我国境内感染计算机恶意程序的主机数量约304万台，同比增长25.7%。位于境外的约2.5万个计算机恶意程序控制服务器控制我国境内约303万台主机。就控制服务器所属国家或地区来看，位于美国、中国香港地区和荷兰的控制服务器数量分列前三位，分别是约8,216个、1,478个和1,064个，具体分布如图3所示；就所控制我国境内主机数量来看，位于美国、荷兰和德国的控制服务器控制规模分列前三位，分别控制我国境内约252万、127万和117万台主机，如图4所示。此外，根据抽样监测数据发现，针对IPv6网络的攻击情况也开始出现，境外累计约1,200个IPv6地址的计算机恶意程序控制服务器控制了我国境内累计约1.5万台IPv6地址主机。

通过自主捕获和厂商交换发现新增移动互联网恶意程序163万余个，同比增长58.3%。通过对恶意程序的恶意行为统计发现，排名前三的仍然是流氓行为类、资费消耗类和信息窃取类，占比分别为36.5%、29.2%和15.1%。为有效防范移动互联网恶意程序的危害，严格控制移动互联网恶意程序传播途径，国内125家提供移动应用程序下载服务的平台下架812个移动互联网恶意程序，有效防范移动互联网恶意程序危害，严格控制移动互联网恶意程序传播途径。

近年来，我国逐步加大对应用商店、应用程序的安全管理力度，要求应用商店对上架App的开发者进行实名审核，对App进行安全检测和内容版权审核等，使得互联网黑产应用商店传播恶意App的难度明显增加。但同时，能够逃避监管并实现不良目的的“擦边球”式灰色应用却有所增长，例如：具有钓鱼目的、欺诈行为的仿冒App成为黑产的重要工具，持续对金融、交通、电信等重要行业的用户形成较大威胁。2020年上半年，通过自主监测和投诉举报方式发现新出现的仿冒App下载链接180个。这些仿冒App具有容易复制、版本更新频繁、蹭热点快速传播等特点，主要集中在仿冒公检法、银行、社交软件、支付软件、抢票软件等热门应用上，仿冒方式以仿冒名称、图标、页面等内容为主，具有很强的欺骗性。目前，由于开发者在应用商店申请App上架前，需提交软件著作权等证明材料，因此仿冒App很难在应用商店上架，其流通渠道主要集中在网盘、云盘、广告平台等其他线上传播渠道。

国家信息安全漏洞共享平台（CNVD）收录通用型安全漏洞11,073个，同比大幅增长89.0%。其中，高危漏洞收录数量为4,280个（占38.7%），同比大幅增长108.3%，“零日”漏洞收录数量为4,582个（占41.4%），同比大幅增长80.7%。安全漏洞主要涵盖的厂商或平台为谷歌（Google）、WordPress、甲骨文（Oracle）等。按影响对象分类统计，排名前三的是应用程序漏洞（占48.5%）、Web应用漏洞（占26.5%）、操作系统漏洞（占10.0%），如图7所示。2020年上半年，CNVD处置涉及政府机构、重要信息系统等网络安全漏洞事件近1.5万起。

因攻击成本低、攻击效果明显等特点，DDoS攻击仍然是互联网用户面临的最常见、影响较大的网络安全威胁之一。抽样监测发现，我国每日峰值流量超过10Gbps的大流量DDoS攻击事件数量与2019年基本持平，约220起。

经过持续监测分析与处置，可被利用的DDoS攻击资源稳定性降低，可利用活跃资源数量被控制在较低水平。累计监测发现用于发起DDoS攻击的活跃C&C控制服务器2,379台，其中位于境外的占比95.5%，主要来自美国、荷兰、德国等；活跃的受控主机约122万台，其中来自境内的占比90.3%，主要来自江苏省、广东省、浙江省、山东省、安徽省等；反射攻击服务器约801万台，其中来自境内的占比67.4%，主要来自辽宁省、浙江省、广东省、吉林省、黑龙江省等。

在监测发现境内峰值流量超过10Gbps的大流量攻击事件中，主要攻击方式仍然是TCP SYN Flood、NTP Amplification、SSDP Amplification、DNS Amplification和UDP Flood，以上五种攻击占比达到82.9%。为躲避溯源，攻击者倾向于使用这些便于隐藏攻击源的攻击方式，并会根据攻击目标防护情况灵活组合攻击流量，混合型攻击方式占比为16.4%。此外，随着近年来“DDoS即服务”黑产模式猖獗，攻击者倾向于使用大流量攻击将攻击目标网络瞬间瘫痪，DDoS攻击时长小于半小时的攻击占比达81.5%，攻击目标主要位于浙江省、江苏省、福建省、山东省、广东省、北京市等，占比高达81.1%。

