---

前言

做入侵检测时会有一些攻击告警，需要做应急响应。本文从流程规范角度来浅谈一下应急响应的步骤，介绍应急需要准备哪些知识，以及常见攻击流程示例。后面几章留坑，持续更新中…

应急响应PDCERF模型：

• P(PreParation准备)
• D(Detection检测）
• C(Containment遏制)
• E(Eradication根除）
  R(Recovery恢复)
  F(follow-up跟踪总结）

根据PDCERF模型进行优化，分为以下几个阶段。

准备阶段

此阶段预防为主，搜集威胁情报，定期漏洞扫描，内部安全宣讲等。作为应急响应人员，需要
收集日志，熟悉操作系统下的应急相关命令，熟悉应急止损工具。

应急响应-主机安全之系统及进程排查相关命令（Linux操作系统-初级篇）
应急响应-主机安全之文件相关命令（Linux操作系统）
应急响应-主机安全之网络相关命令（Linux操作系统）

检测阶段

此阶段进行入侵检测，通过安全设备（IDS、NIDS等）对攻击行为进行告警。
主机安全-开源HIDS字节跳动Elkeid安装使用

研判分析

收到告警时需要进行研判分析，判断是否为真实攻击事件。主要从主机、网络、文件三个方面来判断。
容易判断时记录结论，不易判断时询问机器负责人，避免误判。

定损止损（对应遏制、根除阶段）

定损

时间范围
需要确定攻击者攻击开始时间和结束时间。

资产范围
需要确定影响资产的范围，例如几台主机，在什么网络环境。

止损

止损手段封禁ip，踢出账号，网络隔离，重装操作系统等

攻击还原

此阶段需要找到完整的攻击路径，在测试环境复现攻击。对检测阶段也是一种反馈，协助在攻击路径中的关键点添加检测或拦截。

清理恢复

清理攻击痕迹，例如恶意进程、恶意文件。恢复是止损时的逆操作，如做了网络隔离，需要恢复。

总结复盘

总结复盘时需要包含以下信息：

• 时间范围
• 资产范围
• 攻击路径
• 攻击手法
• 止损情况
• 恢复情况
• 待办

实战讲解

进程

ssh暴力破解

应急响应-爆破漏洞应急响应流程（以SSH爆破为例）

命令混淆

派生恶意命令

命令注入

网络

文件

webshell

C2脚本

木马

参考

《网络安全应急响应技术实战指南》-奇安信安服团队
gitbook-应急响应实战笔记
github-应急响应指南
github-Windows 应急响应手册

PDCERF