機約122萬臺，其中來自境內的占比90.3%，主要來自江蘇省、廣東省、浙江省、山東省、安徽省等；反射攻擊服務器約801萬臺，其中來自境內的占比67.4%，主要來自遼寧省、浙江省、廣東省、吉林省、黑龍江省等。

在監測發現境內峰值流量超過10Gbps的大流量攻擊事件中，主要攻擊方式仍然是TCP SYN Flood、NTP Amplification、SSDP Amplification、DNS Amplification和UDP Flood，以上五種攻擊占比達到82.9%。為躲避溯源，攻擊者傾向于使用這些便于隱藏攻擊源的攻擊方式，并會根據攻擊目標防護情況靈活組合攻擊流量，混合型攻擊方式占比為16.4%。此外，隨著近年來“DDoS即服務”黑產模式猖獗，攻擊者傾向于使用大流量攻擊將攻擊目標網絡瞬間癱瘓，DDoS攻擊時長小于半小時的攻擊占比達81.5%，攻擊目標主要位于浙江省、江蘇省、福建省、山東省、廣東省、北京市等，占比高達81.1%。

通過持續監測和跟蹤DDoS攻擊平臺活躍情況發現，網頁DDoS攻擊平臺以及利用Gafgyt、Mirai、Xor、BillGates、Mayday等僵尸網絡家族發起攻擊仍持續活躍，發起DDoS攻擊事件較多。作為“DDoS即服務”黑產模式之一的網頁DDoS攻擊平臺，因其直接面向用戶提供服務，可由用戶按需自主發起攻擊，極大降低了發起DDoS攻擊難度，導致DDoS攻擊進一步泛濫。監測發現，由網頁DDoS攻擊平臺發起的DDoS攻擊事件數量最多，同比2019年上半年增加32.2%。當前互聯網上大量活躍的缺乏安全防護的物聯網設備，為DDoS攻擊平臺猖獗發展提供了大量被控資源，導致DDoS攻擊事件一直高居不下。Gafgyt和Mirai惡意程序新變種不斷出現，使得利用其形成的僵尸網絡控制端和攻擊事件數量維持在較高水平，而Xor惡意程序家族有明顯特征顯示其在對外提供“DDoS即服務”黑產業務，表現出以少量控制端維持較高攻擊頻度。

四、網站安全

監測發現針對我國境內網站仿冒頁面約1.9萬個。CNCERT重點針對金融行業、電信行業網上營業廳等6,226個仿冒頁面進行處置，同比減少48.1%。在已協調處置的仿冒頁面中，承載仿冒頁面IP地址歸屬地居首位仍然是中國香港地區，占比達74.0%。

同時，互聯網上關于“ETC在線認證”網站的仿冒頁面數量呈井噴式增長。進入5月后，在針對我國境內網站的仿冒頁面中，涉及“ETC在線認證”相關的網頁仿冒數量占比高達61.2%，此類釣魚網站的主要承載IP地址仍然位于境外。仿冒形式主要包括“ETC信息認證”“ETC在線辦理認證”“ETC在線認證中心”等不同頁面主題，詐騙分子誘騙用戶提交真實姓名、銀行卡賬號、身份證號、銀行預留手機號、取款密碼等個人隱私信息。

境內外約1.8萬個IP地址對我國境內約3.59萬個網站植入后門，我國境內被植入后門的網站數量較2019年上半年增長36.9%。其中，約有1.8萬個境外IP地址（占全部IP地址總數的99.3%）對境內約3.57萬個網站植入后門，位于美國的IP地址最多，占境外IP地址總數的19.0%，其次是位于菲律賓和中國香港地區的IP地址，如圖8所示。從控制我國境內網站總數來看，位于菲律賓的IP地址控制我國境內網站數量最多，約為1.36萬個，其次是位于中國香港地區和美國的IP地址，分別控制我國境內7,300個和6,020個網站。此外，隨著我國IPv6規模部署工作加速推進，支持IPv6的網站范圍不斷擴大。此外，攻擊源、攻擊目標為IPv6地址的網站后門事件592起，共涉及攻擊源IPv6地址累計35個、被攻擊IPv6地址解析網站域名累計72個。

