当前位置: 首页 > 信息化建设 > 信息安全 > 正文

信息安全

南京农业大学校园网络安全月报(第1期)

信息来源: 本站原创 发布日期: 2016-12-26 浏览次数:

南京农业大学校园网络安全月报

2016·11(第1期)

 

1 校园网基本安全态势

    从网络总体流量来看,校园网11月流入量均值为1.56G,流出量均值为578.82M,流入量大于流出量;流入量均值宿舍区大于教学区,流入量峰值教学区大于宿舍区;IPV6流入量均值为681.20M,流出均值为246.46M。流量波动变化总体趋势正常。

    从安全防护设备监测情况看,11月下旬校园网遭受的攻击量有明显上升趋势,其中Web应用方面信息泄露类型的攻击数量所占比重较大,网络活动方面获取权限攻击量较大。攻击源IP主要来自电信网络,阻断的高风险事件均来自境外(美国)。

    安全漏洞检测结果表明,校园网站的中高危漏洞数量比例虽然不高(小于3%),但风险较大,主要以跨站脚本类漏洞、注入类漏洞为主,部分网站有高危SQL注入漏洞,一旦被恶意利用,可能造成篡改数据,甚至获取服务器控制权的后果。

 

2校园网流量监测分析

2.1流量监测系统监测统计

2.1.1校园网出口总流量

 C:\Users\Administrator\AppData\Roaming\Tencent\Users\346868448\QQ\WinTemp\RichOle\Q`0C]4B5JKK]M79X0SU%LGW.png

2016年11月校园网出口总流量监测截图

  •     流入流量

     全校出口流量流入量峰值为3.08G,出现时间为11月08日,流入量均值为1.56G。

  •     流出流量

     全校流量流出量峰值为1.27G,出现时间为11月15日,流出量均值为578.82M。流入量大于流出量约三倍。

2.1.2校园网IPV6出口总流量

2016年11月校园网IPV6出口总流量监测截图

  • 流入流量

     IPV6出口流入峰值为1.27G,出现时间为11月08日,流入均值为681.20M。

  • 流出流量

     IPV6出口流出峰值为600.48M,出现时间为11月15日,流出均值为246.46M。流入量大于流出量约两倍。

2.1.3 校园网IPV6长宽流量

C:\Users\Administrator\AppData\Roaming\Tencent\Users\346868448\QQ\WinTemp\RichOle\Z6JI4NHKU1Z1B{V@I%T3U5D.png

2016年11月校园网IPV6鹏博士出口流量监测截图

  • 流入流量

    IPV6长宽流量流入量峰值为440.52M,出现时间为11月08日,流入量均值为118.62M。

  • 流出流量

    IPV6长宽流量流出量峰值为337.94M,出现时间为11月15日,I流出量均值为115.56M。流入流出量基本均衡。

2.1.4 校园网教学区出口路由流量

    11月份,整个教学区出口路由下行流量均值为790.6M,上行流量均值为90.52M,在联通、电信、移动、教育网、长宽5个出口中,长宽出口上行流量较大,电信出口下行流量较大。从应用协议流量上看,HTTP多线程类上行流量均值较大,为107.68M;P2P类下行流量均值较大,为24.10M。

2.1.5校园网宿舍区出口路由流量

      11月份,整个宿舍区出口路由下行流量均值为1200.39M,上行流量均值为329.50M,电信出口的上行、下行流量都较大。从应用协议流量上看,P2P类、下载工具类的应用协议上行流量较大,下行流量中P2P类流量较大。

2.2 服务器区监测情况

2.2.1   IP用户流量占用

    从整体来看,有三个IP地址流量占用较大,分别为202.195.240.8(校园网视频直播服务器),流量占用比例为40.6%,202.195.250.42(教务处课程中心视频资源服务器),流量占用比例为12.7%,202.195.243.65(图书馆测试服务器),流量占用比例额为11%,其余出口地址流量占用相对较小。

