网络安全应急响应与处理手册（执行版）.docxVIP

网络安全应急响应与处理手册（执行版）

第1章事件发现与初步研判

1.1异常流量与行为监测

监控员需实时接入安全运营中心（SOC）的流量分析仪表盘，设定基于基线数据的动态阈值。当检测到单条TCP连接在5秒内完成三次SYN包发送且未收到SYN-ACK响应时，系统应自动标记为“潜在扫描行为”，并记录该源IP的MAC地址、端口序列及发送速率，以便后续关联分析。针对DNS查询行为，系统应启用基于主机名的模糊匹配机制，一旦发现某台内网服务器在10分钟内连续发起50次以上的DNS查询，且所有查询目标均指向非标准的公共DNS服务器IP，系统应立即告警，提示管理员检查是否存在恶意重定向或数据泄露风险。

行为监测工具需结合用户行为分析（UEBA）模型，对异常登录行为进行识别。例如，当同一用户账号在30分钟内从不同地理位置（如北京、上海）发起10次“登录成功”事件，且每次登录后的会话时长均小于1分钟时，系统应判定为“凭证窃取与暴力破解尝试”，并冻结该账号的登录凭证。网络侧流量分析应重点关注应用层协议的特征，如HTTP请求中频繁出现Base64编码的敏感文件内容（如PDF、Word文档），或SQL注入尝试中的特殊字符组合。系统需将此类特征与已知威胁情报库进行比对，对疑似恶意的数据包进行深度解码并阻断传输。对于Io