网络安全应急响应技术实战

奇安信是国内领先的网络安全企业，本书由奇安信高手团队写作，是其官方培训教材之一。技术领先，内容详实。

近年来，网络安全事件时有发生，在加强网络安全防护的同时，也需加强网络安全应急响应建设。 本书是“奇安信认证网络安全工程师系列丛书”之一，共分为3篇。第1篇网络安全应急响应概述，讲解了应急响应和网络安全应急响应的概念、网络安全事件的分类分级和应急响应的实施流程。第2篇网络安全应急响应技术，讲解了安全攻防技术、日志分析技术、网络流量分析技术、恶意代码分析技术、终端检测与响应技术和电子数据取证技术。第3篇网络安全应急响应实战，讲解了Web安全应急响应案例分析、Windows应急响应案例分析、Linux应急响应案例分析和网络攻击应急响应案例分析。 本书以实战技术为主，弱化了应急响应管理，强化了应急响应中涉及的技术，同时，结合网络安全应急响应的实际案例进行分析讲解。

李江涛，男，硕士学历，奇安信认证培训中心技术总监。CCIE思科认证互联网专家，VCPVMware虚拟化专家认证，DJCP国家注册等级保护测评师，ISO27001LA主任审核员，CISP注册信息安全专家，CISAW风险评估信息安全保障人员，CISI CISP认证讲师，教育部ECSP认证讲师。

