内容简介：本书是中国网络**审查技术及认证**的工程师培训系列教材之一，《网络**应急响应》。网络**应急响应是网络**保障工作体系的*后一个环节，是在**事件发生后有效止损 和完善组织**防护体系建设的关键业务环节。本书以网络**应急技术体系和实践技能为主线， 兼顾应急响应的流程、组织和先进理念，理论联系实践，从应急响应的技术基础、**事件处置流程涉及的技术基础到系统和网络级应急实战，循序渐进，使读者能够全方面了解应急响应技术体系和发展，理解**事件的分类、成因、现象和处置理念，的方法，具备网络**应急响应工作技能。

第1章网络**应急响应技术概念 1.1 网络**应急响应技术概述 …………………………………………… 2 1.1.1 网络**应急响应含义… ………………………………………………………………… 2 1.1.2 网络**应急响应法律法规与标准… …………………………………………………… 4 1.2 网络**应急响应技术演变 …………………………………………… 6 1.2.1 网络**应急响应技术的发展趋势… …………………………………………………… 7 1.3 网络**应急响应技术框架 …………………………………………… 12 1.3.1 应急响应预案… …………………………………………………………………………… 15 1.3.2 组织架构… ………………………………………………………………………………… 15 1.3.3 应急工作流程… …………………………………………………………………………… 19 1.3.4 应急演练规划… …………………………………………………………………………… 25 1.4 网络**应急响应新发展 ……………………………………………… 26 1.4.1 云计算的网络**应急响应… …………………………………………………………… 26 1.4.2 基于大数据平台的应急支撑… …………………………………………………………… 27 第2章 网络**应急响应技术基础知识 2.1 应急响应工作的起点：风险评估 ……………………………………… 32 2.1.1 风险评估相关概念… ……………………………………………………………………… 32 2.1.2 风险评估流程… …………………………………………………………………………… 33 2.1.3 风险评估与应急响应的关系… …………………………………………………………… 34 2.2 **事件分级分类 ……………………………………………………… 34 2.2.1 网络**应急响应技术应急事件类型… ………………………………………………… 34 2.2.2 网络**事件等级… ……………………………………………………………………… 36 2.2.3 网络攻击… ………………………………………………………………………………… 37 2.2.4 系统入侵… ………………………………………………………………………………… 46 2.2.5 信息破坏… ………………………………………………………………………………… 50 2.2.6 **隐患… ………………………………………………………………………………… 56 2.2.7 其他事件… ………………………………………………………………………………… 61 第3章 网络**应急响应技术流程与方法 3.1 应急响应准备阶段 ……………………………………………………… 66 3.1.1 应急响应预案… …………………………………………………………………………… 66 3.1.2 应急响应前的准备工作… ………………………………………………………………… 67 3.2 **阶段 ………………………………………………………………… 67 3.3 保护阶段 ………………………………………………………………… 68 3.4 事件检测阶段 …………………………………………………………… 72 3.4.1 数据分析… ………………………………………………………………………………… 72 3.4.2 确定攻击时间… …………………………………………………………………………… 97 3.4.3 查找攻击线索… …………………………………………………………………………… 97 3.4.4 梳理攻击过程… …………………………………………………………………………… 97 3.4.5 定位攻击者… ……………………………………………………………………………… 97 3.5 取证阶段 ………………………………………………………………… 98 3.6 根除阶段 ……………………………………………………………… 103 3.7 恢复阶段 ……………………………………………………………… 103 3.8 总结报告 ……………………………………………………………… 104 第4章 应急演练 4.1 应急演练总则 ………………………………………………………… 106 4.1.1 应急演练定义… ………………………………………………………………………… 106 4.1.2 应急演练目的… ………………………………………………………………………… 106 4.1.3 应急演练原则… ………………………………………………………………………… 107 4.2 应急演练分类及方法 ………………………………………………… 107 4.2.1 应急演练分类… ………………………………………………………………………… 107 4.2.2 应急演练方法… ………………………………………………………………………… 109 4.2.3 按目的与作用划分… …………………………………………………………………… 110 4.2.4 按组织范围划分… ……………………………………………………………………… 110 4.3 应急演练组织机构 …………………………………………………… 111 4.3.1 应急演练领导小组… ………………………………………………………………………111 4.3.2 应急演练管理小组… ………………………………………………………………………111 4.3.3 应急演练技术小组… ………………………………………………………………………111 4.3.4 应急演练评估小组… …………………………………………………………………… 112 4.3.5 应急响应实施组… ……………………………………………………………………… 112 4.4 应急演练流程 ………………………………………………………… 112 4.5 应急演练规划 ………………………………………………………… 113 4.5.1 应急演练规划定义… …………………………………………………………………… 113 4.6 应急演练实施 ………………………………………………………… 116 4.7 应急演练总结 ………………………………………………………… 117 第5章 网络**事件应急处置实战 5.1 常见Web 攻击应急处置实战 ………………………………………… 120 5.1.1 主流Web 攻击目的及现象……………………………………………………………… 120 5.1.2 常见Web 攻击入侵方式………………………………………………………………… 124 5.1.3 常见Web 后门…………………………………………………………………………… 125 5.1.4 Web 入侵分析检测方法………………………………………………………………… 127 5.1.5 Web 攻击实验与事件入侵案例分析…………………………………………………… 131 5.2 信息泄露类攻击应急处置实战 ……………………………………… 140 5.2.1 常见的信息泄露事件… ………………………………………………………………… 140 5.2.2 数据库拖库… …………………………………………………………………………… 141 5.2.3 流量异常分析… ………………………………………………………………………… 142 5.2.4 流量异常分析实验… …………………………………………………………………… 143 5.3 主机类攻击应急处置实战 …………………………………………… 149 5.3.1 系统入侵的目的及现象… ……………………………………………………………… 149 5.3.2 常见系统漏洞… ………………………………………………………………………… 149 5.3.3 检测及分析… …………………………………………………………………………… 150 5.3.4 主机入侵处置实验… …………………………………………………………………… 170 5.4 有害事件应急处置实战 ……………………………………………… 174 5.4.1 DDoS 僵尸网络事件（Windows/Linux 版本）… …………………………………… 174 5.4.2 勒索病毒加密事件（Windows 为主）… ……………………………………………… 175 5.4.3 蠕虫病毒感染事件（Windows 为主）… ……………………………………………… 176 5.4.4 供应链木马攻击事件（Windows 为主）… …………………………………………… 176 5.4.5 应急响应任务解析（Windows 沙箱技术）… ………………………………………… 177 5.4.6 有害事件处置实践指南… ……………………………………………………………… 181 附录 Windows/Linux分析排查 附录A Windows 分析排查 ………………………………………………… 186 A.1 文件分析… ………………………………………………………………………………… 186 A.2 进程命令…………………………………………………………………………………… 187 A.3 系统信息…………………………………………………………………………………… 188 A.4 后门排查…………………………………………………………………………………… 188 A.5 Webshell排查… ………………………………………………………………………… 190 A.6 日志分析…………………………………………………………………………………… 191 附录B Linux 分析排查 …………………………………………………… 195 B.1 文件分析… ………………………………………………………………………………… 195 B.2 进程命令…………………………………………………………………………………… 196 B.3 系统信息…………………………………………………………………………………… 198 B.4 后门排查…………………………………………………………………………………… 200 B.5 日志分析………………………………………