网络安全应急响应与事故处理手册.docx

网络安全应急响应与事故处理手册

第1章事件发现与初步研判

1.1安全告警监控与异常流量识别

安全告警监控是事件发现的基石，需部署基于主机、网络及云平台的统一日志聚合平台，对系统登录、进程启动、文件修改及数据库操作等关键事件进行全量采集。当监测到某台服务器在10分钟内连续触发5次不同来源的SSH暴力破解尝试，且成功率从0%提升至15%时，系统应立即触发红/黄/蓝三级告警机制，阻断所有来自该IP段的新连接请求，防止攻击者利用已获取的凭证进行后续渗透。异常流量识别需结合流量特征库与实时分析引擎，对带宽突增或流量方向异常的流量包进行深度解析。例如，当检测到某个人工设