计算机
类型
可以朗读
语音朗读
147千字
字数
2020-11-01
发行日期
展开全部
主编推荐语
提高网络安全应急响应能力,实战经验助力一线安全人员。
内容简介
2019年,奇安信安服团队出版了《应急响应——网络安全的预防、发现、处置和恢复》科普图书,旨在提高政企机构、监管机构在网络安全应急响应方面的组织建设能力。2020年,我们撰写本书,旨在借助奇安信安服团队多年来积累的上千起网络安全应急响应事件处置的实战经验,帮助一线安全人员更加高效、高质量地处置网络安全应急响应事件。本书共10章,第1~3章为网络安全应急响应工程师需要掌握的基础理论、基础技能和常用工具,第4~10章为当前网络安全应急响应常见的七大处置场景,分别是勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露和流量劫持网络安全应急响应。通过本书的学习,一线网络安全应急响应工程师可掌握网络安全应急响应处置思路、技能,以及相关工具的使用,以便实现快速响应的新安全要求。本书适合企业、机构、安全公司的安全运营人员使用,也可作为高校网络安全相关专业学生的培训教材。
目录
- 封面
- 版权信息
- 内容简介
- 编委会
- 奇安信安服团队简介
- 前言
- 第1章 网络安全应急响应概述
- 1.1 应急响应基本概念
- 1.2 网络安全应急响应基本概念
- 1.3 网络安全应急响应的能力与方法
- 1.3.1 机构、企业网络安全应急响应应具备的能力
- 1.3.2 PDCERF(6阶段)方法
- 1.4 网络安全应急响应现场处置流程
- 第2章 网络安全应急响应工程师基础技能
- 2.1 系统排查
- 2.1.1 系统基本信息
- 2.1.2 用户信息
- 2.1.3 启动项
- 2.1.4 任务计划
- 2.1.5 其他
- 2.2 进程排查
- 2.3 服务排查
- 2.4 文件痕迹排查
- 2.5 日志分析
- 2.6 内存分析
- 2.7 流量分析
- 2.8 威胁情报
- 第3章 常用工具介绍
- 3.1 SysinternalsSuite
- 3.2 PCHunter/火绒剑/PowerTool
- 3.3 Process Monitor
- 3.4 Event Log Explorer
- 3.5 FullEventLogView
- 3.6 Log Parser
- 3.7 ThreatHunting
- 3.8 WinPrefetchView
- 3.9 WifiHistoryView
- 3.10 奇安信应急响应工具箱
- 第4章 勒索病毒网络安全应急响应
- 4.1 勒索病毒概述
- 4.1.1 勒索病毒简介
- 4.1.2 常见的勒索病毒
- 4.1.3 勒索病毒利用的常见漏洞
- 4.1.4 勒索病毒的解密方法
- 4.1.5 勒索病毒的传播方法
- 4.1.6 勒索病毒的攻击特点
- 4.1.7 勒索病毒的防御方法
- 4.2 常规处置方法
- 4.2.1 隔离被感染的服务器/主机
- 4.2.2 排查业务系统
- 4.2.3 确定勒索病毒种类,进行溯源分析
- 4.2.4 恢复数据和业务
- 4.2.5 后续防护建议
- 4.3 错误处置方法
- 4.4 常用工具
- 4.4.1 勒索病毒查询工具
- 4.4.2 日志分析工具
- 4.5 技术操作指南
- 4.5.1 初步预判
- 4.5.2 临时处置
- 4.5.3 系统排查
- 4.5.4 日志排查
- 4.5.5 网络流量排查
- 4.5.6 清除加固
- 4.6 典型处置案例
- 4.6.1 服务器感染GlobeImposter勒索病毒
- 4.6.2 服务器感染Crysis勒索病毒
- 第5章 挖矿木马网络安全应急响应
- 5.1 挖矿木马概述
- 5.1.1 挖矿木马简介
- 5.1.2 常见的挖矿木马
- 5.1.3 挖矿木马的传播方法
- 5.1.4 挖矿木马利用的常见漏洞
- 5.2 常规处置方法
- 5.2.1 隔离被感染的服务器/主机
- 5.2.2 确认挖矿进程
- 5.2.3 挖矿木马清除
- 5.2.4 挖矿木马防范
- 5.3 常用工具
- 5.3.1 ProcessExplorer
- 5.3.2 PCHunter
- 5.4 技术操作指南
- 5.4.1 初步预判
- 5.4.2 系统排查
- 5.4.3 日志排查
- 5.4.4 清除加固
- 5.5 典型处置案例
- 5.5.1 Windows服务器感染挖矿木马
- 5.5.2 Linux服务器感染挖矿木马
- 第6章 Webshell网络安全应急响应
