云安全报告：DDoS 攻击频次下降，工业云成重点目标

根据 CNCERT 监测数据，虽然国内主流云平台使用的 IP 地址数量仅占我国境内全部 IP 地址数量的 7.7% ，但云平台已成为发生网络攻击的重灾区， 在各类型网络安全事件数量中，云平台上的 DDoS 攻击次数、被植入后门的网站数量、被篡改网站数量均占比超过 50%。

不久前，国家计算机网络应急技术处理协调中心（以下使用：CNCERT）发布了《2018 年我国互联网网络安全态势综述》。报告显示，国内主流云平台上承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的 53.7%，木马和僵尸网络恶意程序控制端 IP 地址数量占境内全部恶意程序控制端 IP 地址数量的 59%，表明攻击者经常利用云平台来发起网络攻击。

当然，这并不代表相比本地平台，云平台更易受到攻击。根据报告分析，云平台成为网络攻击重要目标的原因在于如今有大量系统部署到云，涉及国计民生、企业运营数据和用户个人信息，这成为攻击者攫取经济利益的目标。从云平台发出的攻击增多是因为云服务使用存在便捷性、可靠性、低成本、高带宽和高性能等特性，且云网络流量的复杂性有利于攻击者隐藏真实身份，攻击者更多利用云平台设备作为跳板机或控制端发起网络攻击。

DDoS 攻击频次下降，峰值流量攀升

分布式拒绝服务（DDoS）攻击通常是指多个系统（通常是被恶意操控的系统，即傀儡机）淹没某个目标系统（通常是一个或多个 Web 服务器）的带宽或资源。DDoS 攻击通过对目标服务器造成这类恶意拥塞，导致服务器运行缓慢甚至宕机。

由于许多原因，DDoS 攻击是一种常年普遍存在的恶意网络攻击方式。同时，恶意攻击者不断改进攻击策略和技术，使得 DDoS 攻击越来越难以被检测和阻止，并逐步形成“DDoS 即服务”的互联网黑色产业服务，普遍用于行业恶意竞争、敲诈勒索等网络犯罪。得益于我国网络空间环境治理取得的有效成果，经过对 DDoS 攻击资源的专项治理，我国境内 DDoS 攻击频次总体呈现下降趋势。

根据第三方分析报告，2018 年我国境内全年 DDoS 攻击次数同比下降超过 20%，特别是反射攻击较去年减少了 80%。

虽然攻击频次呈现下降趋势，但峰值流量持续攀升。根据阿里云去年发布的《网络气象标（阿里云安全报告）》，DDoS 攻击的强度由其生成的流量峰值来度量。由于 DDoS 攻击的主要目标是占用目标系统的带宽或资源，因此它的峰值必须大于目标服务器的峰值容量。

根据阿里云的统计，从 2016 年 10 月至 2018 年 11 月份，峰值流量逐月增加的趋势非常明显（下图节选自阿里云报告，数据仅针对阿里云并被阿里云阻止的部分攻击，对于每次攻击，都可能有部分流量在同一时间内路由到其他提供商，因此，全球峰值情况要更加严重）：

CNCERT 抽样监测发现，2018 年，我国境内峰值流量超过 Tbps 级的 DDoS 攻击次数较往年增加较多，达 68 起。其中，2018 年 12 月浙江省某 IP 地址遭 DDoS 攻击的峰值流量达 1.27Tbps。具体到每个月，阿里云平台阻止的 DDoS 攻击事件数如下：

由图可见，2018 年 8 月份达到了最高峰，这与 CNCERT 的监测结果完全吻合。从全年来看，CNCERT 共监测发现利用僵尸网络进行攻击的 DDoS 攻击团伙 50 个。其中，控制肉鸡数量较大的较活跃攻击团伙有 16 个，涉及 C&C 控制服务器有 358 个，攻击目标有 2.8 万个。通过 对全年攻击活动进行分析，发现不同攻击团伙之间相互较为独立，同一攻击团伙的攻击目标非常集中，不同攻击团伙间 的攻击目标重合度较小。

