主要作者：曹雅斌，毕业于清华大学机械工程系，长期从事认证认可和质量安全领域的政策法规、制度体系的研究制定和组织实施工作，现就职于中国网络安全审查技术与认证中心，负责网络信息安全人员培训与认证工作。苗春雨，博士，硕士生导师，杭州安恒信息技术股份有限公司副总裁、网络空间安全学院院长，长期从事网络安全技术研究和人才培养工作，具备CISI注册信息安全讲师、CISP注册信息安全专家和CCSSP注册云安全专家等资质，曾任浙江某高校网络空间安全**学科和特色专业执行负责人，近5年发表学术论文和教学研究论文20余篇，专著1部，多次获得浙江省计算机教育及应用学会年会优秀论文奖，参与多个网络安全人才联盟或产业联盟工作。

本书是中国网络安全审查技术及认证中心的工程师培训系列教材之一，《网络安全应急响应》。网络安全应急响应是网络安全保障工作体系的最后一个环节，是在安全事件发生后有效止损 和完善组织安全防护体系建设的关键业务环节。本书以网络安全应急技术体系和实践技能为主线， 兼顾应急响应的流程、组织和先进理念，理论联系实践，从应急响应的技术基础、安全事件处置流程涉及的技术基础到系统和网络级应急实战，循序渐进，使读者能够全方面了解应急响应技术体系和发展，理解安全事件的分类、成因、现象和处置理念，的方法，具备网络安全应急响应工作技能。

第1章网络安全应急响应技术概念
1．1 网络安全应急响应技术概述 …………………………………………… 2
1．1．1 网络安全应急响应含义… ………………………………………………………………… 2
1．1．2 网络安全应急响应法律法规与标准… …………………………………………………… 4
1．2 网络安全应急响应技术演变 …………………………………………… 6
1．2．1 网络安全应急响应技术的发展趋势… …………………………………………………… 7
1．3 网络安全应急响应技术框架 …………………………………………… 12
1．3．1 应急响应预案… …………………………………………………………………………… 15
1．3．2 组织架构… ………………………………………………………………………………… 15
1．3．3 应急工作流程… …………………………………………………………………………… 19
1．3．4 应急演练规划… …………………………………………………………………………… 25
1．4 网络安全应急响应新发展 ……………………………………………… 26
1．4．1 云计算的网络安全应急响应… …………………………………………………………… 26
1．4．2 基于大数据平台的应急支撑… …………………………………………………………… 27
第2章 网络安全应急响应技术基础知识
2．1 应急响应工作的起点：风险评估 ……………………………………… 32
2．1．1 风险评估相关概念… ……………………………………………………………………… 32
2．1．2 风险评估流程… …………………………………………………………………………… 33
2．1．3 风险评估与应急响应的关系… …………………………………………………………… 34
2．2 安全事件分级分类 ……………………………………………………… 34
2．2．1 网络安全应急响应技术应急事件类型… ………………………………………………… 34
2．2．2 网络安全事件等级… ……………………………………………………………………… 36
2．2．3 网络攻击… ………………………………………………………………………………… 37
2．2．4 系统入侵… ………………………………………………………………………………… 46
2．2．5 信息破坏… ………………………………………………………………………………… 50
2．2．6 安全隐患… ………………………………………………………………………………… 56
2．2．7 其他事件… ………………………………………………………………………………… 61
第3章 网络安全应急响应技术流程与方法
3．1 应急响应准备阶段 ……………………………………………………… 66
3．1．1 应急响应预案… …………………………………………………………………………… 66
3．1．2 应急响应前的准备工作… ………………………………………………………………… 67
3．2 抑制阶段 ………………………………………………………………… 67
3．3 保护阶段 ………………………………………………………………… 68
3．4 事件检测阶段 …………………………………………………………… 72
3．4．1 数据分析… ………………………………………………………………………………… 72
3．4．2 确定攻击时间… …………………………………………………………………………… 97
3．4．3 查找攻击线索… …………………………………………………………………………… 97
3．4．4 梳理攻击过程… …………………………………………………………………………… 97
3．4．5 定位攻击者… ……………………………………………………………………………… 97
3．5 取证阶段 ………………………………………………………………… 98
3．6 根除阶段 ……………………………………………………………… 103
3．7 恢复阶段 ……………………………………………………………… 103
3．8 总结报告 ……………………………………………………………… 104
第4章 应急演练
4．1 应急演练总则 ………………………………………………………… 106
4．1．1 应急演练定义… ………………………………………………………………………… 106
4．1．2 应急演练目的… ………………………………………………………………………… 106