2.2.2   应用协议流量占用

RTMP协议流量占用比重为36.5%,与流媒体音视频传输、FLASH视频应用量较大有关;HTTP分片下载流量占用比重为20.3%,应为多线程下载应用;HTTP协议流量占用比重为10.8%,UDP-ANY协议流量占用比重为10.7%,主要有及时消息传输类应用等;其余应用协议流量占用相对较少。

C:\Users\Administrator\AppData\Roaming\Tencent\Users\346868448\QQ\WinTemp\RichOle\DNB6}JYL0~HB5[$(VD18YQQ.png

2.3网络用户行为统计分析

     除网站访问外,IM即时通信、Web流媒体、软件下载等网络应用的比例较高。

C:\Users\Administrator\AppData\Roaming\Tencent\Users\346868448\QQ\WinTemp\RichOle\FXNB$$8BHIVYEWC[0%XW``5.png

3 校园网络安全威胁监控与分析

3.1 WEB应用防护情况

2016年11月共检测Web可疑入侵攻击619845次,其中高危攻击1147次,占0.18%;中危攻击32416次,占5.22%

3.1.1入侵攻击趋势分析

 

  

 C:\Users\Administrator\AppData\Roaming\Tencent\Users\346868448\QQ\WinTemp\RichOle\VJ@G2A@WB3(~D3[P6NJ)F77.png

    通过入侵趋势图可以发现, 11月中下旬攻击次数明显增多,26日的攻击峰值次数超过50000次。

3.1.2入侵攻击类别分析

    入侵攻击的类别主要有十大类:信息泄露、SQL注入、脚本执行、缓冲区溢出、XSS攻击、请求类型、脚本上传、扫描行为、脚本木马、命令执行。其中,信息泄露、SQL注入、脚本执行三类攻击数量较多。

C:\Users\Administrator\AppData\Roaming\Tencent\Users\346868448\QQ\WinTemp\RichOle\[V[$`T(XV$G)$`BE}BZ_UI6.png

 

    入侵类别对比可见信息泄露攻击占88.98%、SQL注入占6.63%、脚本执行占2.55%,其余类别的攻击数量都小于1%。

 

铱迅Web应用防护系统报表数据图

 

 

    信息泄露类攻击较为严重,常见行为主要有利用浏览器交互收集服务器信息;撞库攻击窃取网站、系统的用户名、密码,导致数据信息泄露;通过SQL注入漏洞攻击,直接获取到后台数据库中的信息,再利用脚本代码的注入,篡改数据库或网页内容;通过跨站脚本漏洞攻击,注入脚本文件,执行VBScript、ActiveX或Flash脚本,盗取用户信息等。

3.1.3入侵攻击来源与目标分析

从攻击源IP分布看,大部分为电信IP,移动和教育网较少:

序号

IP地址

地理位置

次数

1

106.120.173.144

北京市 电信

33590

2

121.229.143.62

江苏省南京市 电信

30424

3

49.95.32.52

江苏省南京市 电信

8185

4

42.120.160.41

浙江省杭州市 阿里云服务器

7520

5

223.104.4.42

中国 移动

7072

6

42.156.136.41

北京市 阿里巴巴科技有限公司

5492

7

202.121.4.194

上海市 教育网

5102

8

180.99.64.184

江苏省 电信无线宽带(全省共用)

5042

9

49.92.171.98

江苏省南京市 电信

4885

10

49.92.115.210

江苏省南京市 电信

4333

入侵来源IP地址访问量TOP 10

从攻击目标IP地址分布和攻击量情况看,攻击目标主要为内网服务器,最高攻击数量为351229次,最低为6245次,平均55522次。

3.1.4    Webshell后门检测与验证

    11月检测到疑似Webshell多个,经验证多为试探性攻击,其中URL iscgm2014.netcia.org.cn/iscgm/uploads/1432577722655_shell.jsp已验证核实为危险较大的远程控制Webshell,已通知相关单位管理人员及时处置。

3.2 网络入侵防护监测

3.2.1 攻击手段与类型分布

11月IPS共检测到攻击及可疑网络活动2980864次,其中获取权限攻击占14.43%、可疑网络活动占5.97%、信息收集行为占3.18%、拒绝服务攻击占0.58%。

