网络安全事件协查系统，简称安全协查系统，是根据“十五”211工程“CERNET高速地区网和重点学科信息服务体系建设项目”专题三“CERNET主干网运行安全基本保障系统”的需求而设计的。在入侵检测系统解决高速网络环境下入侵检测问题的基础上，安全协查系统以其客户端的身份出现（入侵检测系统作为服务器端），通过采用节点对等模式、提供统一的数据交换格式和交互协议，着力解决安全事件协查问题。

通过系统提供的本地分析功能和远程协查功能，一方面有助于CERNET的安全审计分析、法律部门的查询取证，另一方面将为本地或异地的后续安全分析和处理提供数据支持，以便及时响应病毒入侵、黒客攻击等安全事件，保障CERNET主干网的安全、稳定、可靠运行。目前，正在运行的主要节点已达十几个。经过约四个月的试运行，证明系统运行情况良好。

总体结构

安全协查系统运行的总体结构如图1所示。

图1 系统运行的总结构

在CERNET主干网与各省接入网的接口部署了若干个节点，每个节点由一个入侵检测系统IDS服务器和一个安全协查系统组成，IDS服务器负责检测本地高速网络环境下的网络安全事件；安全协查系统则实时接收这些事件，经过汇总、整理（相应的形式变换）后存入本地数据库，并提供可视化界面供安全管理员对所关注的单位进行安全监测和本地数据分析。为方便描述，本文将使用“对端IDS服务器”来表示与安全协查系统处于同一节点处的IDS服务器。

由于节点间采用对等模式，所以各节点的安全协查系统可根据界面上安全管理员的操作请求，利用定义好的、统一的数据交换格式和交互协议，经由CERNET主干网与其他远程节点的安全协查系统进行数据交换来协查安全事件，从而有利于对教育网范围内较大规模安全事件进行跟踪与分析。

系统功能

安全协查系统能够提供两大功能，本地分析功能和远程协查功能。

本地分析功能

安全协查系统通过与对端IDS服务器进行连接，能够实时接收并本地存储由对端IDS服务器检测到的安全事件数据；使用直观、清晰的形式,包括表格、曲线图、柱状图、饼状图等，如图2所示。系统能实现对历史安全事件进行统计、分析和查询；安全管理员可自行配置需要关注的单位（配置单位名及IP地址网段即可），能够实时查看这些单位的安全状态（如最近24小时安全状况、历史安全事件趋势图等），也能够查看各单位的详细安全事件（包括安全事件名、严重程度、源/宿IP、源/宿端口、攻击起/止时间等属性）。

远程协查功能

从各远程节点获取所需的安全事件数据，并能通过表格、曲线图、柱状图、饼状图等形式对各节点数据进行比较分析。数据的协同查询采取请求响应模式，查询时可以对源地址、宿地址、源端口、宿端口、检测时间、事件类型等安全事件属性进行约束,如图3所示。

图2 安全协查系统界面

技术特点

远程协同查询是安全协查系统的一大功能和特色，涉及各节点的数据交换格式和交互协议。远程网络安全事件的协同查询使用基于SSL的连接进行交互，采取请求响应模式，并基于简单证书进行身份认证。通过约束源地址、宿地址、源端口、宿端口、检测时间、事件类型等安全事件属性，远程节点的安全协查系统将符合查询条件的安全事件记录参照标准的IDMEF格式封装为XML文本，然后进行传输。传输至本地的协同查询结果将按照一定格式存放在临时文件中供系统界面显示。

图3 安全协查系统界面

    结束语