4．1．3 应急演练原则… ………………………………………………………………………… 107
4．2 应急演练分类及方法 ………………………………………………… 107
4．2．1 应急演练分类… ………………………………………………………………………… 107
4．2．2 应急演练方法… ………………………………………………………………………… 109
4．2．3 按目的与作用划分… …………………………………………………………………… 110
4．2．4 按组织范围划分… ……………………………………………………………………… 110
4．3 应急演练组织机构 …………………………………………………… 111
4．3．1 应急演练领导小组… ………………………………………………………………………111
4．3．2 应急演练管理小组… ………………………………………………………………………111
4．3．3 应急演练技术小组… ………………………………………………………………………111
4．3．4 应急演练评估小组… …………………………………………………………………… 112
4．3．5 应急响应实施组… ……………………………………………………………………… 112
4．4 应急演练流程 ………………………………………………………… 112
4．5 应急演练规划 ………………………………………………………… 113
4．5．1 应急演练规划定义… …………………………………………………………………… 113
4．6 应急演练实施 ………………………………………………………… 116
4．7 应急演练总结 ………………………………………………………… 117
第5章 网络安全事件应急处置实战
5．1 常见Web 攻击应急处置实战 ………………………………………… 120
5．1．1 主流Web 攻击目的及现象……………………………………………………………… 120
5．1．2 常见Web 攻击入侵方式………………………………………………………………… 124
5．1．3 常见Web 后门…………………………………………………………………………… 125
5．1．4 Web 入侵分析检测方法………………………………………………………………… 127
5．1．5 Web 攻击实验与事件入侵案例分析…………………………………………………… 131
5．2 信息泄露类攻击应急处置实战 ……………………………………… 140
5．2．1 常见的信息泄露事件… ………………………………………………………………… 140
5．2．2 数据库拖库… …………………………………………………………………………… 141
5．2．3 流量异常分析… ………………………………………………………………………… 142
5．2．4 流量异常分析实验… …………………………………………………………………… 143
5．3 主机类攻击应急处置实战 …………………………………………… 149
5．3．1 系统入侵的目的及现象… ……………………………………………………………… 149
5．3．2 常见系统漏洞… ………………………………………………………………………… 149
5．3．3 检测及分析… …………………………………………………………………………… 150
5．3．4 主机入侵处置实验… …………………………………………………………………… 170
5．4 有害事件应急处置实战 ……………………………………………… 174
5．4．1 DDoS 僵尸网络事件（Windows/Linux 版本）… …………………………………… 174
5．4．2 勒索病毒加密事件（Windows 为主）… ……………………………………………… 175
5．4．3 蠕虫病毒感染事件（Windows 为主）… ……………………………………………… 176
5．4．4 供应链木马攻击事件（Windows 为主）… …………………………………………… 176
5．4．5 应急响应任务解析（Windows 沙箱技术）… ………………………………………… 177
5．4．6 有害事件处置实践指南… ……………………………………………………………… 181
附录 Windows/Linux分析排查
附录A Windows 分析排查 ………………………………………………… 186
A．1 文件分析… ………………………………………………………………………………… 186
A．2 进程命令…………………………………………………………………………………… 187
A．3 系统信息…………………………………………………………………………………… 188
A．4 后门排查…………………………………………………………………………………… 188
A．5 Webshell排查… ………………………………………………………………………… 190
A．6 日志分析…………………………………………………………………………………… 191
附录B Linux 分析排查 …………………………………………………… 195
B．1 文件分析… ………………………………………………………………………………… 195
B．2 进程命令…………………………………………………………………………………… 196
B．3 系统信息…………………………………………………………………………………… 198
B．4 后门排查…………………………………………………………………………………… 200
B．5 日志分析…………………………………………………………………………………… 203
参考文献……………………………………………………………………… 207