文/杨望

“211”工程三期建设的CERNET主干网分布式网络安全保障系统是本期“211”建设的重要项目，在“211”工程二期建设的安全保障系统上，该系统通过在网络关键点实行网络安全监测，进一步增强对网络有害行为监测分析的能力，能够及早抑制网络有害行为的大规模发生，提高CERNET主干网的应急响应能力。该系统由四个不同的系统组成，分别是：网络服务与网络安全态势信息发布系统（Network Behavior Observation System，后文简称NBOS系统）、主干网有害行为分析系统（后文简称Antimalware系统）、分布式蜜罐系统和分布式应急响应协同工作系统（后文简称CHAIRS系统）。

NBOS系统通过观测主干节点的路由器记录对主节点网络流量行为监测，可以发现针对接入网的DDoS攻击、服务器后门和僵尸网络活动。Antimalware系统通过对流量进行DPI监控，主要进行全网僵尸网络通信活动监测和全网网站入侵监测。蜜罐系统则通过吸引攻击活动发现潜藏的僵尸网络主机和各类扫描器。对于上述三类系统产生的安全警报，全部会汇聚到对应节点的CHAIRS系统。CHAIRS系统通过事件的聚类、分级、判伪和信息增强，将每天十万数量级别的安全警报汇聚成10100（每节点）条以内的安全事件，为主节点安全事件响应提供支持，同时提供接入网网络安全态势评估。

目前该安全保障系统全部已完成了所有的系统安装工作，并在大部分安装节点完成了数据源的接入、配置和事件发布工作。其中NBOS系统和CHAIRS系统均向节点用户开放了使用接口；具体的用法将通过用户手册发布到各节点用户。为了向大家介绍这些系统的用途，通过一些例子来说明CHAIRS系统和NBOS系统的使用场景。

CHAIRS系统的使用

CHAIRS系统是用户处理安全事件的入口，登录进入首页后可以看到当前各类事件按单位和主机统计的数量。CHAIRS系统将安全事件分为两类，一类是内部威胁，以被管单位为主体来组织有问题的主机，对于内部威胁事件，一旦用户认领事件后，需要检查被报告的主机。为了进一步区分不同主机的重要性，目前将所有的网站服务器主机单独列为一个分类“挂马网站”，对有网站后门（WebShell）和暗链、木马的网站服务器进行通报。内部后门则暂时对服务器和主机不做区分，显示所有发现的僵尸网络后门主机和有攻击行为的主机。外部威胁分为攻击和外部恶意代码两类。攻击目前只包含DDoS事件，以被管单位为主体来显示正在发生的DDoS攻击，外部恶意代码则显示当前对被管网内攻击最严重的主机，并通过运营商（国内）和国家（国外）为单位来统计攻击主机的分布。

CHAIRS系统界面

图1 被攻破主机统计

以内部后门为例，来进一步说明内部威胁的处理。点击内部后门后将看到内部后门各类具体类型后门主机的统计情况，目前包括被攻破主机（有扫描攻击行为的主机）和僵尸网络后门主机。图1是其中被攻破主机的统计，有攻击行为的主机每天发现的数量可能在数以万计，CHAIRS系统通过扫描范围和活动周期发现其中稳定的活动主机，并将这批主机汇报给用户。经过一个月左右的运行，各学校和单位发现的稳定的被攻破主机数量并不是太高，同时经个例分析，大部分被CHAIRS系统报告的被攻破主机都是服务器，也是需要处理的重点对象，一般的个人主机则因为活跃时间和性能问题，一般不会产生严重的攻击行为，会被CHAIRS系统过滤，避免过多的事件影响学校安全管理员对重要服务器的事件处理。

点击单位名称后可以看到该单位所有对应类型攻击的IP地址，以及对应的恶意行为、攻击规模（扫描主机数）和活跃周期，CHAIRS系统针对不同的测度可以进行排序，从而让用户可以看到其中问题最严重的主机。

点击具体的IP地址，CHAIRS系统会进一步显示该IP对应案件的摘要信息，包括该IP地址的归属和被攻击地址的统计和归属和案件证据信息，案件证据信息对每个被扫描的地址的归属和流量信息进行了记录。用户可以根据这些信息结合可视化工具进行进一步的时间调查和分析。

对于不同类型的事件，CHAIRS系统提供了统一的摘要界面和定制的证据页面。在下一版中，还将提供更丰富的可视化工具功能，协助进行证据链的分析。

NBOS系统的使用

NBOS系统除了作为CHAIRS系统的检测数据源外，同时也是非常重要的网络调查工具。NBOS不仅提供了传统的网络服务质量监控功能，同时提供了异常检查和事件调查功能。

图2 局部流量行为

图3 端口和IP地址信息查询

NBOS的首页中提供了流量的热点信息，其中列出了机器流量或连接IP数排在当前流量中最前面的地址信息。其中往往会包含DDoS攻击者的信息，如热点监测显示江苏省网内某单位地址*.*.186.105经常会出现源地址的尖峰流量，使用UDP协议和30个以上端口。对于需要进一步调查的地址，可以利用NBOS的局部流量行为观测功能。对于用户感兴趣的地址、端口，NBOS允许用户配置地址和端口参数，并向用户显示36到48小时内该地址和端口的行为。

通过将*.*.186.105加入NBOS局部IP流量观测，可以观测到该地址交互的地址细节信息，

通过辅助对上述地址的全报文采集，分析前后的其他报文，发现两个irc控制器：85.17.29.51和198.23.244.92，均使用6667端口，控制器向*.*.186.105发出大量攻击指令，三次的指令依次是：

Dilbar！Dilbar@test PRIVMSG #DDoS :.udpflood 74.117.173.147 113 180 65000

Forged！ddos@DDoS PRIVMSG #DDoS :.udpflood 91.212.150.172 80 150 65000

Forged！ddos@DDoS PRIVMSG #DDoS :.udpflood 192.184.11.134 80 120 65000

收到攻击指令之后依次出现针对74.117.173.147、91.212.150.172、和192.184.11.134的攻击，这些攻击流量都在NBOS流量中检出。

除了对攻击行为的分析，NBOS还提供了地址和端口辅助查询的功能，可以协助进行用户地址和应用端口的使用信息查询。

NBOS系统和CHAIRS系统是“211工程”三期安全报障系统的一次尝试，希望为各个学校和学术单位的网络管理员用户提供一种新的工具来解决网络安全管理中遇到的问题，希望能通过尽可能自由定制的工具让用户能够发现检测和解决安全问题的新手段。