网络安全应急响应实战

本书主要介绍网络安全应急响应的法律法规和相关技术，并给出不同场景下的实战案例，旨在帮助读者全面了解网络安全应急响应的措施，掌握实用的应急响应技能和策略。 本书共7章，先从与网络安全应急响应相关的法律法规、事件分级和分类入手，然后介绍日志分析、流量分析、威胁情报分析和溯源分析等基础技术，随后展示常见操作系统下的应急响应技术和应急响应高阶技术（如内存取证技术和样本分析技术），接着针对不同的网络安全事件（例如DDoS攻击、勒索病毒）分享应急响应策略和技巧，之后介绍常见应用组件应急响应实战，最后介绍在企业中如何制定网络安全应急响应预案和如何实施网络安全应急演练等。 本书适用于广大网络安全从业者，包含但不限于大中型互联网公司的员工，以及想要从事网络安全工作的读者。本书也可作为高等院校相关专业的教学用书。

甄诚，网络安全专家，曾在360公司安全服务中心应急响应团队担任负责人。拥有多年网络安全从业经验曾为政府机构、企事业单位提供专业服务，在应对APT击、勒索病毒事件、挖矿病毒事件、网站入侵事件等方面拥有丰富的实战经验，并具备深厚的应急响应体系建设经验。 马东辰，腾讯云鼎实验室安全专家，曾在360公司安全服务中心担任副总经理，拥有多年网络安全从业经验，曾为政府机构、央企、民企(如证券、互联网公司)提供专业服务，具有丰富的应急响应经验，并具备深厚的网络安全应急响应团队及体系建设经验。 张晨，360公司安全服务应急响应团队前核心成员，主要从事电子取证、样本分析等工作。曾在国内某通信设备制造公司任网络安全研究员负责过多个“僵木蠕”、挖矿病毒勒索病毒类应急响应项目，具备丰富的网络安全应急响应实战经验。

