CISP-信息安全應(yīng)急響應(yīng)

1、信息安全應(yīng)急響應(yīng)中國(guó)信息安全測(cè)評(píng)中心CISP-19-信息安全應(yīng)急響應(yīng)2009年6月1背景：信息安全管理技術(shù)信息安全管理風(fēng)險(xiǎn)管理基本概念信息安全管理技術(shù)風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)定量/定性風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估工具和方法知識(shí)類知識(shí)體知識(shí)域知識(shí)子域BCP&DRP概念和背景業(yè)務(wù)持續(xù)性計(jì)劃編制和內(nèi)容業(yè)務(wù)持續(xù)性計(jì)劃的技術(shù)和管理應(yīng)急響應(yīng)背景和組織應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)2目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例3一、互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)4目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響

2、應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標(biāo)應(yīng)急響應(yīng)服務(wù)案例補(bǔ)充材料：如何編制本單位的應(yīng)急預(yù)案5我國(guó)互聯(lián)網(wǎng)環(huán)境隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷發(fā)展，大量的基礎(chǔ)網(wǎng)絡(luò)成為黑客的攻擊目標(biāo)。我國(guó)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅和安全隱患：計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升安全漏洞，黑客病毒技術(shù)、網(wǎng)絡(luò)釣魚技術(shù)、木馬間諜程序6互聯(lián)網(wǎng)安全威脅事例事例2003年：SQL SLAMMER、口令蠕蟲事件、沖擊波蠕蟲事件2004年5月：黑客操控六萬臺(tái)電腦制造 “僵尸網(wǎng)絡(luò)”發(fā)起拒絕服務(wù)攻擊2005年12月荷蘭19歲黑客控制150萬臺(tái)電腦組建僵尸網(wǎng)絡(luò)從2006年底到2007年初，“

3、熊貓燒香”在短短時(shí)間內(nèi)通過網(wǎng)絡(luò)傳播全國(guó)，數(shù)百萬電腦中毒2008年，黑龍江網(wǎng)民篡改紅十字會(huì)地震募捐賬號(hào)被捕2009年，卡巴斯基網(wǎng)站數(shù)據(jù)庫(kù)遭黑客攻擊機(jī)密信息外泄 相互結(jié)合，危害無窮Bot、網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體7網(wǎng)絡(luò)安全熱點(diǎn)網(wǎng)站仿冒（Phishing）建立假網(wǎng)站通過垃圾郵件發(fā)送服務(wù)器大量發(fā)信引誘用戶訪問使用中獎(jiǎng)、系統(tǒng)升級(jí)等手段誘使用戶輸入個(gè)人信息主要針對(duì)銀行和信用卡服務(wù)機(jī)構(gòu)89網(wǎng)絡(luò)釣魚的靶心仿冒網(wǎng)絡(luò)銀行 (仿冒中國(guó)銀行，中國(guó)銀行真實(shí)網(wǎng)址為：) (仿冒中國(guó)工商銀行，中國(guó)工商銀行真實(shí)網(wǎng)址為：) （仿冒招商銀行，招商銀行的真實(shí)網(wǎng)址為：）等仿冒方式假冒域名、網(wǎng)頁(yè)、郵件10網(wǎng)絡(luò)安全熱點(diǎn)僵尸網(wǎng)

4、絡(luò)的具體概念Bot僵尸程序Zombie被植入Bot程序的計(jì)算機(jī)IRC Bot利用IRC協(xié)議進(jìn)行通信和控制的Bot基于僵尸網(wǎng)絡(luò)（ Botnet ）的網(wǎng)絡(luò)敲詐大量主機(jī)被安裝了BOT黑客可以通過IRC服務(wù)器實(shí)施控制隨時(shí)可能發(fā)動(dòng)攻擊BOT可以進(jìn)行升級(jí)，擴(kuò)大攻擊能力11網(wǎng)絡(luò)安全熱點(diǎn)手機(jī)和無線網(wǎng)絡(luò)（WLAN）的安全2004年，針對(duì)使用Symbian的蘭牙手機(jī)的病毒出現(xiàn)針對(duì)使用PocketPC的驗(yàn)證性攻擊程序也被發(fā)現(xiàn)手機(jī)功能和操作系統(tǒng)通用性不斷增強(qiáng)，會(huì)有越來越多針對(duì)手機(jī)的攻擊WLAN安全性一直是其應(yīng)用的關(guān)鍵問題2004年出現(xiàn)了可利用來對(duì)IEEE 1278.11b無線接入點(diǎn)進(jìn)行拒絕服務(wù)攻擊的漏洞12網(wǎng)絡(luò)安全熱

5、點(diǎn)黑客地下經(jīng)濟(jì)產(chǎn)業(yè)鏈13系統(tǒng)越來越復(fù)雜工作站中存在信息數(shù)據(jù)員工移動(dòng)介質(zhì)網(wǎng)絡(luò)中其他系統(tǒng)網(wǎng)絡(luò)中其他資源訪問Internet訪問其他局域網(wǎng)到Internet的其他路由電話和調(diào)制解調(diào)器開放的網(wǎng)絡(luò)端口遠(yuǎn)程用戶廠商和合同方的訪問訪問外部資源公共信息服務(wù)運(yùn)行維護(hù)環(huán)境U盤、無線網(wǎng)絡(luò)。14網(wǎng)絡(luò)安全漏洞大量存在Windows十大安全隱患Web服務(wù)器和服務(wù)工作站服務(wù)Windows遠(yuǎn)程訪問服務(wù)微軟SQL服務(wù)器Windows認(rèn)證Web瀏覽器文件共享LSAS Exposures電子郵件客戶端 即時(shí)信息Unix十大安全隱患BIND域名系統(tǒng)Web服務(wù)器認(rèn)證版本控制系統(tǒng)電子郵件傳輸服務(wù)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議開放安全連接通訊層企業(yè)服務(wù)

6、NIS/NFS 配置不當(dāng)數(shù)據(jù)庫(kù)內(nèi)核來源SANS研究報(bào)告1516攻擊復(fù)雜度與攻擊者的技術(shù)水平高低19801985199019952000猜口令自我復(fù)制程序口令破解攻擊已知漏洞破壞審計(jì)后門程序干擾通信手動(dòng)探測(cè)竊聽數(shù)據(jù)包欺騙圖形化界面自動(dòng)掃描拒絕服務(wù)www攻擊工具攻擊者攻擊者的知識(shí)水平攻擊的復(fù)雜度隱秘且高級(jí)的掃描工具偷竊信息網(wǎng)管探測(cè)分布式攻擊工具新型的跨主機(jī)工具17攻擊范圍和時(shí)間的變化全面框架區(qū)域網(wǎng)絡(luò)多個(gè)局域網(wǎng)單個(gè)局域網(wǎng)單個(gè)pc目標(biāo)和破壞的范圍1980s1990sTodayFuture第一代Boot virusesWeeks第二代Macro virusesDenial of serviceDays第

7、三代Distributed denial of serviceBlended threatsMinutes下一代Flash threatsMassive worm-driven DDoSDamaging payload wormsSeconds快速變化的威脅18網(wǎng)絡(luò)安全造成損失越來越大信息泄密“黛蛇事件”：2005年12月15日發(fā)現(xiàn)一個(gè)利用MS05-051微軟高危漏洞傳播的“黛蛇”蠕蟲，該攻擊下載運(yùn)行鍵盤記錄軟件和蠕蟲文件包，竊取用戶數(shù)據(jù)。網(wǎng)絡(luò)堵塞SQL SLAMMER：2003年1月25日發(fā)作,造成大面積網(wǎng)絡(luò)擁塞，部分骨干網(wǎng)絡(luò)癱瘓，韓國(guó)網(wǎng)絡(luò)基本處于癱瘓狀態(tài),我國(guó)境內(nèi)感染主機(jī)22600余臺(tái)業(yè)務(wù)

8、停頓，網(wǎng)上招生停頓、網(wǎng)上交易中斷等造成的財(cái)產(chǎn)損失難以估計(jì)，數(shù)字絕非聳人聽聞從2004年10月起，北京一家音樂網(wǎng)站連續(xù)3個(gè)月遭到一個(gè)控制超過6萬臺(tái)電腦的“僵尸網(wǎng)絡(luò)”的“拒絕服務(wù)（DoS）”攻擊，造成經(jīng)濟(jì)損失達(dá)700余萬元 切膚之痛？19防止網(wǎng)絡(luò)故障造成巨大損失和影響2003.2.3阿爾及利亞停電事故2003.3.31伊朗大停電事故 2003.8.14美加大停電事故2003.8.28倫敦大停電2003.9.23瑞典和丹麥停電事故2003.9.28意大利和瑞士大停電2003年11月約旦停電事故2003.11.8利比亞西部停電事故2004年8月的約旦停電事故2005年5月的莫斯科停電事故20從安全事件

