目錄
第0章　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概引 （1）
0.1　應(yīng)急響應(yīng)場景一 （1）
0.1.1　事件發(fā)現(xiàn) （1）
0.1.2　事件分析 （2）
0.1.3　應(yīng)急處置 （3）
0.1.4　事件恢復(fù) （3）
0.1.5　事后描述 （4）
0.1.6　風(fēng)險評估 （4）
0.2　應(yīng)急響應(yīng)場景二 （4）
0.2.1　事件描述 （4）
0.2.2　電話溝通 （4）
0.2.3　現(xiàn)場溝通 （5）
0.2.4　技術(shù)排查 （6）
0.2.5　工作匯報 （6）
0.3　應(yīng)急響應(yīng)場景三 （7）
0.3.1　事件發(fā)現(xiàn)及報告 （7）
0.3.2　預(yù)案啟動 （7）
0.3.3　應(yīng)急處置 （8）
0.3.4　事件升級 （9）
0.3.5　后續(xù)處置 （10）
0.3.6　應(yīng)急結(jié)束 （10）
第1篇　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述
第1章　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的基本概念 （11）
1.1　應(yīng)急響應(yīng) （11）
1.2　網(wǎng)絡(luò)安全應(yīng)急響應(yīng) （12）
第2章　網(wǎng)絡(luò)安全事件的分類和分級 （14）
2.1　網(wǎng)絡(luò)安全事件分類 （14）
2.1.1　有害程序事件 （14）
2.1.2　網(wǎng)絡(luò)攻擊事件 （15）
2.1.3　信息破壞事件 （15）
2.1.4　信息內(nèi)容安全事件 （16）
2.1.5　設(shè)備設(shè)施故障 （16）
2.1.6　災(zāi)害性事件 （17）
2.1.7　其他信息安全事件 （17）
2.2　網(wǎng)絡(luò)安全事件分級 （17）
2.2.1　分級考慮要素 （17）
2.2.2　安全事件分級 （18）
第3章　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實施的流程 （19）
第2篇　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)
第4章　安全攻防技術(shù) （21）
4.1　Web安全知識體系 （21）
4.2　網(wǎng)絡(luò)滲透知識體系 （24）
第5章　日志分析技術(shù) （26）
5.1　Web日志分析 （26）
5.1.1　HTTP基礎(chǔ) （26）
5.1.2　Web日志格式解析 （34）
5.1.3　Web日志分析方法 （40）
5.2　操作系統(tǒng)日志分析 （45）
5.2.1　Windows操作系統(tǒng)日志 （45）
5.2.2　Linux操作系統(tǒng)日志 （56）
5.3　網(wǎng)絡(luò)及安全設(shè)備日志分析 （61）
5.3.1　路由交換機日志 （61）
5.3.2　防火墻日志 （66）
5.3.3　Web應(yīng)用防火墻日志 （68）
5.3.4　入侵防御/監(jiān)測日志 （70）
5.3.5　APT設(shè)備日志 （71）
5.3.6　NGSOC日志 （82）
第6章　網(wǎng)絡(luò)流量分析技術(shù) （87）
6.1　NetFlow流量分析 （87）
6.1.1　NetFlow技術(shù)介紹 （87）
6.1.2　NetFlow網(wǎng)絡(luò)異常流量分析 （88）
6.2　全流量分析 （91）
6.2.1　Wireshark簡介 （91）
6.2.2　Wireshark的使用方法 （93）
6.2.3　全流量分析方法 （103）
第7章　惡意代碼分析技術(shù) （111）
7.1　惡意代碼概述 （111）
7.1.1　惡意代碼簡述 （111）