3.2.2攻击阻断情况

     共阻断拒绝服务攻击11266次、获取权限攻击11938次、信息收集行为36315次、网络可疑活动114160次。

C:\Users\Administrator\AppData\Roaming\Tencent\Users\346868448\QQ\WinTemp\RichOle\{ZIUFRUQQKGQ016YI]]Q)ES.png

活动最频繁的十类事件

3.3远程安全评估检测结果

11月底,配合学校本科教学评估活动,协助评建办对全校167个网站进行了安全漏扫检测,共扫描漏洞总数为40321个,其中高危漏洞数818个,占2%;中危漏洞数134个,占0.3%;低危漏洞数39369个,占97.6%。

漏洞数量与比例统计图

 

    Web安全漏洞中信息泄露、跨站脚本攻击、SQL注入所占比例较多。高危Web漏洞主要有SQL注入、框架注入、链接注入、COOKIE注入、错误信息注入、宽字节跨站、XSS跨站脚本、IIS短文件名泄露等。含漏洞较多的校园网站列表如下:

网站URL

名称

所属单位

zsxx.njau.edu.cn

本科招生网

学工处

weed.njau.edu.cn

中国杂草信息系统网

生科院

ireea.njau.edu.cn

农业资源与生态环境研究所网站

资环学院

dky.njau.edu.cn

动物科技学院门户网站

动科院

202.195.244.2

经管学院旧版网站

经管学院

10.12.0.19

农业资源与环境实验教学中心网站

资环学院

clm.njau.edu.cn

公共管理学院门户网站

公管院

bio.njau.edu.cn

农业生物学虚拟仿真实验平台

生科院

cai.njau.edu.cn:8080

教务处旧版网站

教务处

bmb.njau.edu.cn

白马教学科研基地门户网站

白马办

主机系统安全漏洞共7568个,高危系统漏洞主要有RSYNC服务未授权访问、Apache Tomcat examples 目录可访问、SSLv3设计缺陷、.NET Framework ASP.NET Padding Oracle攻击信息泄露等。

 

4 校园网络信息安全事件处置情况

11月,通过安全漏洞扫描检测到生命科学院、理学院、园艺学院、资源与环境科学学院、动物科技学院、经济管理学院、公共管理学院、食品科技学院、学工处9个单位12个网站含SQL注入高危漏洞,及时发送了安全通报与整改通知。

 

5 网络信息安全要闻概览

11月7日第十二届全国人大常委会第二十四次会议表决通过《网络安全法》,将于明年6月1日起施行。

 

亚信安全发布《2016第三季度网络安全威胁报告》指出恶意程序数量保持稳定,APT攻击不容忽视,移动及物联网设备风险剧增。

 

16日,第三届世界互联网大会在浙江乌镇召开,习近平主席发表视频讲话,强调要坚持以人类共同福祉为根本,坚持网络主权理念,推动全球互联网治理朝更加公证合理的方向迈进。大会发布了《2016年世界互联网发展乌镇报告》,《报告》指出:多边参与、多方合作将成为互联网治理常态,“共享、共治”是实现互联网可持续发展的途径。

         

28日,《网络空间安全蓝皮书:中国网络空间安全发展报告(2016)》发布,指出了网络空间安全面临的四大威胁:1、国家级重要信息系统和关键基础设施成为跨国网络攻击的主要目标;2、大型互联网平台安全事故频发且影响重大;3、数据泄露事件频发,网络黑产规模惊人;4、新技术发展推动网络攻击方式的创新和升级。

 

《中国个人信息安全和隐私保护报告》发布,调查显示20%的人每天收到2至3个甚至更多的骚扰电话,81%的人接到对方知道自己姓名等个人信息的陌生来电,53%的人因网页搜索、浏览后泄露个人信息,36%的人因租房、购房、购车等信息泄露后被营销骚扰或诈骗。    

 

 

(图书与信息中心网络运营部·江苏天网计算机技术有限公司)