在2010年上半年检出的1,374个挂马网站中，我们进一步对这些网站在平台每轮监测中检出次数和挂马检出的持续时间进行了统计，其分布如图 2所示。挂马网站的平均检出次数为3.9，检出次数最多的网站达到了28次，是某高校的精品课程网站；检出持续时间最长为143天，被检出的某高校生物技术学院在1月下旬检出后一直保持被挂马状态，持续被平台检出。而检出挂马网站的平均挂马持续时间为25.7天1，这说明教育网部分网站对挂马的检测和响应还远远不够主动和迅速，也使得挂马网站持续地对访问者构成安全威胁。

　　检出的1,374个挂马网站分布于425个教育网顶级域名（即大致分布于400多个高校和科研院所单位），检出挂马网站最多顶级域名为haue.edu.cn。从2月3日至6月28日，在该域名下持续有48个不同的网站被检出挂马，检出次数达到233次。经分析，该高校网站大部分都建在同一IP的服务器上，且均采用了ASP动态页面建站；而被植入的网页木马也都属于同一渗透代码工具包(Exploit Kit)，而且宿主域名源于同一动态域名服务。因此，可以推测，该高校大量网站被挂马是同一攻击者(团伙)所为，通过攻入服务器，在不同虚拟主机目录的网页中插入恶意挂马链接，从而实施网站挂马攻击。在检出挂马网站的425个顶级域名中，平均每个域名下有3.2个挂马网站，这些检出挂马网站的顶级域名所属单位也几乎囊括了目前国内所有985及211高校。

图1 2010年上半年教育网网站挂马数量和月度挂马率呈快速增长趋势