网络安全事件应急处理手册.docxVIP

网络安全事件应急处理手册

第1章事件发现与初步研判

1.1安全监测与告警分析

安全监测是网络安全事件的“耳目”，必须建立基于网络流量特征（如异常端口扫描、DNS重定向）和主机行为基线（如非工作时间异常进程启动）的实时检测机制。当系统检测到偏离正常基线的异常指标时，应立即触发告警，并记录告警的时间戳、源IP、目标IP、流量大小及具体特征字符串，确保原始日志不被覆盖或丢失。告警分析需对每一条告警进行“三要素”匹配：即告警来源、告警内容、告警时间，结合上下文环境进行研判。例如，若某防火墙在凌晨3点收到来自未知IP的800个快速UDP包，且目标端口为445，这极可能是勒索病毒传播的前兆，需立即标记为高危告警，并准备关联分析。

安全分析师应利用可视化告警仪表盘（SIEM平台）对海量告警进行聚合分析，识别出“关联攻击链”中的共现事件。通过分析IP地址、哈希值、域名后缀等指纹，将分散的告警整合成有逻辑的整体，例如将多个来自同一攻击者的不同端口请求合并为一次具体的渗透尝试记录，为后续定级提供依据。在初步研判阶段，需区分“误报”与“真警”。系统必须内置置信度评分机制，对低置信度的告警进行二次验证。例如，若某防火墙检测到大量无文件请求，系统应自动降低置信度，并建议人工复核，避免将正常的业务流量误判为入侵攻击，造成不必要的恐慌或资源浪费。对于高置信度告警，