第 1章 网络安全应急响应概述 1
1.1 应急响应及网络安全应急响应 1
1.1.1 网络安全应急响应的含义 2
1.1.2 网络安全应急响应的作用 2
1.1.3 网络安全应急响应的相关法律法规与要求 3
1.2 网络安全应急响应面临的挑战与发展趋势 7
1.2.1 网络安全应急响应面临的挑战 7
1.2.2 网络安全应急响应技术向工具化、平台化发展 9
1.3 网络安全应急响应流程 12
1.4 常见网络安全应急响应场景 15
第 2章 应急响应基础技术 17
2.1 日志分析技术 17
2.1.1 Windows日志分析 18
2.1.2 Linux日志分析 32
2.1.3 Web日志分析 38
2.2 流量分析技术 42
2.2.1 实时流量分析 42
2.2.2 回溯流量分析 46
2.2.3 Wireshark 47
2.2.4 tcpdump 51
2.2.5 典型案例分析 52
2.3 威胁情报分析技术 55
2.3.1 威胁情报的来源 56
2.3.2 威胁情报的使用 56
2.3.3 威胁情报平台的使用 57
2.4 溯源分析技术 59
2.4.1 整体溯源分析思路 59
2.4.2 溯源信息扩展 61
第3章 常见操作系统下的应急响应技术 63
3.1 Windows应急响应技术 63
3.1.1 日志分析 63
3.1.2 网络连接分析 64
3.1.3 异常进程分析 66
3.1.4 异常账户分析 67
3.1.5 流量分析 71
3.1.6 异常服务分析 71
3.1.7 任务计划分析 74
3.1.8 启动项分析 76
3.1.9 可疑目录及文件分析 78
3.2 Linux应急响应技术 80
3.2.1 日志分析 80
3.2.2 网络连接分析 81
3.2.3 异常进程分析 83
3.2.4 异常账户分析 84
3.2.5 计划任务分析 89
3.2.6 异常目录及文件分析 91
3.2.7 命令历史记录分析 92
3.2.8 自启动服务分析 93
3.2.9 流量分析 95
3.3 macOS应急响应技术 96
3.3.1 日志分析 96
3.3.2 异常账户分析 96
3.3.3 异常启动项分析 98
3.3.4 异常进程分析 99
3.3.5 异常文件分析 100
3.3.6 网络配置分析 103
第4章 应急响应高阶技术 104
4.1 内存取证技术 104
4.1.1 内存镜像提取 105
4.1.2 内存镜像分析 111
4.1.3 内存取证分析实战 116
4.2 样本分析技术 123
4.2.1 样本分析基础 124
4.2.2 情报检索 128
4.2.3 文件分析沙箱 131
4.2.4 人工样本分析 132
第5章 网络安全事件应急响应实战 171
5.1 DDoS攻击类应急响应实战 171
5.1.1 DDoS攻击主要类型 172
5.1.2 DDoS攻击现象 175
5.1.3 DDoS攻击应急响应案例 176
5.2 勒索病毒类应急响应实战 177
5.2.1 勒索病毒分类 177
5.2.2 勒索病毒现象 178
5.2.3 勒索病毒处置 179
5.2.4 攻击路径溯源 179
5.2.5 勒索病毒应急响应案例 180
5.3 钓鱼邮件类应急响应实战 182
5.3.1 钓鱼邮件主要类型 183
5.3.2 钓鱼邮件分析流程 184
5.3.3 钓鱼邮件应急响应案例 187
5.4 挖矿病毒类应急响应实战 189
5.4.1 挖矿病毒的发现与分析 190
5.4.2 挖矿病毒主要传播方式 193
5.4.3 挖矿病毒应急响应案例 195
5.5 Webshell攻击类应急响应实战 196
5.5.1 Webshell攻击分析思路 197
5.5.2 Webshell攻击排查步骤 198
5.5.3 Webshell攻击应急响应案例 199
5.6 网页篡改类应急响应实战 207
5.6.1 网页篡改分析思路 208
5.6.2 网页篡改排查流程 208
5.6.3 网页篡改应急响应案例 210
