河北互联网网络安全月报-河北互联网协会.doc

PAGE PAGE 3 附件 内部资料 注意保存 河北省互联网网络安全年报 （2014年） 河北省通信管理局 CNCERT/CC@HE 2014.4.14  河北省2014年网络安全工作通报 （一）2014年国家计算机应急处理协调中心河北分中心共处理网络安全事件662起，详细情况如下表所示： 日期 总量 类型 网页仿冒 恶意代码 网页篡改 拒绝服务攻击 网页挂马 非授权访问 恶意探测扫描 垃圾邮件 其他 网站后门 漏洞 域名异常 2014-01 40 0 0 30 0 0 0 0 0 0 5 5 0 2014-02 49 0 0 30 0 0 0 0 0 0 1 18 0 2014-03 54 3 0 30 0 1 0 0 0 0 1 19 0 2014-04 52 3 0 27 0 0 0 0 0 0 2 20 0 2014-05 62 1 0 20 1 0 0 0 0 1 3 36 0 2014-06 42 0 0 20 0 0 0 0 0 0 1 21 0 2014-07 60 1 1 23 0 0 0 0 0 0 2 33 0 2014-08 53 0 0 14 0 0 0 0 0 0 0 39 0 2014-09 74 1 0 24 0 0 0 0 0 0 0 49 0 2014-10 54 0 0 13 0 0 0 0 0 3 4 34 0 2014-11 63 3 0 20 0 0 0 0 0 0 1 39 0 2014-12 59 1 3 5 0 0 0 0 0 1 1 47 1 合计: 662 13 4 256 1 1 0 0 0 5 21 360 1 （二）主要流量监测结果： 1、全省每日总流量监测 2014年河北省三个基础电信运营企业（河北联通、河北电信、河北移动）每日最高流量约4212Gb，流量峰值时段为每日21：00左右；最低流量约400Gb，流量谷值时段为每日5：10左右。UDP协议数据占28.03%，TCP协议数据占71.91%，ICMP协议数据占0.03%。 取12月份的流量数据作为参考。 2、端口流量监测与分析 2014年1月至12月期间，CNCERT/CC河北分中心统计了TCP和UDP端口的流量情况。其中，TCP端口流量的前10位排名及所占比例如下： 排名 TCP端口 百分比 主要业务种类 1 TCP/80 87.51% 网页服务端口 2 TCP/8080 4.06% 网页服务端口 3 TCP/443 2.10% 网页服务端口 4 TCP/6000 0.48% X11/6000 5 TCP/1863 0.46% TCP/1863 6 TCP/6601 0.36% TCP/6601 7 TCP/8032 0.35% TCP/8032 8 TCP/8189 0.34% TCP/8189 9 TCP/20100 0.27% TCP/20100 8 TCP/20101 0.23% TCP/20101 - 其他端口 3.84% UDP端口流量的前10位排名及所占比例如下： 排名 协议/端口号 百分比 主要业务种类 1 UDP/9909 22.80% 未知端口 2 UDP/1863 14.15% MSN服务端口 3 UDP/5041 13.18% MTLS协议端口 4 UDP/8000 12.33% QQ通讯端口 5 UDP/6699 2.91% 未知端口 6 UDP/7171 2.77% 未知端口 7 UDP/8400 2.72% 未知端口 8 UDP/5042 1.97% 未知端口 9 UDP/29909 1.62% QQ旋风下载工具端口 10 UDP/9595 1.47% 未知端口 － 其他端口 24.08% 二、河北省网络安全状况分析 根据CNCERT/CC 2014年网络安全业务统计报表，本部分内容对我省网络安全状况做出了分析。 （一）木马和僵尸程序事件情况分析 1、境外木马或僵尸程序控制服务器IP地址监测情况 2014年，CNCERT/CC 863-917网络安全监测平台共监测到117476个境外IP地址控制我国大陆地区主机的木马和僵尸程序事件。 2、中国大陆木马或僵尸程序控制服务器IP地址监测情况 共监测到281510个位于大陆地区的IP地址作为木马或僵尸程序控制服务器。其中河北省共监测到7236个木马或僵尸程序控制服务器IP地址。通过河北分中心本月组织的多次木马和僵尸网络专项打击，木马和僵尸网络控制端数量和往年相比有了极大的减少。 图1-河北省各月木马或僵尸程序控制服务器数量 图2–木马或僵尸程序控制服务器在河北省各运营商分布情况 3、中国大陆木马或僵尸程序受控主机IP地址监测情况 河北省被木马或僵尸程序控制的主机对应IP地址共494083个，通过河北分组织的多次木马和僵尸