中国互联网安全报告

1、中国互联网安全报告CHINA INTERNET SECURITY REPORT2018编者的话随着人类社会信息化与数字化进程的不断推进，互联网在我国政治、经济、文化、社会生活等领域的作用越来越重要。然而，伴随着互联网技术与应用的蓬勃发展，网络安全问题层出不穷，给社会经济活动和日常生活带来了极大的危害与损失。作为全球第二大的CDN服务提供商，网宿科技承载了超过20 的中国互联网WEB流量，网宿安全实验室积累了海量的攻击样本和庞大的威胁情报信息库，涵盖了全网各行业的恶意IP、网马、恶意URL、恶意病毒、木马、Block-ist.de、攻击族群等攻击类型。基于此，网宿云安全平台提供DDoS防护、We

2、b应用防护、业务安全防护、态势感知、安全评估等全方位的安全产品及解决方案，构筑新一代智能安全防护体系。本报告是网宿科技发布的第六期互联网安全报告，报告中的数据来自于网宿智能平台在2018全年监测到的网络攻击行为与事件。我们将结合威胁情报技术和自身攻防经验为企业提供防御技术、网络体系、数据安全、合规、安全管理等多方面的信息与建议。131414131414目录第一章 本期报告概览与要点 HYPERLINK l _TOC_250019 2018年恶意爬虫攻击概览与趋势1 HYPERLINK l _TOC_250018 2018年DDoS攻击概览与趋势1 HYPERLINK l _TOC_250017

3、 2018年Web应用攻击概览与趋势2 HYPERLINK l _TOC_250016 第二章 恶意爬虫攻击解读 HYPERLINK l _TOC_250015 北京成为恶意爬虫攻击的主要地区2 HYPERLINK l _TOC_250014 超过63.78%的攻击源来自广东、江苏等发达地区3 HYPERLINK l _TOC_250013 交通运输、生活服务行业成为恶意爬虫的重灾区4 HYPERLINK l _TOC_250012 “羊毛党”是如何团队作战的？5 HYPERLINK l _TOC_250011 传统防薅羊毛手段：走在用户体验和反爬虫的钢丝上6 HYPERLINK l _TOC

4、_250010 爬虫正变得更“聪明”，智能反爬成趋势6 HYPERLINK l _TOC_250009 第三章 DDoS攻击解读 HYPERLINK l _TOC_250008 2018年DDoS攻击峰值连续2次打破历史纪录7 HYPERLINK l _TOC_250007 超过73.37%的攻击源集中在四川、北京、广东等地8 HYPERLINK l _TOC_250006 50Gbps、两小时以内的DDoS攻击占据主流8 HYPERLINK l _TOC_250005 SYN_Flood攻击是黑客青睐的DDoS攻击方式9 HYPERLINK l _TOC_250004 游戏依然是遭受攻击最严

5、重的行业10 HYPERLINK l _TOC_250003 第四章 Web应用攻击解读 HYPERLINK l _TOC_250002 2018年Web应用攻击翻番增长11 HYPERLINK l _TOC_250001 北京、上海等地是发起Web攻击的主要区域12 HYPERLINK l _TOC_250000 政府网站成为2018年Web应用攻击的重灾区12SQL注入占全年Web攻击总数近半基于大数据和人工智能技术的Web防护新思路第五章 趋势展望及建议第一章 本期报告概览与要点基于网宿科技在全球广泛部署的安全节点，2018年，网宿云安全平台共监测与拦截了9663多亿次攻击行为，平均每天

6、为全球网站抵御与防护约26.47亿次攻击。本期报告重点分析云上恶意爬虫攻击、网络层DDoS攻击、Web应用攻击等三类网络安全威胁，从攻击量、攻击类型、攻击时长、攻击规模、受攻击行业、攻击源、被攻击区域、新型攻击手段等维度进行全面分析。1.1.2018年恶意爬虫攻击概览与趋势2018年，网宿云安全平台共监测并拦截了75.46多亿次有针对性的爬虫攻击事件，平均每秒发生240起攻击。超过63.78的恶意爬虫流量分布在广东、江苏、山东、浙江等地区；海外恶意爬虫流量主要分布于美国、巴西、俄罗斯日本等国家。从全国受攻击的区域看，北京最为严重，占比52.44，其次是上海、浙江、山西。交通运输行业（包括航空、

