網絡安全事件處置與追蹤溯源技術

1.1 網絡安全與事件處置 / 1
1.1.1 網絡安全與網絡安全事件 / 1
1.1.2 事件處置的目的和作用 / 3
1.1.3 事件處置的原則與方法 / 4
1.1.4 事件處置的觸發條件 / 6
1.1.5 事件處置的內外協作 / 8
1.2 事件響應與追蹤溯源 / 9
1.2.1 追蹤溯源的目的與作用 / 9
1.2.2 內部溯源與外部溯源 / 10
1.3 追蹤溯源技術發展和主流技術 / 13
1.3.1 早期追蹤溯源關註點 / 13
1.3.2 追蹤溯源技術的發展 / 13
1.3.3 主流的網絡攻擊追蹤溯源技術 / 14
1.3.4 如何應用網絡攻擊追蹤溯源技術 / 17
習題 / 17
2.1 網絡安全事件的分類方法和類別 / 18
2.1.1 惡意程序事件 / 18
2.1.2 網絡攻擊事件 / 19
2.1.3 數據安全事件 / 21
2.1.4 信息內容安全事件 / 22
2.1.5 設備設施故障事件 / 22
2.1.6 違規操作事件 / 23
2.1.7 安全隱患事件 / 24
2.1.8 異常行為事件 / 25
2.1.9 不可抗力事件 / 25
2.2 網絡安全事件的分級 / 26
2.2.1 網絡安全事件分級的目的 / 26
2.2.2 網絡安全事件分級方法 / 27
2.2.3 網絡安全事件級別 / 29
2.2.4 網絡安全事件分級流程 / 30
2.3 網絡安全事件類別和級別的關聯關系 / 31
習題 / 32
第 1 章
概? 述
第 2 章
網絡安全事件
分類與分級VI
網絡安全事件處置與追蹤溯源技術
3.1 事件處置的一般流程 / 33
3.2 準備階段 / 35
3.3 檢測階段與抑制階段 / 36
3.3.1 檢測階段 / 36
3.3.2 抑制階段 / 37
3.4 固證與溯源階段 / 38
3.4.1 固證 / 38
3.4.2 溯源 / 40
3.5 根除與恢復階段 / 40
3.5.1 根除階段 / 40
3.5.2 恢復階段 / 41
3.6 反制階段 / 42
3.6.1 反制任務和時機 / 42
3.6.2 反制常用技術和方法 / 43
3.7 信息通報和預警階段 / 46
3.7.1 網絡安全事件通報分級 / 46
3.7.2 信息通報流程 / 46
3.7.3 預警內容和流程 / 47
3.8 事件原因分析與安全建設整改 / 48
習題 / 50
4.1 基本框架 / 51
4.2 協調中心 / 51
4.3 決策中心 / 53
4.4 IT 技術支撐 / 53
4.5 業務線支撐 / 54
4.6 外部協調 / 55
4.7 網絡安全事件處置組織能力建設 / 56
習題 / 57
5.1 網絡安全事件發現關鍵技術 / 58
5.1.1 入侵檢測技術 / 58
5.1.2 蜜罐技術 / 67
5.1.3 威脅情報技術 / 73
5.1.4 漏洞管理 / 79
5.2 網絡安全事件處置和分析常用工具 / 89
第 3 章
網絡安全事件
處置流程和
方法
第 4 章
事件處置的
組織保障
第 5 章
事件處置
關鍵技術? 目錄
VII
5.2.1 網絡安全事件分析典型流程 / 89
5.2.2 事件處置常用工具 / 89
5.3 事件響應關鍵技術 / 91
5.3.1 終端檢測響應技術 / 91
5.3.2 網絡檢測響應技術 / 92
5.3.3 安全運營平臺 / 92
5.3.4 態勢感知平臺 / 93
5.3.5 安全編排自動化與響應 / 93
習題 / 94
6.1 追蹤溯源的網絡技術基礎 / 95
6.1.1 追蹤溯源技術的基本含義 / 95
6.1.2 網站的註冊與備案 / 95
6.1.3 服務代理技術 / 97
6.1.4 遠程控制技術 / 99
