一、安全行业情况通报

1、网络安全基本态势

本月，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。

2、光通天下监测情况通报

根据光通天下监测数据显示，2018年上半年，DDoS攻击态势迅猛，攻击类型主要以Xorddos，Billgates，Mayday，Dofloo，Nitol，Darkshell等为主。Xorddos是发起攻击最多的家族，攻击类型主要为SYN Flood为主、其他攻击类型为辅的组合攻击；Nitol家族是发起HTTP Flood攻击最多的家族，还会输出SYNFlood, ICMP Flood, TCP Flood等攻击。

图一 攻击数据监测统计

在攻击流量的分层统计上，50G以内的攻击次数最多， 超过百G的攻击累计占比较少，但呈现日益递增的现象。在攻击时长来看，占比最多的是1min以下的攻击，其主要攻击方式是瞬时攻击，以极大的流量直接瘫痪掉攻击的服务，导致大量用户掉线、延迟、抖动等。

光通天下对随机抽取的6月份200个受攻击的IP进行分析，共监测到攻击29740次。分析显示，游戏行业被攻击的IP数占比最多，遭受攻击数也最多，其中，单类型攻击流量峰值达22GB，攻击类型为TCP Malformed，平均攻击峰值为45MB,同比4、5月份略有降低。

图2 平均攻击峰值统计图

3、DDoS攻击信息分析

▲控制端资源分析

根据国家互联网应急中心抽样监测数据，近期利用肉鸡发起DDoS攻击的控制端有259个，其中，43个控制端位于我国境内，216个控制端位于境外。
位于境外的控制端按国家或地区分布，美国占的比例最大，占50.5%，其次是中国香港和法国。位于境内的控制端按省份统计，浙江省占的比例最大，占34.9%，其次是江苏省、北京市和上海市；按运营商统计，电信占的比例最大，占76.7%，联通占7.0%，移动占2.3%，如图3所示。

图3 近期发起DDoS攻击的境内控制端数量按省份和运营商分布

▲肉鸡资源分析

根据国家互联网应急中心抽样监测数据，近期共有295,101个肉鸡地址参与真实地址攻击（包含真实地址攻击与其它攻击的混合攻击）。

这些肉鸡资源按省份统计，浙江省占的比例最大，为15.3%，其次是江苏省、山东省和河南省；按运营商统计，电信占的比例最大，为61.8%，联通占28.8%，移动占7.1%，如图4所示。

图4 近期肉鸡地址数量按省份和运营商分布

▲反射攻击资源分析

根据国家互联网应急中心抽样监测数据，近期利用反射服务器发起的memcached、NTP、SSDP三类重点反射攻击共涉及3,114,385台反射服务器，其中境内反射服务器3,396,315台，境外反射服务器173,014台。反射攻击所利用memcached反射服务器发起反射攻击的反射服务器占比0.6%；利用NTP反射发起反射攻击的反射服务器占比7.3%；利用SSDP反射发起反射攻击的反射服务器占比92.1%。

通过跨域伪造流量发起攻击的流量来源于208个路由器。根据参与攻击事件的数量统计，归属于新疆维吾尔自治区移动的路由器（221.X.X.5、221.X.X.9）参与的攻击事件数量最多，其次是归属于广东省联通（120.X.X.8、120.X.X.9）的路由器，跨域伪造流量涉及路由器按省份分布统计，江苏省占的比例最大，占13.9%，其次是北京市和广东省；按路由器所属运营商统计，电信占的比例最大，占36.1%，联通占比33.2%，移动占比30.7%，如图5所示。

图5 跨域伪造流量来源路由器数量按省份和运营商分布

通过本地伪造流量发起攻击的流量来源于543个路由器。根据参与攻击事件的数量统计，归属于新疆维吾尔自治区电信的路由器（222.X.X.16、222.X.X.15）参与的攻击事件数量最多，其次是归属于北京市电信的路由器（220.X.X.253、220.X.X.243），本月本地伪造流量涉及路由器按省份分布，江苏省占的比例最大，占11.4%，其次是湖南省、广东省和北京市；按路由器所属运营商统计，电信占的比例最大，占50.3%，移动占比27.4%，联通占比22.3%，如图6所示。

图6 本地伪造流量来源路由器数量按省份和运营商分布

4、DDoS攻击趋势分析

腾讯云近期发布DDoS态势报告，报告中称，全球的DDoS攻击走势迅猛，流量峰值已突破1.7Tbps。根据数据显示，虽然DDoS总攻击次数有所收敛，但流量峰值却剧增，这同国家互联网应急中心所说的“攻击形式向流量放大型转变”的分析吻合，而大流量攻击事件的主要攻击方式为TCP SYN Flood、NTP反射放大攻击和SSDP反射放大攻击。从攻击流量来看，反射放大攻击中的伪造流量来自境外的超过85%。

图7 DDoS攻击次数和攻击峰值分析

CNCERT对DDoS攻击资源跟踪分析，发现攻击资源（如控制端、被控端、反射服务器等）发起攻击的次数呈现幂律分布（幂律分布也称长尾分布，这种分布的共性是绝大多数事件的规模很小，而只有少数事件的规模相当大）的特点，大部分攻击资源发起的攻击次数只有寥寥数次，而存在少量攻击资源被长期、反复利用发起了大量攻击事件，如图8-10所示。

图8 控制端发起DDoS 攻击的事件次数呈幂律分布

图9 被控端参与攻击次数呈幂律分布

图10 反射服务器被利用攻击次数呈幂律分布

从腾讯云发布的DDoS态势报告来看，游戏行业仍是攻击重灾区，占总攻击的39%，其中，手游占比最大，达到32%。数据显示，游戏行业平均攻击峰值为9.4Gbps,平均持续时长为1759秒，单次攻击最长达到766744秒；一天中在21时攻击次数最多，一年中在元旦和儿童节当天达到攻击次数的最高峰；攻击形式上，以5分钟以下的短时攻击为主，达到58%的占比，在攻击流量带宽分布上，以100~200G攻击为主，占比72%；攻击手法上，UDP反射放大攻击仍占大头，其中，NTP反射即占34%。；对攻击源进行分析发现，国内的攻击源IP聚集在环渤海、江浙、广东，国外的攻击源IP主要来自美国、俄罗斯和阿根廷，被攻击的企业则普遍聚集在一线和新一线城市。

图11 攻击手法占比图

图12 UDP反射手法分析图

二、安全行业态势分析

1、网络安全整体市场趋势

频发的安全事件催化下，网络信息安全已经上升至国家战略高度。移动互联网和物联网的普及，云计算、大数据的快速发展，都给网络安全提出了更多新的挑战。随着企业和个人信息安全意识加强，加上政策逐步落地，我国的网络信息安全产业日渐提高“可控性”，“自主化”也随着国产化替代加速。

政策的持续推出以及机构改革凸显了国家对于网络安全行业的重视。从国内网络安全的产品形态构成看，我国网络信息安全硬件产品占51%，安全服务与软件分别占比11%和38%。下游应用来看，政府、金融、电信的占比分别为25%、19%和18%。

据前瞻产业研究院发布的《网络安全行业发展前景预测与投资战略规划分析报告》数据显示，预计2019年我国网安硬件市场规模将增至30亿美元，增速随着市场开拓逐渐放缓;而网安软件市场规模预计2019年将达到8.84 亿美元，增速将逐渐提升。

图13 我国网络安全软件市场规模

2、新零售行业网络安全状况浅析

近年来，网络零售快速发展，在技术升级与消费升级驱动下，新零售应运而生，新零售强调通过大数据和互联网重构“人、货、场”等商业要素形成新的商业业态。2018年新零售企业的互联网暴露资产总量为2017年的2.8倍，平均每个企业在互联网上拥有近千个主机资产，整体呈井喷式增长。

图14 新零售企业2017-2018年互联网资产情况

近期，安全牛对8类共计245家“新零售”上下游企业在2018年618期间的互联网资产、安全事件和脆弱性这三类数据进行计算分析发现，2018年初至618结束，消费品牌企业面临的互联网风险最高；88%的消费品牌企业出现安全漏洞；庞大的线上业务量使电商平台遭受DDOS攻击占比达到77%。通过分析“新零售”八大领域在2018年4-6月遭受DDOS攻击网络攻击情况发现，电商平台、消费品牌企业遭受DDOS攻击的数量占比较大，企业占比高于60%；三方支付类企业遭受DDOS次数最高，平均达到820次；信息技术类企业遭受DDOS攻击的平均流量高达12G，远高于其他领域。

图15 “新零售”领域遭受DDOS攻击网络攻击情况

监测发现，618期间全国遭受DDOS攻击较多的城市为：北京、上海、深圳等大型城市。同时，本次618重灾受害区域的IP集中在浙江省。

数据显示，在618前夕及活动期间，DDOS攻击的时长大多控制在10min中内。黑客攻击趋于目标化与精准化，力求在控制成本的同时达到攻击效果；主流攻击类型为SYN Flood攻击和基于UDP的海量攻击，这两种攻击方式都较常见，且攻击门槛和成本较低。

图16 2018年4-6月DDoS攻击类型统计

安全牛对618期间遭遇DDoS攻击站点的业务流量影响进行了抽样。统计显示，在遭遇DDoS攻击之后的3天，约有26%的被攻击网站受到了严重的影响，日均流量较被攻击前的平均水平下降超过70%；约27%的被攻击网站受到一般影响，流量下降30%-70%；而有约47%的网站业务未受到影响或影响较轻。

3、网络安全发展趋势

网络技术发展、计算存储能力提升、大数据等新技术应用带动网络安全产业不断发展，通过大数据、AI 技术实现智能化业务是网络安全发展趋势。同时，网络安全专业人才严重不足、新型攻击形式也日渐增多，这些因素的驱动下， 行业开始寻求自动化网络安全解决方案，大数据技术以及高难度识别、机器学习等人工智能技术的快速发展，推动了网络安全技术的不断升级。

通过机器深度学习的新一代人工智能必须以大数据为其实现基础，而大数据网络安全特别是网络公共安全领域必将是未来人工智能充分发挥其巨大潜力的领域之一。