2022上半年UWAF Web安全防护报告

攻击主要分布在北京区，其次是分布在广东区当前有的用户户都倾向将业务部署在北京区，这部分用户的域名本身访问量很大，且用户设置了较多的自定义防护规则进行业务防护，因而导致上半年的攻击主要分布在北京区，北京区承接了约的攻击防护。

一、 UWAF产品优化与用户服务

产品优化：

1、规则类型新增：新增支持Cookie、URL参数、自定义请求头等新类型防护规则的设置

2、CC攻击防御增强：支持防御连接型、特征型、floods型等各类型CC攻击，并能依靠云端强大吞吐力避免源站受影响

UWAF用户服务：

提供域名防护：2022上半年UWAF共计为1102个域名提供Web防护，保障客户数据资产安全

UWAF突出用户案例：

项目名称：信通院行程卡项目（上海保卫战及全国范围疫情防控项目）

时间：3月至4月份

UWAF服务效果：UWAF顺利承载信通院行程卡域名请求量的激增，请求峰值QPS接近3万，带宽接近1276 Mbps，UWAF重点关注行程卡的业务情况，及时调配资源，定时巡查设备，业务延迟稳定在0.2秒以内，保障了业务使用的稳定性、延迟无感知的使用体验。

二、 UWAF用户行业分布及产品使用需求

1、上半年UWAF共计服务了169个用户

2、WAF用户主要分布在企业服务、电子商务、金融服务、在线教育、智能硬件、游戏行业为主

3、各行业WAF用户使用需求点

1）企业服务：企业服务行业核心是提供域名管理及网站相关服务，使用UWAF目的是为了具备Web攻击防御能力，方便为其终端客户提供增值服务或一站式的安全解决方案

2）电子商务、金融服务、教育行业：用户使用UWAF的目的是为了做防护网站，避免服务网站受到恶意攻击影响业务或品牌形象。另外，在线教育和金融服务有较大等保合规需求，WAF是等保合规必不可少的产品

3）游戏行业：用户使用WAF的目的是为了缓解游戏服务的CC攻击影响，在遭受CC攻击时，UWAF可提供过滤并拦截异常请求以保证玩家的用户体验。

三、 UWAF用户部署区域分布

1、大部分客户选择使用北京区的WAF防护，其次是选择上海区的WAF防护

2、有出海需求用户选择香港区的WAF防护

四、 UWAF访问趋势与Web攻击分布

2022上半年UWAF每周的用户访问流量大起大落，波动比较大，在4月份左右访问量达到高峰，每周约40亿访问量

虽然2022上半年同比2021下半年总的攻击数量有所减少，但2022上半年每周的攻击数量趋势依旧呈上升趋势，因此2022下半年攻击数量有望保持持续上升，累计总的攻击数量同比将可能会超越2021年的攻击总数量，所以下半年UWAF将持续提升产品的防御能力，为用户提供更安全可靠的Web攻击防护。

2022上半年攻击类型数量占比排列与2021下半年的排列相似，排列情况如下：

1）攻击类型以恶意扫描攻击数量最为突出：

恶意扫描通常是攻击的第一步操作，为了攻击目标Web网站，攻击者首先会利用扫描工具对Web网站的域名进行扫描，即发送一些恶意构造的数据，根据服务器的响应判断Web应用类型、应用前是否存在WAF等安全设备，或针对Web漏洞进行特征扫描等，一旦发现可利用的漏洞就会利用其实施攻击，最终损害客户的数据资产安全。

2）其次是其他类型攻击数量排列第二：

其他类型的防护规则为客户自定义的规则，通常是客户为了针对某个路径或含有某种特征的请求而设置的限制规则；

3）CC攻击攻击数量排列第三：

CC攻击通常有多个源IP地址，每个地址都会发送大量的正常请求给Web服务器，使服务器疲于处理恶意的CC攻击请求，消耗服务器资源，而真正正常的请求得不到处理，从用户角度来看就是打不开网页或打开过慢。

1、Web攻击主要分布在北京区，其次是分布在广东区

当前UWAF有52.17%的用户户都倾向将业务部署在北京区，这部分用户的域名本身访问量很大，且用户设置了较多的自定义防护规则进行业务防护，因而导致2022上半年Web的攻击主要分布在北京区，北京区承接了约92%的Web攻击防护。

五、 攻击源IP地址数量趋势与地域分布

1、2022上半年攻击源地址数每周呈上升趋势（以每周含20%的重复地址来计算）。上半年统计约423万个攻击源IP地址，其中2022年6月份的第二周，攻击源IP数量最多，高达约32万个攻击源地址。

2、对于恶意IP地址的Web攻击，UWAF提供了IP惩罚机制以及区域IP封禁能力，支持自动将恶意IP加入黑名单，支持封禁单IP、网段、IDC、ISP以及境外IP，UWAF可在恶意请求到达源站前进行Web攻击的防御和阻断，保护源站的安全。

1、国内：攻击源主要集中在广东、福建、上海地区；

2、海外：攻击源主要分布在美国和东南亚国家；

六、 UWAF攻击防御效果

1、UWAF 2022上半年承载约728亿次访问，日均约4亿次访问，同比2021下半年用户业务访问量增长60%以上，用户业务访问流量呈增长趋势；

2、UWAF上半年拦截约16.8亿次恶意请求，日均约9百万次拦截，同比2021下半年拦截率下降33%，UWAF攻击拦截率呈下降趋势；

3、UWAF上半年检测到约2.5亿次攻击，日均约1百万次攻击，同比2021下半年攻击数下降31%，Web攻击威胁同比2021下半年总量减少了。

说明：访问数包含总访问次数；拦截数包含拦截的黑名单、CC攻击、攻击请求等的恶意请求数；攻击数为触发UWAF规则和CC规则的次数。

七、 Web攻击趋势总结

1、趋势一：随着企业对云服务的接受能力更强，大量使用到负载均衡、VPC、云主机等，很多攻击直接针对客户业务发起，在对业务进行扫描后，针对性地构造攻击数据进行攻击，一旦攻击成功，就会进行横向渗透，从而发掘内网脆弱性进行利用，这要求使用更精准的防护产品和联动能力。

2、趋势二：企业越来越依赖API组建业务系统，上半年与API直接相关的域名的攻击数占比10.57%，且今后还会有更多的API域名需要防护，大量使用API构建的业务系统，将面临更多基于API发起的攻击，这要求需进一步提高对API的防护能力。

3、趋势三：攻击手段自动化程度提升、隐蔽性增强。攻击者用AI模拟人行为绕过常规安全规则匹配的手段屡见不鲜，同时攻击者能利用代理IP池从而不停变换IP进行攻击，这要求更强更智能的安全防护能力。