6.2 身份識別技術 / 102
6.2.1 賬號與口令 / 102
6.2.2 設備標識 / 103
6.2.3 軟件標識 / 103
6.2.4 數字簽名技術 / 105
6.2.5 動態驗證技術 / 108
6.3 身份隱藏技術 / 109
6.3.1 匿名網絡 / 109
6.3.2 盜取他人 ID/ 賬號 / 111
6.3.3 使用跳板機攻擊 / 111
6.3.4 他人身份冒用 / 114
6.3.5 利用代理服務器 / 114
6.4 日誌 / 115
6.4.1 Windows 系統日誌 / 115
6.4.2 Linux 系統日誌分析與審計 / 121
6.4.3 其他日誌分析與審計 / 123
6.5 溯源分析常用工具 / 125
6.5.1 日誌分析工具 / 125
6.5.2 抓包工具 / 125
6.5.3 虛擬沙箱 / 127
6.5.4 反編譯 / 130
第 6章
追蹤溯源技術VIII
網絡安全事件處置與追蹤溯源技術
6.6 威脅情報 / 132
6.7 入侵檢測指標 / 133
習題 / 135
7.1 基本概念 / 136
7.1.1 溯源分析方法論 / 136
7.1.2 攻擊活動的可溯源性 / 140
7.1.3 內部溯源的主要方法 / 144
7.1.4 外部溯源的主要方法 / 145
7.1.5 追蹤溯源的常用技術 / 147
7.1.6 重構威脅場景 / 148
7.1.7 如何建立攻擊時間線 / 149
7.2 痕跡采集與分析 / 152
7.2.1 基本概念 / 152
7.2.2 認知模型 / 153
7.2.3 取證流程 / 156
7.2.4 操作系統分析 / 157
7.2.5 取證調查示例 / 161
7.3 歷史軌跡溯源 / 171
7.4 網絡空間測繪技術 / 176
7.5 公開信息采集 / 183
習題 / 185
8.1 釣魚郵件溯源 / 186
8.1.1 釣魚郵件及防範方法 / 186
8.1.2 郵件溯源方法和技術 / 188
8.1.3 釣魚郵件溯源案例 / 189
8.2 勒索病毒溯源 / 196
8.2.1 惡意程序及其危害 / 196
8.2.2 常見的勒索病毒 / 197
8.2.3 勒索病毒利用的常見漏洞 / 200
8.2.4 勒索病毒解密方式 / 200
8.2.5 勒索病毒傳播方式 / 201
8.2.6 勒索病毒攻擊特點 / 202
8.2.7 勒索病毒事件處置及溯源方法 / 203
8.3 挖礦木馬溯源 / 217
第 7 章
溯源分析的
組織與方法
第 8 章
常見安全事件
響應處置及溯
源方法? 目錄
IX
8.4 Webshell 溯源 / 222
8.5 惡意網站溯源 / 227
8.5.1 網頁篡改 / 227
8.5.2 網頁篡改處置與溯源 / 229
8.6 DDoS 攻擊溯源 / 232
8.6.1 DDoS 攻擊 / 232
8.6.2 DDoS 攻擊的防禦方法 / 241
8.6.3 DDoS 攻擊的溯源方法 / 242
8.7 掃描器溯源 / 244
8.7.1 掃描器概述 / 244
8.7.2 掃描溯源分析 / 250
8.8 APT 攻擊溯源 / 254
8.8.1 APT 攻擊 / 254
8.8.2 APT 攻擊溯源 / 259
8.9 流量劫持 / 270
8.9.1 概述 / 270
8.9.2 常見攻擊場景 / 276
8.9.3 流量劫持防禦方法 / 277
8.9.4 流量劫持常規處置辦法 / 278
習題 / 279
9.1 威脅數據的采集與匯聚 / 281
9.2 關聯分析的原則與方法 / 284
9.3 大數據可視化分析技術 / 297
9.4 互聯網威脅研判技術 / 300
9.5 告警降噪 / 302
習題 / 304
參考書目? /?305