第 1章　网络安全应急响应概述　1 1.1 应急响应及网络安全应急响应　1 1.1.1 网络安全应急响应的含义　2 1.1.2 网络安全应急响应的作用　2 1.1.3 网络安全应急响应的相关法律法规与要求　3 1.2 网络安全应急响应面临的挑战与发展趋势　7 1.2.1 网络安全应急响应面临的挑战　7 1.2.2 网络安全应急响应技术向工具化、平台化发展　9 1.3 网络安全应急响应流程　12 1.4 常见网络安全应急响应场景　15 第 2章　应急响应基础技术　17 2.1 日志分析技术　17 2.1.1 Windows日志分析　18 2.1.2 Linux日志分析　32 2.1.3 Web日志分析　38 2.2 流量分析技术　42 2.2.1 实时流量分析　42 2.2.2 回溯流量分析　46 2.2.3 Wireshark　47 2.2.4 tcpdump　51 2.2.5 典型案例分析　52 2.3 威胁情报分析技术　55 2.3.1 威胁情报的来源　56 2.3.2 威胁情报的使用　56 2.3.3 威胁情报平台的使用　57 2.4 溯源分析技术　59 2.4.1 整体溯源分析思路　59 2.4.2 溯源信息扩展　61 第3章　常见操作系统下的应急响应技术　63 3.1 Windows应急响应技术　63 3.1.1 日志分析　63 3.1.2 网络连接分析　64 3.1.3 异常进程分析　66 3.1.4 异常账户分析　67 3.1.5 流量分析　71 3.1.6 异常服务分析　71 3.1.7 任务计划分析　74 3.1.8 启动项分析　76 3.1.9 可疑目录及文件分析　78 3.2 Linux应急响应技术　80 3.2.1 日志分析　80 3.2.2 网络连接分析　81 3.2.3 异常进程分析　83 3.2.4 异常账户分析　84 3.2.5 计划任务分析　89 3.2.6 异常目录及文件分析　91 3.2.7 命令历史记录分析　92 3.2.8 自启动服务分析　93 3.2.9 流量分析　95 3.3 macOS应急响应技术　96 3.3.1 日志分析　96 3.3.2 异常账户分析　96 3.3.3 异常启动项分析　98 3.3.4 异常进程分析　99 3.3.5 异常文件分析　100 3.3.6 网络配置分析　103 第4章　应急响应高阶技术　104 4.1 内存取证技术　104 4.1.1 内存镜像提取　105 4.1.2 内存镜像分析　111 4.1.3 内存取证分析实战　116 4.2 样本分析技术　123 4.2.1 样本分析基础　124 4.2.2 情报检索　128 4.2.3 文件分析沙箱　131 4.2.4 人工样本分析　132 第5章　网络安全事件应急响应实战　171 5.1 DDoS攻击类应急响应实战　171 5.1.1 DDoS攻击主要类型　172 5.1.2 DDoS攻击现象　175 5.1.3 DDoS攻击应急响应案例　176 5.2 勒索病毒类应急响应实战　177 5.2.1 勒索病毒分类　177 5.2.2 勒索病毒现象　178 5.2.3 勒索病毒处置　179 5.2.4 攻击路径溯源　179 5.2.5 勒索病毒应急响应案例　180 5.3 钓鱼邮件类应急响应实战　182 5.3.1 钓鱼邮件主要类型　183 5.3.2 钓鱼邮件分析流程　184 5.3.3 钓鱼邮件应急响应案例　187 5.4 挖矿病毒类应急响应实战　189 5.4.1 挖矿病毒的发现与分析　190 5.4.2 挖矿病毒主要传播方式　193 5.4.3 挖矿病毒应急响应案例　195 5.5 Webshell攻击类应急响应实战　196 5.5.1 Webshell攻击分析思路　197 5.5.2 Webshell攻击排查步骤　198 5.5.3 Webshell攻击应急响应案例　199 5.6 网页篡改类应急响应实战　207 5.6.1 网页篡改分析思路　208 5.6.2 网页篡改排查流程　208 5.6.3 网页篡改应急响应案例　210 5.7 网站劫持类应急响应实战　213 5.7.1 网站劫持分析思路　213 5.7.2 网站劫持排查流程　214 5.7.3 网站劫持应急响应案例　215 5.8 数据泄露类应急响应实战　225 5.8.1 数据泄露分析思路　225 5.8.2 数据泄露排查流程　226 5.8.3 数据泄露应急响应案例　227 第6章　常见应用组件应急响应实战　231 6.1 中间件　231 6.1.1 IIS　232 6.1.2 NGINX　235 6.1.3 Apache　236 6.1.4 Tomcat　238 6.1.5 WebLogic　239 6.1.6 JBoss　243 6.2 邮件系统　245 6.2.1 Coremail　246 6.2.2 Exchange Server　247 6.3 OA系统　249 6.3.1 泛微OA系统　250 6.3.2 致远OA系统　251 6.4 数据库　253 6.4.1 MySQL　253 6.4.2 MSSQL Server　257 6.4.3 Oracle　262 6.5 其他常见应用组件　270 6.5.1 Redis　271 6.5.2 Confluence　272 6.5.3 Log4j 2　274 6.5.4 Fastjson　276 6.5.5 Shiro　277 6.5.6 Struts 2　280 6.5.7 ThinkPHP　282 第7章　企业网络安全应急响应体系建设　284 7.1 获得高层领导支持　284 7.2 建设应急响应团队　285 7.3 制定应急响应预案　286 7.4 网络安全应急演练实施　287 7.5 网络安全持续监控和不断改进　289 7.6 不同行业企业应急响应体系建设的区别　290 结语　291 附录A　网络安全事件应急预案　292 A.1 总则　292 A.1.1 编制目的　292 A.1.2 适用范围　292 A.1.3 事件分级　293 A.1.4 工作原则　294 A.2 组织机构与职责　294 A.2.1 领导机构与职责　294 A.2.2 办事机构与职责　294 A.3 监测与预警　295 A.3.1 预警分级　295 A.3.2 安全监测　295 A.3.3 预警研判和发布　295 A.3.4 预警响应　296 A.3.5 预警解除　296 A.4 应急处置　297 A.4.1 初步处置　297 A.4.2 信息安全事件　297 A.4.3 应急响应　297 A.5 具体处置措施　299 A.5.1 有害程序事件　299 A.5.2 网络攻击事件　299 A.5.3 信息破坏事件　300 A.5.4 设备故障事件　300 A.5.5 灾害性事件　300 A.5.6 其他事件　300 A.5.7 应急结束　300 A.5.8 调查处理和总结评估　301 A.5.9 总结和报告　301 A.6 预防工作　301 A.6.1 日常管理　301 A.6.2 监测预警和通报　302 A.6.3 应急演练　302 A.6.4 重要保障　302 A.7 工作保障　302 A.7.1 技术支撑　302 A.7.2 专家队伍　303 A.7.3 资金保障　303 A.7.4 责任与奖惩　303 A.8 附则　303 附录B　网络安全应急演练方案　306 B.1 总则　306 B.1.1 应急演练定义　306 B.1.2 应急演练目标　306 B.1.3 应急演练原则　307 B.1.4 应急演练分类　307 B.1.5 应急演练规划　309 B.2 应急演练组织机构　309 B.2.1 组织单位　309 B.2.2 参演单位　310 B.3 应急演练流程　311 B.4 应急演练准备　311 B.4.1 制订演练计划　311 B.4.2 设计演练方案　312 B.4.3 演练动员与培训　314 B.4.4 应急演练保障　314 B.5 应急演练实施　315 B.5.1 系统准备　315 B.5.2 演练开始　315 B.5.3 演练执行　315 B.5.4 演练解说　316 B.5.5 演练记录　316