目录
第0章　网络安全应急响应概引 （1）
0.1　应急响应场景一 （1）
0.1.1　事件发现 （1）
0.1.2　事件分析 （2）
0.1.3　应急处置 （3）
0.1.4　事件恢复 （3）
0.1.5　事后描述 （4）
0.1.6　风险评估 （4）
0.2　应急响应场景二 （4）
0.2.1　事件描述 （4）
0.2.2　电话沟通 （4）
0.2.3　现场沟通 （5）
0.2.4　技术排查 （6）
0.2.5　工作汇报 （6）
0.3　应急响应场景三 （7）
0.3.1　事件发现及报告 （7）
0.3.2　预案启动 （7）
0.3.3　应急处置 （8）
0.3.4　事件升级 （9）
0.3.5　后续处置 （10）
0.3.6　应急结束 （10）
第1篇　网络安全应急响应概述
第1章　网络安全应急响应的基本概念 （11）
1.1　应急响应 （11）
1.2　网络安全应急响应 （12）
第2章　网络安全事件的分类和分级 （14）
2.1　网络安全事件分类 （14）
2.1.1　有害程序事件 （14）
2.1.2　网络攻击事件 （15）
2.1.3　信息破坏事件 （15）
2.1.4　信息内容安全事件 （16）
2.1.5　设备设施故障 （16）
2.1.6　灾害性事件 （17）
2.1.7　其他信息安全事件 （17）
2.2　网络安全事件分级 （17）
2.2.1　分级考虑要素 （17）
2.2.2　安全事件分级 （18）
第3章　网络安全应急响应实施的流程 （19）
第2篇　网络安全应急响应技术
第4章　安全攻防技术 （21）
4.1　Web安全知识体系 （21）
4.2　网络渗透知识体系 （24）
第5章　日志分析技术 （26）
5.1　Web日志分析 （26）
5.1.1　HTTP基础 （26）
5.1.2　Web日志格式解析 （34）
5.1.3　Web日志分析方法 （40）
5.2　操作系统日志分析 （45）
5.2.1　Windows操作系统日志 （45）
5.2.2　Linux操作系统日志 （56）
5.3　网络及安全设备日志分析 （61）
5.3.1　路由交换机日志 （61）
5.3.2　防火墙日志 （66）
5.3.3　Web应用防火墙日志 （68）
5.3.4　入侵防御/监测日志 （70）
5.3.5　APT设备日志 （71）
5.3.6　NGSOC日志 （82）
第6章　网络流量分析技术 （87）
6.1　NetFlow流量分析 （87）
6.1.1　NetFlow技术介绍 （87）
6.1.2　NetFlow网络异常流量分析 （88）
6.2　全流量分析 （91）
6.2.1　Wireshark简介 （91）
6.2.2　Wireshark的使用方法 （93）
6.2.3　全流量分析方法 （103）
第7章　恶意代码分析技术 （111）
7.1　恶意代码概述 （111）
7.1.1　恶意代码简述 （111）
7.1.2　恶意代码的发展史 （111）
7.1.3　病毒 （113）
7.1.4　蠕虫病毒 （116）
7.1.5　木马病毒 （117）
7.1.6　Rootkit （119）
7.2　Windows恶意代码分析 （120）
7.2.1　前置知识 （120）
7.2.2　利用杀毒软件排查 （122）
7.2.3　利用工具排查 （126）
7.3　Linux恶意代码排查 （132）
7.3.1　Chkrootkit工具 （132）
7.3.2　Rkhunter工具 （133）
7.4　Webshell恶意代码分析 （134）
7.4.1　黑白名单检测 （135）
7.4.2　静态检测 （135）
7.4.3　动态检测 （136）
7.4.4　基于日志分析的检测 （137）
7.4.5　基于统计学的检测 （140）
7.4.6　基于机器学习的检测 （144）
7.4.7　Webshell检测工具汇总 （145）
第8章　终端检测与响应技术 （146）
8.1　Linux终端检测 （146）
8.1.1　排查网络连接及进程 （146）
8.1.2　排查可疑用户 （147）
8.1.3　排查历史命令 （148）
8.1.4　排查可疑文件 （149）
8.1.5　排查开机启动项 （150）
8.1.6　排查定时任务 （151）
8.1.7　排查服务自启动 （151）
8.1.8　其他排查 （152）
8.2　Windows终端检测 （152）
8.2.1　排查网络连接及进程 （152）
8.2.2　排查可疑用户 （153）
8.2.3　排查可疑文件 （154）
8.2.4　排查开机启动项 （154）
8.2.5　排查计划任务 （155）
8.2.6　排查服务自启动 （155）
8.2.7　其他排查 （155）
第9章　电子数据取证技术 （156）
9.1　电子数据取证 （156）
9.2　电子数据取证与应急响应 （157）
9.3　电子数据取证的相关技术 （157）
9.3.1　易失性信息的提取 （157）
9.3.2　内存镜像 （158）
9.3.3　磁盘复制 （162）
第3篇　网络安全应急响应实战
第10章　Web安全应急响应案例实战分析 （164）
10.1　网站页面篡改及挂马的应急处置 （164）
10.2　网站首页被直接篡改的应急处置 （166）
10.3　搜索引擎劫持篡改的应急处置 （169）
10.4　OS劫持篡改的应急处置 （171）
10.5　运营商劫持篡改的应急处置 （171）
第11章　Windows应急响应案例实战分析 （175）
11.1　Lib32wati蠕虫病毒的应急处置 （175）
11.2　勒索病毒应急事件的处置 （179）
第12章　Linux应急响应案例实战分析 （182）
12.1　Linux恶意样本取证的应急处置 （182）
12.2　某Linux服务器被入侵的应急处置 （186）
12.3　Rootkit内核级后门的应急处置 （189）
12.4　Linux挖矿木马的应急处置 （194）
第13章　网络攻击应急响应案例实战分析 （197）
13.1　网络ARP攻击的应急处置 （197）
13.2　僵尸网络应急事件的处置 （202）
13.3　网络故障应急事件的处置 （204）

前言
2016年，由六部门联合发布的《关于加强网络安全学科建设和人才培养的意见》指出：“网络空间的竞争，归根结底是人才竞争。从总体上看，我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题，与维护国家网络安全、建设网络强国的要求不相适应”。
网络安全人才的培养是一项十分艰巨的任务，主要原因一是网络安全的涉及面非常广，包括密码学、数学、计算机、通信工程、信息工程等多门学科，因此，其知识体系庞杂，难以梳理；二是网络安全的实践性很强，技术发展更新非常快，对环境和师资要求也很高。
奇安信科技集团股份有限公司（以下简称奇安信）凭借多年网络安全人才培养的经验，以及对行业发展的理解，基于国家的网络空间安全战略，围绕企业用户的网络安全人才需求，设计和建设了网络安全人才的培训、注册和能力评估体系—“奇安信网络安全工程师认证体系”（见下图）。
 
