第2章　應急響應基礎技術

網絡攻擊手法的多樣性、攻擊鏈的復雜性，對一線網絡安全事件排查人員提出了較高的要求。排查人員不僅需要掌握常見操作系統的上機排查方法，還需要了解日志分析、流量分析甚至簡單的威脅情報分析技術。

本章首先介紹一些應急響應過程中常用的應急響應基礎技術，包括日志分析技術、流量分析技術、威脅情報分析技術、溯源分析技術。從技術層面來說，本章涉及的知識繁雜，相關知識可在實際排查工作中提供技術指導。

需要指出的是，在排查實際的網絡安全事件時，排查人員往往面臨著資源、時間等不同層面的條件限制。應急響應過程中只有結合合理的排查思路才能實現排查效果的最大化，如果事前沒有完善的應急預案，會比較考驗排查人員的現場敏銳度及排查經驗。同時，鑒于網絡攻防的對抗性與博弈性，黑客會采用各種技術干擾或者躲避排查，因此在實際排查時排查人員需要執果索因、多維排查、互相佐證、綜合推理。