7.1.2　惡意代碼的發(fā)展史 （111）
7.1.3　病毒 （113）
7.1.4　蠕蟲病毒 （116）
7.1.5　木馬病毒 （117）
7.1.6　Rootkit （119）
7.2　Windows惡意代碼分析 （120）
7.2.1　前置知識 （120）
7.2.2　利用殺毒軟件排查 （122）
7.2.3　利用工具排查 （126）
7.3　Linux惡意代碼排查 （132）
7.3.1　Chkrootkit工具 （132）
7.3.2　Rkhunter工具 （133）
7.4　Webshell惡意代碼分析 （134）
7.4.1　黑白名單檢測 （135）
7.4.2　靜態(tài)檢測 （135）
7.4.3　動態(tài)檢測 （136）
7.4.4　基于日志分析的檢測 （137）
7.4.5　基于統(tǒng)計學(xué)的檢測 （140）
7.4.6　基于機器學(xué)習(xí)的檢測 （144）
7.4.7　Webshell檢測工具匯總 （145）
第8章　終端檢測與響應(yīng)技術(shù) （146）
8.1　Linux終端檢測 （146）
8.1.1　排查網(wǎng)絡(luò)連接及進(jìn)程 （146）
8.1.2　排查可疑用戶 （147）
8.1.3　排查歷史命令 （148）
8.1.4　排查可疑文件 （149）
8.1.5　排查開機啟動項 （150）
8.1.6　排查定時任務(wù) （151）
8.1.7　排查服務(wù)自啟動 （151）
8.1.8　其他排查 （152）
8.2　Windows終端檢測 （152）
8.2.1　排查網(wǎng)絡(luò)連接及進(jìn)程 （152）
8.2.2　排查可疑用戶 （153）
8.2.3　排查可疑文件 （154）
8.2.4　排查開機啟動項 （154）
8.2.5　排查計劃任務(wù) （155）
8.2.6　排查服務(wù)自啟動 （155）
8.2.7　其他排查 （155）
第9章　電子數(shù)據(jù)取證技術(shù) （156）
9.1　電子數(shù)據(jù)取證 （156）
9.2　電子數(shù)據(jù)取證與應(yīng)急響應(yīng) （157）
9.3　電子數(shù)據(jù)取證的相關(guān)技術(shù) （157）
9.3.1　易失性信息的提取 （157）
9.3.2　內(nèi)存鏡像 （158）
9.3.3　磁盤復(fù)制 （162）
第3篇　網(wǎng)絡(luò)安全應(yīng)急響應(yīng)實戰(zhàn)
第10章　Web安全應(yīng)急響應(yīng)案例實戰(zhàn)分析 （164）
10.1　網(wǎng)站頁面篡改及掛馬的應(yīng)急處置 （164）
10.2　網(wǎng)站首頁被直接篡改的應(yīng)急處置 （166）
10.3　搜索引擎劫持篡改的應(yīng)急處置 （169）
10.4　OS劫持篡改的應(yīng)急處置 （171）
10.5　運營商劫持篡改的應(yīng)急處置 （171）
第11章　Windows應(yīng)急響應(yīng)案例實戰(zhàn)分析 （175）
11.1　Lib32wati蠕蟲病毒的應(yīng)急處置 （175）
11.2　勒索病毒應(yīng)急事件的處置 （179）
第12章　Linux應(yīng)急響應(yīng)案例實戰(zhàn)分析 （182）
12.1　Linux惡意樣本取證的應(yīng)急處置 （182）
12.2　某Linux服務(wù)器被入侵的應(yīng)急處置 （186）
12.3　Rootkit內(nèi)核級后門的應(yīng)急處置 （189）
12.4　Linux挖礦木馬的應(yīng)急處置 （194）
第13章　網(wǎng)絡(luò)攻擊應(yīng)急響應(yīng)案例實戰(zhàn)分析 （197）
13.1　網(wǎng)絡(luò)ARP攻擊的應(yīng)急處置 （197）
13.2　僵尸網(wǎng)絡(luò)應(yīng)急事件的處置 （202）
13.3　網(wǎng)絡(luò)故障應(yīng)急事件的處置 （204）