取证与应急响应
网络取证
别称: NetFor, 流量取证
定义
对网络流量与元数据进行采集、记录和分析,用于调查安全事件并重建攻击者行为。
网络取证基于报文捕获(PCAP)、NetFlow/IPFIX、DNS、代理、防火墙与 IDS 日志,识别入侵路径、外传通道、C2 与横向移动。方式从 "全包捕获" 到 "在关键节点定向抓包"。常用工具:Wireshark、Zeek、Suricata、tcpdump、Arkime/Moloch 以及商用 NDR 平台。分析人员将流量与端点、SIEM 数据关联,解析 HTTP、TLS 元数据、DNS、SMB 等协议,并通过 JA3/JA4 指纹甄别异常客户端。由于流量易逝,保留策略、安全存储以及从传感器开始的证据链是 ISO/IEC 27037 下可采纳性的关键。
示例
- 利用 Zeek 的 conn.log 与 PCAP 片段重建攻击者的 HTTP C2 会话。
- 通过分析 NetFlow 中 DNS 查询长度分布发现 DNS 隧道外传。
相关术语
数字取证
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。
DFIR(数字取证与事件响应)
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
基于网络的入侵检测系统(NIDS)
通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。
Log Analysis
Log Analysis — definition coming soon.
NDR(网络检测与响应)
通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。