9、看網(wǎng)絡(luò)安全威脅及其發(fā)展趨勢(shì)21大規(guī)模蠕蟲事件的特點(diǎn)蠕蟲大規(guī)模爆發(fā)時(shí)的情形：“風(fēng)暴”、“颶風(fēng)”、“攻勢(shì)凌厲”大規(guī)模蠕蟲事件的特點(diǎn)：引起突發(fā)性的大量異常網(wǎng)絡(luò)流量感染主機(jī)數(shù)量多、分布廣對(duì)互聯(lián)網(wǎng)用戶造成的最直觀影響是網(wǎng)絡(luò)應(yīng)用緩慢或停止只有從網(wǎng)絡(luò)上設(shè)置訪問限制才能遏制蠕蟲的發(fā)展22蠕蟲依然是重大的潛在威脅雖然2006年沒有大規(guī)模的、造成重大社會(huì)影響的案例，但蠕蟲依然是重大威脅傳統(tǒng)破壞力：關(guān)鍵階段的服務(wù)中斷：入學(xué)報(bào)名或查詢、在線證券交易、政府集中業(yè)務(wù)審批、奧運(yùn)播報(bào)、etc.新破壞力：網(wǎng)絡(luò)阻塞失泄密威脅嚴(yán)重成為黑客攻擊他人的工具：DDoS致使全網(wǎng)DNS或者大型業(yè)務(wù)系統(tǒng)癱瘓；關(guān)鍵系統(tǒng)或資源被控制23蠕蟲事件的

10、對(duì)抗爆發(fā)前的工作：漏洞分析；探測(cè)行為（有時(shí)沒有）監(jiān)測(cè)；漏洞影響評(píng)估；攻擊代碼監(jiān)測(cè)；補(bǔ)丁、臨時(shí)工具研制；臨時(shí)措施研究與實(shí)施狀態(tài)監(jiān)測(cè)：代碼特征分析；監(jiān)測(cè)策略；數(shù)據(jù)分析網(wǎng)絡(luò)控制：影響評(píng)估；可行性嘗試；快速部署；隔離后的監(jiān)測(cè)挑戰(zhàn)：如果使用了必須的端口？終端清除：防病毒產(chǎn)品問題：主動(dòng)遏制技術(shù)及其適用情況與范圍？（對(duì)抗式蠕蟲；網(wǎng)絡(luò)自動(dòng)隔離技術(shù)；worm poisoning）附屬破壞力的發(fā)現(xiàn)與控制：代碼分析；控制技術(shù)與能力24形勢(shì)日漸嚴(yán)峻：通過互聯(lián)網(wǎng)進(jìn)行竊密的威脅日益增大最主要威脅：遭控制，尤其是關(guān)鍵節(jié)點(diǎn)失泄密2004年，6千多個(gè)IP2005年：超過2萬2千個(gè)IP代碼類威脅之：木馬25傳播途徑：入侵+手工植

11、入蠕蟲攜帶/蠕蟲進(jìn)入后下載垃圾郵件網(wǎng)頁(yè)動(dòng)機(jī)變化木馬的演變26木馬事件的對(duì)抗樣本收集與分析活動(dòng)監(jiān)測(cè)：通信監(jiān)測(cè)；操作監(jiān)測(cè)控制切斷數(shù)據(jù)分析：攻擊源與動(dòng)機(jī)分析；切取數(shù)據(jù)的分析新挑戰(zhàn)：加密通信與數(shù)據(jù)保存？協(xié)議嵌套？27代碼類威脅之：間諜軟件2005年被CNCERT/CC列為三大重點(diǎn)關(guān)注對(duì)象之一2005年發(fā)現(xiàn)我國(guó)70萬IP被植入間諜軟件，與美國(guó)、韓國(guó)的服務(wù)器聯(lián)絡(luò)市場(chǎng)上已經(jīng)出現(xiàn)專門的反間諜軟件產(chǎn)品主要危害：信息泄漏主要特點(diǎn)：經(jīng)常是獲得用戶許可之后運(yùn)行的，或者借助在線服務(wù)等方法“合法”地傳送信息28僵尸網(wǎng)絡(luò)的威脅2005年CNCERT/CC關(guān)注的三大重點(diǎn)之一當(dāng)前最嚴(yán)重的安全威脅之一2005年發(fā)現(xiàn)我國(guó)超過250

12、萬IP被控制，分布在140多個(gè)僵尸網(wǎng)絡(luò)中（不包括年初17萬和荷蘭組織提供的29萬）一些國(guó)家開始作為專項(xiàng)展開研究；出現(xiàn)一些公司以反僵尸網(wǎng)絡(luò)作為專門業(yè)務(wù)；多起專題國(guó)際研討會(huì)主要危害：癱瘓基礎(chǔ)網(wǎng)絡(luò)；控制關(guān)鍵系統(tǒng)；信息泄漏；癱瘓或干擾重要應(yīng)用；金融犯罪；etc.29僵尸網(wǎng)絡(luò)的主要特點(diǎn)控制者獲得超強(qiáng)的攻擊能力作為攻擊平臺(tái)，能夠使幾乎所有其他類型的安全威脅的破壞力大增蠕蟲；DDoS；網(wǎng)絡(luò)釣魚/在線身份竊取；垃圾郵件；信息竊??；偽造訪問量； 敲詐勒索；etc.防火墻完全無能為力30僵尸網(wǎng)絡(luò)的類型IRC-based Botnet: 絕大多數(shù)僵尸網(wǎng)絡(luò)P2P-based Botnet:這類Bot采用點(diǎn)對(duì)點(diǎn)方式相互

13、通信Web-based Botnet:這類Bot利用Http協(xié)議向控制服務(wù)器傳遞信息AOL-based Botnet:登錄到固定的AOL服務(wù)器接受控制命令。31完整僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)控制系統(tǒng)監(jiān)視控制者追蹤控制行為監(jiān)視控制體系摧毀僵尸程序清除代碼獲取與數(shù)據(jù)分析挑戰(zhàn)：新協(xié)議；P2P；加密僵尸網(wǎng)絡(luò)事件對(duì)抗32惡意代碼的特點(diǎn)對(duì)比類型特點(diǎn)傳播性可控性竊密性危害類型僵尸程序可控傳播高度可控有完全控制木馬無可控有完全控制蠕蟲主動(dòng)傳播無弱無弱主機(jī)和網(wǎng)絡(luò)資源間諜軟件無無嚴(yán)重竊密信息泄露病毒干預(yù)傳播無無破壞文件33非代碼類威脅之：網(wǎng)絡(luò)仿冒國(guó)際上增長(zhǎng)最快的、最熱門的安全事件之一CNCERT/CC2005重點(diǎn)關(guān)注的三大威

14、脅之一國(guó)際上出現(xiàn)不少專門組織、專題研討活動(dòng)CNCERT/CC處理：2004年230；2005年456；主要危害：企業(yè)或個(gè)人經(jīng)濟(jì)利益損失大規(guī)模事件時(shí)可能導(dǎo)致一定范圍金融癱瘓（例如數(shù)千萬信用卡信息失竊時(shí)，銀行可能被迫集中更換大批信用卡）34不斷變化的技術(shù)手段：垃圾郵件+社會(huì)工程學(xué)方法+相似鏈接+仿冒網(wǎng)站垃圾郵件+社會(huì)工程學(xué)方法+隱藏的鏈接+仿冒網(wǎng)站利用瀏覽器漏洞做到更好的鏈接隱藏仿冒網(wǎng)站本身的技術(shù)變化惡意代碼進(jìn)駐+修改host文件+仿冒網(wǎng)站惡意代碼進(jìn)駐+監(jiān)視軟件惡意代碼進(jìn)駐：垃圾郵件+郵件工具漏洞；垃圾郵件+瀏覽器漏洞+陷阱網(wǎng)頁(yè)蠕蟲+惡意代碼直接從在線交易環(huán)節(jié)中竊取信息！網(wǎng)絡(luò)仿冒35我國(guó)網(wǎng)絡(luò)仿冒的

