第35卷 第2期 福 建 电 脑 Vol. 35 No.22019年2月Journal of Fujian ComputerFeb. 2019———————————————刘娟(通信作者)，女，1989年生，主要研究领域为网络安全技术.E-mail:liujuan@.2018年网络安全状况及2019年网络安全趋势刘娟(国家计算机网络应急技术处理协调中心福建分中心 福州 350002)摘 要 为了总结2018年我国网络安全总体状况及特点，研判2019年需重点关注的网络安全趋势，本文基于监测数据和开源情报，分别从恶意软件、数据安全、物联网安全、APT 攻击等方面梳理了2018年我国网络安全六大态势，提出了物联网安全风险加大、恶意软件更加多样化、供应链攻击持续发生、信息泄露推动技术能力提升等四点网络安全趋势。

关键词 网络安全；物联网；勒索病毒；信息泄露 中图法分类号 TP393.08The Cyber Security Situation in 2018 and Its Trends in 2019LIU Juan(The Computer Network Emergency Response Technical Team/Coordination Center of Fujian, Fuzhou, China, 350002)1 网络安全现状2018年以来，我国网络安全态势持续严峻，勒索病毒、DDOS 攻击、挖矿病毒、信息泄露、APT 攻击等各类网络安全威胁层出不穷。

笔者根据监测数据和开源情报对六类典型网络安全威胁态势和特点进行分析总结。

1.1 勒索病毒自2017年5月WannaCry 勒索病毒事件爆发以来，各类勒索病毒此起彼伏。

2018年，我国多家医院、学校、行政服务中心、企业等被曝感染勒索病毒[1]，造成极大危害。

一方面，Globelmposter 、GandCrab 、Satan 等各类勒索病毒十分活跃，呈现更新快、变种多的特点。

以GandCrab 勒索病毒为例，该勒索病毒于2018年1月首次被发现，截至目前已监测发现5个大版本升级，每个大版本还包含多个变种。

另一方面，与WannaCry “广撒网”式投毒不同，2018年勒索病毒主要以重要行业重要数据服务器为目标，实现“精准投毒”，以期获得更多赎金。

攻击者往往通过暴力破解、漏洞利用等手段突破受害网络边界后部署勒索病毒。

监测数据显示，福建省2018年受感染行业分布如图1所示，可以看出政府部门是感染勒索病毒的重灾区。

图1 福建省2018年勒索病毒事件受害行业分析1.2 信息泄露2018年，互联网上曝光了多起我国公民信息泄露事件，泄露数据高达数十亿条，数据来源包括连锁酒店、快递公司、视频网站、求职网站等。

例如，2018年8月，华住旗下多家连锁酒店5亿条用户个人信息及入住记录在暗网公开叫卖，标价8个比特币（约合人民币35万元）。

与以往相比，暗网数据售卖成为此类事件曝光的主渠道。

究其原因是随着我国《网络安全法》的实施，对个人信息保护越来越完善，攻击者为了隐藏行踪转而在暗网通过加密货币进行交易。

这些信息泄露事件暴露了部分掌握102 福建电脑2019年大量用户数据的企业在网络安全防护和应急响应能力上的严重不足。

1.3 DDOS攻击根据卡巴斯基发布的2018年前三季度的DDOS攻击报告[2-4]，中国遭受DDOS攻击持续占据全球首位，我国面临的DDOS攻击形势严峻。

在DDOS攻击类型上，一方面，传统的SYN流量攻击依然占据主流，一方面，反射放大攻击由于成本低收益高获得攻击者的青睐。

2018年2月下旬到3月爆发的利用memcached服务器实施反射DDoS攻击[5]中，知名代码托管网站GitHub[6]和一家未知名的在线游戏提供商网站遭遇了史上最大规模的DDoS攻击，攻击峰值分别达到了1.35T和1.7T。

