網(wǎng)絡(luò)安全應(yīng)急響應(yīng)

第1章網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)概念
1．1 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)概述 …………………………………………… 2
1．1．1 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)含義… ………………………………………………………………… 2
1．1．2 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)法律法規(guī)與標(biāo)準(zhǔn)… …………………………………………………… 4
1．2 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)演變 …………………………………………… 6
1．2．1 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)的發(fā)展趨勢… …………………………………………………… 7
1．3 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)框架 …………………………………………… 12
1．3．1 應(yīng)急響應(yīng)預(yù)案… …………………………………………………………………………… 15
1．3．2 組織架構(gòu)… ………………………………………………………………………………… 15
1．3．3 應(yīng)急工作流程… …………………………………………………………………………… 19
1．3．4 應(yīng)急演練規(guī)劃… …………………………………………………………………………… 25
1．4 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)新發(fā)展 ……………………………………………… 26
1．4．1 云計算的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)… …………………………………………………………… 26
1．4．2 基于大數(shù)據(jù)平臺的應(yīng)急支撐… …………………………………………………………… 27
第2章 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)基礎(chǔ)知識
2．1 應(yīng)急響應(yīng)工作的起點：風(fēng)險評估 ……………………………………… 32
2．1．1 風(fēng)險評估相關(guān)概念… ……………………………………………………………………… 32
2．1．2 風(fēng)險評估流程… …………………………………………………………………………… 33
2．1．3 風(fēng)險評估與應(yīng)急響應(yīng)的關(guān)系… …………………………………………………………… 34
2．2 安全事件分級分類 ……………………………………………………… 34
2．2．1 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)應(yīng)急事件類型… ………………………………………………… 34
2．2．2 網(wǎng)絡(luò)安全事件等級… ……………………………………………………………………… 36
2．2．3 網(wǎng)絡(luò)攻擊… ………………………………………………………………………………… 37
2．2．4 系統(tǒng)入侵… ………………………………………………………………………………… 46
2．2．5 信息破壞… ………………………………………………………………………………… 50
2．2．6 安全隱患… ………………………………………………………………………………… 56
2．2．7 其他事件… ………………………………………………………………………………… 61
第3章 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)流程與方法
3．1 應(yīng)急響應(yīng)準(zhǔn)備階段 ……………………………………………………… 66
3．1．1 應(yīng)急響應(yīng)預(yù)案… …………………………………………………………………………… 66
3．1．2 應(yīng)急響應(yīng)前的準(zhǔn)備工作… ………………………………………………………………… 67
3．2 抑制階段 ………………………………………………………………… 67
3．3 保護階段 ………………………………………………………………… 68
3．4 事件檢測階段 …………………………………………………………… 72
3．4．1 數(shù)據(jù)分析… ………………………………………………………………………………… 72
3．4．2 確定攻擊時間… …………………………………………………………………………… 97
3．4．3 查找攻擊線索… …………………………………………………………………………… 97
3．4．4 梳理攻擊過程… …………………………………………………………………………… 97
3．4．5 定位攻擊者… ……………………………………………………………………………… 97
3．5 取證階段 ………………………………………………………………… 98
3．6 根除階段 ……………………………………………………………… 103
3．7 恢復(fù)階段 ……………………………………………………………… 103
3．8 總結(jié)報告 ……………………………………………………………… 104
第4章 應(yīng)急演練
4．1 應(yīng)急演練總則 ………………………………………………………… 106
4．1．1 應(yīng)急演練定義… ………………………………………………………………………… 106
4．1．2 應(yīng)急演練目的… ………………………………………………………………………… 106