7、物流、快递、铁路等）依然是2018恶意爬虫攻击事件占总攻击事件的34.23，其次是生活服务类与政府机构。1.2.2018年DDoS攻击概览与趋势2018年，网宿云安全平台共监测并拦截了9578.88多亿攻击DDoS攻击事件（含网络层与应用层），平均每秒发生3.03万次攻击。其中，下半年全网共发生4948.78多亿次DDoS攻击事件（含网络层与应用层），平均每秒发生3.14万次攻击。下半年网络层DDoS攻击频率激增，共监测到网络层DDoS攻击2993358起，平均每天发生16447起，较上半年增长了120.9全年DDoS攻击带宽峰值再创新高，达1.02Tbps，打破了网宿上半年防御的809Gbp

8、s的最高纪录。游戏依然是2018年下半年被攻击最严重的行业，其次是金融行业，DDoS绝大多数攻击事件带宽在50Gbps以内，占整体攻击事件的95.97。虽然大多数攻击在2小时以内结束，最长的一次攻击依然持续了11小时，表明在短时长攻击成为主流的形势下，攻击者同时越发善于打“持久战”。SYN Flood仍然是最常用的攻击手法，多向量的DDoS攻击逐渐取代了传统单一的攻击方式。1.3.2018年Web应用攻击概览与趋势2018年，网宿云安全平台一共监测与拦截Web应用攻击9.53亿次，相较于2017年，呈翻倍式增长，平均每秒发生31起攻击。国内攻击源IP中超过65.56 的流量攻击来源主要分布在北

9、京、上海、浙江等地区；相比2017年攻击源有从主要省份向全国性发散的趋势。纵观各攻击类型的占比，SQL注入与跨站脚本依然是最主要的攻击方式，占总攻击事件数的59.13以上政府机构依然是Web应用攻击的重灾区，电商、金融、图文资讯行业受攻击程度较大。第二章恶意爬虫攻击解读2018年，爬虫（Bot）流量已遍布于互联网上的各个行业，爬虫技术日益复杂，造成的损失也在日益加大。著名的Bot件如2018年8月，旅游电商平台上被传使用土耳其里拉支付购买某航空公司机票退票赚取逆差汇率事件，以及2018年12月， 某咖啡品牌上线“APP注册新人礼”薅羊毛事件。 2018年网宿云安全平台共监测并拦截了75.46亿

10、多次有针对性的爬虫攻击事件，且大部分发生在下半年。本报告中网宿平台通过对各行业所受攻击情况进行分析，为企业用户与其他用户在应对攻击时有迹可循，并为其提供可靠的安全指南。2.1 北京成为恶意爬虫攻击的主要地区本报告通过对攻击目标的全国归属地分析发现，北京地区成为了2018年恶意爬虫攻击的主要“光顾”区域，占全国区域的52.44，广东（10.72）、上海（8.82）等地的受攻击程度次之。8.82%8.30%10.72%5.14%7.55%2.13%4.31%0.58%北京上海浙江山西江苏广东湖北湖南安徽其他8.82%8.30%10.72%5.14%7.55%2.13%4.31%0.58%北京上海浙

11、江山西江苏广东湖北湖南安徽其他图1：2018年受恶意爬虫攻击省份区域分布图2.2.超过63.78 的攻击源来自广东、江苏等发达地区通过对网宿威胁情报库信息进行分析发现，超过63.78的恶意爬虫流量主要分布在广东、江苏、山东、浙江等地区，原在于这些区域集中了国内多数的服务器资源，而大部分的爬虫流量也主要来自于这些服务器资源。13.67%12.47%11.33%9.35%8.77%8.01% 7.70%6.62%5.13%16.96%13.67%12.47%11.33%9.35%8.77%8.01% 7.70%6.62%5.13%0.00%广东江苏山浙江北四川上海河南湖北福建图2：2018年恶意爬