15、基本情況安全防范能力薄弱安全防范意識(shí)對(duì)網(wǎng)絡(luò)仿冒的危害沒有了解部分網(wǎng)絡(luò)業(yè)務(wù)非實(shí)名制度36始終沒有解決的一個(gè)嚴(yán)重威脅目前敲詐勒索的主要手段之一蠕蟲驅(qū)動(dòng)的DDoS，以及大型僵尸網(wǎng)絡(luò)發(fā)動(dòng)的DDoS，可能嚴(yán)重威脅到基礎(chǔ)網(wǎng)絡(luò)/關(guān)鍵應(yīng)用/重要應(yīng)用系統(tǒng)的正常運(yùn)行非代碼類威脅之：拒絕服務(wù)攻擊37非代碼類威脅之：拒絕服務(wù)攻擊攻擊手法單對(duì)單：利用協(xié)議或協(xié)議實(shí)現(xiàn)漏洞；利用資源差異；利用基礎(chǔ)服務(wù)配置和IP偽造多對(duì)單：利用資源差異+IP偽造；利用巨大的資源差異驅(qū)動(dòng)力變化38過濾干擾流量；追溯攻擊源頭；追溯攻擊者；公共策略執(zhí)行：推廣相關(guān)的基礎(chǔ)配置；攻擊平臺(tái)摧毀拒絕服務(wù)攻擊事件的對(duì)抗39非代碼類威脅之：網(wǎng)頁(yè)篡改居高不下：20

16、04年2059/1029；2005年13653/2027 2006年 31378/3589傳統(tǒng)危害：政治和社會(huì)影響外交糾紛政務(wù)中斷40網(wǎng)頁(yè)篡改的演變威脅將不再僅僅局限于造成影響電子政務(wù)；網(wǎng)上業(yè)務(wù)；網(wǎng)上應(yīng)用的中斷“示威”性篡改到功利性篡改利用信譽(yù)高的網(wǎng)站設(shè)置陷阱新威脅：竊取數(shù)據(jù)入侵用戶主機(jī)（可以是有針對(duì)性的）濫用作為攻擊活動(dòng)的中轉(zhuǎn)或控制基地41發(fā)現(xiàn)：舉報(bào)；主動(dòng)搜索挑戰(zhàn)：深度、廣度的增加；新型惡意代碼定位與分析盡早通知用戶手段分析攻擊者分析宏觀分析恢復(fù)網(wǎng)頁(yè)篡改事件的對(duì)抗42其他威脅病毒：概念日漸模糊化后門與邏輯炸彈：難以監(jiān)測(cè)發(fā)現(xiàn)大量產(chǎn)品和技術(shù)嚴(yán)重依賴國(guó)外+高度互聯(lián)的網(wǎng)絡(luò)使得該隱患尤其嚴(yán)重垃圾郵件：

17、社會(huì)影響用于拒絕服務(wù)攻擊用于傳播惡意代碼（郵件蠕蟲）43各種威脅的變化趨勢(shì)小結(jié)攻擊分類模糊化攻擊手段多樣化攻擊代碼集成化/專業(yè)化攻擊動(dòng)機(jī)趨利化44潛在的其他問題國(guó)家利益維護(hù)：關(guān)鍵資源的擁有權(quán)、控制權(quán)，關(guān)鍵策略的話語(yǔ)權(quán)聯(lián)合國(guó)中的激烈斗爭(zhēng)：互聯(lián)網(wǎng)治理Root server / Root zone file / 公共政策現(xiàn)狀：正在成為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的互聯(lián)網(wǎng)，其公共政策的制定、關(guān)鍵資源的所有權(quán)與運(yùn)行權(quán)，依然不能自主45基礎(chǔ)薄弱資源欠缺合作欠缺宏觀發(fā)現(xiàn)與分析能力欠缺不夠重視“軟”技術(shù)技術(shù)挑戰(zhàn)潛在的其他問題46低 高高低潛在的破壞出現(xiàn)的可能性200020022005來源: DSB研究報(bào)告黑客罪犯間諜

18、恐怖分子國(guó)家 贊助潛在的其他問題47網(wǎng)絡(luò)安全事件的威脅對(duì)象基礎(chǔ)網(wǎng)絡(luò)的健康運(yùn)行國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施重要應(yīng)用（失能/失控）敏感信息企業(yè)與個(gè)人的經(jīng)濟(jì)等利益干擾經(jīng)濟(jì)秩序敲詐勒索48需要的元素 (x)需要的能力(y)各種威脅的應(yīng)對(duì)(z)組織（專門人員）資源（包括制度）預(yù) X監(jiān)測(cè)控制恢復(fù)蠕蟲DDoSBotnetSpyware平臺(tái)（技術(shù)設(shè)備）資源（包括制度）網(wǎng)絡(luò)安全保障能力的組成49網(wǎng)絡(luò)安全保障能力Y-應(yīng)對(duì)能力未雨綢繆：“預(yù)” 能力預(yù)防/預(yù)測(cè)/早期評(píng)估和警報(bào)等心明眼亮：“知”能力事件發(fā)現(xiàn)/監(jiān)測(cè)運(yùn)籌帷幄：“控”能力事件響應(yīng)與控制/危機(jī)管理起死回生：“生”能力恢復(fù)/核心生存50網(wǎng)絡(luò)安全保障能力X-實(shí)現(xiàn)要素公欲善

19、其事，必先利其器：技術(shù)產(chǎn)品&基礎(chǔ)設(shè)施巧婦難為無米之炊：基礎(chǔ)資源&方法規(guī)范（漏洞信息、惡意代碼信息、重要應(yīng)用資源信息以及流程、制度和預(yù)案 ）“人”是關(guān)鍵專業(yè)隊(duì)伍&合作體系51網(wǎng)絡(luò)安全保障能力Z-威脅研究知己知彼，百戰(zhàn)不殆：蠕蟲僵尸網(wǎng)絡(luò)間諜軟件PhishingDDoS52核心資源知識(shí)庫(kù)信息庫(kù)：國(guó)家網(wǎng)絡(luò)安全數(shù)據(jù)資源平臺(tái)（基礎(chǔ)網(wǎng)絡(luò)拓?fù)?、IP定位、事件庫(kù)、攻擊特征庫(kù)、病毒庫(kù)、應(yīng)用分布信息、漏洞庫(kù)、攻擊方法庫(kù)）模擬計(jì)算平臺(tái)Etc.53技術(shù)挑戰(zhàn)：大規(guī)模突發(fā)事件的及時(shí)響應(yīng)？攻方：漏洞/脆弱性發(fā)現(xiàn)惡意代碼編寫(測(cè)試, 可能)釋放惡意代碼守方：漏洞/脆弱性發(fā)現(xiàn)信息分發(fā)補(bǔ)丁開發(fā)補(bǔ)丁分發(fā)以及升級(jí)工作風(fēng)險(xiǎn)評(píng)估攻擊行為監(jiān)

20、測(cè)惡意代碼獲取和分析擴(kuò)散控制補(bǔ)丁和工具分發(fā)和升級(jí)感染主機(jī)恢復(fù)全面升級(jí)、損失評(píng)估等54我們的對(duì)手有多快?漏洞發(fā)現(xiàn)：隨時(shí) & 4000個(gè)/年出現(xiàn)新的攻擊代碼：漏洞公布后的幾星期甚至更短-0天1030 分鐘 足夠一個(gè)新的蠕蟲導(dǎo)致大范圍的網(wǎng)絡(luò)癱瘓僵尸網(wǎng)絡(luò)帶來的新挑戰(zhàn)那么，我們有多快？55技術(shù)挑戰(zhàn)：宏觀分析-海量數(shù)據(jù)56數(shù)據(jù)的有效性57100萬 事件信息 1 萬 事件信息 1百 事件信息 58理想化響應(yīng)工作模式59非技術(shù)挑戰(zhàn):現(xiàn)實(shí)世界和虛擬世界的矛盾有邊界的網(wǎng)絡(luò)建設(shè)與管理，如何面對(duì)無邊界的網(wǎng)絡(luò)攻擊攻擊者可以輕易通過多個(gè)不同的網(wǎng)絡(luò)、地區(qū)、或國(guó)家發(fā)起攻擊，使得無論是采取有效措施對(duì)抗攻擊減少損失，還是追查攻擊

21、來源打擊犯罪，都需要大范圍的協(xié)調(diào)問題：現(xiàn)有秩序下的效率保持60追蹤？隔離？各人自掃門前雪？61綜合挑戰(zhàn)：動(dòng)態(tài)適應(yīng)能力網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過程如何實(shí)現(xiàn)各個(gè)環(huán)節(jié)的動(dòng)態(tài)調(diào)整能力？62綜合挑戰(zhàn)：其他能力建設(shè)：打造超人？分散、分工、和無配合的防護(hù)力量，如何對(duì)抗有組織有計(jì)劃的攻擊行為？面對(duì)眾多的應(yīng)用可能面臨的眾多威脅，如何要求自己的安全管理人員能夠熟悉這一切？攻擊定位十分困難：無論是虛擬世界的定位還是現(xiàn)實(shí)世界的定位。使得防范和追查都十分困難技術(shù)以外的問題怎么辦：做好自己的事情，不足以保證自己的安全，那么如何確保 “公共衛(wèi)生”？63是否真正知道我國(guó)的網(wǎng)絡(luò)中正在發(fā)生什么？是否掌握國(guó)家網(wǎng)絡(luò)空間安全的真實(shí)狀態(tài)？是