圖8 境外向我國境內網站植入后門IP地址所屬國家或地區TOP10

我國境內遭篡改的網站有約7.4萬個，其中被篡改的政府網站有318個。從境內被篡改網頁的頂級域名分布來看，占比分列前三位的仍然是“.com”“.net”和“.org”，分別占總數的74.1%、5.1%和1.7%，如圖9所示。

圖9 境內被篡改網站按頂級域名分布

五、云平臺安全

我國云平臺上網絡安全威脅形勢依然較為嚴峻。首先，發生在我國主流云平臺上的各類網絡安全事件數量占比仍然較高。其中云平臺上遭受DDoS攻擊次數占境內目標被攻擊次數的76.1%、被植入后門鏈接數量占境內全部被植入后門鏈接數量的90.3%、被篡改網頁數量占境內被篡改網頁數量的93.2%。其次，攻擊者經常利用我國云平臺發起網絡攻擊。其中云平臺作為控制端發起DDoS攻擊次數占境內控制發起DDoS攻擊次數的79.0%，作為木馬和僵尸網絡惡意程序控制的被控端IP地址數量占境內全部被控端IP地址數量的96.3%，承載的惡意程序種類數量占境內互聯網上承載的惡意程序種類數量的79.0%。

六、工業控制系統安全

監測發現暴露在互聯網上的工業設備達4,630臺，涉及國內外35家廠商的可編程邏輯控制器、智能樓宇、數據采集等47種設備類型，具體類型分布如圖10所示。其中存在高危漏洞隱患的設備占比約41%。監測發現電力、石油天然氣、城市軌道交通等重點行業暴露的聯網監控管理系統480套，其中電力262套、石油天然氣118套、城市軌道交通100套，涉及的類型包括政府監管平臺、遠程監控、資產管理、工程安全、數據檢測系統、管網調度系統、OA系統、云平臺等，具體平臺類型分布如圖11所示。其中存在信息泄露、跨站請求偽造、輸入驗證不當等高危漏洞隱患的系統占比約11.1%。暴露在互聯網的工業控制系統一旦被攻擊，將嚴重威脅生產系統的安全。

圖11 監測發現的重點行業聯網監控管理系統類型統計

境內工業控制系統的網絡資產持續遭受來自境外的掃描嗅探，日均超過2萬次。經分析，嗅探行為源自于美國、英國、德國等境外90個國家，目標涉及境內能源、制造、通信等重點行業的聯網工業控制設備和系統。大量關鍵信息基礎設施及其聯網控制系統的網絡資產信息被境外嗅探，給我國網絡空間安全帶來隱患。

我國根云、航天云網、OneNET、COSMOPlat、奧普云、機智云等大型工業云平臺持續遭受來自境外的網絡攻擊，平均攻擊次數114次/日，同比上升27%，攻擊類型如圖12所示，涉及遠程代碼執行、拒絕服務、Web漏洞利用等，工業云平臺承載著大量接入設備、業務系統，以及企業、個人信息和重要數據，使其成為網絡攻擊的重點目標。

圖12 工業云平臺攻擊事件的類型分布

CNVD、CVE、NVD及CNNVD四大漏洞平臺新增收錄工業控制系統產品漏洞共計323個，其中高中危漏洞占比達94.7%。如圖13和圖14所示，漏洞影響的產品廣泛應用于制造業、能源、水處理、信息技術、化工、交通運輸、商業設施、農業、水利工程、政府機關等關鍵信息基礎設施行業，漏洞涉及的產品供應商主要包括ABB、萬可、西門子、研華、施耐德、摩莎、三菱、海為、亞控、永宏等。

圖13 新增工業控制產品漏洞的行業分布TOP10