图3 教育网检出挂马网站数量和次数的顶级域名分布情况

　　网页木马宿主站点分析

　　网站挂马监测平台具有网页木马精确定位和挂马链提取功能，对于检测到的挂马网站，能够追溯网页木马宿主站点。基于这些原始数据，我们对上半年教育网检出的网页木马宿主站点进行统计分析，从而尝试揭示出一些攻击者构建挂马攻击场景的技术规律。

　　在平台对1 374个挂马网站的累计26,956次检出结果中，这些挂马网站最终装载了位于1,001个恶意宿主上的网页木马URL，传播网站数量最多的网页木马宿主站点如表1，最多的宿主站点o.lookforhosting.com上的网页木马链接在145个教育网网站中植入传播。表 2显示了影响挂马网站数量最多的网页木马宿主站点根域名，以及在这些根域名上所发现的网页木马宿主站点数量，从中可以看出大量网页木马宿主站点利用从希网免费域名服务申请的动态域名进行DNS解析，这说明了国内动态域名服务尚存在被滥用的情况，需对动态域名注册进一步加强安全管理。

　　在我们的监测过程中发现，检出的挂马网站在每轮监测中提取到的网页木马宿主站点具有高度的变化性，72.7%的挂马网站所挂接的宿主站点进行了变化转移，每个挂马网站平均对应的宿主站点数竟达到了5.32。此外，我们监测到的宿主站点分布于170个顶级域名上，其中的46个顶级域名至少拥有两个恶意宿主站点，平均拥有19个。特别是希网旗下的2288.org、8800.org、3322.org、6600.org、8866.org、9966.org和7766.org免费动态域名服务，共计为544个恶意宿主站点提供了动态域名，超出了我们所发现恶意宿主站点总数的一半以上。其中攻击者在2288.org等动态域名服务上引入了域名随机化机制，如60433.23620979173.ajw.2288.org，也使得用于分发网页木马的恶意宿主站点域名更加多样化。

　　这种在恶意宿主站点和域名上的高度变化性和对抗性显然是在回避目前产业界和国家监管部门普遍实施的黑名单域名和网址过滤机制，这对有效应对处置网站挂马威胁提出了更高的挑战。