1장 보안관제와 해킹사고 분석 1.1 정의 1.2 공통점과 차이점 1.3 보안관제 절차 1.2.1 보안관제: 이벤트 탐지 1.2.2 보안관제: 초기 분석 1.2.3 보안관제: 긴급 대응 1.2.4 보안관제: 사고 전파 1.4 해킹사고 분석 절차 1.4.1 해킹사고 분석: 접수 1.4.2 해킹사고 분석: 분석 1.4.3 해킹사고 분석: 피해 복구 1.4.4 해킹사고 분석: 신고 및 보고 1.5 정리
2장 해킹의 증거 2.1 정보 보호 시스템 개요 2.2 로그 2.3 해킹사고의 분류와 그 흔적 2.4 IDS/IPS 2.4.1 침입 탐지의 방법 2.4.2 IDS의 구성 형태 2.4.3 IDS의 로그 2.5 방화벽 2.5.1 방화벽의 주요 기능 2.5.2 방화벽의 구성 형태 2.5.3 방화벽의 로그 2.6 안티 DDoS 2.6.1 안티 DDoS 시스템의 차단 기능 2.6.2 안티 DDoS 시스템의 로그 2.7 WAF 2.7.1 WAF의 종류와 기능 2.7.2 WAF의 로그 2.8 웹 접근 로그 2.8.1 접근 로그 2.8.2 에러 로그 2.9 운영체제 로그 2.9.1 유닉스 계열 로그 2.9.2 윈도우 시스템 로그 2.10 그 외의 흔적 2.10.1 ESM 로그 2.10.2 DBMS 로그 2.11 정리
3장 증거와의 소통 3.1 해킹사고의 증상과 취약점 3.1.1 위/변조 사고 3.1.2 정보 유출 사고 3.1.3 DDoS 공격 3.2 증거 추적 3.2.1 변조(삭제, 추가) 3.2.2 시스템 변조 3.2.3 접속 시 특정 프로그램 설치 유도 3.2.4 클릭 후 이상동작 3.2.5 정보 유출 신고 접수 3.2.6 서비스가 안 되거나 느리고 시스템 부하가 가중됨 3.3 증거를 보는 눈 그리고 증거를 조합한 사고의 재구성 3.3.1 피해 시스템 식별 3.3.2 피해 증상 파악 3.3.3 피해 시스템 환경 확인 3.3.4 증거 수집 3.3.5 증거 추출과 해커 식별 3.3.6 해커의 행위 추론과 보고서 작성 3.4 정리
4장 웹 해킹사고 분석 사례 4.1 홈페이지 변조를 통한 악성코드 유포 시도 4.1.1 확인과 증상 4.1.2 환경 분석과 로그 수집 4.1.3 해킹사고 분석 4.1.4 해킹사고 분석 보고서 4.2 애플리케이션 환경 설정 실수로 인한 웹셸 업로드 4.2.1 확인과 증상 4.2.2 환경 분석과 로그 수집 4.2.3 해킹사고 분석 4.2.4 해킹사고 분석 보고서 4.3 DDoS 4.3.1 확인과 증상 4.3.2 환경 분석과 로그 수집 4.3.3 해킹사고 분석 4.4 SQL 인젝션 4.4.1 확인과 증상 4.4.2 환경 분석과 로그 수집 4.4.3 해킹사고 분석 4.4.4 해킹사고 분석 보고서 4.5 정리
5장 사이버 침해 대응 모델 5.1 이론과 실제의 차이 5.1.1 보안 시스템이 모든 해킹을 탐지하고 차단할 것이다 5.1.2 모든 시스템은 이상적인 최적의 상태로 운영할 것이다 5.2 사이버 침해 대응 모델 5.2.1 현재 사이버 침해 대응 시스템 구성 5.2.2 현재 사이버 침해 대응 시스템의 한계 5.2.3 사이버 침해 대응 모델 5.3 정리