为全面反映2021年上半年我国互联网在恶意程序传播、漏洞风险、DDoS攻击、网站安全等方面的情况，CNCERT对上半年监测数据进行了梳理，形成监测数据分析报告如下。

2021年上半年，捕获恶意程序样本数量约2,307万个，日均传播次数达582万余次，涉及恶意程序家族约20.8万个。按照传播来源统计，境外来源主要来自美国、印度和日本等，具体分布如图1所示；境内来源主要来自河南省、广东省和浙江省等。按照攻击目标IP地址统计，我国境内受恶意程序攻击的IP地址近3,048万个，约占我国IP地址总数的7.8%，这些受攻击的IP地址主要集中在广东省、江苏省、浙江省等地区，我国受恶意程序攻击的IP地址分布情况如图2所示。

从我国境内感染计算机恶意程序主机所属地区看，主要分布在广东省（占我国境内感染数量的12.2%）、浙江省（占11.0%）、江苏省（占8.0%）等地区，如图5所示。在因感染计算机恶意程序而形成的僵尸网络中，规模在100台主机以上的僵尸网络数量2,307个，规模在10万台以上的僵尸网络数量68个，如图6所示。CNCERT协调相关机构成功关闭259个控制规模较大的僵尸网络，有效控制计算机恶意程序感染主机引发的危害。

图6 僵尸网络的规模分布

图7 移动互联网恶意程序数量按行为属性统计

图8 CNVD收录安全漏洞按影响对象分类统计

CNCERT通过开展对境内目标遭大流量DDoS攻击事件的持续分析溯源，发布《我国DDoS攻击资源季度分析报告》，定期公布控制端、被控端、反射服务器、伪造流量来源路由器等被用于进行DDoS攻击的网络资源（以下简称“攻击资源”）情况，并进一步协调各单位处置，境内可被利用的攻击资源稳定性继续降低，被利用的活跃境内攻击资源数量控制在较低水平。累计监测发现用于发起DDoS攻击的活跃控制端1,455台，其中位于境外的占比97.1%，主要来自美国、德国和荷兰等；活跃肉鸡71万余台，其中位于境内的占比92.7%，主要来自广东省、辽宁省、江苏省、福建省、浙江省等；反射攻击服务器约395万余台，其中位于境内的占比80.7%，主要来自浙江省、广东省、辽宁省、吉林省、四川省等。与2020年上半年相比，境内各类攻击资源数量持续减少，境内活跃控制端数量同比减少60.4%、肉鸡数量同比减少40.1%、活跃反射服务器同比减少40.9%。

图11 境内被篡改网站按顶级域名分布

发生在我国云平台上的各类网络安全事件数量占比仍然较高，其中云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数的71.2%、被植入后门网站数量占境内全部被植入后门网站数量的87.1%、被篡改网站数量占境内全部被篡改网站数量的89.1%。同时，攻击者经常利用我国云平台发起网络攻击，其中云平台作为控制端发起DDoS攻击的事件数量占境内控制发起DDoS攻击的事件数量的51.7%、作为攻击跳板对外植入后门链接数量占境内攻击跳板对外植入后门链接数量的79.3%、作为木马和僵尸网络恶意程序控制端控制的IP地址数量占境内全部数量的65.1%、承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的89.5%。

图13 监测发现的重点行业联网监控管理系统的漏洞威胁统计

图14 监测发现的重点行业联网监控管理系统类型统计