1.1 网络安全与事件处置 / 1
1.1.1 网络安全与网络安全事件 / 1
1.1.2 事件处置的目的和作用 / 3
1.1.3 事件处置的原则与方法 / 4
1.1.4 事件处置的触发条件 / 6
1.1.5 事件处置的内外协作 / 8
1.2 事件响应与追踪溯源 / 9
1.2.1 追踪溯源的目的与作用 / 9
1.2.2 内部溯源与外部溯源 / 10
1.3 追踪溯源技术发展和主流技术 / 13
1.3.1 早期追踪溯源关注点 / 13
1.3.2 追踪溯源技术的发展 / 13
1.3.3 主流的网络攻击追踪溯源技术 / 14
1.3.4 如何应用网络攻击追踪溯源技术 / 17
习题 / 17
2.1 网络安全事件的分类方法和类别 / 18
2.1.1 恶意程序事件 / 18
2.1.2 网络攻击事件 / 19
2.1.3 数据安全事件 / 21
2.1.4 信息内容安全事件 / 22
2.1.5 设备设施故障事件 / 22
2.1.6 违规操作事件 / 23
2.1.7 安全隐患事件 / 24
2.1.8 异常行为事件 / 25
2.1.9 不可抗力事件 / 25
2.2 网络安全事件的分级 / 26
2.2.1 网络安全事件分级的目的 / 26
2.2.2 网络安全事件分级方法 / 27
2.2.3 网络安全事件级别 / 29
2.2.4 网络安全事件分级流程 / 30
2.3 网络安全事件类别和级别的关联关系 / 31
习题 / 32
第 1 章
概? 述
第 2 章
网络安全事件
分类与分级VI
网络安全事件处置与追踪溯源技术
3.1 事件处置的一般流程 / 33
3.2 准备阶段 / 35
3.3 检测阶段与抑制阶段 / 36
3.3.1 检测阶段 / 36
3.3.2 抑制阶段 / 37
3.4 固证与溯源阶段 / 38
3.4.1 固证 / 38
3.4.2 溯源 / 40
3.5 根除与恢复阶段 / 40
3.5.1 根除阶段 / 40
3.5.2 恢复阶段 / 41
3.6 反制阶段 / 42
3.6.1 反制任务和时机 / 42
3.6.2 反制常用技术和方法 / 43
3.7 信息通报和预警阶段 / 46
3.7.1 网络安全事件通报分级 / 46
3.7.2 信息通报流程 / 46
3.7.3 预警内容和流程 / 47
3.8 事件原因分析与安全建设整改 / 48
习题 / 50
4.1 基本框架 / 51
4.2 协调中心 / 51
4.3 决策中心 / 53
4.4 IT 技术支撑 / 53
4.5 业务线支撑 / 54
4.6 外部协调 / 55
4.7 网络安全事件处置组织能力建设 / 56
习题 / 57
5.1 网络安全事件发现关键技术 / 58
5.1.1 入侵检测技术 / 58
5.1.2 蜜罐技术 / 67
5.1.3 威胁情报技术 / 73
5.1.4 漏洞管理 / 79
5.2 网络安全事件处置和分析常用工具 / 89
第 3 章
网络安全事件
处置流程和
方法
第 4 章
事件处置的
组织保障
第 5 章
事件处置
关键技术? 目录
VII
5.2.1 网络安全事件分析典型流程 / 89
5.2.2 事件处置常用工具 / 89
5.3 事件响应关键技术 / 91
5.3.1 终端检测响应技术 / 91
5.3.2 网络检测响应技术 / 92
5.3.3 安全运营平台 / 92
5.3.4 态势感知平台 / 93
5.3.5 安全编排自动化与响应 / 93
习题 / 94
6.1 追踪溯源的网络技术基础 / 95
6.1.1 追踪溯源技术的基本含义 / 95
6.1.2 网站的注册与备案 / 95
6.1.3 服务代理技术 / 97
6.1.4 远程控制技术 / 99
6.2 身份识别技术 / 102