22、否掌握國(guó)家可能面臨什么樣的網(wǎng)絡(luò)危機(jī)？國(guó)家信息化發(fā)展的相關(guān)決策缺乏依據(jù)信息化及其安全保障的計(jì)劃可能陷入盲目缺乏準(zhǔn)備，將來可能導(dǎo)致災(zāi)難性損失僅僅知道了一些事件，但是這些事件帶來的危害和損失還不知道；模擬、分析、預(yù)測(cè)、評(píng)估能力還比較弱雖然有一個(gè)良好的起點(diǎn)，但是目前的水平還沒有達(dá)到基本要求64小結(jié)很多問題還需要積極探索各方面合作的形成十分重要國(guó)際交流的重要性技術(shù)交流標(biāo)準(zhǔn)的話語(yǔ)權(quán)國(guó)際影響力65二、什么是應(yīng)急響應(yīng)66目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例67什么是應(yīng)急響應(yīng)Emergency Resp

23、onse/Incident Response:安全人員在遇到突發(fā)事件后所采取的措施和行動(dòng)突發(fā)事件：影響一個(gè)系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機(jī)范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題。這種情況包括常見的黑客入侵、信息竊取等，也包括拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。68事件響應(yīng)事件響應(yīng)：對(duì)發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進(jìn)行響應(yīng)。事件響應(yīng)是信息安全生命周期的必要組成部分。這個(gè)生命周期包括：對(duì)策、檢測(cè)和響應(yīng)。69應(yīng)急響應(yīng)描述當(dāng)安全事件發(fā)生需要盡快解決，而一般技術(shù)人員又無法迅速處理的時(shí)候，就需要安全服務(wù)商提供一種發(fā)現(xiàn)問題、解決問題的有效服務(wù)手段來解決問題。這種服務(wù)手段可以描述為：客戶的主機(jī)或網(wǎng)絡(luò)正

24、遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡，而又無法當(dāng)時(shí)解決和追查來源時(shí)，安全服務(wù)商根據(jù)客戶的要求以最快的速度趕到現(xiàn)場(chǎng)，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。 70應(yīng)急響應(yīng)的目的應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全事件的損失，提供有效的響應(yīng)和恢復(fù)指導(dǎo)，并努力防止安全事件的發(fā)生。網(wǎng)絡(luò)安全的發(fā)展日新月異，誰(shuí)也無法實(shí)現(xiàn)一勞永逸的安全服務(wù)。71積極預(yù)防風(fēng)險(xiǎn)評(píng)估及時(shí)發(fā)現(xiàn)檢測(cè)通報(bào)積極預(yù)防風(fēng)險(xiǎn)評(píng)估快速反應(yīng)迅即救助積極預(yù)防風(fēng)險(xiǎn)評(píng)估及時(shí)發(fā)現(xiàn)檢測(cè)通報(bào)確?；謴?fù)起死回生積極預(yù)防風(fēng)險(xiǎn)評(píng)估及時(shí)發(fā)現(xiàn)檢測(cè)通報(bào)快速反應(yīng)及時(shí)救助業(yè)務(wù)應(yīng)急響應(yīng)目標(biāo)72積極預(yù)防凡是預(yù)則立，不預(yù)則廢事件預(yù)防是事件應(yīng)急響應(yīng)能力的重要前提組織現(xiàn)有的

25、信息安全保障能力識(shí)別公司風(fēng)險(xiǎn)準(zhǔn)備主機(jī)、采取網(wǎng)絡(luò)安全措施制訂應(yīng)急響應(yīng)目標(biāo)的策略和規(guī)程73及時(shí)發(fā)現(xiàn)：安全保障的第一要求根本性的問題在于當(dāng)事件發(fā)生的時(shí)候，有關(guān)人員能否及時(shí)發(fā)現(xiàn)，以及能否做出準(zhǔn)確判斷事后：部分用戶投訴事件；事中：大規(guī)模網(wǎng)絡(luò)攻擊事件、 部分用戶投訴事件事前：異常檢測(cè)的分析結(jié)果、 關(guān)聯(lián)事件、 根據(jù)其他情報(bào)獲悉74快速響應(yīng)不但對(duì)已知事件快速響應(yīng)，對(duì)未知事件也可及時(shí)處理并采取相應(yīng)措施75確保恢復(fù)：安全保障的第一目標(biāo)應(yīng)急處理的兩個(gè)根本性目標(biāo)：確?；謴?fù)、追究責(zé)任除非是“事后”處理的事件，否則應(yīng)急處理人員首先要解決的問題是如何確保受影響的系統(tǒng)恢復(fù)正常的功能追究責(zé)任涉及到法律問題，一般用戶單位或第三方

26、支援的應(yīng)急處理人員主要起到配合分析的作用，因?yàn)檎归_這樣的調(diào)查通常需要得到司法許可。76從應(yīng)急組織到應(yīng)急體系：網(wǎng)絡(luò)安全保障的必要條件現(xiàn)實(shí)表明，單一的應(yīng)急組織已經(jīng)不能應(yīng)對(duì)當(dāng)今的網(wǎng)絡(luò)安全威脅，我國(guó)的應(yīng)急體系正是在實(shí)際工作的經(jīng)驗(yàn)總結(jié)中逐漸形成的：平臺(tái)從點(diǎn)到環(huán)到面；應(yīng)急體系從點(diǎn)到樹到網(wǎng)“現(xiàn)實(shí)世界中發(fā)生的任何事情，在網(wǎng)絡(luò)世界中都可以找到與之對(duì)應(yīng)的事件”SARS事件反映出社會(huì)防疫應(yīng)急體系的重要紅色代碼、尼姆達(dá)、SQL殺手、口令蠕蟲等具有和現(xiàn)實(shí)世界中的疫病相同的特點(diǎn)處理方式也具有同樣的特點(diǎn)：隔離-分析-治療不同之處：“病人”不自知；隔離缺乏法律依據(jù)或技術(shù)手段；應(yīng)急缺乏成熟體系和工作制度.77“莫里斯事件”又稱

27、“蠕蟲事件”。1988年11月，美國(guó)Cornell大學(xué)學(xué)生Morris編寫一個(gè)“圣誕樹”蠕蟲程序，該程序可以利用因特網(wǎng)上計(jì)算機(jī)的sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進(jìn)入系統(tǒng)并自我繁殖，鯨吞因特網(wǎng)的帶寬資源，造成全球10%的聯(lián)網(wǎng)計(jì)算機(jī)陷入癱瘓。這起計(jì)算機(jī)安全事件極大地震動(dòng)了美國(guó)政府、軍方和學(xué)術(shù)界全球第一個(gè)計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心八八年的“莫里斯事件”美國(guó)能源部成立了自已的CIAC美國(guó)其他部門的情況在莫里斯事件發(fā)生之后，美國(guó)國(guó)防部高級(jí)計(jì)劃研究署（DARPA）出資在卡內(nèi)基-梅隆大學(xué)（CMU）的軟件工程研究所（SEI）建立了計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心。該中心現(xiàn)在仍然由美國(guó)國(guó)防部

28、支持，并且作為國(guó)際上的骨干組織積極開展相關(guān)方面的培訓(xùn)工作。1989年，美國(guó)能源部（DoE）成立了自已的計(jì)算機(jī)事件處理組織，稱為CIAC（Computer Incident Advisory Capability)，專門保證能源部計(jì)算機(jī)系統(tǒng)的安全。至此，各有關(guān)部門紛紛開始成立自己的計(jì)算機(jī)安全事件處理組織。作為發(fā)起國(guó)，美國(guó)在國(guó)防部、能源部、空軍、海軍、眾議院、國(guó)家宇航局、國(guó)家標(biāo)準(zhǔn)與技術(shù)局、部分重點(diǎn)大學(xué)、IT界知名公司先后成立了六十余個(gè)計(jì)算機(jī)安全事件相應(yīng)組織。重在響應(yīng)、協(xié)調(diào)、研究/分析與統(tǒng)計(jì)計(jì)算機(jī)安全事件。網(wǎng)絡(luò)蠕蟲事件導(dǎo)致應(yīng)急處理組織的誕生78應(yīng)急處理的國(guó)際化FIRST計(jì)算機(jī)應(yīng)急組織的國(guó)際舞臺(tái)FIR