5.7 网站劫持类应急响应实战 213
5.7.1 网站劫持分析思路 213
5.7.2 网站劫持排查流程 214
5.7.3 网站劫持应急响应案例 215
5.8 数据泄露类应急响应实战 225
5.8.1 数据泄露分析思路 225
5.8.2 数据泄露排查流程 226
5.8.3 数据泄露应急响应案例 227
第6章 常见应用组件应急响应实战 231
6.1 中间件 231
6.1.1 IIS 232
6.1.2 NGINX 235
6.1.3 Apache 236
6.1.4 Tomcat 238
6.1.5 WebLogic 239
6.1.6 JBoss 243
6.2 邮件系统 245
6.2.1 Coremail 246
6.2.2 Exchange Server 247
6.3 OA系统 249
6.3.1 泛微OA系统 250
6.3.2 致远OA系统 251
6.4 数据库 253
6.4.1 MySQL 253
6.4.2 MSSQL Server 257
6.4.3 Oracle 262
6.5 其他常见应用组件 270
6.5.1 Redis 271
6.5.2 Confluence 272
6.5.3 Log4j 2 274
6.5.4 Fastjson 276
6.5.5 Shiro 277
6.5.6 Struts 2 280
6.5.7 ThinkPHP 282
第7章 企业网络安全应急响应体系建设 284
7.1 获得高层领导支持 284
7.2 建设应急响应团队 285
7.3 制定应急响应预案 286
7.4 网络安全应急演练实施 287
7.5 网络安全持续监控和不断改进 289
7.6 不同行业企业应急响应体系建设的区别 290
结语 291
附录A 网络安全事件应急预案 292
A.1 总则 292
A.1.1 编制目的 292
A.1.2 适用范围 292
A.1.3 事件分级 293
A.1.4 工作原则 294
A.2 组织机构与职责 294
A.2.1 领导机构与职责 294
A.2.2 办事机构与职责 294
A.3 监测与预警 295
A.3.1 预警分级 295
A.3.2 安全监测 295
A.3.3 预警研判和发布 295
A.3.4 预警响应 296
A.3.5 预警解除 296
A.4 应急处置 297
A.4.1 初步处置 297
A.4.2 信息安全事件 297
A.4.3 应急响应 297
A.5 具体处置措施 299
A.5.1 有害程序事件 299
A.5.2 网络攻击事件 299
A.5.3 信息破坏事件 300
A.5.4 设备故障事件 300
A.5.5 灾害性事件 300
A.5.6 其他事件 300
A.5.7 应急结束 300
A.5.8 调查处理和总结评估 301
A.5.9 总结和报告 301
A.6 预防工作 301
A.6.1 日常管理 301
A.6.2 监测预警和通报 302
A.6.3 应急演练 302
A.6.4 重要保障 302
A.7 工作保障 302
A.7.1 技术支撑 302
A.7.2 专家队伍 303
A.7.3 资金保障 303
A.7.4 责任与奖惩 303
A.8 附则 303
附录B 网络安全应急演练方案 306
B.1 总则 306
B.1.1 应急演练定义 306
B.1.2 应急演练目标 306
B.1.3 应急演练原则 307
B.1.4 应急演练分类 307
B.1.5 应急演练规划 309
B.2 应急演练组织机构 309
B.2.1 组织单位 309
B.2.2 参演单位 310
B.3 应急演练流程 311
B.4 应急演练准备 311
B.4.1 制订演练计划 311
B.4.2 设计演练方案 312
B.4.3 演练动员与培训 314
B.4.4 应急演练保障 314
B.5 应急演练实施 315
B.5.1 系统准备 315
B.5.2 演练开始 315
B.5.3 演练执行 315
B.5.4 演练解说 316
B.5.5 演练记录 316