今年以来，福建互联网应急中心开展了DDOS攻击威胁资源专项治理，福建省DDOS攻击控制端、虚假流量来源路由器数量明显减少。

从全球视角来看，卡巴斯基DDOS攻击报告显示，位于中国的DDOS攻击C&C服务器占比从第一季度的8.03%下降到第三季度的5.22%，世界排名从第三位降到第五位，攻击资源治理初见成效。

1.4 挖矿病毒传播今年以来，在加密货币暴利驱动下，挖矿病毒肆意通过供应链攻击和通用型漏洞大规模传播[7]，形成庞大的挖矿僵尸网络，甚至存在多种挖矿病毒在同一台受感染设备上“黑吃黑”的现象。

监测数据显示，2018年安全企业曝光的挖矿病毒多达20余种，其中影响较大的挖矿病毒家族有WannaMiner、8220挖矿团伙、BearMiner、DDG挖矿僵尸等，受感染设备数百万，受影响操作系统遍及Windows、Linux、安卓、IOS。

攻击者通过供应链攻击传播挖矿病毒的方式包括通过伪造亚马逊、微软等知名软件供应商合法签名以躲避安全软件查杀，通过游戏下载站、软件下载站发布受感染软件安装包等。

攻击者利用的通用型漏洞则包括EternalBlue(永恒之蓝)漏洞、Eternalromance (永恒浪漫)漏洞、Apache Struts2远程命令执行漏洞、WebLogic XMLDecoder反序列化漏洞、Drupal远程任意代码执行漏洞、JBosss反序列化命令执行漏洞、Couchdb组合漏洞、Redis、Hadoop未授权访问漏洞等。

1.5 物联网设备防护能力由于物联网设备数量大、安全防护能力薄弱、漏洞修复周期长等问题，容易成为攻击者围猎的目标。

今年以来爆发了多起攻击者利用物联网设备漏洞组建大规模僵尸网络发起攻击事件。

例如，2018年5月，思科和赛门铁克公司陆续披露VPNFilter 恶意软件事件[8][9]，该恶意软件感染了54个国家的至少50万台网络设备，其中大多数都是互联网路由器，受影响产品包括Linksys、MikroTik、Netgear、TP-Link、华为、中兴等品牌超过70款网络设备。

此外，今年备受关注的物联网僵尸网络还有Mirai 变种、Gafgyt、Hide and Seek、Ddostf、Prowli、BCMUPnP_Hunter等。

这些物联网恶意软件具备的恶意行为包括窃取用户的登录名和密码、监控工业控制系统及操控网络设备、挖矿、实施DDOS攻击等。

1.6 APT攻击形势近年来，黑客组织长期利用武器化攻击工具对我国关键信息基础设施发动APT（高级持续性威胁）攻击。

由于APT攻击具有持续性、潜伏性和针对性等特点，相比常见的攻击具备更强的破坏性。

2018年我国面临的APT攻击形势尤为复杂，呈现出攻击团伙多、攻击手段更新快的特点。

一方面，根据监测数据和互联网披露数据显示，已公开的针对我国的APT组织包括海莲花、摩诃草、蔓灵花、Darkhotel、Group 123、毒云藤、蓝宝菇、商贸信等[10] [11]，政府、外交、军队、国防、能源、金融、电力、医疗、工业等是APT攻击的主要目标。

以“海莲花”APT组织为例，2018年境内机构公布“海莲花”APT攻击活动报告5篇，攻击十分活跃，该组织长期针对我国政府、科研院所、海事机构等领域信息系统发起攻击。

另一方面，针对我国的APT 攻击组织攻击手段不断更新，攻击武器库不断升级，攻击手段包括鱼叉攻击、水坑攻击、密码爆破攻击、0day漏洞攻击等，无文件攻击、多平台攻击、跨平台攻击等新型攻击手段利用越来越多，投放攻击文档的形式更加多样化，最终导致对APT攻击者的监测发现和追踪溯源难度越来越大。