29、ST的宗旨FIRST成員的情況 1990年11月，在美國(guó)等的發(fā)起下，一些國(guó)家的CERT組織參與成立了“計(jì)算機(jī)事件響應(yīng)與安全工作組論壇”，簡(jiǎn)稱 FIRST Forum of Incident Response and Security Team。 FIRST的基本目的是使各成員能就安全漏洞、安全技術(shù)、安全管理等方面進(jìn)行交流與合作，以實(shí)現(xiàn)國(guó)際間的信息共享、技術(shù)共享，最終達(dá)到聯(lián)合防范計(jì)算機(jī)網(wǎng)絡(luò)上的攻擊行為的目標(biāo)。 截止到2001年底，加入FIRST的CERT組織共有110個(gè)，涉及到的國(guó)家有24個(gè)，僅美國(guó)自身就有56個(gè)成員，因此說，F(xiàn)IRST組織是以美國(guó)為主體所構(gòu)成。 截止到2006年4月底，F(xiàn)IRS

30、T的正式成員達(dá)到191個(gè)。CNCERT/CC于2002年8月成為FIRST的正式成員，處理.CN的安全事件。FIRST的工作規(guī)范FIRST組織有兩類成員，一是正式成員，二是觀察員。FIRST組織有一個(gè)由十人構(gòu)成的指導(dǎo)委員會(huì)，負(fù)責(zé)對(duì)重大問題做出討論，包括接受新的成員。新成員的加入必須有推薦人，并且需要得到指導(dǎo)委員會(huì)三分之二的成員同意。該委員會(huì)每月進(jìn)行一次電話會(huì)議。FIRST的技術(shù)活動(dòng)除了各成員之間通過保密通信進(jìn)行信息交流外， FIRST組織每季度開一次內(nèi)部技術(shù)交流會(huì)議，每年開一次開放型會(huì)議。通常是在美國(guó)與非美國(guó)國(guó)家交替進(jìn)行。這是因?yàn)橐疹櫟矫绹?guó)代表的利益。79我國(guó)的應(yīng)急處理體系信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)

31、急處理協(xié)調(diào)辦公室國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心（天津市公安局）國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心（中科院研究生院）骨干網(wǎng)的CERT商業(yè)的安全服務(wù)提供商IDC的CERT國(guó)外CERT互聯(lián)網(wǎng)安全服務(wù)試點(diǎn)單位國(guó)外政府部門（APEC經(jīng)濟(jì)體）國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）信息產(chǎn)業(yè)部(MII)其他管理部門CNCERT/CC地方分中心從點(diǎn)狀到樹狀到網(wǎng)狀，提供更快速的覆蓋全國(guó)的應(yīng)急支撐體系80CNCERT/CC發(fā)展歷程（1）2000年10月，信息產(chǎn)業(yè)部組建成立了“計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”，目的主要是與其他國(guó)家的計(jì)算機(jī)應(yīng)急響應(yīng)組織(CERT)進(jìn)行交流加入專業(yè)化的國(guó)際組織“國(guó)際計(jì)算機(jī)事件響應(yīng)與安全

32、工作組論壇（簡(jiǎn)稱FIRST）協(xié)調(diào)全國(guó)的CERT組織共同處理大規(guī)模網(wǎng)絡(luò)安全事件提高我國(guó)在計(jì)算機(jī)事件響應(yīng)方面的技術(shù)水平和能力等。 81CNCERT/CC發(fā)展歷程（2）2001年8月，原國(guó)信安辦下發(fā)了關(guān)于成立“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”的決定（國(guó)信安辦200123號(hào)），明確組建“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”，作為全國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理體系中的牽頭單位。根據(jù)國(guó)際慣例，該協(xié)調(diào)中心英文名稱為“China National Computer Emergency Response Team Coordination Center”，簡(jiǎn)稱CNCERT/CC。同時(shí)明確了CNCERT/CC的具體業(yè)務(wù)范圍：

33、收集、核實(shí)、匯總、發(fā)布有關(guān)網(wǎng)絡(luò)安全的權(quán)威性信息；為國(guó)家關(guān)鍵部門提供應(yīng)急處理服務(wù)；協(xié)調(diào)和指導(dǎo)國(guó)內(nèi)其它應(yīng)急處理單位的工作；與國(guó)際上的應(yīng)急處理組織進(jìn)行合作和交流。 82應(yīng)急響應(yīng)服務(wù)背景CERT/CC服務(wù)的內(nèi)容安全事件響應(yīng)安全事件分析和軟件安全缺陷研究缺陷知識(shí)庫(kù)開發(fā)信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計(jì)、補(bǔ)丁、工具教育與培訓(xùn)：CSIRT管理、CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn)指導(dǎo)其它CSIRT（也稱IRT、CERT）組織建設(shè)8384三、應(yīng)急響應(yīng)組的組建85目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案

34、例86什么是應(yīng)急響應(yīng)組（IRT） 應(yīng)急響應(yīng)組就是機(jī)構(gòu)可以借助的網(wǎng)絡(luò)安全專業(yè)組織。為什么需要成立應(yīng)急響應(yīng)組容易協(xié)調(diào)響應(yīng)工作提高專業(yè)知識(shí)提高效率提高先期主動(dòng)防御能力更加適合于滿足機(jī)構(gòu)的需要提高聯(lián)絡(luò)功能提高處理制度障礙方面的能力應(yīng)急響應(yīng)組的組建87應(yīng)急小組的分類和工作范圍形式多樣、規(guī)模大小不一服務(wù)的對(duì)象和范圍不同我國(guó)的國(guó)家互聯(lián)網(wǎng)中心（ CNCERT/CC ）日本計(jì)算機(jī)應(yīng)急響應(yīng)協(xié)調(diào)中心（JPCERT/CC）IBM安全管理服務(wù)（IBM-MSS）工作范圍按其工作方式來確定88應(yīng)急響應(yīng)組的分類國(guó)際間的協(xié)調(diào)組織國(guó)內(nèi)的協(xié)調(diào)組織國(guó)內(nèi)的協(xié)調(diào)組織愿意付費(fèi)的任何用戶產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、用戶商業(yè)IRT網(wǎng)絡(luò)服務(wù)提

35、供商 IRT廠商 IRT企業(yè) /政府 IRT如：綠盟科技如：CCERT如：Cisco、IBM如：中國(guó)銀行、 公安部如CERT/CC, FIRST如CNCERT/CC89關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)【2003】27號(hào)）第五部分 重視信息安全應(yīng)急處理工作。國(guó)家和社會(huì)都有充分重視信息安全應(yīng)急處理工作。要進(jìn)一步完善國(guó)家信息安全應(yīng)急處理協(xié)調(diào)機(jī)制，加強(qiáng)信息安全事件的應(yīng)急處置工作。要加強(qiáng)信息安全應(yīng)急支援服務(wù)隊(duì)伍建設(shè)，鼓勵(lì)社會(huì)力量參與災(zāi)難備份設(shè)施建設(shè)和提供技術(shù)服務(wù)，提供信息安全應(yīng)急響應(yīng)能力。國(guó)內(nèi)的應(yīng)急響應(yīng)政策90國(guó)內(nèi)的應(yīng)急響應(yīng)政策為了落實(shí)27號(hào)文精神國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于2003年10月

36、發(fā)布了網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法、2004年9月發(fā)布了關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知，2004年8月發(fā)布了關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機(jī)制的意見等文件。這些文件對(duì)推動(dòng)災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。91國(guó)際應(yīng)急響應(yīng)組網(wǎng)址美國(guó) 清華 歐洲 新加坡 臺(tái)灣省 印尼 瑞士 澳大利亞 德國(guó) 日本 馬來西亞 韓國(guó) 墨西哥 菲律賓 92四、應(yīng)急響應(yīng)服務(wù)的過程93目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例94應(yīng)急響應(yīng)的一般階段第一階段：準(zhǔn)備讓我們嚴(yán)陣以待第二階段：確認(rèn)對(duì)