12、虫源IP TOP10省份分布图这些地区互联网气氛活跃，互联网模式在这些地区中衍生出各类生活服务，如：共享经济、外卖、旅游、交通出行等，贯穿生活方方面面，在促进这些地区发展同时也产生了各行业有价值的数据资源，数据价值背后的利益是同行业信息互爬、黄牛抢票、刷单等竞争造成这些地区恶意爬虫攻击事件增加。2.3.交通运输、生活服务行业成为恶意爬虫的重灾区通过对2018年多行业的数据进行分析，报告得出2018年全年受攻击排行TOP10行业。其中，交通运输行业是爬虫攻击最严重的行业（28.84 ），其次是生活服务（23.44 ）、图文资讯（15.57 ）等行业，如图3所示：6.32%3.01%15.57%0

13、.28%28.84%14.34%23.44%7.22%游戏金融电商0.35%图3：2018年恶意爬虫攻击行业分布图通过对交通行业全年分布的情况进行分析发现，爬虫攻击主要集中在春季与冬季（占了全年的75.8），恰好与节假日出旅游、春运等时间节点存在正相关。近年来，中等收入人群消费兴起叠加移动互联网加速发展，旅游快速兴起，催生了交通运输业线上服务的繁荣市场，各平台的个人出行数据、航班票价、热门目的地、官网优惠活动等信息所产生的数据价值成了爬虫关注爬取的内容。而通过“智能刷票软件”、“超高速网络”等兴起的爬虫手段成为了交通运输行业爬虫攻击的主要方式。 22.91%13.81%9.03% 10.32%

14、11.64%9.05%8.09%5.68%2.73% 2.27% 2.92% 13.81%9.03% 10.32%11.64%9.05%8.09%5.68%2.73% 2.27% 2.92% 1.57%4月56月78月91011月12月图4：2018年交通行业恶意爬虫流量攻击全年分布情况同时，生活服务行业（旅游票务、酒店娱乐、生活资讯、外卖点评、分类信息）在2018年所遭受的攻击占全部攻击总量的23.44，增长11。究其原因，主要在于为用户提供这些服务的旅游票务、酒店娱乐等平台，往往拥有最大的用户基数和最丰富的数据，也容易成为黑产觊觎的目标。2.4.“羊毛党”是如何团队作战的？恶意羊毛党一直以

15、来被认为是互联网企业的一大痼疾。通常情况下，羊毛党利用手头的资源（如黑卡）到各个平台注册新用户，平台的活动经费绝大部分落入羊毛党口袋中，真实用户获益无几，甚至羊导致企业服务器被挤爆，真实用户无法使用服务。那么，恶意羊毛党是如何团队作战的呢？以电商优惠活动为例，羊毛党往往用采用如下手段，如图5所示：Step3：套现Step2：攻击Step1：准备Step3：套现Step2：攻击电商活动资源优惠券实物奖励秒杀0元单短信代接平台人工打码平台 电商活动资源优惠券实物奖励秒杀0元单短信代接平台人工打码平台账号批量注册软件开发账号出售团伙刷单团伙非法获取获利转卖用户黑卡资源团伙账号批量注册软件开发账号出售

16、团伙刷单团伙非法获取获利转卖用户IP、设备等账号登录软件开发资源挖掘团伙账号登录软件开发刷单、扫优惠券软件开发刷单、扫优惠券软件开发活动资源挖掘团伙软件制作团伙图5：恶意羊毛党团队作战流程Step1：准备阶段薅羊毛需要有海量的账号，羊毛党们利用打码平台和卡商提供的海量手机号在平台批量注册账号，用于之后的营销活动中。同样地有另外一波人在实时关注着各大平台的优惠信息，寻找下一个可薅的猎物。待黑产上游人员完成账号的批量注册之后，便会在各种平台兜售账号以获利，将薅羊毛的重任交由给下一棒选手完成。Step2：攻击阶段海量的账号密码到达刷单团伙手里，同样可以通过爬虫工具实现优惠券的自动获取，秒杀产品的自动