6.2.1 账号与口令 / 102
6.2.2 设备标识 / 103
6.2.3 软件标识 / 103
6.2.4 数字签名技术 / 105
6.2.5 动态验证技术 / 108
6.3 身份隐藏技术 / 109
6.3.1 匿名网络 / 109
6.3.2 盗取他人 ID/ 账号 / 111
6.3.3 使用跳板机攻击 / 111
6.3.4 他人身份冒用 / 114
6.3.5 利用代理服务器 / 114
6.4 日志 / 115
6.4.1 Windows 系统日志 / 115
6.4.2 Linux 系统日志分析与审计 / 121
6.4.3 其他日志分析与审计 / 123
6.5 溯源分析常用工具 / 125
6.5.1 日志分析工具 / 125
6.5.2 抓包工具 / 125
6.5.3 虚拟沙箱 / 127
6.5.4 反编译 / 130
第 6章
追踪溯源技术VIII
网络安全事件处置与追踪溯源技术
6.6 威胁情报 / 132
6.7 入侵检测指标 / 133
习题 / 135
7.1 基本概念 / 136
7.1.1 溯源分析方法论 / 136
7.1.2 攻击活动的可溯源性 / 140
7.1.3 内部溯源的主要方法 / 144
7.1.4 外部溯源的主要方法 / 145
7.1.5 追踪溯源的常用技术 / 147
7.1.6 重构威胁场景 / 148
7.1.7 如何建立攻击时间线 / 149
7.2 痕迹采集与分析 / 152
7.2.1 基本概念 / 152
7.2.2 认知模型 / 153
7.2.3 取证流程 / 156
7.2.4 操作系统分析 / 157
7.2.5 取证调查示例 / 161
7.3 历史轨迹溯源 / 171
7.4 网络空间测绘技术 / 176
7.5 公开信息采集 / 183
习题 / 185
8.1 钓鱼邮件溯源 / 186
8.1.1 钓鱼邮件及防范方法 / 186
8.1.2 邮件溯源方法和技术 / 188
8.1.3 钓鱼邮件溯源案例 / 189
8.2 勒索病毒溯源 / 196
8.2.1 恶意程序及其危害 / 196
8.2.2 常见的勒索病毒 / 197
8.2.3 勒索病毒利用的常见漏洞 / 200
8.2.4 勒索病毒解密方式 / 200
8.2.5 勒索病毒传播方式 / 201
8.2.6 勒索病毒攻击特点 / 202
8.2.7 勒索病毒事件处置及溯源方法 / 203
8.3 挖矿木马溯源 / 217
第 7 章
溯源分析的
组织与方法
第 8 章
常见安全事件
响应处置及溯
源方法? 目录
IX
8.4 Webshell 溯源 / 222
8.5 恶意网站溯源 / 227
8.5.1 网页篡改 / 227
8.5.2 网页篡改处置与溯源 / 229
8.6 DDoS 攻击溯源 / 232
8.6.1 DDoS 攻击 / 232
8.6.2 DDoS 攻击的防御方法 / 241
8.6.3 DDoS 攻击的溯源方法 / 242
8.7 扫描器溯源 / 244
8.7.1 扫描器概述 / 244
8.7.2 扫描溯源分析 / 250
8.8 APT 攻击溯源 / 254
8.8.1 APT 攻击 / 254
8.8.2 APT 攻击溯源 / 259
8.9 流量劫持 / 270
8.9.1 概述 / 270
8.9.2 常见攻击场景 / 276
8.9.3 流量劫持防御方法 / 277
8.9.4 流量劫持常规处置办法 / 278
习题 / 279
9.1 威胁数据的采集与汇聚 / 281
9.2 关联分析的原则与方法 / 284
9.3 大数据可视化分析技术 / 297
9.4 互联网威胁研判技术 / 300
9.5 告警降噪 / 302
习题 / 304
参考书目? /?305