2023年3月份期间,设备处理的威胁总数为2645.32万次。其中漏洞利用1.64万次,发现间谍软件206次,发现病毒20次,命中威胁情报112.35万次,命中威胁处置33.36万次。
来自国内攻击者的总次数为191.32万次,来自国外攻击者的总次数为2454.0万次。
经应用程序汇总分析:HTTPS总流量最多,占比26.83%。HTTPS接收流量最多,占比37.05%。UDP发送流量最多,占比54.67%。未知应用会话数最多,占比52.79%。未知应用总流量占比5.46%。其中,接收流量占比0.04%,发送流量占比16.68%,会话数占比52.79%。
入侵渗透类攻击次数按照事件特征分布统计如下表所示,共统计到9种攻击类型。
序号 | 事件特征 | 攻击次数 | 百分比 | 事件等级 |
web-attack | 35394 | 74.18% | 中危 | |
2 | weird-behavior | 6187 | 12.97% | 高危 |
3 | cve-exploit | 3169 | 6.64% | 中危 |
4 | attempted-recon | 1832 | 3.84% | 中危 |
5 | attempted-user | 1074 | 2.25% | 高危 |
6 | bruteforce | 36 | 0.08% | 高危 |
7 | threat-intelligence-alarm | 13 | 0.03% | 中危 |
8 | scan | 6 | 0.01% | 高危 |
9 | malware | 5 | 0.01% | 低危 |
入侵渗透类攻击次数按照严重级别分布统计如下,其中高危攻击有13031次,中危攻击有34680次,低危攻击有5次。
严重级别 | 次数 | 百分比 |
高危 | 13031 | 27.31 |
中危 | 34680 | 72.68 |
低危 | 5 | 0.01 |
入侵渗透类攻击次数按照被攻击资产统计,共统计到15728个遭受攻击的资产。其中受攻击次数Top9的资产如下表所示,建议用户结合事件详情对于被攻击资产重点关注。
序号 | 攻击目的IP | 目的地域 | 受攻击次数 | 百分比 |
1 | 10.20.xx.xx | 图书馆仰格服务器 | 5335 | 22.90% |
2 | 211.86.xx.xx | DNS递推地址 | 3565 | 15.30% |
3 | 10.20.xx.xx | 图书馆超星移动业务 | 3127 | 13.42% |
4 | 211.86.xx.x | DNS | 2293 | 9.84% |
5 | 211.86.xx.xx | 电子政务 | 2212 | 9.49% |
6 | 10.20.xx.xx | 保卫处业务 | 2175 | 9.33% |
7 | 211.86.xx.xx | 网站群 | 1715 | 7.36% |
8 | 211.86.xx.xx | 教务系统23293 | 1493 | 6.40% |
9 | 211.86.xx.xx | 城市热点认证平台 | 1378 | 5.91% |
入侵渗透类攻击次数按照攻击源统计,共统计到8354个攻击源。其中攻击次数Top9的攻击源IP如下表所示,建议用户结合事件详情对于攻击源IP重点关注,采取阻断措施。
序号 | 攻击源IP | 源地域 | 攻击次数 | 百分比 |
1 | 10.20.xx.xx | 中国安徽省铜陵市 | 9025 | 38.20% |
2 | 220.178.173.133 | 中国安徽芜湖 | 5377 | 22.76% |
3 | 23.95.41.207 | 美国德克萨斯州达拉斯 | 1906 | 8.06% |
4 | 43.142.109.133 | 日本 | 1879 | 7.95% |
5 | 61.132.163.68 | 中国安徽合肥 | 1797 | 7.60% |
6 | 202.102.213.68 | 中国安徽芜湖 | 1768 | 7.48% |
7 | 47.109.64.163 | 中国四川成都 | 688 | 2.91% |
8 | 120.48.75.87 | 中国北京 | 598 | 2.53% |
9 | 218.12.17.35 | 中国河北石家庄 | 585 | 2.47% |
分析结果:相对于上个月入侵渗透次数,本月次数有大幅度增加,两会重保期间每日对学校网络攻击次数最多。其中对于攻击目的IP与攻击源IP 10.20.xx.xx,对应业务系统为铜陵学院图书馆科学服务平台(http://yg.tlu.edu.cn/),主要攻击时间是3月1日至三月5日,主要攻击地区来自于美国、法国、俄罗斯、中国,主要攻击类型为Web远程代码执行、路径穿越攻击、SQL注入、struts漏洞攻击。由于该服务器是仰格学术系统的代理服务器,攻击访问仰格学术系统时会将请求转发给仰格学术系统服务器,在请求头中添加X-Forwarded-For字段,字段内容为真实攻击者的IP,导致设备将10.20.xx.xx列入攻击源IP,已将X-Forwarded-For字段中的真实IP进行分析研判,对于存在恶意攻击行为的IP进行封禁处理。
自2023年3月5日至3月31日期间,完成校内所有信息系统的漏洞扫描及漏洞修复工作,全面保障开通外网访问的信息系统(网站)安全,对存在高风险漏洞已做出排查和上报。
存在安全隐患的系统如下:
财务信息查询-微信平台(IP:10.20.xx.xx)其中高危漏洞:9个,中危漏洞:4个;
旷视人脸识别通行平台(IP:10.110.xx.xx)其中高危漏洞:4个,中危漏洞:4个;
智慧资助App1(IP:10.20.xx.xx)其中高危漏洞为57个,中危漏洞为69个;
电子政务服务器(IP:211.86.xx.xx)其中高危漏洞为11个,中危漏洞为6个;
开创啦主机系统(IP:10.20.xx.xx)其中高危漏洞为23个,中危漏洞为79个;
中新金桥登录注册系统(http://211.86.xx.xx:xxxx)其中高危漏洞:1个,中危漏洞:1个;
新精品课程(IP:10.20.xx.xx)其中高危漏洞:1个;中危漏洞:3个;
心理健康测试系统(IP:211.86.xx.xx)高危漏洞为1个,中危漏洞为2个。
解决方案:
关闭不必要的业务端口;
服务器远程桌面端口、ftp端口必须开放情况下,仅限一对一开放端口,并加强密码强度;
编辑漏洞报告发送给相关部门要求进行整改;
编辑业务系统网络安全检查项,用于各部门新业务系统上线前的业务安全自检;
禁止校内非数据中心服务器上网,如需上网,在做好漏洞补丁等安全措施的前提下,联系网络管理科申请网络开放。
(撰稿:张思松 审稿:宋正荣)