17、下单。Step3：套现阶段通过作弊手段获得的虚拟资产、实物奖品等，由黄牛在各个论坛物色买家，以低于市场价，高于羊毛价的形式出售，从而赚取价差。在这个阶段也可以利用爬虫工具在综合信息平台批量发帖，长期霸屏，节省人力的同时增加曝光率。在这一套流程中，有的人身兼数职，从头到尾都一手包办，有的人只在其中担任中间商或者掮客的角色，从而分一杯羹。2.5.传统防薅羊毛手段：走在用户体验和反爬虫的钢丝上大促之战一触即发，当零点的号角吹响，“爬虫”和普通用户同时涌进网站的大门，在自动化工具的高频操作和千兆带宽的双重夹击之下，普通用户很快败下阵来。对于普通用户来说，如果电商的优惠券或者秒杀商品抢不到，对于购物欲望

18、是极大的打击。为了防薅羊毛，商家们不可谓不努力，从请求限速到祭出验证码，虽然过滤了一部分低级爬虫，普通用户也哀鸿遍野，伤敌一百，自损八千。2.6.爬虫正变得更“聪明”，智能反爬成趋势从2018年多起恶意羊毛党印发的事件中，可以看出，对于平台来说，低效、粗暴的反爬机制，带来的是真金白银的损失和用户体验的急剧下降。纵观2018年网宿云安全平台监测到的爬虫攻击事件来看，爬虫正在变得更加复杂和“聪明”。随着爬虫技术和工具的演进，区别于过去“一把抓”似的爬取数据，现在的爬虫不仅更加会模仿人类行为，且更懂得“有的放矢”，有针对性地爬取更有价值的数据。例如，从网宿云安全平台的统计数据可以看出，每年的3月份，

19、爬虫流量会上升到一个高峰，这段时间是高校学生撰写毕业论文的时期，很多学生利用爬虫工具大量爬取互联网上的信息，造成了爬虫流量的大幅波动。此外，越来越多证据表明，黑灰产业已经在使用大数据和人工智能技术来绕过传统的反爬机制。例如，传统的反爬机制通过IP限制、验证码、设备指纹等方式过滤恶意爬虫，而攻击者通过代理修改IP、利用群控平台控制多个手机，修改手机的设备信息，通过打码平台批量识别验证码，传统手段构筑的防线都被一一绕过。面对越来越智能的攻击，实施基于大数据和人工智能的反爬策略愈加重要。例如，基于AI的机器识别技术能够智能区分正常请求与Bot请求，在用户无感知的前提下保证业务安全；大数据安全分析技术

20、，能够实现全网联动和智能人机识别，实现用户无感知的防护。第三章DDoS攻击解读2018年网宿云安全平台监测到全网网络层DDoS攻击事件达322万余次。其中，下半年是DDoS攻击的高发期，攻击事件数量比上半年增长了120.9 。1020.001200.001000.00800.00600.00400.00200.00809.82685.95640.62488.89 613.23469.14.96389.78237.35325.08526439.290809.82685.95640.62488.89 613.23469.14.96389.78237.35325.08526439.291月2月34月

21、5月6月7月89月10月11012月攻击次数攻击峰值图6：2018年DDoS攻击概览3.1.2018年DDoS攻击峰值连续2次打破历史纪录最近几年，网宿云安全平台所抵御的DDoS发起大流量DDoS攻击，此外，激烈的市场竞争环境也进一步导致了DDoS攻击流量的攀升。 2018年4月，网宿云安全平台抵御了带宽峰值达809.82Gbps的DDoS攻击，打破了2017年带宽峰值 632Gbps的历史纪录；2018年11月22日凌晨04:23，网宿云安全平台成功防御一起攻击流量高达1.02Tbps的DDoS攻击，再次打破了网宿上半年的最高防护记录。越来越低的攻击成本，使得发起DDoS攻击的门槛降低，更容

