2018年上半年国内公有云云上资产合规现状报告

在国内公有云厂商中，针对阿里云的攻击次数占比最高，达55.32%，针对腾讯云的攻击次数占比居第二，为27.34%，其他依次是UCLOUD、华为云、青云、百度云、金山云、京东云。这与国内公有云厂商的市场份额占比排名基本趋同（此处忽略了部分公有云厂商较细微的市场份额差异）。

值得注意的是，如果按月统计攻击次数占比，阿里云和腾讯云的占比在大多数月份都呈小幅上升趋势（排除2月份春节的数据样本偏差影响），这也与公有云市场份额的集中化趋势基本趋同。

3、超五成攻击为机器人所为

通过对攻击流量中行为特征的提取，我们发现，超过五成的攻击为机器人所为。这些机器人中绝大部分用来执行互联网扫描或漏洞利用动作，其中大部分（超过70%）为最为常见的批量端口扫描器，约两成源自针对特定目标的自动化漏洞扫描与利用工具（如Struts2-045/048系列漏洞），另有约一成应与国家监管部门、安全厂商和科研机构的互联网资产探测类系统有关。此外，还有极少部分机器人是针对公有云企业邮箱的注册机。

此外，我们还发现一个有趣的现象，自动化扫描或漏洞利用类机器人中约三成的流量源头指向了美国弗吉尼亚州阿什本，即亚马逊AWS云计算园区所在地，且有逐月递增趋势。我们推断，由于国内网络安全监管趋严，黑灰产活动的部分基础设施正逐步向国外转移。

4、撞库攻击整体呈上升趋势

除自动化扫描或漏洞利用行为外，有14.36%的攻击行为为撞库攻击。对此类攻击行为按月进行次数统计，可以看到有明显的上升趋势（排除2月份春节的数据样本偏差影响）。

此外，我们还发现，三成左右的撞库攻击使用了重叠度较高的新的字典库，疑似与我们在2018年上半年监控到的数起社工库地下交易事件有关。考虑到从数据泄露到流出至暗网、Q群、Telegram群等进行小范围交易，再到大规模散播的时延一般在三到六个月左右，我们可以推断，到2018年下半年，撞库攻击将进一步增加。

5、公有云业务灰产依旧活跃

通过对“TH-Karma”平台采集的黑灰产数据进行分析，我们发现针对公有云各类优惠活动的薅羊毛活动仍然活跃。典型的有：通过批量刷阿里云、腾讯云和美团云学生机优惠再进行转租转售，或是批量代过阿里云和腾讯云域名实名认证，或是通过邮箱注册机批量注册公有云企业邮箱等等。我们认为，这类活动已形成较为完整的“产-销-用”灰产链条，为其他黑灰产活动提供基础设施支撑。

6、数据分析补充说明

受限于数据获取的渠道及样本噪点的影响，我们的监控渠道对DDoS攻击和爬虫两类攻击的捕获率偏低，导致在数据统计结果中这两类攻击次数低于我们的经验预期，无法判断其趋势走向，故在本报告中不对此做详细分析。但从我们获取的黑灰产交易数据来看，近6个月针对阿里云和腾讯云服务器的DDoS攻击空单（即没人接单或接单完不成）量明显增多，侧面反映了阿里云、腾讯云等云厂商在抗DDoS方面的努力已有一定成效。

四、来自公有云的网络攻击威胁

同样基于威胁猎人自有的黑灰产攻击流量监控数据，我们从中专门提取了来自公有云的各类攻击数据。可以看到，2018年上半年（2018年01月-06月）间，相关网络攻击行为无明显增长，整体趋于平稳，威胁类型以机器人、撞库为主，业务层面的攻击行为有明显增加。

1、攻击总次数整体趋于平稳

通过对相关攻击行为按月进行次数统计，我们可以看到，在排除2月份春节期间大规模企业营销活动所造成的数据样本偏差影响后，从公有云主机发起的攻击次数无明显增长，基本趋于平稳。

2、从阿里云、腾讯云发起的攻击最多

在国内公有云厂商中，从阿里云主机发起的攻击次数占比最高，达60.65%，从腾讯云主机的攻击次数占比居第二，为23.51%，其他依次是金山云、UCLOUD、华为云、百度云、京东云。

若按月统计攻击次数占比，阿里云和腾讯云的占比在大多数月份都呈一定幅度的上升趋势（排除2月份春节的数据样本偏差影响）。究其原因，我们认为这与阿里云、腾讯云在2018年上半年的一系列促销优惠活动有关：诸如前述的学生机，以及老客户6元机等云主机资源被越来越多的黑灰产用于对外发起攻击。

若按月统计攻击次数占比，阿里云和腾讯云的占比在大多数月份都呈一定幅度的上升趋势（排除2月份春节的数据样本偏差影响）。究其原因，我们认为这与阿里云、腾讯云在2018年上半年的一系列促销优惠活动有关：诸如前述的学生机，以及老客户6元机等云主机资源被越来越多的黑灰产用于对外发起攻击。

3、机器人中注册占比上升

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!