目錄
第0章　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概引 （1）
0.1　應(yīng)急響應(yīng)場(chǎng)景一 （1）
0.1.1　事件發(fā)現(xiàn) （1）
0.1.2　事件分析 （2）
0.1.3　應(yīng)急處置 （3）
0.1.4　事件恢復(fù) （3）
0.1.5　事后描述 （4）
0.1.6　風(fēng)險(xiǎn)評(píng)估 （4）
0.2　應(yīng)急響應(yīng)場(chǎng)景二 （4）
0.2.1　事件描述 （4）
0.2.2　電話溝通 （4）
0.2.3　現(xiàn)場(chǎng)溝通 （5）
0.2.4　技術(shù)排查 （6）
0.2.5　工作匯報(bào) （6）
0.3　應(yīng)急響應(yīng)場(chǎng)景三 （7）
0.3.1　事件發(fā)現(xiàn)及報(bào)告 （7）
0.3.2　預(yù)案啟動(dòng) （7）
0.3.3　應(yīng)急處置 （8）
0.3.4　事件升級(jí) （9）
0.3.5　后續(xù)處置 （10）
0.3.6　應(yīng)急結(jié)束 （10）
第1篇　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述
第1章　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的基本概念 （11）
1.1　應(yīng)急響應(yīng) （11）
1.2　網(wǎng)絡(luò)安全應(yīng)急響應(yīng) （12）
第2章　網(wǎng)絡(luò)安全事件的分類和分級(jí) （14）
2.1　網(wǎng)絡(luò)安全事件分類 （14）
2.1.1　有害程序事件 （14）
2.1.2　網(wǎng)絡(luò)攻擊事件 （15）
2.1.3　信息破壞事件 （15）
2.1.4　信息內(nèi)容安全事件 （16）
2.1.5　設(shè)備設(shè)施故障 （16）
2.1.6　災(zāi)害性事件 （17）
2.1.7　其他信息安全事件 （17）
2.2　網(wǎng)絡(luò)安全事件分級(jí) （17）
2.2.1　分級(jí)考慮要素 （17）
2.2.2　安全事件分級(jí) （18）
第3章　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實(shí)施的流程 （19）
第2篇　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)
第4章　安全攻防技術(shù) （21）
4.1　Web安全知識(shí)體系 （21）
4.2　網(wǎng)絡(luò)滲透知識(shí)體系 （24）
第5章　日志分析技術(shù) （26）
5.1　Web日志分析 （26）
5.1.1　HTTP基礎(chǔ) （26）
5.1.2　Web日志格式解析 （34）
5.1.3　Web日志分析方法 （40）
5.2　操作系統(tǒng)日志分析 （45）
5.2.1　Windows操作系統(tǒng)日志 （45）
5.2.2　Linux操作系統(tǒng)日志 （56）
5.3　網(wǎng)絡(luò)及安全設(shè)備日志分析 （61）
5.3.1　路由交換機(jī)日志 （61）
5.3.2　防火墻日志 （66）
5.3.3　Web應(yīng)用防火墻日志 （68）
5.3.4　入侵防御/監(jiān)測(cè)日志 （70）
5.3.5　APT設(shè)備日志 （71）
5.3.6　NGSOC日志 （82）
第6章　網(wǎng)絡(luò)流量分析技術(shù) （87）
6.1　NetFlow流量分析 （87）
6.1.1　NetFlow技術(shù)介紹 （87）
6.1.2　NetFlow網(wǎng)絡(luò)異常流量分析 （88）
6.2　全流量分析 （91）
6.2.1　Wireshark簡(jiǎn)介 （91）
6.2.2　Wireshark的使用方法 （93）
6.2.3　全流量分析方法 （103）
第7章　惡意代碼分析技術(shù) （111）
7.1　惡意代碼概述 （111）
7.1.1　惡意代碼簡(jiǎn)述 （111）
7.1.2　惡意代碼的發(fā)展史 （111）
7.1.3　病毒 （113）