22、易发起大流量攻击攻击行为，传统的拼带宽拼资源的方式已经无法满足当前大流量攻击的防御需求，值得企业重视。3.2.超过73.37 的攻击源集中在四川、北京、广东等地2018年，DDoS流量攻击来源主要分布在四川、北京、广东等地区，占全部攻击的73.37。其中，四川为最大攻击来源省份占比32.7 ，北京、广东、山东、河南次之。图7所示。 32.70%20.73% 19.94%8.49%3.28% 3.17% 2.79%3.39%1.97% 20.73% 19.94%8.49%3.28% 3.17% 2.79%3.39%1.97% 1.79% 1.75%山东河陕西山西江西藏广西其他图7：2018年DD

23、oS攻击源IP全国区域分布情况3.3.50Gbps、两小时以内的DDoS攻击占据主流通过对全年的DDoS攻击事件带宽及时长的分析，有助于企业认识DDoS攻击未来的态势，为企业流量攻击防御建设提供参考依据。2018年DDoS攻击事件带宽分布情况如图8所示：经统计，2018 年多数攻击事件带宽在 50Gbps 以内，占整体攻击事件的95.97；纵观全年攻击事件，50Gbps 以上的攻击带宽分布平均，无明显变化。0.47%0.53%0.59%0.80%0.79%0.85%0-50)50-100)100-200)200-300)300-400)400-500)500-1000)图8：2018年DDoS

24、攻击事件带宽分布图895.97%0.47%0.53%0.59%0.80%0.79%0.85%0-50)50-100)100-200)200-300)300-400)400-500)500-1000)图8：2018年DDoS攻击事件带宽分布图8对于大多数企业来说，在没有使用DDoS流量清洗服务的情况下，50G的攻击已经足以致使服务瘫痪，因此50G以内的攻击相对来说是“性价比”最高的方式，大多数的攻击带宽峰值也落在这一区域。同时，对DDoS攻击事件的持续时长进行统计分析发现，2018年网络层DDoS攻击事件整体的平均持续时长为114分钟，最长持续28天，比2017年平均时长增长了17分钟。如图9所

25、示， 2018年，61.75 的攻击事件在2个小时以内结束。数据表明，多数攻击者在发起DDoS攻击时，前期主要还是效果探测为主，如果不能造成网络的抖动乃至中断，才会继续或者发起更大的流量攻击。可以预计，2019年多数的DDoS攻击的持续时长仍在两小时以内，而两小时以上的攻击时长预计依然会有小幅增长。(240-480(120-240(60-120(30-60(0-3027.02% 10.05%12.51%15.68%19.43%15.30%0.00%5.00%10.00%15.00%20.00%25.00%30.00%10.05%12.51%15.68%19.43%15.30%图9：2018年D

26、DoS攻击时长分布图3.4.SYN_Flood攻击是黑客青睐的DDoS攻击方式如图10所示，2018年SYN Flood占了DDoS攻击总数的84.97，其次是ACK_Flood攻击、UDP_Flood攻击、ICMP_Flood攻击。时，多向量的DDoS攻击方式在2018年递增，逐步取代了传统的单一攻击手法：攻击者使用两个或多个攻击载体，使得攻击变得更为复杂，极大提高了防御难度。1.49%10.20%34%3.84.97%1.49%10.20%34%SYN_FloodUDP_FloodACK_FloodICMP_Flood图10：2018年DDoS攻击类型分布图3.5.游戏依然是遭受攻击最严重

27、的行业2018年，游戏依然是遭受DDoS攻击最严重的行业，占据全部DDoS攻击事件中的61.10，且攻击量有所上升。通过DDoS发流量攻击使业务掉线致使玩家流失依然是游戏行业常见的攻击目的。3.30%1.82%0.83%1.64%5.14% 17.21%7.39%1.24%电商交通运输政府机构图11：2018年DDoS攻击行业分布情况通过对2018年与2017年行业DDoS攻击带宽峰值对比发现，游戏、金融、信息服务、电商、交通运输行业在2018年受DDoS攻击峰值有增无减，而图文资讯、视听影音均有所下降，如图12所示：1200.001000.00800.00600.00400.00200.00