37、情況綜合判斷第三階段：封鎖制止事態(tài)的擴(kuò)大第四階段：根除徹底的補(bǔ)救措施第五階段：恢復(fù)備份，頂上去！第六階段：跟蹤還會(huì)有第二次嗎95第一階段準(zhǔn)備預(yù)防為主微觀（一般觀點(diǎn)）：幫助服務(wù)對(duì)象建立安全政策幫助服務(wù)對(duì)象按照安全政策配置安全設(shè)備和軟件掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁如有條件且得到許可，建立監(jiān)控設(shè)施宏觀建立協(xié)作體系和應(yīng)急制度建立信息溝通渠道和通報(bào)機(jī)制如有條件，建立數(shù)據(jù)匯總分析的體系和能力有關(guān)法律法規(guī)的制定96準(zhǔn)備階段制定應(yīng)急響應(yīng)計(jì)劃資源準(zhǔn)備應(yīng)急經(jīng)費(fèi)籌集人力資源軟硬件設(shè)備現(xiàn)場(chǎng)備份業(yè)務(wù)連續(xù)性保障系統(tǒng)容災(zāi)搭建臨時(shí)業(yè)務(wù)系統(tǒng)97人力資源準(zhǔn)備指揮調(diào)度人員協(xié)作人員技術(shù)人員專家設(shè)備、系統(tǒng)和服務(wù)提供商98軟硬件設(shè)備準(zhǔn)備硬件設(shè)

38、備準(zhǔn)備數(shù)據(jù)保護(hù)設(shè)備磁盤、磁帶、光盤SAN冗余設(shè)備網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備關(guān)鍵計(jì)算機(jī)設(shè)備Any else?99 100軟硬件設(shè)備準(zhǔn)備軟件工具準(zhǔn)備備份軟件日志處理軟件系統(tǒng)軟件網(wǎng)絡(luò)軟件應(yīng)急啟動(dòng)盤Any else?病毒/惡意軟件查殺軟件101建立事件報(bào)告的機(jī)制和要求建立事件報(bào)告流程和規(guī)范IntranetPhoneEmailWho?What?When?Where?How?Reporting Mechanisms102第二階段確認(rèn)（檢測(cè)和分析）確定事件性質(zhì)和處理人微觀（負(fù)責(zé)具體網(wǎng)絡(luò)的CERT）：確定事件的責(zé)任人指定一個(gè)責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會(huì)？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程

39、度預(yù)計(jì)采用什么樣的專用資源來修復(fù)？宏觀（除了微觀的工作外）：通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件確定應(yīng)急等級(jí)，以決定啟動(dòng)哪一級(jí)應(yīng)急方案103快速分析事故的標(biāo)志事故的標(biāo)志分為兩類：征兆和預(yù)兆Web服務(wù)器崩潰 用戶抱怨主機(jī)連接網(wǎng)絡(luò)速度過慢 子郵件管理員可以看到大批的反彈電子郵件與可疑內(nèi)容 網(wǎng)絡(luò)管理員通告了一個(gè)不尋常的偏離典型的網(wǎng)絡(luò)流量流向 來源網(wǎng)絡(luò)和主機(jī)IDS 、防病毒軟件 、文件完整性檢查軟件系統(tǒng)、網(wǎng)絡(luò)、蜜罐日志公開可利用的信息第三方監(jiān)視服務(wù)104確認(rèn)事故（1）確認(rèn)網(wǎng)絡(luò)和系統(tǒng)輪廓： 分析事故的最好技術(shù)方法之一理解正常的行為基于處理事故的良好準(zhǔn)備使用集中的日志管理并創(chuàng)建日志保留策略： 執(zhí)行事件

40、關(guān)聯(lián)： 保持所有主機(jī)時(shí)鐘同步： 105確認(rèn)事故（2）維護(hù)和使用信息知識(shí)庫(kù) 分析事故時(shí)的快速參考使用互聯(lián)網(wǎng)搜索引擎進(jìn)行研究運(yùn)行包嗅探器以搜集更多的數(shù)據(jù) 過濾數(shù)據(jù) 經(jīng)驗(yàn)是不可替代的 建立診斷矩陣尋求幫助106矩陣實(shí)例征兆拒絕服務(wù)惡意代碼非授權(quán)訪問不正確使用文件，關(guān)鍵，訪問嘗試低中高低文件，不適當(dāng)?shù)膬?nèi)容低中低高主機(jī)崩潰中中中低端口掃描，輸入的，不正常的 高低中低端口掃描，輸出的，不正常的 低高中低利用，帶寬，高高中低中利用，電子郵件，高中高中中107事故優(yōu)先級(jí)服務(wù)水平協(xié)議服務(wù)水平協(xié)議（SLA）定義服務(wù)目標(biāo)及雙方的預(yù)期及責(zé)任服務(wù)水平協(xié)議指標(biāo)類別質(zhì)量指標(biāo)作用對(duì)象業(yè)務(wù)無關(guān)可用性業(yè)務(wù)接入點(diǎn)、應(yīng)用、設(shè)備、傳輸

41、設(shè)備平均業(yè)務(wù)恢復(fù)時(shí)間業(yè)務(wù)接入點(diǎn)、應(yīng)用、設(shè)備、傳輸設(shè)備平均故障間隔時(shí)間（MTBF）業(yè)務(wù)接入點(diǎn)、應(yīng)用、設(shè)備、傳輸設(shè)備平均修復(fù)時(shí)間（MTTR）業(yè)務(wù)接入點(diǎn)、應(yīng)用、設(shè)備、傳輸設(shè)備108應(yīng)急響應(yīng)服務(wù)的指標(biāo)遠(yuǎn)程應(yīng)急響應(yīng)服務(wù) 在確認(rèn)客戶的應(yīng)急響應(yīng)請(qǐng)求后?小時(shí)內(nèi)，交與相關(guān)應(yīng)急響應(yīng)人員進(jìn)行處理。無論是否解決，進(jìn)行處理的當(dāng)天必須返回響應(yīng)情況的簡(jiǎn)報(bào)，直到此次響應(yīng)服務(wù)結(jié)束。 本地應(yīng)急響應(yīng)服務(wù) 對(duì)本地范圍內(nèi)的客戶，？小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)；對(duì)異地的客戶，？小時(shí)加路途時(shí)間內(nèi)到達(dá)現(xiàn)場(chǎng)。 109應(yīng)急響應(yīng)SLA矩陣事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性事故當(dāng)前或?qū)砜赡艿挠绊懜撸ɡ纾夯ヂ?lián)網(wǎng)連接，公共Web服務(wù)器，防火墻，客戶數(shù)據(jù)）中（例

42、如：系統(tǒng)管理員工作站，文件和打印服務(wù)器，XYZ 應(yīng)用數(shù)據(jù)）低（例如：用戶工作站）Root級(jí)訪問15分鐘30分鐘1小時(shí)非授權(quán)的數(shù)據(jù)修改15分鐘30分鐘2小時(shí)對(duì)敏感信息的非授權(quán)訪問15分鐘1小時(shí)1小時(shí)非授權(quán)的用戶級(jí)訪問30分鐘2小時(shí)4小時(shí)服務(wù)不可用30分鐘2小時(shí)4小時(shí)騷擾130分鐘本地IT職員本地IT職員這個(gè)影響類別指那些除了讓用戶厭煩沒有其它負(fù)面影響的事故。例如，某個(gè)惡意代碼的影響只是每小時(shí)在用戶的顯示屏上顯示一條信息。110第三階段遏制即時(shí)采取的行動(dòng)微觀：防止進(jìn)一步的損失，確定后果初步分析，重點(diǎn)是確定適當(dāng)?shù)姆怄i方法咨詢安全政策確定進(jìn)一步操作的風(fēng)險(xiǎn)損失最小化可列出若干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由服務(wù)

43、對(duì)象選擇宏觀：確保封鎖方法對(duì)各網(wǎng)業(yè)務(wù)影響最小通過協(xié)調(diào)爭(zhēng)取各網(wǎng)一致行動(dòng)，實(shí)施隔離匯總數(shù)據(jù)，估算損失和隔離效果111建立遏制策略建議組織機(jī)構(gòu)為幾類主要的事故建立單獨(dú)的遏制策略，其標(biāo)準(zhǔn)包括： 潛在的破壞和資源的竊取證據(jù)保留的需要服務(wù)可用性（例如：網(wǎng)絡(luò)連接，提供給外部當(dāng)事方的服務(wù)）實(shí)施戰(zhàn)略需要的時(shí)間和資源戰(zhàn)略的有效性（例如：部分遏制事故，完全遏制事故）解決方案的期限（例如：緊急事故工作區(qū)需在4小時(shí)內(nèi)清除，臨時(shí)工作區(qū)需在兩周內(nèi)清除，永久的解決方案）。112例：基于DDOS攻擊的遏制策略1.基于攻擊特征實(shí)施過濾。 2.糾正正在被攻擊的漏洞或弱點(diǎn) 3.讓ISP實(shí)施過濾 4.重定位目標(biāo) 5.攻擊攻擊者 6.設(shè)