7.1.4　蠕蟲病毒 （116）
7.1.5　木馬病毒 （117）
7.1.6　Rootkit （119）
7.2　Windows惡意代碼分析 （120）
7.2.1　前置知識(shí) （120）
7.2.2　利用殺毒軟件排查 （122）
7.2.3　利用工具排查 （126）
7.3　Linux惡意代碼排查 （132）
7.3.1　Chkrootkit工具 （132）
7.3.2　Rkhunter工具 （133）
7.4　Webshell惡意代碼分析 （134）
7.4.1　黑白名單檢測(cè) （135）
7.4.2　靜態(tài)檢測(cè) （135）
7.4.3　動(dòng)態(tài)檢測(cè) （136）
7.4.4　基于日志分析的檢測(cè) （137）
7.4.5　基于統(tǒng)計(jì)學(xué)的檢測(cè) （140）
7.4.6　基于機(jī)器學(xué)習(xí)的檢測(cè) （144）
7.4.7　Webshell檢測(cè)工具匯總 （145）
第8章　終端檢測(cè)與響應(yīng)技術(shù) （146）
8.1　Linux終端檢測(cè) （146）
8.1.1　排查網(wǎng)絡(luò)連接及進(jìn)程 （146）
8.1.2　排查可疑用戶 （147）
8.1.3　排查歷史命令 （148）
8.1.4　排查可疑文件 （149）
8.1.5　排查開機(jī)啟動(dòng)項(xiàng) （150）
8.1.6　排查定時(shí)任務(wù) （151）
8.1.7　排查服務(wù)自啟動(dòng) （151）
8.1.8　其他排查 （152）
8.2　Windows終端檢測(cè) （152）
8.2.1　排查網(wǎng)絡(luò)連接及進(jìn)程 （152）
8.2.2　排查可疑用戶 （153）
8.2.3　排查可疑文件 （154）
8.2.4　排查開機(jī)啟動(dòng)項(xiàng) （154）
8.2.5　排查計(jì)劃任務(wù) （155）
8.2.6　排查服務(wù)自啟動(dòng) （155）
8.2.7　其他排查 （155）
第9章　電子數(shù)據(jù)取證技術(shù) （156）
9.1　電子數(shù)據(jù)取證 （156）
9.2　電子數(shù)據(jù)取證與應(yīng)急響應(yīng) （157）
9.3　電子數(shù)據(jù)取證的相關(guān)技術(shù) （157）
9.3.1　易失性信息的提取 （157）
9.3.2　內(nèi)存鏡像 （158）
9.3.3　磁盤復(fù)制 （162）
第3篇　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實(shí)戰(zhàn)
第10章　Web安全應(yīng)急響應(yīng)案例實(shí)戰(zhàn)分析 （164）
10.1　網(wǎng)站頁(yè)面篡改及掛馬的應(yīng)急處置 （164）
10.2　網(wǎng)站首頁(yè)被直接篡改的應(yīng)急處置 （166）
10.3　搜索引擎劫持篡改的應(yīng)急處置 （169）
10.4　OS劫持篡改的應(yīng)急處置 （171）
10.5　運(yùn)營(yíng)商劫持篡改的應(yīng)急處置 （171）
第11章　Windows應(yīng)急響應(yīng)案例實(shí)戰(zhàn)分析 （175）
11.1　Lib32wati蠕蟲病毒的應(yīng)急處置 （175）
11.2　勒索病毒應(yīng)急事件的處置 （179）
第12章　Linux應(yīng)急響應(yīng)案例實(shí)戰(zhàn)分析 （182）
12.1　Linux惡意樣本取證的應(yīng)急處置 （182）
12.2　某Linux服務(wù)器被入侵的應(yīng)急處置 （186）
12.3　Rootkit內(nèi)核級(jí)后門的應(yīng)急處置 （189）
12.4　Linux挖礦木馬的應(yīng)急處置 （194）
第13章　網(wǎng)絡(luò)攻擊應(yīng)急響應(yīng)案例實(shí)戰(zhàn)分析 （197）
13.1　網(wǎng)絡(luò)ARP攻擊的應(yīng)急處置 （197）
13.2　僵尸網(wǎng)絡(luò)應(yīng)急事件的處置 （202）
13.3　網(wǎng)絡(luò)故障應(yīng)急事件的處置 （204）