奇安信网络安全工程师认证体系
奇安信网络安全工程师认证体系包括三个方向和三个层级，其中三个方向分别是基于安全产品解决方案的产品支持方向、基于客户安全运营人才需求的安全运营方向和基于攻防体系的安全攻防方向。三个层级分别是奇安信认证网络安全助理工程师（Qianxin Certified Cybersecurity Associate，QCCA）、奇安信认证网络安全工程师（Qianxin Certified Cybersecurity Professional，QCCP）和奇安信认证网络安全专家（Qianxin Certified Cybersecurity Expert，QCCE）。该体系覆盖网络空间安全的各个技术领域，务求实现对应用型网络安全人才能力的全面培养。
基于“奇安信网络安全工程师认证体系”，奇安信组织专家团队编写了“奇安信认证网络安全工程师系列丛书”。本书是该系列丛书之一，主要分为3篇介绍网络安全的应急响应技术，其结构安排如下。
第0章  网络安全应急响应概引。
通过还原三个真实事件的应急响应案例，带大家感受网络安全应急响应的重要性。个是某金融机构由于外包开发人员的计算机感染了病毒，导致病毒迅速在内网传播，在相关部门的配合下，终予以解决的案例。第二个是某政府单位网站被入侵，由网络安全公司联系该政府单位进行应急响应处置的案例。第三个是某税务机构门户网站被篡改，同时在某论坛进行舆论传播，在多个部门的相互配合下，终予以解决的案例。
第1篇  网络安全应急响应概述。
第1章网络安全应急响应的基本概念，介绍了应急响应和网络安全应急响应的区别。第2章网络安全事件的分类和分级，通过参考GB/T 20986—2007 《信息安全事件分类分级指南》，对安全事件的分类和分级进行了概要汇总。第3章网络安全应急响应实施的流程，简述了PDCERF模型。
第2篇  网络安全应急响应技术。
第4章安全攻防技术，梳理了Web安全和网络渗透的知识技能树，可作为应急响应前置技术的知识储备。第5章日志分析技术，介绍了Web日志、操作系统日志、网络及安全设备日志的分析技术。第6章网络流量分析技术，介绍了Netflow流量分析和全流量分析的方法。第7章恶意代码分析技术，介绍了恶意代码的相关概念、Windows恶意代码的排查和Linux恶意代码的排查，以及Webshell恶意代码的排查。第8章终端检测与响应技术，介绍了终端检测与EDR，并补充了在Windows终端和Linux终端检测的其他内容。第9章电子数据取证技术，介绍了电子数据取证和应急响应的关系、易失性信息提取技术、内存镜像技术和磁盘复制技术。
第3篇  网络安全应急响应实战。
第10章Web安全应急响应案例实战分析，介绍了网站页面篡改、搜索引擎劫持篡改、OS劫持篡改、运营商劫持篡改的案例分析。第11章Windows应急响应案例实战分析，介绍了Lib32wati蠕虫病毒、勒索病毒的应急处置案例分析。第12章Linux应急响应案例实战分析，介绍了Linux中恶意样本取证、服务器入侵、Rootkit内核级后门、挖矿木马的应急处置案例分析。第13章网络攻击应急响应案例实战分析，介绍了网络ARP攻击、僵尸网络和网络故障应急事件处置的案例分析。
本书的内容大多是作者在日常工作中的经验总结和案例分享，水平有限，书中难免存在疏漏和不妥之处，欢迎读者批评指正。微信号：xxfocus；邮件地址：[email protected]。

李江涛  
2020年6月