应急响应协同系统设计.pptx

应急响应协同服 务系统 • 系统架构 • 配置需求 • 事件说明 • 下一步工作 • • • CHAIRS 蜜罐 CHAIRS • 安全事件的关联、筛选、分级和响应 蜜罐系统 • Botnet主机的活动信息 • 低交互蜜罐：通用型、SSH、WEB 恶意代码监控系统 • Webshell活动，木马活动 • 全包文采集，北京60G，上海60G，广州20G • CHAIRS系统配置 CHAIRS系统 • 驻地提供一个本地地址 • 和NBOS系统在一个网段和VLAN • 通过曙光交换机第二交换模块（右侧）第 三个上联网口接入 • 该地址通过443端口对外提供访问 • 驻地节点对该地址要进行访问控制 蜜罐系统 • 蜜罐系统 • 驻地系统提供4个本地地址，建议在同 一个网段和VLAN • 接入Dell R320第二个网口 • 如果担心流量计费问题，可限制该地 址段只能访问免费地址段 CHAIRS事件 • 内部威胁 • 挂马网站 • 后门 • 外部威胁 • 攻击 • 恶意代码 CHAIRS事件 • 挂马网站 • 暗链，挂马 • Webshell • 学校内部的网站服务器已被攻陷 • Webshell /sykxcn/ch/author/Welcome.a spx CHAIRS事件 • 后门 • 木马通讯活动 • 学校内部主机和外部服务器有木马通 信行为 • 未授权服务活动 • 学校内部主机对的3389、19等端口 进行大规模或长时间的访问行为 • 该主机一般已被攻陷 未授权服务活动 木马活动 • 外部威胁 • 攻击：DDoS • 恶意代码：外部botnet活动主机，控制 服务器 • 保持关注 • 下一步工作 • 进一步提供事件的可信度 • 如何开展响应工作