網絡安全應急響應技術實戰

近年來，網絡安全事件時有發生，在加強網絡安全防護的同時，也需加強網絡安全應急響應建設。 本書是“奇安信認證網絡安全工程師系列叢書”之一，共分為3篇。第1篇網絡安全應急響應概述，講解了應急響應和網絡安全應急響應的概念、網絡安全事件的分類分級和應急響應的實施流程。第2篇網絡安全應急響應技術，講解了安全攻防技術、日誌分析技術、網絡流量分析技術、惡意代碼分析技術、終端檢測與響應技術和電子數據取證技術。第3篇網絡安全應急響應實戰，講解了Web安全應急響應案例分析、Windows應急響應案例分析、Linux應急響應案例分析和網絡攻擊應急響應案例分析。 本書以實戰技術為主，弱化了應急響應管理，強化了應急響應中涉及的技術，同時，結合網絡安全應急響應的實際案例進行分析講解。

目錄
第0章　網絡安全應急響應概引 （1）
0.1　應急響應場景一 （1）
0.1.1　事件發現 （1）
0.1.2　事件分析 （2）
0.1.3　應急處置 （3）
0.1.4　事件恢復 （3）
0.1.5　事後描述 （4）
0.1.6　風險評估 （4）
0.2　應急響應場景二 （4）
0.2.1　事件描述 （4）
0.2.2　電話溝通 （4）
0.2.3　現場溝通 （5）
0.2.4　技術排查 （6）
0.2.5　工作匯報 （6）
0.3　應急響應場景三 （7）
0.3.1　事件發現及報告 （7）
0.3.2　預案啟動 （7）
0.3.3　應急處置 （8）
0.3.4　事件升級 （9）
0.3.5　後續處置 （10）
0.3.6　應急結束 （10）
第1篇　網絡安全應急響應概述
第1章　網絡安全應急響應的基本概念 （11）
1.1　應急響應 （11）
1.2　網絡安全應急響應 （12）
第2章　網絡安全事件的分類和分級 （14）
2.1　網絡安全事件分類 （14）
2.1.1　有害程序事件 （14）
2.1.2　網絡攻擊事件 （15）
2.1.3　信息破壞事件 （15）
2.1.4　信息內容安全事件 （16）
2.1.5　設備設施故障 （16）
2.1.6　災害性事件 （17）
2.1.7　其他信息安全事件 （17）
2.2　網絡安全事件分級 （17）
2.2.1　分級考慮要素 （17）
2.2.2　安全事件分級 （18）
第3章　網絡安全應急響應實施的流程 （19）
第2篇　網絡安全應急響應技術
第4章　安全攻防技術 （21）
4.1　Web安全知識體系 （21）
4.2　網絡滲透知識體系 （24）
第5章　日誌分析技術 （26）
5.1　Web日誌分析 （26）
5.1.1　HTTP基礎 （26）
5.1.2　Web日誌格式解析 （34）
5.1.3　Web日誌分析方法 （40）
5.2　操作系統日誌分析 （45）
5.2.1　Windows操作系統日誌 （45）
5.2.2　Linux操作系統日誌 （56）
5.3　網絡及安全設備日誌分析 （61）
5.3.1　路由交換機日誌 （61）
5.3.2　防火牆日誌 （66）
5.3.3　Web應用防火牆日誌 （68）
5.3.4　入侵防禦/監測日誌 （70）
5.3.5　APT設備日誌 （71）
5.3.6　NGSOC日誌 （82）
第6章　網絡流量分析技術 （87）
6.1　NetFlow流量分析 （87）
6.1.1　NetFlow技術介紹 （87）
6.1.2　NetFlow網絡異常流量分析 （88）
6.2　全流量分析 （91）
6.2.1　Wireshark簡介 （91）
6.2.2　Wireshark的使用方法 （93）
6.2.3　全流量分析方法 （103）
第7章　惡意代碼分析技術 （111）
7.1　惡意代碼概述 （111）
7.1.1　惡意代碼簡述 （111）
7.1.2　惡意代碼的發展史 （111）
7.1.3　病毒 （113）
7.1.4　蠕蟲病毒 （116）
7.1.5　木馬病毒 （117）
7.1.6　Rootkit （119）
7.2　Windows惡意代碼分析 （120）
7.2.1　前置知識 （120）
7.2.2　利用殺毒軟件排查 （122）
7.2.3　利用工具排查 （126）
7.3　Linux惡意代碼排查 （132）
7.3.1　Chkrootkit工具 （132）
7.3.2　Rkhunter工具 （133）
7.4　Webshell惡意代碼分析 （134）
7.4.1　黑白名單檢測 （135）
7.4.2　靜態檢測 （135）
7.4.3　動態檢測 （136）
7.4.4　基於日誌分析的檢測 （137）
7.4.5　基於統計學的檢測 （140）
7.4.6　基於機器學習的檢測 （144）
7.4.7　Webshell檢測工具匯總 （145）
第8章　終端檢測與響應技術 （146）
8.1　Linux終端檢測 （146）
8.1.1　排查網絡連接及進程 （146）
8.1.2　排查可疑用戶 （147）
8.1.3　排查歷史命令 （148）
8.1.4　排查可疑文件 （149）
8.1.5　排查開機啟動項 （150）
8.1.6　排查定時任務 （151）
8.1.7　排查服務自啟動 （151）
8.1.8　其他排查 （152）
8.2　Windows終端檢測 （152）
8.2.1　排查網絡連接及進程 （152）
8.2.2　排查可疑用戶 （153）
8.2.3　排查可疑文件 （154）
8.2.4　排查開機啟動項 （154）
8.2.5　排查計劃任務 （155）
8.2.6　排查服務自啟動 （155）
8.2.7　其他排查 （155）
第9章　電子數據取證技術 （156）
9.1　電子數據取證 （156）
9.2　電子數據取證與應急響應 （157）
9.3　電子數據取證的相關技術 （157）
9.3.1　易失性信息的提取 （157）
9.3.2　內存鏡像 （158）
9.3.3　磁盤復制 （162）
第3篇　網絡安全應急響應實戰
第10章　Web安全應急響應案例實戰分析 （164）
10.1　網站頁面篡改及掛馬的應急處置 （164）
10.2　網站首頁被直接篡改的應急處置 （166）
10.3　搜索引擎劫持篡改的應急處置 （169）
10.4　OS劫持篡改的應急處置 （171）
10.5　運營商劫持篡改的應急處置 （171）
第11章　Windows應急響應案例實戰分析 （175）
11.1　Lib32wati蠕蟲病毒的應急處置 （175）
11.2　勒索病毒應急事件的處置 （179）
第12章　Linux應急響應案例實戰分析 （182）
12.1　Linux惡意樣本取證的應急處置 （182）
12.2　某Linux服務器被入侵的應急處置 （186）
12.3　Rootkit內核級後門的應急處置 （189）
12.4　Linux挖礦木馬的應急處置 （194）
第13章　網絡攻擊應急響應案例實戰分析 （197）
13.1　網絡ARP攻擊的應急處置 （197）
13.2　僵屍網絡應急事件的處置 （202）
13.3　網絡故障應急事件的處置 （204）