44、定證據(jù)保留時(shí)間 113第四階段根除長(zhǎng)期的補(bǔ)救措施微觀：詳細(xì)分析，確定原因，定義征兆分析漏洞加強(qiáng)防范消除原因修改安全策略宏觀：加強(qiáng)宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題；加強(qiáng)檢測(cè)工作，發(fā)現(xiàn)和清理行業(yè)與重點(diǎn)部門的問題；114第五階段恢復(fù)微觀：被攻擊的系統(tǒng)由備份來恢復(fù)作一個(gè)新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控宏觀：持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況根據(jù)各網(wǎng)的運(yùn)行情況判斷隔離措施的有效性通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模發(fā)現(xiàn)重要用戶及時(shí)通報(bào)解決適當(dāng)?shù)臅r(shí)候解除封鎖措施115第六階段跟蹤關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果對(duì)響

45、應(yīng)效果給出評(píng)估對(duì)進(jìn)入司法程序的事件，進(jìn)行進(jìn)一步的調(diào)查，打擊違法犯罪活動(dòng)116事件歸檔與統(tǒng)計(jì)處理人時(shí)間和時(shí)段地點(diǎn)工作量事件的類型對(duì)事件的處置情況代價(jià)細(xì)節(jié)117五、應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容118目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例119應(yīng)急響應(yīng)服務(wù)的形式遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)本地應(yīng)急響應(yīng)服務(wù)120遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)客戶通過電話、Email、傳真等方式請(qǐng)求安全事件響應(yīng)，應(yīng)急響應(yīng)組通過相同的方式為客戶解決問題。經(jīng)與客戶網(wǎng)絡(luò)相關(guān)人員確認(rèn)后，客戶方提供主機(jī)或設(shè)備的臨時(shí)支持賬號(hào)，由應(yīng)急響應(yīng)組遠(yuǎn)程登陸主機(jī)進(jìn)行

46、檢測(cè)和服務(wù)，問題解決后出具詳細(xì)的應(yīng)急響應(yīng)服務(wù)報(bào)告。遠(yuǎn)程系統(tǒng)無法登陸，或無法通過遠(yuǎn)程訪問的方式替客戶解決問題，客戶確認(rèn)后，轉(zhuǎn)到本地應(yīng)急相應(yīng)流程，同時(shí)此次遠(yuǎn)程響應(yīng)無效，歸于本地應(yīng)急響應(yīng)類型。121本地應(yīng)急響應(yīng)服務(wù)應(yīng)急響應(yīng)組在第一時(shí)間趕往客戶網(wǎng)絡(luò)系統(tǒng)安全事件的事發(fā)地點(diǎn)，在現(xiàn)場(chǎng)為客戶查找事發(fā)原因并解決相應(yīng)問題，最后出具詳細(xì)的應(yīng)急響應(yīng)服務(wù)報(bào)告。 122應(yīng)急響應(yīng)服務(wù)的內(nèi)容病毒事件響應(yīng)系統(tǒng)入侵事件響應(yīng)網(wǎng)絡(luò)故障事件響應(yīng)拒絕服務(wù)攻擊事件響應(yīng)123響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報(bào)和警告事件處理事件分析現(xiàn)場(chǎng)事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處

47、理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)測(cè)與安全審計(jì)評(píng)估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)安全工具的開發(fā)入侵檢測(cè)服務(wù)安全有關(guān)的信息的傳播風(fēng)險(xiǎn)分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢建立安全意識(shí)教育/培訓(xùn)產(chǎn)品評(píng)估或認(rèn)證應(yīng)急響應(yīng)服務(wù)的內(nèi)容124應(yīng)急響應(yīng)服務(wù)的特點(diǎn)技術(shù)復(fù)雜性與專業(yè)性各種硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件知識(shí)經(jīng)驗(yàn)的依賴性由IRT中的人提供服務(wù)，而不是一個(gè)硬件或軟件產(chǎn)品 突發(fā)性強(qiáng)需要廣泛的協(xié)調(diào)與合作125六、應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦126目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備

48、階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例127應(yīng)急響應(yīng)處理實(shí)踐所處理的事故類型拒絕服務(wù)事故拒絕服務(wù)（DoS）：通過耗盡資源來阻止或傷害網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用的攻擊。分布拒絕服務(wù)（DDoS）：一種使用大量主機(jī)執(zhí)行攻擊的 DoS技術(shù)。惡意代碼事故惡意代碼：感染主機(jī)的病毒、蠕蟲、特洛伊木馬或其它代碼實(shí)體。非授權(quán)訪問事故非授權(quán)訪問： 人員沒有沒有得到許可，獲得對(duì)網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)或其它資源的邏輯或物理訪問。 不正確使用事故不正確使用： 人員違反可接受的信息系統(tǒng)使用策略。 多組件事故多組件事故：?jiǎn)蝹€(gè)事故包含兩個(gè)或多個(gè)事故。128準(zhǔn)備階段拒絕服務(wù)事故主要工作推薦主機(jī)上的設(shè)置配置防火墻規(guī)則集以預(yù)防反射器攻擊配置邊界路由器以

49、預(yù)防放大器攻擊充足的網(wǎng)絡(luò)帶寬保證把網(wǎng)站做成靜態(tài)頁(yè)面確定組織機(jī)構(gòu)的互聯(lián)網(wǎng)服務(wù)提供商（ISP）和第二層提供商能幫助處理網(wǎng)絡(luò)DoS攻擊。配置安全軟件以檢測(cè)DoS攻擊配置網(wǎng)絡(luò)邊界以拒絕所有沒有明確允許的出局流量129準(zhǔn)備階段惡意代碼事故主要工作推薦讓用戶意識(shí)到惡意代碼問題。閱讀防病毒公告。為關(guān)鍵主機(jī)部署主機(jī)入侵檢測(cè)系統(tǒng)，包括文件完整性檢查器。使用防病毒軟件，并且保持更新為最新的病毒特征碼。配置軟件以阻止可疑的文件。減少開放的Windows共享。 130準(zhǔn)備階段非授權(quán)訪問事件主要工作推薦配置入侵檢測(cè)軟件以對(duì)獲得非授權(quán)訪問的企圖進(jìn)行告警。配置所有主機(jī)使用集中日志。建立流程，以使所有用戶修改其口令。配置網(wǎng)絡(luò)

50、邊界以拒絕所有沒有明確允許的入局流量。安全保護(hù)所有的遠(yuǎn)程訪問方式，包括調(diào)制解調(diào)器和虛擬專用網(wǎng)（VPN）。將所有公共訪問的服務(wù)放在安全保護(hù)的非軍事區(qū)（DMZ）網(wǎng)段。在主機(jī)上禁止所有不需要的服務(wù)并隔離關(guān)鍵的服務(wù)。在個(gè)人主機(jī)上使用主機(jī)防火墻軟件以限制主機(jī)對(duì)攻擊的暴露。創(chuàng)建和實(shí)施口令策略。 131準(zhǔn)備階段不當(dāng)操作事故主要工作推薦同組織機(jī)構(gòu)的人力資源和法務(wù)部門一起討論不當(dāng)操作事故的處理。同組織機(jī)構(gòu)的法務(wù)部門討論責(zé)任義務(wù)問題。配置網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)以檢測(cè)某些類型的不正確使用。日志記錄用戶活動(dòng)的基本信息。配置所有電子郵件服務(wù)器以使其不再用于非授權(quán)的郵件轉(zhuǎn)發(fā)。在所有電子郵件服務(wù)器上實(shí)施垃圾郵件過濾軟件。實(shí)施UR

51、L過濾軟件。 132準(zhǔn)備階段多組件事故多組件事故使用集中的日志和事件關(guān)聯(lián)軟件。133七、應(yīng)急響應(yīng)服務(wù)案例134目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例135應(yīng)急響應(yīng)服務(wù)案例僵尸網(wǎng)絡(luò)應(yīng)急響應(yīng)國(guó)家XX局的主機(jī)入侵應(yīng)急響應(yīng)XX證券公司“紅色代碼”病毒事件應(yīng)急響應(yīng)136僵尸網(wǎng)絡(luò)應(yīng)急響應(yīng)根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）2008年上半年網(wǎng)絡(luò)安全工作報(bào)告，僵尸網(wǎng)絡(luò)發(fā)展迅速，逐漸成為攻擊行為的基本渠道，成為網(wǎng)絡(luò)安全的最大隱患之一。相關(guān)事件：2000年YAHOO、Ebay、CNN