虽然这些攻击背后的目标各不相同，但绝对不是随机的，DDoS 攻击者是受雇佣为获取利益才发动攻击的，因此可以从攻击的行业分布中判断出过去一年竞争较为激烈的垂直行业（数据来源于阿里云）：

综上，云服务商和云用户都应加大对网络安全的重视和投入，尤其是上竞争较为激烈的游戏行业，分工协作提升网络安全防范能力。云服务商应提供基础性的网络安全防护措施并保障云平台安全运行，全面提高云平台的安全性和可控性。

针对工业控制系统的定向性攻击趋势明显

2018 年，CNCERT 不断升级监测手段，扩大监测范围，进一步加强了针对联网工业设备和工业云平台的网络安全问题跟踪。报告显示，全年累计发现境外对我国暴露工业资产的恶意嗅探事件约 4,451 万起，较 2017 年数量暴增约 17 倍；发现我国境内暴露的联网工业设备数量共计 6,020 个，涉及西门子、韦益可自控、罗克韦尔等 37 家国内外知名厂商产品，主要是这些联网设备的厂商、型号、版本、参数等信息遭恶意嗅探。

另外，CNCERT 发现具有一定规模的工业云平台 30 多家，业务涉及能源、金融、物流、智能制造、智慧等方面，并监测发现根云、航天云网、COSMOPlat、OneNET、OceanConnect 等大型工业云平台持续遭受漏洞利用、拒绝服务、暴力破解等网络攻击，工业云平台正逐渐成为网络攻击的重点目标。

防御手段

深度学习

如果在黑客计划攻击时就能预先得知可能遇到的防护攻击，攻击者就有知己知彼的优势，从而找到绕过这些防护工具的方法。虽然 WAF 被视为一种可以有效阻止绝大多数应用层攻击的安全工具，但精明的攻击者仍然可以找到绕过防护的方法，互联网上可以找到各种教程。阿里云在报告中指出，WAF 规则防护非常高效，但其缺点就是对人脑力的高度依赖，而“人”恰好是信息安全链中最薄弱的环节，基于深度学习的 WAF 可以解决这一问题，可以将基于深度学习的 WAF 理解为一个神经网络的黑盒模型，而非一长串正则表达式模式，这使得攻击者更难理解其决策过程并找到合适的绕过方法。

加强用户名和密码管理

如今，企业越来越多使用 Linux 作为服务器操作系统，而 SSH 是各 Linux 系统常用的登录方法（而非 Windows 操作系统）。其次，物联网设备也是基于 Linux 的，并且越来越流行，这些设备大多使用弱密码或者常见的用户名密码组合，从而使得其更容易成为暴力破解的目标。阿里云研究人员发现在暴力破解中，最常见的用户名分别是 admin、root、sa、administrator、user 等，企业应该注意避免使用这样的用户名，并加强用户名和密码的管理。

漏洞检测和修复

2018 年，CNVD 收录的安全漏洞中关于联网智能设备安 全漏洞有 2,244 个，同比增长 8.0%。这些安全漏洞涉及的类型主要包括设备信息泄露、权限绕过、远程代码执行、弱口令等，涉及的设备类型主要包括家用路由器、网络摄像头等。根据阿里云此前的调查，应用层存在更多高危漏洞：

因此，应用开发人员在进行开发时需要重点关注安全问题，安全服务提供商必须把应用层漏洞放在更重要的位置。

结束语

过去一年，虽然各个云平台都遭受并阻止了不同程度、不同类型的攻击，但全年未发生大规模病毒爆发、大规模网络瘫痪等重大事件，整体可用性维持在较高水平。此外，国家层面进一步健全网络安全法律体系，完善网络安全管理体制机制，网络安全应急响应能力不断提升，传统的安全问题已经得到有效控制。