通过持续监测和跟踪DDoS攻击平台活跃情况发现，网页DDoS攻击平台以及利用Gafgyt、Mirai、Xor、BillGates、Mayday等僵尸网络家族发起攻击仍持续活跃，发起DDoS攻击事件较多。作为“DDoS即服务”黑产模式之一的网页DDoS攻击平台，因其直接面向用户提供服务，可由用户按需自主发起攻击，极大降低了发起DDoS攻击难度，导致DDoS攻击进一步泛滥。监测发现，由网页DDoS攻击平台发起的DDoS攻击事件数量最多，同比2019年上半年增加32.2%。当前互联网上大量活跃的缺乏安全防护的物联网设备，为DDoS攻击平台猖獗发展提供了大量被控资源，导致DDoS攻击事件一直高居不下。Gafgyt和Mirai恶意程序新变种不断出现，使得利用其形成的僵尸网络控制端和攻击事件数量维持在较高水平，而Xor恶意程序家族有明显特征显示其在对外提供“DDoS即服务”黑产业务，表现出以少量控制端维持较高攻击频度。

境内外约1.8万个IP地址对我国境内约3.59万个网站植入后门，我国境内被植入后门的网站数量较2019年上半年增长36.9%。其中，约有1.8万个境外IP地址（占全部IP地址总数的99.3%）对境内约3.57万个网站植入后门，位于美国的IP地址最多，占境外IP地址总数的19.0%，其次是位于菲律宾和中国香港地区的IP地址，如图8所示。从控制我国境内网站总数来看，位于菲律宾的IP地址控制我国境内网站数量最多，约为1.36万个，其次是位于中国香港地区和美国的IP地址，分别控制我国境内7,300个和6,020个网站。此外，随着我国IPv6规模部署工作加速推进，支持IPv6的网站范围不断扩大。此外，攻击源、攻击目标为IPv6地址的网站后门事件592起，共涉及攻击源IPv6地址累计35个、被攻击IPv6地址解析网站域名累计72个。

我国境内遭篡改的网站有约7.4万个，其中被篡改的政府网站有318个。从境内被篡改网页的顶级域名分布来看，占比分列前三位的仍然是“.com”“.net”和“.org”，分别占总数的74.1%、5.1%和1.7%，如图9所示。

我国云平台上网络安全威胁形势依然较为严峻。首先，发生在我国主流云平台上的各类网络安全事件数量占比仍然较高。其中云平台上遭受DDoS攻击次数占境内目标被攻击次数的76.1%、被植入后门链接数量占境内全部被植入后门链接数量的90.3%、被篡改网页数量占境内被篡改网页数量的93.2%。其次，攻击者经常利用我国云平台发起网络攻击。其中云平台作为控制端发起DDoS攻击次数占境内控制发起DDoS攻击次数的79.0%，作为木马和僵尸网络恶意程序控制的被控端IP地址数量占境内全部被控端IP地址数量的96.3%，承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的79.0%。

监测发现暴露在互联网上的工业设备达4,630台，涉及国内外35家厂商的可编程逻辑控制器、智能楼宇、数据采集等47种设备类型，具体类型分布如图10所示。其中存在高危漏洞隐患的设备占比约41%。监测发现电力、石油天然气、城市轨道交通等重点行业暴露的联网监控管理系统480套，其中电力262套、石油天然气118套、城市轨道交通100套，涉及的类型包括政府监管平台、远程监控、资产管理、工程安全、数据检测系统、管网调度系统、OA系统、云平台等，具体平台类型分布如图11所示。其中存在信息泄露、跨站请求伪造、输入验证不当等高危漏洞隐患的系统占比约11.1%。暴露在互联网的工业控制系统一旦被攻击，将严重威胁生产系统的安全。

CNVD、CVE、NVD及CNNVD四大漏洞平台新增收录工业控制系统产品漏洞共计323个，其中高中危漏洞占比达94.7%。如图13和图14所示，漏洞影响的产品广泛应用于制造业、能源、水处理、信息技术、化工、交通运输、商业设施、农业、水利工程、政府机关等关键信息基础设施行业，漏洞涉及的产品供应商主要包括ABB、万可、西门子、研华、施耐德、摩莎、三菱、海为、亚控、永宏等。

图14 新增工业控制产品漏洞的供应商分布TOP10