第1章网络**应急响应技术概念 1.1 网络**应急响应技术概述 …………………………………………… 2 1.1.1 网络**应急响应含义… ………………………………………………………………… 2 1.1.2 网络**应急响应法律法规与标准… …………………………………………………… 4 1.2 网络**应急响应技术演变 …………………………………………… 6 1.2.1 网络**应急响应技术的发展趋势… …………………………………………………… 7 1.3 网络**应急响应技术框架 …………………………………………… 12 1.3.1 应急响应预案… …………………………………………………………………………… 15 1.3.2 组织架构… ………………………………………………………………………………… 15 1.3.3 应急工作流程… …………………………………………………………………………… 19 1.3.4 应急演练规划… …………………………………………………………………………… 25 1.4 网络**应急响应新发展 ……………………………………………… 26 1.4.1 云计算的网络**应急响应… …………………………………………………………… 26 1.4.2 基于大数据平台的应急支撑… …………………………………………………………… 27 第2章 网络**应急响应技术基础知识 2.1 应急响应工作的起点:风险评估 ……………………………………… 32 2.1.1 风险评估相关概念… ……………………………………………………………………… 32 2.1.2 风险评估流程… …………………………………………………………………………… 33 2.1.3 风险评估与应急响应的关系… …………………………………………………………… 34 2.2 **事件分级分类 ……………………………………………………… 34 2.2.1 网络**应急响应技术应急事件类型… ………………………………………………… 34 2.2.2 网络**事件等级… ……………………………………………………………………… 36 2.2.3 网络攻击… ………………………………………………………………………………… 37 2.2.4 系统入侵… ………………………………………………………………………………… 46 2.2.5 信息破坏… ………………………………………………………………………………… 50 2.2.6 **隐患… ………………………………………………………………………………… 56 2.2.7 其他事件… ………………………………………………………………………………… 61 第3章 网络**应急响应技术流程与方法 3.1 应急响应准备阶段 ……………………………………………………… 66 3.1.1 应急响应预案… …………………………………………………………………………… 66 3.1.2 应急响应前的准备工作… ………………………………………………………………… 67 3.2 **阶段 ………………………………………………………………… 67 3.3 保护阶段 ………………………………………………………………… 68 3.4 事件检测阶段 …………………………………………………………… 72 3.4.1 数据分析… ………………………………………………………………………………… 72 3.4.2 确定攻击时间… …………………………………………………………………………… 97 3.4.3 查找攻击线索… …………………………………………………………………………… 97 3.4.4 梳理攻击过程… …………………………………………………………………………… 97 3.4.5 定位攻击者… ……………………………………………………………………………… 97 3.5 取证阶段 ………………………………………………………………… 98 3.6 根除阶段 ……………………………………………………………… 103 3.7 恢复阶段 ……………………………………………………………… 103 3.8 总结报告 ……………………………………………………………… 104 第4章 应急演练 4.1 应急演练总则 ………………………………………………………… 106 4.1.1 应急演练定义… ………………………………………………………………………… 106 4.1.2 应急演练目的… ………………………………………………………………………… 106 4.1.3 应急演练原则… ………………………………………………………………………… 107 4.2 应急演练分类及方法 ………………………………………………… 107 4.2.1 应急演练分类… ………………………………………………………………………… 107 4.2.2 应急演练方法… ………………………………………………………………………… 109 4.2.3 按目的与作用划分… …………………………………………………………………… 110 4.2.4 按组织范围划分… ……………………………………………………………………… 110 4.3 应急演练组织机构 …………………………………………………… 111 4.3.1 应急演练领导小组… ………………………………………………………………………111 4.3.2 应急演练管理小组… ………………………………………………………………………111 4.3.3 应急演练技术小组… ………………………………………………………………………111 4.3.4 应急演练评估小组… …………………………………………………………………… 112 4.3.5 应急响应实施组… ……………………………………………………………………… 112 4.4 应急演练流程 ………………………………………………………… 112 4.5 应急演练规划 ………………………………………………………… 113 4.5.1 应急演练规划定义… …………………………………………………………………… 113 4.6 应急演练实施 ………………………………………………………… 116 4.7 应急演练总结 ………………………………………………………… 117 第5章 网络**事件应急处置实战 5.1 常见Web 攻击应急处置实战 ………………………………………… 120 5.1.1 主流Web 攻击目的及现象……………………………………………………………… 120 5.1.2 常见Web 攻击入侵方式………………………………………………………………… 124 5.1.3 常见Web 后门…………………………………………………………………………… 125 5.1.4 Web 入侵分析检测方法………………………………………………………………… 127 5.1.5 Web 攻击实验与事件入侵案例分析…………………………………………………… 131 5.2 信息泄露类攻击应急处置实战 ……………………………………… 140 5.2.1 常见的信息泄露事件… ………………………………………………………………… 140 5.2.2 数据库拖库… …………………………………………………………………………… 141 5.2.3 流量异常分析… ………………………………………………………………………… 142 5.2.4 流量异常分析实验… …………………………………………………………………… 143 5.3 主机类攻击应急处置实战 …………………………………………… 149 5.3.1 系统入侵的目的及现象… ……………………………………………………………… 149 5.3.2 常见系统漏洞… ………………………………………………………………………… 149 5.3.3 检测及分析… …………………………………………………………………………… 150 5.3.4 主机入侵处置实验… …………………………………………………………………… 170 5.4 有害事件应急处置实战 ……………………………………………… 174 5.4.1 DDoS 僵尸网络事件(Windows/Linux 版本)… …………………………………… 174 5.4.2 勒索病毒加密事件(Windows 为主)… ……………………………………………… 175 5.4.3 蠕虫病毒感染事件(Windows 为主)… ……………………………………………… 176 5.4.4 供应链木马攻击事件(Windows 为主)… …………………………………………… 176 5.4.5 应急响应任务解析(Windows 沙箱技术)… ………………………………………… 177 5.4.6 有害事件处置实践指南… ……………………………………………………………… 181 附录 Windows/Linux分析排查 附录A Windows 分析排查 ………………………………………………… 186 A.1 文件分析… ………………………………………………………………………………… 186 A.2 进程命令…………………………………………………………………………………… 187 A.3 系统信息…………………………………………………………………………………… 188 A.4 后门排查…………………………………………………………………………………… 188 A.5 Webshell排查… ………………………………………………………………………… 190 A.6 日志分析…………………………………………………………………………………… 191 附录B Linux 分析排查 …………………………………………………… 195 B.1 文件分析… ………………………………………………………………………………… 195 B.2 进程命令…………………………………………………………………………………… 196 B.3 系统信息…………………………………………………………………………………… 198 B.4 后门排查…………………………………………………………………………………… 200 B.5 日志分析………………………………………