52、、Amazon等網(wǎng)站受到不同程度的分布式拒絕服務(wù)攻擊2001年中國(guó)主機(jī)提供商虎翼網(wǎng)遭受分布式拒絕服務(wù)（DDOS）攻擊，造成無法估計(jì)的損失2002年10月全球13個(gè)負(fù)責(zé)管理因特網(wǎng)尋址系統(tǒng)的根服務(wù)商遭到“分布式拒絕服務(wù)（DDOS）”攻擊2003年1月新網(wǎng)信?？萍家慌_(tái)主域名服務(wù)商（DNS服務(wù)器）遭到分布式拒絕服務(wù)（DDOS）攻擊，造成數(shù)以千計(jì)的網(wǎng)站無法登陸2005年1月10日，轟動(dòng)全國(guó)的唐山“黑客”落網(wǎng)。其造成北京一家音樂網(wǎng)站遭到一個(gè)超過6萬臺(tái)電腦的“僵尸網(wǎng)絡(luò)”的“拒絕服務(wù)（DOS）”攻擊。137僵尸網(wǎng)絡(luò)應(yīng)急響應(yīng)事件描述自2004年10月6日某音樂下載網(wǎng)站受到持續(xù)大流量拒絕服務(wù)攻擊 ，10月21日攻

53、擊峰值流量達(dá)到1000Mb/s,直接導(dǎo)致該網(wǎng)站用戶完全無法登錄。 事件確認(rèn)該網(wǎng)站在為期一個(gè)月的時(shí)間內(nèi)，每天處于間歇性攻擊中，受到攻擊的所有服務(wù)器均為Windows服務(wù)器，受到影響最大的服務(wù)器為Web服務(wù)器，初步判斷，這是一次典型的DDoS攻擊。138僵尸網(wǎng)絡(luò)應(yīng)急響應(yīng)遏制、根除和恢復(fù)該僵尸網(wǎng)絡(luò)通過動(dòng)態(tài)域名解析，受數(shù)個(gè)IRC服務(wù)器控制，定位IRC服務(wù)器切斷控制渠道，安裝查殺工具植入偽Bot加入僵尸網(wǎng)絡(luò)，過濾惡意攻擊指令，記錄攻擊行為139僵尸網(wǎng)絡(luò)的工作原理目前絕大多數(shù)的僵尸網(wǎng)絡(luò)是基于IRC協(xié)議的。IRC（RFC 1459）是應(yīng)用層協(xié)議，它的基本功能是使人們利用一個(gè)IRC頻道相互之間實(shí)時(shí)對(duì)話，極大地

54、方便了人們之間的信息交流。IRC協(xié)議采用客戶端/服務(wù)器模式，客戶端連接到IRC服務(wù)器，多個(gè)IRC服務(wù)器組成服務(wù)器網(wǎng)絡(luò)，從一個(gè)用戶到另一個(gè)用戶的信息可以通過服務(wù)器網(wǎng)絡(luò)傳遞，即使這些用戶連接到不同的服務(wù)器。IRC服務(wù)器默認(rèn)的端口是TCP 6667，通常也可以在60007000端口范圍內(nèi)選擇，許多IRC Bot為了逃避常規(guī)的檢查，選擇443、8000、500等自定義端口。140IRC BotIRC Bot的特點(diǎn)只需支持部分IRC 命令將收到的消息作為命令解釋執(zhí)行需要配置的信息遠(yuǎn)程IRC Server的地址、端口號(hào)（默認(rèn)TCP 6667）頻道名認(rèn)證碼Bots Quality高帶寬資源高可用性Alway

55、s on低用戶警覺和監(jiān)視能力未打補(bǔ)丁、無防火墻等防護(hù)機(jī)制位置遠(yuǎn)離攻擊者本土，法律不健全及執(zhí)行能力弱141IRC Botnet網(wǎng)絡(luò)結(jié)構(gòu)142IRC Botnet的全過程1. Bot感染2. 連接IRC Server3. 動(dòng)態(tài)域名映射4. 加入私密頻道5. Bot監(jiān)聽頻道，等待指令6. 攻擊者進(jìn)入頻道并發(fā)出控制指令7. 所有Bot根據(jù)指令對(duì)目標(biāo)發(fā)起攻擊143攻擊預(yù)兆和征兆惡意活動(dòng)可能的征兆針對(duì)特定主機(jī)的網(wǎng)絡(luò)DoS 系統(tǒng)不可用的用戶報(bào)告無法解釋的連接丟失網(wǎng)絡(luò)入侵檢測(cè)警報(bào) 主機(jī)入侵檢測(cè)警報(bào)（直到主機(jī)過載）增加的網(wǎng)絡(luò)帶寬使用大量至單個(gè)主機(jī)的連接非對(duì)稱的網(wǎng)絡(luò)流量模式（大量流量進(jìn)入主機(jī)，幾乎沒有流量從主機(jī)流

56、出）防火墻和路由器日志記錄項(xiàng) 有不正常源地址的包針對(duì)網(wǎng)絡(luò)的網(wǎng)絡(luò)DoS系統(tǒng)和網(wǎng)絡(luò)不可用的用戶報(bào)告無法解釋的連接丟失網(wǎng)絡(luò)入侵檢測(cè)警報(bào) 增加的網(wǎng)絡(luò)帶寬使用非對(duì)稱的網(wǎng)絡(luò)流量模式（流量大量進(jìn)入網(wǎng)絡(luò)，幾乎沒有流量離開網(wǎng)絡(luò)）防火墻和路由器日志記錄項(xiàng) 有不正常源地址的包有不存在目的地址的包針對(duì)特定主機(jī)的操作系統(tǒng)的DoS系統(tǒng)和應(yīng)用不可用的用戶報(bào)告網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)警報(bào) 操作系統(tǒng) 日志記錄項(xiàng) 有不正常源地址的包針對(duì)特定主機(jī)的應(yīng)用的DoS應(yīng)用不可用的用戶報(bào)告網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)警報(bào) 應(yīng)用日志記錄項(xiàng) 有不正常源地址的包預(yù)兆響應(yīng)偵查活動(dòng)通常在DoS攻擊之前，通常一個(gè)用于實(shí)際攻擊的低流量來確定何種攻擊有效。如果處理者檢測(cè)到

57、了不尋常的DoS攻擊前的準(zhǔn)備活動(dòng)，組織機(jī)構(gòu)能夠迅速地轉(zhuǎn)換安全狀態(tài)來組織攻擊，例如改變防火墻規(guī)則集來阻止一個(gè)特定的協(xié)議或者保護(hù)一個(gè)脆弱的主機(jī)。一個(gè)新近公布的DoS工具能對(duì)組織機(jī)構(gòu)構(gòu)成重大威脅。研究這個(gè)新工具，如果可能，更改安全控制使該工具不能對(duì)組織機(jī)構(gòu)產(chǎn)生有效攻擊。144手工檢測(cè)和清除Bot實(shí)例打開cmd.exe運(yùn)行netstat an,查看當(dāng)前網(wǎng)絡(luò)鏈接開放端口145用Fport.exe查看端口與進(jìn)程的關(guān)聯(lián)信息，定位可疑進(jìn)程146分析系統(tǒng)啟動(dòng)項(xiàng)，發(fā)現(xiàn)該Bot添加注冊(cè)表鍵值，實(shí)現(xiàn)開機(jī)自啟動(dòng)147應(yīng)急響應(yīng)檢測(cè)分析階段148現(xiàn)場(chǎng)調(diào)查定制場(chǎng)景，實(shí)時(shí)關(guān)聯(lián)分析找出這種情況下所需狀態(tài)信息的最小集合，選出提取信

58、息所需的工具。1.查看網(wǎng)絡(luò)連接（netstat -an）2.查看進(jìn)程（proc.exe）2.根據(jù)PID查看開放端口(fport.exe ) 3.掃描啟動(dòng)項(xiàng)，定位可疑程序(autoruns.exe)4.通過反匯編逆向工程分析方法，尋找病毒體生成testcase文件夾：包含數(shù)據(jù)信息列表和每個(gè)數(shù)據(jù)文件的MD5 和SHA-1哈希值149事件關(guān)聯(lián)分析150事件關(guān)聯(lián)文件151收集獲取信息Msnmsgr之所以會(huì)掃描135端口，是因?yàn)樗谶B接6667時(shí)接收到了控制者的指令，指令正是通過頻道主題的方式傳送的。 Msnmsgr與IRC服務(wù)器之間的主要通信過程為：-NICK CHN|9148119rnUSER autdeoxsnv 0 0:CHN|9148119rn(設(shè)置昵稱)-JOIN #xdcc dropitrn(加入xdcc頻道，密碼為dropit)PRIVMSG #xdcc: