当前位置:文档之家 › 01典型网络安全事件的处置V1.1

01典型网络安全事件的处置V1.1

  • 格式:ppt
  • 大小:8.38 MB
  • 文档页数:91

下载文档原格式

  / 91

合集下载

网安网络安全事件应急预案

网安网络安全事件应急预案

一、总则1.1 编制目的为有效预防和应对网络安全事件,保障国家信息安全、社会稳定和人民群众利益,提高网络安全应急处置能力,根据《中华人民共和国网络安全法》等相关法律法规,特制定本预案。

1.2 编制依据《中华人民共和国网络安全法》、《中华人民共和国突发事件应对法》、《信息安全技术信息安全事件分类分级指南》等相关法律法规和标准。

1.3 适用范围本预案适用于我国各级政府、企事业单位、社会组织和互联网企业等在网络安全事件发生时的应急处置工作。

1.4 事件分级网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

二、组织机构与职责2.1 网络安全应急指挥部成立网络安全应急指挥部,负责网络安全事件的应急处置工作。

2.1.1 指挥部组成指挥长:由政府主要领导担任;副指挥长:由相关部门负责人担任;成员:由网络安全、通信、公安、保密、宣传等部门负责人组成。

2.1.2 指挥部职责(1)制定网络安全事件应急处置工作方案;(2)组织协调各部门开展应急处置工作;(3)向上级政府和相关部门报告网络安全事件情况;(4)对网络安全事件应急处置工作进行总结和评估。

2.2 网络安全应急工作组成立网络安全应急工作组,负责网络安全事件的现场处置、调查取证、恢复重建等工作。

2.2.1 工作组组成组长:由网络安全应急指挥部指定;副组长:由相关部门负责人担任;成员:由网络安全、通信、公安、保密、宣传等部门人员组成。

2.2.2 工作组职责(1)现场处置:对网络安全事件现场进行勘查、取证、隔离、恢复等工作;(2)调查取证:对网络安全事件进行调查,查明事件原因、影响范围等;(3)恢复重建:协助相关部门进行网络安全事件恢复和重建工作;(4)向上级政府和相关部门报告网络安全事件调查和处理情况。

三、应急处置流程3.1 信息收集与报告3.1.1 发现网络安全事件后,立即向网络安全应急指挥部报告;3.1.2 网络安全应急指挥部根据事件情况,启动应急预案;3.1.3 网络安全应急工作组对事件进行现场处置。

网络安全事件处置指南

网络安全事件处置指南

网络安全事件处置指南第1章网络安全事件概述 (3)1.1 网络安全事件的定义与分类 (3)1.2 网络安全事件的影响与危害 (4)1.3 网络安全事件的处置原则与流程 (4)第2章事件预防与准备 (5)2.1 风险评估与安全策略制定 (5)2.1.1 风险识别 (5)2.1.2 风险评估 (5)2.1.3 安全策略制定 (5)2.2 安全设备与防护系统的部署 (5)2.2.1 防火墙和入侵检测系统(IDS) (5)2.2.2 虚拟专用网络(VPN) (5)2.2.3 防病毒软件 (5)2.2.4 数据备份与恢复 (5)2.3 员工安全意识培训与演练 (5)2.3.1 安全意识培训 (6)2.3.2 安全演练 (6)第3章事件监测与预警 (6)3.1 监测手段与技术 (6)3.1.1 网络流量监测 (6)3.1.2 系统日志监测 (6)3.1.3 入侵检测与防御系统(IDS/IPS) (6)3.1.4 恶意代码监测 (6)3.2 预警机制的建立与完善 (6)3.2.1 信息收集与整合 (6)3.2.2 预警等级划分 (7)3.2.3 预警发布与传递 (7)3.2.4 预警响应与处理 (7)3.3 异常行为分析及处置 (7)3.3.1 基于行为的异常检测 (7)3.3.2 恶意行为识别 (7)3.3.3 异常行为处置 (7)3.3.4 持续改进 (7)第4章事件识别与评估 (7)4.1 事件识别与确认 (7)4.1.1 事件定义 (7)4.1.2 事件识别 (8)4.1.3 事件确认 (8)4.2 事件严重性评估 (8)4.2.1 评估原则 (8)4.2.2 评估方法 (8)4.2.3 评估指标 (9)4.3 事件影响范围分析 (9)4.3.1 影响范围识别 (9)4.3.2 影响范围评估 (9)4.3.3 风险传播分析 (9)第5章事件报告与通报 (10)5.1 事件报告的责任人与流程 (10)5.1.1 责任人 (10)5.1.2 报告流程 (10)5.2 事件通报的对象与内容 (10)5.2.1 通报对象 (10)5.2.2 通报内容 (10)5.3 事件报告与通报的注意事项 (10)第6章事件处置与应急响应 (11)6.1 应急响应组织与职责 (11)6.1.1 组织架构 (11)6.1.2 职责分配 (11)6.2 应急响应流程与措施 (11)6.2.1 事件发觉与报告 (11)6.2.2 事件评估与分类 (11)6.2.3 应急响应措施 (11)6.3 事件处置过程中的沟通与协作 (12)6.3.1 沟通机制 (12)6.3.2 协作机制 (12)第7章事件调查与分析 (12)7.1 事件调查的目标与方法 (12)7.1.1 目标 (12)7.1.2 方法 (12)7.2 事件原因分析 (13)7.2.1 硬件设备故障 (13)7.2.2 软件系统漏洞 (13)7.2.3 人为因素 (13)7.2.4 外部攻击 (13)7.3 改进措施与预防策略 (13)7.3.1 改进措施 (13)7.3.2 预防策略 (13)第8章信息保护与证据收集 (14)8.1 信息保护的原则与措施 (14)8.1.1 原则 (14)8.1.2 措施 (14)8.2 证据收集的方法与注意事项 (14)8.2.1 方法 (14)8.2.2 注意事项 (15)8.3 法律法规与合规性要求 (15)第9章事件恢复与总结 (15)9.1 系统与数据恢复 (15)9.1.1 系统恢复 (15)9.1.2 数据恢复 (16)9.2 事件处理过程中的经验教训 (16)9.2.1 技术层面 (16)9.2.2 管理层面 (16)9.3 总结报告与改进建议 (16)9.3.1 总结报告 (16)9.3.2 改进建议 (16)第10章持续改进与风险管理 (16)10.1 风险管理体系的完善 (16)10.1.1 风险识别与评估 (17)10.1.2 风险控制与应对 (17)10.1.3 风险监测与预警 (17)10.2 安全策略的优化与更新 (17)10.2.1 策略审查与更新 (17)10.2.2 策略推广与落实 (17)10.3 员工培训与技能提升 (17)10.3.1 培训计划与实施 (17)10.3.2 技能提升与认证 (18)第1章网络安全事件概述1.1 网络安全事件的定义与分类网络安全事件是指在网络系统中,由于自然或人为原因导致的,可能对网络设备、信息系统、数据资源等造成威胁、侵害和损失的事件。

网络安全法的学习之你必须知道的《网络安全法》V1.1-发布

网络安全法的学习之你必须知道的《网络安全法》V1.1-发布

(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
违法处罚-个人信用:
第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定 记入信用档案,并予以公示。
附则:
第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护,除 应当遵守本法外,还应当遵守保密法律、行政法规的规定。 第七十八条 军事网络的安全保护,由中央军事委员会另行规定。 第七十九条 本法自2017年6月1日起施行。
知法、懂法、守法
谢谢
个人的权利:
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的 约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息; 发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营 者予以更正。网络运营者应当采取措施予以删除或者更正。
对网络服务和产品研发部门:
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络 产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安 全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用 户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规 定或者当事人约定的期限内,不得终止提供安全维护。
3. 可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许 可
4. 尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元 以上五十万元以下罚款; 5. 情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚 款。 6. 受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的 工作; 7. 受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

MHWJW37-安全事件报告和处置-V1.1-网络安全等级保护(等保2.0)管理制度模板-系统运维管理

MHWJW37-安全事件报告和处置-V1.1-网络安全等级保护(等保2.0)管理制度模板-系统运维管理

文档信息制度编号: 生效日期: 分发范围:解释部门: 版次:Ver1.1 页数: 9制定人: 审核人: 批准人: 传阅阅后执行并存档保密保密等级内部公开版本记录XX单位安全事件报告和处置1总则1.1目的为了严密规范XX单位信息系统的安全事件处理程序,确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进,保障网络和系统持续安全运行,特制定本流程。

1.2范围本流程适用于XX单位范围内使用的网络、计算机系统的安全事件处理。

1.3职责信息中心安全管理员负责流程的执行和改进,安全管理员应定期审阅安全事件处理状况,监督流程的执行,并针对流程的执行情况提出相应的改进意见。

2管理细则2.1事件分级对信息安全事件的分级可参考下列三个要素:信息系统的重要程度、系统损失和社会影响。

(1)信息系统的重要程度信息系统的重要程度主要考虑信息系统所承载的业务对XX单位信息安全、经济利益的重要性,以及业务对信息系统的依赖程度,划分为特别重要信息系统、重要信息系统和一般信息系统。

(2)系统损失系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给XX单位业务所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。

(3)社会影响社会影响是指信息安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、经济利益、公众利益和企业名誉等方面的影响。

根据信息安全事件的分级参考要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。

2.1.1特别重大事件(I级)特别重大事件是指能够导致特别严重影响或破坏的信息安全事件。

特别重大事件:(1)会使特别重要信息系统遭受特别重大的系统损失,即造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的。

网络安全事件应急处置方法

网络安全事件应急处置方法

网络安全事件应急处置方法随着互联网的快速发展,网络安全问题越来越受到关注。

在当前复杂多变的网络环境下,网络安全事件时有发生,因此,针对网络安全事件的应急处置方法显得尤为重要。

本文将介绍一些常用的网络安全事件应急处置方法,以帮助网络管理员和用户有效应对各种网络安全威胁。

一、鉴定与分类首先,当发现可能存在网络安全事件时,需要快速、准确地鉴定和分类。

网络安全事件可以分为恶意程序攻击、黑客入侵、数据泄露等多种类型,每一种类型都有不同的特点和应对方法。

网络管理员需要通过分析事件的特征,确定事件的类型和危害程度,为后续的应急处置工作提供参考依据。

二、隔离与停机一旦鉴定出网络安全事件,为了避免事件的进一步扩散和危害,需要立即采取隔离措施。

这包括物理隔离和逻辑隔离两方面。

物理隔离是指通过断开被攻击设备与其他设备的连接,将受感染的设备与其他设备隔离开来,以阻止事件的进一步传播。

逻辑隔离是指通过软件手段,对受感染设备进行隔离,以保护其他设备不受攻击。

此外,如果事件的危害程度较高,还可以考虑停机处理,暂时关闭与被攻击设备相关的服务或系统,以避免进一步威胁。

三、收集证据在进行网络安全事件应急处置的过程中,收集证据是非常重要的一步。

通过收集与网络安全事件相关的日志、记录和数据,可以为分析事件原因、追踪攻击来源提供帮助。

同时,收集证据也有助于将事件上报给相关部门或机构,以便追究犯罪责任和防范未来类似事件的发生。

为了确保证据的完整性和保密性,网络管理员需要按照规定的程序和方法进行证据的收集和保管。

四、应急响应网络安全事件应急响应是指在发生网络安全事件后,为了尽快恢复网络的正常运行,采取一系列的应急措施。

应急响应需要明确责任人和工作流程,并建立起紧密合作的团队。

在应急响应中,需要对受感染设备进行安全清理,修复漏洞,更新补丁,恢复受损数据等。

在进行应急响应时,要做好事件记录,及时更新进展情况,以便后续的事后分析和总结。

五、事后分析与总结网络安全事件的应急处置并不是一次性的工作,而是一个循环的过程。

网络安全事件应急处置方案

网络安全事件应急处置方案

网络安全事件应急处置方案随着互联网的普及,网络安全问题日益突出,网络安全事件时有发生。

网络安全事件指的是针对计算机网络系统、网络信息系统的各种威胁、攻击或恶意行为,包括网络病毒、网络攻击、黑客入侵等。

针对这些网络安全事件,建立合理有效的应急处置方案显得尤为重要。

本文将介绍网络安全事件的应急处置方案,旨在提供参考和指导。

一、建立网络安全事件应急响应团队网络安全事件的应急响应团队是一个专门负责网络安全事件处置的组织,可以快速、高效地应对各种网络安全威胁。

该团队需要具备专业的技术知识和经验,能够在紧急情况下迅速反应并采取对应措施。

团队成员应包括网络安全专家、系统管理员、网络监控人员等多个角色,以形成一个完整的保障体系。

二、制定网络安全事件的预案和处置流程网络安全事件的预案是团队为应对可能发生的网络安全事件所制定的方案和策略。

预案应详细描述各种安全事件的类型、预防措施、应急处置步骤等内容,并包含有关各种角色和责任的说明。

处置流程是根据预案,在发生安全事件时按步骤进行处置的方法和程序。

处置流程应清晰明确,包括检测报告、事件确认、分类处理、修复、评估和报告等环节。

三、加强网络安全防护措施作为网络安全的第一道防线,加强网络安全防护措施是有效应对网络安全事件的关键。

首先,建立健全的网络安全策略,包括访问控制、防火墙设置、数据加密等。

其次,更新和升级安全软件和硬件设备,及时修补安全漏洞,杜绝黑客入侵的机会。

此外,加强员工的安全意识培训,加强对密码的保护和管理,定期对系统和网络进行安全检查等措施也是必不可少的。

四、实施网络监控与日志审计网络监控是及时发现和预警网络安全事件的重要手段。

通过网络监控系统,及时发现网络异常行为和威胁,对可能发生的危险进行预警,以便及时采取措施避免或减轻网络安全事件带来的损失。

同时,日志审计也是重要的安全措施,对网络活动进行日志记录和分析,及时发现异常情况和疑似攻击行为,为后续的调查和处置提供参考。

网络安全应急预案中的网络安全事件处置

网络安全应急预案中的网络安全事件处置随着互联网的快速发展,网络安全事件也日益增多,严重威胁着个人隐私、组织机构以及国家的安全。

为了有效地应对和处置网络安全事件,制定和执行网络安全应急预案成为一项重要任务。

本文将重点探讨网络安全应急预案中的网络安全事件处置,并提供相应的建议。

一、事件响应流程网络安全应急预案中的网络安全事件处置需要遵循一定的流程,以确保对事件的及时响应和高效处理。

以下是一个典型的事件响应流程:1. 检测与识别:及时发现网络安全事件是处置工作的首要任务。

通过监测系统、安全日志以及入侵检测系统,对网络进行实时监控,及早发现异常活动。

2. 评估与分类:对所检测到的事件进行评估与分类,确定事件的优先级和威胁程度。

根据事件的分类和重要性,采取相应的处置措施。

3. 部署响应措施:根据事件的特点和威胁程度,部署相应的响应措施。

这包括隔离感染的系统、停止威胁行为的传播以及修复受损的系统等。

4. 收集证据:在处置过程中,及时收集威胁来源、受影响的系统和数据等相关证据,以便后续的溯源和起诉。

5. 恢复与修复:网络安全事件处置完成后,进行系统的恢复和修复工作,以确保业务的正常运行。

同时,还需要进行安全漏洞的修补和强化,以避免类似事件再次发生。

6. 事后总结:及时总结和分析网络安全事件的处置过程,提取经验教训,以便完善网络安全应急预案和加强安全管理。

二、网络安全事件处置策略在处理网络安全事件中,采取合适的策略和措施非常关键。

以下是几个常见的网络安全事件处置策略:1. 快速响应:网络安全事件的响应时间极其重要。

当出现安全威胁时,及时采取措施,迅速隔离受损系统、暂停威胁行为的传播,以减少影响范围。

2. 多层防御:采取多层次、多方面的安全防护措施,以应对各种安全威胁。

包括网络边界防火墙、入侵检测系统、安全补丁管理等。

3. 团队合作:建立跨部门、跨机构的网络安全事件响应团队,将各方资源整合起来,以加强事件处置的协调和合作。

网络安全事件处理预案

网络安全事件处理预案第一章网络安全事件概述 (3)1.1 网络安全事件定义 (3)1.1.1 网络安全事件的内涵 (3)1.1.2 网络安全事件的外延 (3)1.1.3 按影响范围分类 (3)1.1.4 按威胁程度分类 (3)1.1.5 按事件性质分类 (4)第二章预案编制与修订 (4)1.1.6 合法性原则 (4)1.1.7 科学性原则 (4)1.1.8 系统性原则 (4)1.1.9 可操作性原则 (4)1.1.10 动态调整原则 (4)1.1.11 协同配合原则 (4)1.1.12 预案评估 (5)1.1.13 预案修订 (5)1.1.14 预案审批 (5)1.1.15 预案培训与演练 (5)1.1.16 预案实施与监督 (5)1.1.17 预案持续改进 (5)第三章组织结构与职责 (5)第四章风险评估与预防措施 (7)1.1.18 概述 (7)1.1.19 风险评估工具与技术 (8)1.1.20 概述 (8)1.1.21 预防措施内容 (8)第五章网络安全事件监测 (9)第六章网络安全事件响应 (10)1.1.22 事件发觉与报告 (10)1.1.23 初步评估 (10)1.1.24 启动应急预案 (10)1.1.25 事件调查与处置 (10)1.1.26 信息发布与沟通 (11)1.1.27 事件总结与改进 (11)1.1.28 一级响应 (11)1.1.29 二级响应 (11)1.1.30 三级响应 (11)1.1.31 四级响应 (11)第七章网络安全事件处置 (11)1.1.32 快速响应 (12)1.1 事件发觉后,应立即启动应急预案,组织相关人员进行快速响应。

(12)1.2 确定事件级别,根据事件严重程度,成立相应的应急指挥部。

(12)1.2.1 信息收集与分析 (12)2.1 收集事件相关信息,包括事件类型、影响范围、攻击手段等。

(12)2.2 分析事件原因,确定攻击源头,为后续处置提供依据。

如何处理网络安全事件(Ⅰ)

在当今社会,网络安全事件已经成为一个不容忽视的问题。

无论是个人用户还是企业组织,都可能面临来自网络的安全威胁。

面对这些威胁,我们需要采取一系列措施来保护自己的网络安全。

本文将从个人和企业两个角度进行探讨,以指导读者如何处理网络安全事件。

个人角度:对于个人用户来说,保护自己的网络安全显得尤为重要。

首先,要保证自己的设备安全,安装杀毒软件和防火墙是必不可少的。

同时,定期对电脑和手机进行系统更新,以修复已知的漏洞,避免被黑客利用。

此外,谨慎使用公共Wi-Fi,因为它们往往容易受到攻击。

在网络上谨慎行事,不轻易点击可疑链接和附件也是保护自己网络安全的重要措施。

当个人遭遇网络安全事件时,第一步是及时更改密码。

如果发现自己的账号被盗,要立即通知相关平台进行冻结。

同时,要查看自己的账户信息,确保没有其他异常活动。

如果存在被盗用的情况,要及时报警并寻求网络安全专家的帮助。

总之,保护个人网络安全的关键在于预防和及时处理。

企业角度:对于企业组织来说,网络安全更是不可忽视的重要事项。

首先,企业应该建立完善的网络安全制度和管理规范,包括对员工进行网络安全教育培训,加强对重要数据的保护。

此外,对于云存储和数据备份也需要进行严格管理,以防止数据丢失或被盗。

当企业遭遇网络安全事件时,第一时间要进行紧急处理。

首先要确定事件的性质和影响范围,然后启动应急预案,采取措施限制损失。

同时,要及时通知相关部门和管理层,形成应对网络安全事件的协调合作机制。

另外,要与网络安全专家进行沟通,尽快找出事件的原因和解决办法,以避免事件进一步扩大。

在处理网络安全事件的过程中,企业还需要与相关部门进行沟通和协助,包括网络运营商、执法部门等,以便追踪事件源头并采取相应的法律手段。

同时,企业还应该对事件进行详细的事后分析和总结,以改进网络安全防护措施,避免类似事件再次发生。

结语:网络安全事件是一个复杂而严峻的问题,需要我们每个人都保持警惕并采取有效的措施来防范。

网络安全事件的处理与处置

网络安全事件的处理与处置在当今互联网时代,网络安全已经成为一个非常重要的议题。

随着技术的发展,网络安全事件层出不穷,给个人和组织带来了严重的损失。

因此,正确的处理和处置网络安全事件变得至关重要。

本文将介绍网络安全事件的处理与处置的方法和步骤,以帮助个人和组织提高网络安全防护水平。

一、事件确认与评估当发生网络安全事件时,首先需要迅速确认事件是否属实,并评估事件的严重程度。

通过对事件的迅速响应,可以有效减少损失并保护安全。

1. 确认事件:通过网络安全监测系统、报警系统或用户举报等渠道,及时发现并确认网络安全事件的发生。

2. 评估严重程度:根据事件的类型、规模、影响范围等因素,评估网络安全事件的严重程度,制定相应的处置方案和应急预案。

二、处理与隔离一旦网络安全事件确认属实且严重性评估完成,需要迅速采取措施进行处理和隔离,以阻止进一步的攻击和损失。

1. 停止攻击:尽可能迅速停止正在进行的攻击,例如通过关闭系统、断开网络连接等方式,防止攻击者继续侵入或扩大损失。

2. 隔离受影响区域:将受到攻击或感染的系统、设备或网络隔离,防止攻击扩散到其他系统,同时保留相关证据以便后续调查分析。

三、调查与分析在处理和隔离网络安全事件后,需要进行详细的调查与分析,以确定事件的原因、攻击手段和攻击者的目的,为后续的修复和加固工作提供依据。

1. 归档定时快照:一旦发生网络安全事件,应立即进行系统、网络和应用程序的定时快照,以获取事件发生前的系统状态,为后续调查提供有效依据。

2. 收集证据:通过分析日志、网络流量和系统镜像等手段,收集关于攻击者活动的证据。

同时,协助执法机关获取并分析证据,以提供追捕和起诉攻击者的依据。

四、修复与恢复根据调查和分析结果,进行系统修复和恢复工作,以恢复受影响的系统正常运行,并采取措施加固防御系统,以预防未来类似事件的发生。

1. 系统修复:对受影响的系统进行修复和更新,包括补丁安装、漏洞修复和系统更新等,以防止类似攻击再次发生。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

六、僵尸网络的工作原理
复杂 按BotNet生命周期的不同阶段加以介绍 生命周期的不同阶段加以介绍
传播过程 感染过程 加入网络 再传播过程) (再传播过程) 接受控制
第一阶段:传播过程
攻击者通过各种传播方式使得目标主机感染 僵尸程序; 僵尸程序; 主要传播方式: 主要传播方式:
攻击漏洞 邮件携带 即时消息通讯 恶意网站脚本 伪装软件
(3) 在事件应急响应过程中追查僵尸网络
在处理安全事件时会发现一些线索, 在处理安全事件时会发现一些线索,比如大量攻击源发起的 DDoS攻击。通过对这些攻击源的取证,也可以发现僵尸网络。 攻击。 攻击 通过对这些攻击源的取证,也可以发现僵尸网络。
2.僵尸网络的分析和取证 .
对于危害严重的僵尸网络, 对于危害严重的僵尸网络,需要到监测发现的感染节点机上取 对样本进行详细分析。如果控制服务器位于国内, 证,对样本进行详细分析。如果控制服务器位于国内,需要到 服务器上取证,以发现黑客线索、僵尸网络实际规模、 服务器上取证,以发现黑客线索、僵尸网络实际规模、被利用 主机的情况、控制服务器的配置方法等。掌握这些实际情况, 主机的情况、控制服务器的配置方法等。掌握这些实际情况, 有利于推断那些没有条件取证的僵尸网络的相关情况。 有利于推断那些没有条件取证的僵尸网络的相关情况。 CNCERT/CC(国家互联网应急中心 在全国有 个分中心,分 国家互联网应急中心)在全国有 个分中心, / 国家互联网应急中心 在全国有31个分中心 中心在现场取证中发挥着重要作用。通常,需要在哪个省取证, 中心在现场取证中发挥着重要作用。通常,需要在哪个省取证, 就由哪个省分中心执行该工作。 就由哪个省分中心执行该工作。 对于取证发现黑客线索,需要酌情追踪。 对于取证发现黑客线索,需要酌情追踪。黑客来源和控制服务 器很可能位于不同的省或国家,黑客也经常是动态IP用户。此 器很可能位于不同的省或国家,黑客也经常是动态 用户。 用户 需要CNCERT/CC(国家互联网应急中心 省分中心协调当 国家互联网应急中心)省分中心协调当 时,需要 / 国家互联网应急中心 地运营商,定位该动态IP用户真实的地理位置和上网时间等信 地运营商,定位该动态 用户真实的地理位置和上网时间等信 息。 在很多情况下, 平台上监测、 在很多情况下,在863—917平台上监测、分析样本、取证三者 平台上监测 分析样本、 同步进行,以相互验证并提高效率。 同步进行,以相互验证并提高效率。 在明确了该僵尸网络的工作机理之后, 在明确了该僵尸网络的工作机理之后,CNCERT/CC(国家互 / 国家互 联网应急中心)将立即制定出控制该僵尸网络的方案 将立即制定出控制该僵尸网络的方案。 联网应急中心 将立即制定出控制该僵尸网络的方案。
利用僵尸网络的行为特征进行监测。 利用僵尸网络的行为特征进行监测。
快速加入型bot 长期连接型bot 发呆型bot DdoSVax项目
IRC僵尸网络发现方法比较
作用范围及发现 的bot类型 HoneyPot 收集信息的类型 收集信息的粒度 很细 ,但只限于bot 收发的信息 监测点上 有感染 bot收到/发出的 传播能力的 所有消息 bot
表 恶意代码的特点对比
类型 僵尸程序
(Bot) )
传播性 可控传播 无 无
可控性 高度可控 可控 无 无/弱 弱 无
窃密性 有 有 严重窃取 无/弱 弱 无
危害类型 完全控制 完全控制 信息泄露 主机和网 络资源 破坏文件
木马(Trojan
Horse) )
间谍软件
(Spyware) )
蠕虫(Worm) 主动传播 ) 病毒(Virus) 干预传播 )
知己知彼: 控制服务器信息:域名或IP、端口(port)、 连接密码(如果有); 频道信息:频道名(channel)、频道密码(如 有); 控制密码、编码规则和Host
控制者发送密码到频道中,用于标识身份,常 以.login pass的形式出现。编码规则和是否启用 host认证是bot程序实现的,不体现在网络通信 中。
第四阶段:接受控制
以IRC Bot为例 为例
攻击者或者是Botnet 的主人建立控制主机。 Bot 主机主动连接IRC 服务器,加入到某个特定频道。 控制者(黑客)主机也连接到IRC 服务器的这个频道上。 控制者(黑客)使用。 .login、! logon、! auth 诸如此类的命令认证自己, 服 务器将该信息转发给频道内所有的Bot 主机,Bot 将该 密码与硬编码在文件体内的密码比较,相同则将该用户 的nick 名称记录下来,以后可以执行该用户发送的命令。 控制者具有channel op 权限,只有他能发出命令。
五、Bot的类型
IRC Bot: 利用 利用IRC协议进行通信和控制的 协议进行通信和控制的Bot。主动连接 协议进行通信和控制的 。 IRC聊天服务器上,接收控制命令。 聊天服务器上, 聊天服务器上 接收控制命令。 AOL Bot:与IRC Bot类似,登陆到固定的AOL服务接收 : 类似,登陆到固定的 服务接收 类似 控制命令。 蠕虫就采用了AOL 控制命令。AIM-Canbot和Fizzer蠕虫就采用了 和 蠕虫就采用了 Instant Messenger实现对 实现对Bot的控制。 的控制。 实现对 的控制 P2P Bot:这类 采用peer to peer的方式相互通信,优 的方式相互通信, :这类Bot采用 采用 的方式相互通信 点是不存在单点失效,缺点是实现相对复杂。( 。(如 点是不存在单点失效,缺点是实现相对复杂。(如phatbot) ) 其他:游戏 管理Bot、搜索 其他:游戏Bot、售票 、售票Bot、聊天 、聊天Bot、IRC管理 、 管理 、 引擎Bot等良性 等良性Bot。 引擎 等良性 。
Figure 1: 2008-2009 PC Infection Count
Table 5: 2008-2009 PC Infection Count
四、僵尸网络的危害
蠕虫释放→ 蠕虫释放 分布式拒绝服务攻击( 分布式拒绝服务攻击(DDoS) ) 发送垃圾邮件 窃取秘密 盗用资源 作为跳板 进一步建立其他攻击环境 地下经济的瑞士军刀
第二阶段:感染过程
攻击程序在攻陷主机后有两种做法: 攻击程序在攻陷主机后有两种做法:
程序植入被攻陷的主机; 将Bot程序植入被攻陷的主机; 程序植入被攻陷的主机 让被攻陷的主机自己去指定的地方下载(二次注入)。 让被攻陷的主机自己去指定的地方下载(二次注入)。

Bot 程序植入被攻陷的主机,会自动脱壳。 程序植入被攻陷的主机,会自动脱壳。 在被感染主机上执行IRC 客户端程序。 客户端程序。 在被感染主机上执行 Bot 主机从指定的服务器上读取配置文件并导入恶意代码。 主机从指定的服务器上读取配置文件并导入恶意代码。 Bot 程序隐藏 程序隐藏IRC 界面, 修改 界面, 修改Windows 注册表的自启 动部分。 动部分。 Bot 程序关闭某些特定程序(bootstrap process),如防 程序关闭某些特定程序( ),如防 ), 火墙,系统自动更新。 火墙,系统自动更新。
打补丁:
手工查杀 专杀工具或升级杀毒程序
问题:如何发现 问题:如何发现BOT?
3. CNCERT/CC对僵尸网络的处置流程 / 对僵尸网络的处置流程
1.发现僵尸网络 .
(1) 863-917平台发现僵尸网络 平台发现僵尸网络
CNCERT/CC(国家互联网应急中心 通过配置专门的或通用的僵 / 国家互联网应急中心)通过配置专门的或通用的僵 国家互联网应急中心 尸网络特征事件,可以发现僵尸网络。 尸网络特征事件,可以发现僵尸网络。发现的信息包括僵尸网络 规模、感染节点和控制服务器地址、发送的命令和状态信息等。 规模、感染节点和控制服务器地址、发送的命令和状态信息等。 数据监测和分析人员将发现的较大规模和活跃的僵尸网络列入重 点关注对象,关注该僵尸网络的规模变化、 点关注对象,关注该僵尸网络的规模变化、执行的恶意攻击和控 制方式等。 制方式等。
第三阶段:加入网络
以基于IRC 协议的 协议的Bot 为例, 为例, 以基于
中有域名,先解析域名, (1)如果 )如果Bot 中有域名,先解析域名,通常采 用动态域名。 用动态域名。 主机与IRC 服务器建立 服务器建立TCP 连接。 连接。 (2)Bot 主机与 ) (3)Bot 主机与IRC 服务器发送NICK 和 ) 主机与 服务器发送 USER 命令, 命令, (4)加入预定义的频道。频道名一般硬编码在 )加入预定义的频道。 Bot 体内,为增强安全性,有的控制者为频道 体内,为增强安全性, 设定了密码。 设定了密码。
IRC协议特 征
掌握整体信息和一些 符合已知的 特定命令信息; 监测范围内 活动 (IRC)协议 如:可以发现控制者 监测条件的网 和控制服务器之间 的bot 的信息,但缺乏报 络通信内容 文内容信息 掌握整体信息; 不适合收集具体信息
监测范围内 发现 较大规模的且 不适合收集具体 Bot行为特征 严格使用IRC 信息 协议的botnet
二、僵尸网络的组成
Zombie/Bot:被植入木马的“僵尸机群”; Controller:一个或者多个控制控制服务器; Herder:控制者
三、僵尸网络发展迅速
刚开始,主要是小规模
2003年口令蠕虫建造的僵尸网络达到数万节点
2004年底至2005年1月,CNCERT/CC发现一个规 模超过十几万的僵尸网络
条件: 条件: 掌握控制者身份认证信息
②釜底抽薪——切断用户主机和控制服务器的联 系:
方法1:网络边界上阻断 方法 :网络边界上阻断C&C通信 通信
条件: 条件:掌握控制服务器的准确信息
方法2:取消域名,无法解析 方法 :取消域名,无法解析;
条件: 条件:得到授权
③攘外必先安内——清除用户终端上的Bot程序,
利用IDS监测; 监测; 利用 监测