2 网络安全趋势笔者结合2018年我国网络安全状况分析，提出以下四点2019年需重点关注的网络安全趋势研判。

2.1 物联网安全风险2019年，随着我国5G商用部署和IPv6的进一第2期刘娟：2018年网络安全状况及2019年网络安全趋势103步普及，将推动物联网行业驶入快车道，与此同时由于物联网设备安全防护能力不足和行业监管不够健全，将导致物联网攻击风险不断扩大，暴露更多网络安全漏洞和隐患。

黑客利用通用型漏洞发动大型网络攻击的趋势愈发明显，针对工控系统的攻击事件将大幅增加。

2.2 恶意软件被金钱驱动的黑客们不会停下脚步，预计在未来一年，勒索病毒和挖矿木马等恶意软件将持续猛烈攻势。

因此，地下交易的恶意软件即服务（MaaS），包括勒索软件即服务（Raas）等将更为普及，极大降低攻击门槛，为攻击者定制出更多恶意软件变种，辅以社会工程学精准打击，不断扩大其攻击半径。

2.3 供应链攻击预计2019年，由成熟的地下黑色产业链驱动的供应链攻击可能在软件开发、交付、使用、升级等多个环节造成危害，甚至危及关键信息基础设施、工控系统等。

由于目前国内对于软件下载网站上线前安全监管尚不完善，攻击者通过软件下载网站分发恶意程序的态势将愈演愈烈。

2.4 技术能力随着我国数字化建设的不断推进，信息数据经济价值不断上升，各地政府纷纷布局大数据战略和智慧城市战略。

数据的集中和价值也将促使攻击者利用多种攻击手段从多种渠道获取更多敏感数据，数据泄露套现“一条龙”的黑色产业链已经形成，窃取用户个人信息和数据的网络攻击活动并不会消退。

预计明年将依然曝光多起重大信息泄露事件，将推动对信息泄露事件预案、应急响应、处置、溯源等一系列网络安全技术能力的提升。

3结束语当前，网络空间已经成为继陆、海、空、天之后的第五大主权领域空间，网络安全已经成为关乎国计民生的重要方面，网络安全的重要性不断提升。

可以预见，网络安全技术研究和布局将持续在关键信息基础设施保护、网络安全威胁监测分析和应急响应、大数据安全防护、云安全、人工智能安全等新领域发力。

致谢感谢各位审稿专家对本文工作的指导。

参考文献[1] 2018勒索病毒全面分析报告, /fanglesuo/19459.html, 2018,11,23[2] DDoS attacks in Q1 2018, https:///ddos-report-in-q1-2018/85373/ 2018,4,26[3] DDoS attacks in Q2 2018,https:///ddos-report-in-q2-2018/86537/ 2018,7,24[4] DDoS attacks in Q3 2018,https:///ddos-report-in-q3-2018/88617/ 2018,10,31[5] 关于利用memcached服务器实施反射DDoS攻击的情况通报(CNCERT),/publish/main/9/2018/201803031105501512199 00/20180303110550151219900_.html ，2018,3,3.[6] February 28th DDoS Incident Report,https:///ddos-incident-report/ 2018,3,1[7] Ransomware and malicious crypto miners in 2016-2018,https:///ransomware-and-malicious-crypto-miners-in-201 6-2018/86238/ 2018,6,27[8] New VPNFilter malware targets at least 500K networking devicesworldwide,https:///2018/05/VPNFilter.html ,2018,5,23 [9] VPNFilter: New Router Malware with Destructive Capabilities,https:///blogs/threat-intelligence/vpnfilter-iot-malw are 2018,5,23[10] 腾讯安全2018年高级持续性威胁（APT）研究报告,https:///research/report/623.html ,2019,1,2[11] 全球高级持续性威胁（APT）2018年总结报告,https:///uploads/2019/01/02/56e5630023fe905b2a8f511e24d9 b84a.pdf ,2019,1,2。