文/徐原

“恶意代码”大幅增长

文/徐原

CNCERT 发布2010年3月网络安全数据

2010年3月，CNCERT收到国内外通过电子邮件、热线电话、网站提交、传真等方式报告的网络安全事件2017件（合并了通过不同方式报告的同一网络安全事件），与2月的1917件相比增长5%，其中来自国外的事件报告有1992件。

在2017件事件报告中，数量最多的分别是垃圾邮件类事件1001件，恶意代码类事件648件，漏洞类事件228件。3月，网络安全事件报告数量略有增长，其中“恶意代码”事件报告数量增长幅度最大，为245%。

2010年1月至3月，CNCERT收到的网络安全事件报告数量月度统计如图1所示。3月收到的网络安全事件报告较少，略高于1月的水平。

木马事件

2010年3月，CNCERT监测发现我国大陆地区44727个IP地址对应的主机被其他国家或地区通过木马程序秘密控制，与2月的64411个相比下降31%，其分布情况如图2所示。

1月至3月，我国大陆地区被境外通过木马程序控制的主机IP数量月度统计如图3所示，整体呈下降趋势。可以看到3月木马受控主机IP数量处于第一季度最低水平。

2010年3月，秘密控制我国大陆计算机的境外木马控制服务器IP有8617个，与2月的79560个相比下降89%。

僵尸网络事件

2010年3月，CNCERT监测发现我国大陆52369个IP地址对应的主机被其他国家或地区通过僵尸程序秘密控制，与2月的54890个相比下降5%，其分布情况如图4所示。其中，数量最多的地区分别是上海市5811个（占中国大陆11.10%）、广东省5304个（占中国大陆10.13%）和浙江省4629个（占中国大陆8.84%）。

2010年1月至3月，我国大陆地区被境外通过僵尸程序控制的主机IP数量月度统计如图4所示，整体呈下降趋势。可以看到3月僵尸网络受控主机IP数量处于第一季度最低水平。

2010年3月，秘密控制我国大陆计算机的境外僵尸网络控制服务器IP有610个，与2月的1055个相比下降42%。

网站被篡改情况分析

2010年3月，我国大陆地区被篡改网站的数量为2303个，与2月的2304个相比基本未发生变化，其中代号为“Hmei7”、“HEXB00T3R”和“NEO”的攻击者对大陆政府网站进行了大量篡改。我国香港被篡改网站数量为43个，较2月增加3个，我国台湾被篡改网站数量为17个，较2月增加2个。

按地区分布情况来看，我国大陆被篡改网站数量最多的地区分别是北京市478个（占中国大陆20.76%）、江苏省266个（占中国大陆11.55%）和广东省233个（占中国大陆10.12%）。

按类型分布情况来看，我国大陆被篡改网站数量最多的分别是.com和.com.cn为1378个（占中国大陆59.83%），.gov.cn为447个（占中国大陆19.41%），.net和.net.cn为158个（占中国大陆6.86%）。

2010年3月，大陆地区政府网站被篡改的数量为447个，较2月的403个增长11%，占大陆被篡改网站的比例由17.49%上升到19.41%。其中，3月17日被篡改数量最多，达到41起。

CNCERT每日都对监测到的大陆被篡改网站进行汇总分析，并及时通知网站所在省的分中心协调解决，促进相关部门尽快恢复被篡改网站。

另外，2010年3月，CNCERT抽样监测了出入我国大陆互联网的流量（字节数）情况并对其进行统计，估算出境外访问我国大陆的流量情况。美国、日本、我国香港、韩国和我国台湾的访问流量较大，合计占总流量的18.2%。

(作者单位为国家计算机网络应急技术处理协调中心)