中国互联网安全报告2019CHINA INTERNET SECURITY REPORT2019年中国互联网安全报告解读第一章 本期报告概览第二章 恶意爬虫攻击数据解读 2.1. 平均每秒发生380起爬虫攻击请求 2.2. 35.28%的恶意爬虫攻击源来自海外2.3. 超过一半的国内爬虫流量来自江苏、浙江等地 2.4. 恶意爬虫攻击的行业分布广泛2.5. 针对电商零售行业的爬虫攻击分析第三章 DDoS攻击数据解读3.1. 2019下半年DDoS攻击同比增长超4成3.2. DDoS攻击峰值创新高3.3. DDoS攻击规模大流量趋势明显3.4. 攻击更具针对性，67.88%的攻击事件在半小时内结束 3.5. 游戏行业依然是DDoS攻击重灾区3.6. 针对游戏行业的DDoS攻击分析第四章 Web应用攻击数据解读4.1. 2019年Web应用攻击平稳增长4.2. 暴力破解代替SQL注入成为主要攻击手段4.3. 超过半数的攻击源集中在中国大陆地区4.4. 超过一半的Web应用攻击针对影视及传媒资讯和电商零售行业4.5. 新爆出的漏洞利用攻击事件占比高达43.26%4.6. IPv6攻击事件成倍攀升第五章 API攻击数据解读5.1. API接口正成为新的攻击目标5.2. 恶意爬虫是最主要的攻击方式5.3. 超过50%的API攻击集中在政府机构和交通运输第六章 趋势展望及建议123345778991012121415161819192022目录2019年中国互联网安全报告解读1第一章 本期报告概览2019年，网宿云安全平台共监测并拦截了12178.96亿次攻击，平均每天为全球网站抵御与防护约33.37亿次攻击。其中，DDoS攻击12046.64亿次、恶意爬虫攻击119.46亿次、Web应用攻击12.86亿次；此外，在上述攻击中，网宿云安全平台还监测到针对API的攻击30.33亿次。对 于企业而言，随着企业的数字化转型，企业业务上云的演进，越来越多的关键业务、敏感数据暴露在互联网中，黑产团队拥有了更大的攻击面以及牟利点。而企业在将业务从内部网络转向互联网的过程中，内部网络业务通常较少考虑安全问题，业务转向互联网后失去了网络隔离的屏障，业务系统难以及时改造，安全问题尤为严重，大量的敏感信息以恶意爬虫、API攻击等方式被黑产团队获取。2019年网宿云安全平台监测数据显示，恶意爬虫攻击同比增长58.33%。影视及传媒资讯、电商零售由于其信息质量较高、具有更高的价值，沦为信息泄露的重灾区。因信息泄露导致的诈骗案件数量呈爆发式增长，同时对敏感信息的保护要求，也是国家网络安全要求的重点。相 比于业务攻击，DDoS攻击与Web应用攻击形势依然严峻，2019年DDoS攻击数量同比增长25.76%，Web应用攻击同比增长34.94%。依托于物联网、5G等技术的发展，DDoS展现出强度更大、手法更多样、来源更分散的趋势，全年DDoS攻击峰值屡创新高，网宿云安全平台于12月份监测到了高达1.02Tbps的攻击。游戏、电商行业依然是DDoS攻击的重灾区。Web应用攻击方面，针对1Day、nDay漏洞的攻击比例持续增高，暴力破解代替SQL注入成为最主要的攻击手段，黑产团队更倾向于使用简单、直接的方式获得网站权限，同时根据网宿云安全后台AI算法对攻击数据的分析，这些攻击大多来源于自动化、批量化、分布式的黑客工具。本 期报告依托于网宿云安全平台监测、拦截数据，从DDoS攻击、Web应用攻击、业务攻击等方面对2019年网络安全态势进行分析与解读。2019年中国互联网安全报告解读图2-1 2018与2019年全网恶意爬虫攻击分布情况2018年 2019年1月0.00%2.00%4.00%6.00%8.00%10.00%12.00%14.00%16.00%18.00%2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月2第二章 恶意爬虫攻击数据解读2019年网宿云安全平台共监测并拦截了119.46多亿次爬虫攻击请求,平均每秒发生380起，同比增长58.33%。如图所示，2019年恶意爬虫攻击量级月份分布平稳，波动较小。相比2018年，上半年攻击量均高于2018年所对应的月份攻击量。互联网经过几十年的发展与积累后，产生了海量的数据，随着大数据、人工智能的发展，数据逐渐成为许多公司的重要资产。围绕数据产生了许多相关产业链，如诈骗产业链、社工库产业链、薅羊毛产业链、人工智能数据采集产业链等。而爬虫是这些产业链的基础，通过爬虫获取数据后，产业链的各个环节再对数据进行清洗和组装。爬 虫有些是出于善意的目的，如搜索引擎的爬虫，会严格遵守Robots协议，同时爬取的频率也会做一些限制。有些爬虫来源于创业公司、学生，为了采集数据做一些实验分析，这部分爬虫虽然不具有太大的恶意动机，但是往往不会考虑网站负载情况，给网站造成过大的负担。而有些爬虫就是以窃取敏感信息、薅羊毛等恶意行为为目的，会给企业带来重大损失。除了搜索引擎爬虫以外，其他的爬虫行为均被定义为恶意爬虫，网宿云安全能够对恶意爬虫进行精准识别、阻断，为用户数据提供保护。2.1. 平均每秒发生380起爬虫攻击请求2019年中国互联网安全报告解读图2-3 2019年恶意爬虫攻击源IP全国分布情况0.00%2.00%4.00%6.00%8.00%10.00%12.00%14.00%图2-2 2019年恶意爬虫攻击全球分布情况中国：64.72%美国：11.06%墨西哥：4.34%俄罗斯：4.01%印度尼西亚：3.60%巴西：1.82%泰国：3.16%印度：3.14%阿尔及利亚：2.20%其他：1.95%3网宿云安全平台一共监测并拦截了全球5316.53万个恶意爬虫IP，平均每个IP攻击网站1万余次。通过对恶意IP的地理位置分析，如图所示，2019年64.72%恶意爬虫IP来自国内，其次是美国（11.06%）、墨西哥（4.34%）等。相比往年，海外攻击源所占比明显增多，爬虫团队海外“作战”趋势明显。2.2. 35.28%的恶意爬虫攻击源来自海外2.3. 超过一半的国内爬虫流量来自江苏、浙江等地进一步对国内爬虫流量进行分析发现，超过一半的恶意爬虫主要分布在江苏、浙江、广东、山东、河南等地，并不是因为爬虫的作者都来自这些地区，而是大量的爬虫部署在IDC、云计算机房，这些省份包含了大部分服务器、IP资源。西藏青海宁夏甘肃新疆台湾贵州内蒙古吉林天津海南黑龙江山西重庆陕西广西云南湖南江西上海福建湖北北京四川河北安徽辽宁河南山东广东浙江江苏2019年中国互联网安全报告解读影视及传媒资讯 ：33.46%电商零售：24.66%政府机构 ：17.19%交通运输 ：11.87%电子制造与软件信息服务 ：7.20% 其他 ：1.23%金融 ：2.43%教育 ：1.26%互联网金融 ：0.40%4影视及传媒资讯行业恶意爬虫主要是为了获取一些网站文章、新闻、影视资源等共享信息，同时企业信息、知识产权、信用信息等商业信息也在爬取之列。电商零售类数据爬虫主要来源于羊毛党与竞争对手，C2C电商由于中小卖家众多，贡献了电商类爬虫80%以上的流量。交通运输行业恶意爬虫多以抢特价机票和火车票为主要目的，黑产组织通过爬取到的特价票进行获利；大量的个人或组织则通过各类工具刷票，以满足个人出行或盈利需求。政 府机构、社交等行业爬虫主要以获取个人敏感信息为主，以此衍生的社工库产业链、诈骗产业链等会造成较大的社会危害。生活服务类爬虫主要目的是为了获取店铺的评级、客户点评等，而未做严格校验的平台还会出现通过爬虫刷评论的行为。通过对2019年多行业的数据进行分析，报告得出全年受恶意爬虫攻击比较多的行业。其中，影视及传媒资讯行业成为恶意爬虫攻击最严重的行业（33.46%），其次是电商零售（24.66%）、政府机构（17.19%）和交通运输（11.87%）。2.4. 恶意爬虫攻击的行业分布广泛图2-4 2019年恶意爬虫攻击行业分布情况制造业：0.30%2019年中国互联网安全报告解读图2-5 2019年电商零售行业恶意爬虫攻击走势图电商零售攻击走势 全网攻击走势1月0.00%2.00%4.00%8.00%10.00%12.00%14.00%16.00%18.00%20.00%6.00%2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月1.97%3.25%3.87%3.49%2.69%5.49%14.48%13.73%9.94%19.01%16.44%5.64%图2-6 恶意爬虫攻击目的薅羊毛：53.34%商品信息抓取：36.72%获取账号信息：8.56%其他：1.38%5针对该行业的爬虫攻击目标分析发现，53.34%的爬虫程序应用于“薅羊毛”，36.72%用于商品信息抓取，8.56%被用于撞库获取账号信息。由于电商零售行业与普通民众的日常生活密切相关，特针对该行业进行了爬虫相关的专门分析。2019年，网宿云安全平台一共监测并拦截针对电商零售行业的恶意爬虫攻击29.65多亿次请求。进一步分析每月爬虫攻击走势后发现，全网爬虫攻击处于相对平稳状态，而电商零售行业的爬虫攻击趋势却一路走高，并在10月份达到了顶峰。2.5. 针对电商零售行业的爬虫攻击分析2019年中国互联网安全报告解读消耗平台性能：大量的恶意爬虫拥堵带宽，消耗服务器性能，网站需要不断提升带宽与增加服务器，以满足正常用户的访问，运营成本不断增加；薅羊毛：羊毛党通过操纵大量账号仿冒新用户以获取商家活动的优惠券奖励，或者通过收取费用代人下单从而获利，平台市场活动推广达不到预期效果，造成经济损失；商品核心信息被爬取：以网站竞争对手为主，有目的性的爬取商品核心信息，如详情介绍、价格、销量等数据后进行同类产品线市场布局和价格研究，造成产品市场竞争力下降；用户数据被获取：通过社工库对网站的登入模块进行验证破解，利用网站对注册用户和非注册用户返回的字段和枚举值的差异，地毯式收集已注册的用户数据，并兜售给网站竞争对手做定向市场推广等。对于电商零售行业来说，纵容恶意爬虫无节制的抓取数据，虽然可以给网站带来可观的访问量，但同时也带来了难以估量的威胁和损失，如：62019年中国互联网安全报告解读7图3-1 2018年与2019年全网DDoS攻击月份分布情况2E+111.8E+111.6E+111.4E+111.2E+111E+118E+106E+104E+102E+101月02月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月2018年 2019年第三章DDoS攻击数据解读2019年，网宿云安全平台共监测并拦截了12046.64多亿次DDoS攻击事件，同比增长25.76%，平均每秒拦截3.82万次攻击。其中，网络层DDoS攻击3397.76万次，应用层攻击12046.30亿次。2019下半年DDoS攻击进入全年的活跃期，平台共监测到DDoS攻击事件6960.47多亿次，同比去年下半年增长了40.65%，增长幅度较大。3.1. 2019下半年DDoS攻击同比增长超4成以近两年网宿云安全平台监测到的全网DDoS攻击平均峰值为例，2019年平均攻击峰值为828.03Gbps，突破去年的553.84Gbps，同比上涨49.51%。纵 观2019年12个月的流量攻击峰值，全年多数月份均超过了2018年所记录的DDoS攻击峰值，同时12月份的攻击峰值也突破Tbps，达到1.02Tbps。3.2. DDoS攻击峰值创新高2019年中国互联网安全报告解读82019年，随着网络威胁的不断演化，DDoS攻击规模正呈现出大流量的趋势。虽然50Gbps以内的攻击仍是主流，但一个显著的变化是，50Gbps以上的攻击事件占比大幅提升，由去年的4.03%升至13.11%，其中，100Gbps以上的攻击事件相比2018年也有7.22%的增长。3.3. DDoS攻击规模大流量趋势明显图3-2 2018年与2019年全网DDoS攻击峰值分布情况(单位Gbps)2018年 2019年1200.001000.00800.00600.00400.00200.000.001月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月982.47878.59862.08902.75948.46598.99542.99697.13892.97951.47652.301026.18237.35488.89613.23809.82469.14389.78640.62685.95325.08439.291020.00526.96图3-3 2018年与2019年全网DDoS攻击带宽分布2019年 2018年>200Gbps100-200)50-100)0-50)0.00% 20.00% 40.00% 60.00% 80.00% 100.00% 120.00%6.91%3.87%2.33%86.89%95.97%0.47%0.53%3.03%