2、事件分类

　　当确认已经发现攻击事件后，就应当立即对已经出现了的攻击事件做出严重程度的判断，以明确攻击事件到达了什么地步，以便决定下一步采取什么样的应对措施。例如，如果攻击事件是涉及到服务器中的一些机密数据，这肯定是非常严重的攻击事件，就应当立即断开受到攻击的服务器的网络连接，并将其隔离，以防止事态进一步的恶化及影响网络中其它重要主机。

　　对攻击事件进行分类，一直以来，都是没有一个统一的标准的，各安全厂商都有他自己的一套分类方法，因此，你也可以自行对攻击事件的严重程度进行分类。一般来说，可以通过确认攻击事件发展到了什么地步，以及造成了什么样的后果来进行分类，这样就可以将攻击事件分为以下几个类别：

　　（1）、试探性事件；

　　（2）、一般性事件；

　　（3）、控制系统事件；

　　（4）、拒绝服务事件；

　　（5）、得到机密数据事件。

　　对网络中的主机进行试探性扫描，都可以认为是试探性质的事件，这些都是攻击者为了确认网络中是否有可以被攻击的主机，而进行的最基本的工作。当攻击者确认了要攻击的目标后，他就会进一步地对攻击目标进行更加详细，更加有目的的扫描，这时，所使用的扫描方式就会更加先进和不可识别性，例如半连接式扫描及FIN方式扫描等，这种扫描完成后，就可以找到一些是否可以利用的漏洞信息，由于现在的一些整合性防火墙和IDS也能够识别这些方式的扫描，因此，如果在日志文件中找到了与此相应的记录，就表明攻击已经发展到了一般性事件的地步了。当攻击者得到可以利用的漏洞信息后，他就会利用各种手段对攻击目标进行渗透，这时，如果你没有及时发现，渗透的成功性是非常大的，网络中已经存在有太多的这类渗透工具，使用这些工具进行渗透工作是轻而易举的事，在渗透成功后，攻击者就会想法提高自己在攻击目标系统中的权限，并安装后门，以便能随心所欲地控制已经渗透了的目标，此时，就已经发展到了控制系统的地步。到这里，如果你还没有发现攻击行为，那么，你所保护的机密资料将有可能被攻击者完全得到，事态的严重性就可想而知了。攻击者在控制了攻击目标后，有时也不一定能够得到机密数据，由此而产生一些报复性行为，例如进行一些DOS或DDOS攻击等，让其他正常用户也不能够访问，或者，攻击者控制系统的目的，就是为了对其它系统进行DOS或DDOS攻击。

　　此时的你，就应该从日志文件的记录项中，迅速对攻击事件发展到了哪种地步做出明确的判断，并及时上报小组领导，以及通报给其他小组成员，以便整个小组中的所有成员能够明确此次攻击事件的严重程度，然后决定采取什么样的应对方法来进行响应，以防止事态向更加严重的程度发展，或者尽量减小损失，及时修补漏洞，恢复网络系统正常运行，并尽快收集好所有的证据，以此来找到攻击者。

　　3、攻击事件证据收集

　　为了能为析攻击产生的原因及攻击所产生的破坏，也为了能找到攻击者，并提供将他绳之以法的证据，就应该在恢复已被攻击的系统正常之前，将这些能提供证据的数据全部收集起来，妥善保存。

　　至于如何收集，这要视你所要收集的证据的多少及大小，以及收集的速度要求来定。如果只收集少量的数据，你可以通过简单的复制方法将这些数据保存到另外一些安全的存储媒介当中；如果要收集的数据数量多且体积大，而且要求在极少的时间来完成，你就可以通过一些专业的软件来进行收集。对于这些收集的数据保存到什么样的存储媒介之中，也得根据所要收集的数据要求来定的，还得看你现在所拥有的存储媒介有哪些，一般保存到光盘或磁带当中为好。

　　具体收集哪些数据，你可以将你认为能够为攻击事件提供证据的数据全部都收集起来，也可以只收集其中最重要的部分，下面是一些应该收集的数据列表：

　　（1）、操作系统事件日志；

　　（2）、操作系统审计日志；

　　（3）、网络应用程序日志；

　　（4）、防火墙日志；

　　（5）、入侵检测日志；

　　（6）、受损系统及软件镜像。

　　在进行这一步之前，如果你的首要任务是将网络或系统恢复正常，为了防止在恢复系统备份时将这些证据文件丢失，或者你只是想为这些攻击留个纪念，你应当先使用一些系统镜像软件将整个系统做一个镜像保存后，再进行恢复工作。

　　收集的数据不仅是作为指证攻击者的证据，而且，在事件响应完成后，还应将它们统计建档，并上报给相关领导及其它合作机构，例如安全软件提供商，合作伙伴，以及当地的法律机构，同时也可以作为事后分析学习之用。因此，这个事件响应操作步骤也是必不可少的，收集到的数据也应当保存完整。