網路安全應急回響技術實戰

近年來，網路安全事件時有發生，在加強網路安全防護的同時，也需加強網路安全應急回響建設。 本書是“奇安信認證網路安全工程師系列叢書”之一，共分為3篇。第1篇網路安全應急回響概述，講解了應急回響和網路安全應急回響的概念、網路安全事件的分類分級和應急回響的實施流程。第2篇網路安全應急回響技術，講解了安全攻防技術、日誌分析技術、網路流量分析技術、惡意代碼分析技術、終端檢測與回響技術和電子數據取證技術。第3篇網路安全應急回響實戰，講解了Web安全應急回響案例分析、Windows應急回響案例分析、Linux應急回響案例分析和網路攻擊應急回響案例分析。 本書以實戰技術為主，弱化了應急回響管理，強化了應急回響中涉及的技術，同時，結合網路安全應急回響的實際案例進行分析講解。

第0章　網路安全應急回響概引 （1）

0.1　應急回響場景一 （1）

0.1.1　事件發現 （1）

0.1.2　事件分析 （2）

0.1.3　應急處置 （3）

0.1.4　事件恢復 （3）

0.1.5　事後描述 （4）

0.1.6　風險評估 （4）

0.2　應急回響場景二 （4）

0.2.1　事件描述 （4）

0.2.2　電話溝通 （4）

0.2.3　現場溝通 （5）

0.2.4　技術排查 （6）

0.2.5　工作匯報 （6）

0.3　應急回響場景三 （7）

0.3.1　事件發現及報告 （7）

0.3.2　預案啟動 （7）

0.3.3　應急處置 （8）

0.3.4　事件升級 （9）

0.3.5　後續處置 （10）

0.3.6　應急結束 （10）

第1篇　網路安全應急回響概述

第1章　網路安全應急回響的基本概念 （11）

1.1　應急回響 （11）

1.2　網路安全應急回響 （12）

第2章　網路安全事件的分類和分級 （14）

2.1　網路安全事件分類 （14）

2.1.1　有害程式事件 （14）

2.1.2　網路攻擊事件 （15）

2.1.3　信息破壞事件 （15）

2.1.4　信息內容安全事件 （16）

2.1.5　設備設施故障 （16）

2.1.6　災害性事件 （17）

2.1.7　其他信息安全事件 （17）

2.2　網路安全事件分級 （17）

2.2.1　分級考慮要素 （17）

2.2.2　安全事件分級 （18）

第3章　網路安全應急回響實施的流程 （19）

第2篇　網路安全應急回響技術

第4章　安全攻防技術 （21）

4.1　Web安全知識體系 （21）

4.2　網路滲透知識體系 （24）

第5章　日誌分析技術 （26）

5.1　Web日誌分析 （26）

5.1.1　HTTP基礎 （26）

5.1.2　Web日誌格式解析 （34）

5.1.3　Web日誌分析方法 （40）

5.2　作業系統日誌分析 （45）

5.2.1　Windows作業系統日誌 （45）

5.2.2　Linux作業系統日誌 （56）

5.3　網路及安全設備日誌分析 （61）

5.3.1　路由交換機日誌 （61）

5.3.2　防火牆日誌 （66）

5.3.3　Web套用防火牆日誌 （68）

5.3.4　入侵防禦/監測日誌 （70）

5.3.5　APT設備日誌 （71）

5.3.6　NGSOC日誌 （82）

第6章　網路流量分析技術 （87）

6.1　NetFlow流量分析 （87）

6.1.1　NetFlow技術介紹 （87）

6.1.2　NetFlow網路異常流量分析 （88）

6.2　全流量分析 （91）

6.2.1　Wireshark簡介 （91）

6.2.2　Wireshark的使用方法 （93）

6.2.3　全流量分析方法 （103）

第7章　惡意代碼分析技術 （111）

7.1　惡意代碼概述 （111）

7.1.1　惡意代碼簡述 （111）

7.1.2　惡意代碼的發展史 （111）

7.1.3　病毒 （113）

7.1.4　蠕蟲病毒 （116）

7.1.5　木馬病毒 （117）

7.1.6　Rootkit （119）

7.2　Windows惡意代碼分析 （120）

7.2.1　前置知識 （120）

7.2.2　利用防毒軟體排查 （122）

7.2.3　利用工具排查 （126）

7.3　Linux惡意代碼排查 （132）

7.3.1　Chkrootkit工具 （132）

7.3.2　Rkhunter工具 （133）

7.4　Webshell惡意代碼分析 （134）

7.4.1　黑白名單檢測 （135）

7.4.2　靜態檢測 （135）

7.4.3　動態檢測 （136）

7.4.4　基於日誌分析的檢測 （137）

7.4.5　基於統計學的檢測 （140）

7.4.6　基於機器學習的檢測 （144）

7.4.7　Webshell檢測工具匯總 （145）

第8章　終端檢測與回響技術 （146）

8.1　Linux終端檢測 （146）

8.1.1　排查網路連線及進程 （146）

8.1.2　排查可疑用戶 （147）

8.1.3　排查歷史命令 （148）

8.1.4　排查可疑檔案 （149）

8.1.5　排查開機啟動項 （150）

8.1.6　排查定時任務 （151）

8.1.7　排查服務自啟動 （151）

8.1.8　其他排查 （152）

8.2　Windows終端檢測 （152）

8.2.1　排查網路連線及進程 （152）

8.2.2　排查可疑用戶 （153）

8.2.3　排查可疑檔案 （154）

8.2.4　排查開機啟動項 （154）

8.2.5　排查計畫任務 （155）

8.2.6　排查服務自啟動 （155）

8.2.7　其他排查 （155）

第9章　電子數據取證技術 （156）

9.1　電子數據取證 （156）

9.2　電子數據取證與應急回響 （157）

9.3　電子數據取證的相關技術 （157）

9.3.1　易失性信息的提取 （157）

9.3.2　記憶體鏡像 （158）

9.3.3　磁碟複製 （162）

第3篇　網路安全應急回響實戰

第10章　Web安全應急回響案例實戰分析 （164）

10.1　網站頁面篡改及掛馬的應急處置 （164）

10.2　網站首頁被直接篡改的應急處置 （166）

10.3　搜尋引擎劫持篡改的應急處置 （169）

10.4　OS劫持篡改的應急處置 （171）

10.5　運營商劫持篡改的應急處置 （171）

第11章　Windows應急回響案例實戰分析 （175）

11.1　Lib32wati蠕蟲病毒的應急處置 （175）

11.2　勒索病毒應急事件的處置 （179）

第12章　Linux應急回響案例實戰分析 （182）

12.1　Linux惡意樣本取證的應急處置 （182）

12.2　某Linux伺服器被入侵的應急處置 （186）

12.3　Rootkit核心級後門的應急處置 （189）

12.4　Linux挖礦木馬的應急處置 （194）

第13章　網路攻擊應急回響案例實戰分析 （197）

13.1　網路ARP攻擊的應急處置 （197）

13.2　殭屍網路應急事件的處置 （202）

13.3　網路故障應急事件的處置 （204）