4．1．3 應(yīng)急演練原則… ………………………………………………………………………… 107
4．2 應(yīng)急演練分類及方法 ………………………………………………… 107
4．2．1 應(yīng)急演練分類… ………………………………………………………………………… 107
4．2．2 應(yīng)急演練方法… ………………………………………………………………………… 109
4．2．3 按目的與作用劃分… …………………………………………………………………… 110
4．2．4 按組織范圍劃分… ……………………………………………………………………… 110
4．3 應(yīng)急演練組織機構(gòu) …………………………………………………… 111
4．3．1 應(yīng)急演練領(lǐng)導(dǎo)小組… ………………………………………………………………………111
4．3．2 應(yīng)急演練管理小組… ………………………………………………………………………111
4．3．3 應(yīng)急演練技術(shù)小組… ………………………………………………………………………111
4．3．4 應(yīng)急演練評估小組… …………………………………………………………………… 112
4．3．5 應(yīng)急響應(yīng)實施組… ……………………………………………………………………… 112
4．4 應(yīng)急演練流程 ………………………………………………………… 112
4．5 應(yīng)急演練規(guī)劃 ………………………………………………………… 113
4．5．1 應(yīng)急演練規(guī)劃定義… …………………………………………………………………… 113
4．6 應(yīng)急演練實施 ………………………………………………………… 116
4．7 應(yīng)急演練總結(jié) ………………………………………………………… 117
第5章 網(wǎng)絡(luò)安全事件應(yīng)急處置實戰(zhàn)
5．1 常見Web 攻擊應(yīng)急處置實戰(zhàn) ………………………………………… 120
5．1．1 主流Web 攻擊目的及現(xiàn)象……………………………………………………………… 120
5．1．2 常見Web 攻擊入侵方式………………………………………………………………… 124
5．1．3 常見Web 后門…………………………………………………………………………… 125
5．1．4 Web 入侵分析檢測方法………………………………………………………………… 127
5．1．5 Web 攻擊實驗與事件入侵案例分析…………………………………………………… 131
5．2 信息泄露類攻擊應(yīng)急處置實戰(zhàn) ……………………………………… 140
5．2．1 常見的信息泄露事件… ………………………………………………………………… 140
5．2．2 數(shù)據(jù)庫拖庫… …………………………………………………………………………… 141
5．2．3 流量異常分析… ………………………………………………………………………… 142
5．2．4 流量異常分析實驗… …………………………………………………………………… 143
5．3 主機類攻擊應(yīng)急處置實戰(zhàn) …………………………………………… 149
5．3．1 系統(tǒng)入侵的目的及現(xiàn)象… ……………………………………………………………… 149
5．3．2 常見系統(tǒng)漏洞… ………………………………………………………………………… 149
5．3．3 檢測及分析… …………………………………………………………………………… 150
5．3．4 主機入侵處置實驗… …………………………………………………………………… 170
5．4 有害事件應(yīng)急處置實戰(zhàn) ……………………………………………… 174
5．4．1 DDoS 僵尸網(wǎng)絡(luò)事件（Windows/Linux 版本）… …………………………………… 174
5．4．2 勒索病毒加密事件（Windows 為主）… ……………………………………………… 175
5．4．3 蠕蟲病毒感染事件（Windows 為主）… ……………………………………………… 176
5．4．4 供應(yīng)鏈木馬攻擊事件（Windows 為主）… …………………………………………… 176
5．4．5 應(yīng)急響應(yīng)任務(wù)解析（Windows 沙箱技術(shù)）… ………………………………………… 177
5．4．6 有害事件處置實踐指南… ……………………………………………………………… 181
附錄 Windows/Linux分析排查
附錄A Windows 分析排查 ………………………………………………… 186
A．1 文件分析… ………………………………………………………………………………… 186
A．2 進程命令…………………………………………………………………………………… 187
A．3 系統(tǒng)信息…………………………………………………………………………………… 188
A．4 后門排查…………………………………………………………………………………… 188
A．5 Webshell排查… ………………………………………………………………………… 190
A．6 日志分析…………………………………………………………………………………… 191
附錄B Linux 分析排查 …………………………………………………… 195
B．1 文件分析… ………………………………………………………………………………… 195
B．2 進程命令…………………………………………………………………………………… 196
B．3 系統(tǒng)信息…………………………………………………………………………………… 198
B．4 后門排查…………………………………………………………………………………… 200
B．5 日志分析…………………………………………………………………………………… 203
參考文獻……………………………………………………………………… 207