28、0.00游戏金融信息服务 图文资传统企业视听影音 生活服务电商交通运政府机构2018年攻击峰值2017年攻击峰值图12：2018年与2017年行业DDoS攻击带宽峰值记录对比图第四章Web应用攻击解读随着互联网的发展，业务数据价值越来越高，企业数据成为了不少攻击者青睐的目标，频发的数据泄露、网页篡改等安全事件使得企业系统所面临的安全威胁也随之增大，因此，针对Web应用层的防御越来越重要。4.1.2018年Web应用攻击翻番增长2018年，网宿云安全平台一共监测与拦截Web应用攻击9.53亿次，与2017全年相比攻击量呈翻倍增长，全年攻击量在4月份达到顶峰，如图13所示：12.53%10.87%

29、8.90%7.61%6.28%5.68%4.00%4.87%5.78%6.59%9.16%17.75%12.53%10.87%8.90%7.61%6.28%5.68%4.00%4.87%5.78%6.59%9.16%1月2月3月4月5月6月7月8月9月10月11月12月图13：2018年Web应用攻击事件分布图4.2.北京、上海等地是发起Web攻击的主要区域对中国的攻击源IP省份分布进行区域性关联分析后发现，2018年，65.56的流量攻击来源主要分布在北京、上海、浙江地区。其中，与2017年相比，北京的攻击源激增5倍，广东的攻击源锐减近4倍。45.08%20.48%11.81% 9.88%2

30、0.48%11.81% 9.88%4.02%0.65%0.57%0.18%0.03%广东江苏湖北四山西湖南其他图14：2018年Web应用攻击源IP全国区域分布情况对攻击源IP和攻击事件进行关联分析后发现，多数攻击事件并不是随机扫描而产生的攻击行为，越来越多的数据表明，攻击者往往会对某一目标系统采取一系列的攻击方式进行入侵测试，并在相当长的一段时间内进行不断尝试，甚至长达半年的时间。因此，如何从现有的安全设备日志中及时发现有目的性的入侵行为是企业未来在实施风险预警时需解决的问题。4.3.政府网站成为2018年Web应用攻击的重灾区由于政府网站权重高，流量稳定，成为了攻击者推广各类网站，引流的主

31、要渠道，因此，政务网站所受的Web攻击往往是以被插广告、暗链黑链为主。建议政府网站可结合云WAF和网站安全监测的手段，对网站进行全天候的安全防御与监测，防止被入侵修改网页信息。12.20% 12.16%12.51%11.47%1.22%0.09%5.76% 3.86%7.85%32.89%12.20% 12.16%12.51%11.47%1.22%0.09%5.76% 3.86%7.85%图15：2018年Web应用攻击行业分布情况4.4.SQL注入占全年Web攻击总数近半对2018全年的Web应用攻击类型进行分类统计，SQL注入攻击方式依然是最主要的攻击方式，占所有攻击类型的41.34，次是

32、XSS跨站脚本（20.66）和非法下载（18.72），如图16所示：18.72%2.43%2.44%41.34%SQL注入XSS跨站扫描器恶意扫描14.41%非法下载文件上传第三方组件漏洞利用17.21%图16：2018年Web应用常见攻击类型分布图与2017年相比，SQL注入、跨站脚本（XSS）、非法下载平均达到了21的增长；而恶意扫描，第三方组件漏洞等增长幅度小 。 SQL注入，是最常见的Web应用攻击手法之一，攻击者向服务器提交恶意的SQL查询语句的一部分执行，导致原始的查询逻辑被改变，执行了攻击者精心构造的恶意代码。有效的漏洞风险发现并修复是解决Web应用攻击的主要方式。调研发现，企业往往很难按照安全的相关规范标准实行业务系统的风险控制管理，比如上线前第三方的安全监测、日常迭代更新的周期性风险评估等。这给企业在业务系统后续的运行过程中带来了较大的入侵风险。因此，有效的漏洞监测、渗透测试、代