- 6.1 Webshell概述
- 6.1.1 Webshell分类
- 6.1.2 Webshell用途
- 6.1.3 Webshell检测方法
- 6.1.4 Webshell防御方法
- 6.2 常规处置方法
- 6.2.1 入侵时间确定
- 6.2.2 Web日志分析
- 6.2.3 漏洞分析
- 6.2.4 漏洞复现
- 6.2.5 漏洞修复
- 6.3 常用工具
- 6.3.1 扫描工具
- 6.3.2 抓包工具
- 6.4 技术操作指南
- 6.4.1 初步预判
- 6.4.2 Webshell排查
- 6.4.3 Web日志分析
- 6.4.4 系统排查
- 6.4.5 日志排查
- 6.4.6 网络流量排查
- 6.4.7 清除加固
- 6.5 典型处置案例
- 6.5.1 网站后台登录页面被篡改
- 6.5.2 Linux系统网站服务器被植入Webshell
- 6.5.3 Windows系统网站服务器被植入Webshell
- 第7章 网页篡改网络安全应急响应
- 7.1 网页篡改概述
- 7.1.1 网页篡改事件分类
- 7.1.2 网页篡改原因
- 7.1.3 网页篡改攻击手法
- 7.1.4 网页篡改检测技术
- 7.1.5 网页篡改防御方法
- 7.1.6 网页篡改管理制度
- 7.2 常规处置方法
- 7.2.1 隔离被感染的服务器/主机
- 7.2.2 排查业务系统
- 7.2.3 确定漏洞源头、溯源分析
- 7.2.4 恢复数据和业务
- 7.2.5 后续防护建议
- 7.3 错误处置方法
- 7.4 常用工具
- 7.5 技术操作指南
- 7.5.1 初步预判
- 7.5.2 系统排查
- 7.5.3 日志排查
- 7.5.4 网络流量排查
- 7.5.5 清除加固
- 7.6 典型处置案例
- 7.6.1 内部系统主页被篡改
- 7.6.2 网站首页被植入暗链
- 第8章 DDoS攻击网络安全应急响应
- 8.1 DDoS攻击概述
- 8.1.1 DDoS攻击简介
- 8.1.2 DDoS攻击目的
- 8.1.3 常见DDoS攻击方法
- 8.1.4 DDoS攻击中的一些误区
- 8.1.5 DDoS攻击防御方法
- 8.2 常规处置方法
- 8.2.1 判断DDoS攻击的类型
- 8.2.2 采取措施缓解
- 8.2.3 溯源分析
- 8.2.4 后续防护建议
- 8.3 技术操作指南
- 8.3.1 初步预判
- 8.3.2 问题排查
- 8.3.3 临时处置方法
- 8.3.4 研判溯源
- 8.3.5 清除加固
- 8.4 典型处置案例
- 第9章 数据泄露网络安全应急响应
- 9.1 数据泄露概述
- 9.1.1 数据泄露简介
- 9.1.2 数据泄露途径
- 9.1.3 数据泄露防范
- 9.2 常规处置方法
- 9.2.1 发现数据泄露
- 9.2.2 梳理基本情况
- 9.2.3 判断泄露途径
- 9.2.4 数据泄露处置
- 9.3 常用工具
- 9.3.1 Hawkeye
- 9.3.2 Sysmon
- 9.4 技术操作指南
- 9.4.1 初步研判
- 9.4.2 确定排查范围和目标
- 9.4.3 建立策略
- 9.4.4 系统排查
- 9.5 典型处置案例
- 9.5.1 Web服务器数据泄露
- 9.5.2 Web应用系统数据泄露
- 第10章 流量劫持网络安全应急响应
- 10.1 流量劫持概述
- 10.1.1 流量劫持简介
- 10.1.2 常见流量劫持
- 10.1.3 常见攻击场景
- 10.1.4 流量劫持防御方法
- 10.2 常规处置方法
- 10.2.1 DNS劫持处置
- 10.2.2 HTTP劫持处置
- 10.2.3 链路层劫持处置
- 10.3 常用命令及工具
- 10.3.1 nslookup命令
- 10.3.2 dig命令
- 10.3.3 traceroute命令
- 10.3.4 Wireshark工具
- 10.3.5 流量嗅探工具
- 10.4 技术操作指南
- 10.4.1 初步预判
- 10.4.2 DNS劫持排查
- 10.4.3 HTTP劫持排查
- 10.4.4 TCP劫持排查
- 10.4.5 ARP劫持排查
- 10.5 典型处置案例
- 10.5.1 网络恶意流量劫持
- 10.5.2 网站恶意跳转
- 10.5.3 网站搜索引擎劫持
- 封底
展开全部
评分及书评
评分不足
1个评分
出版方
电子工业出版社
电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。
