点击单位名称后可以看到该单位所有对应类型攻击的IP 地址，以及对应的恶意行为、攻击规模（扫描主机数）和活跃周期，CHAIRS 系统针对不同的测度可以进行排序，从而让用户可以看到其中问题最严重的主机。

　　点击具体的IP 地址，CHAIRS 系统会进一步显示该IP 对应案件的摘要信息，包括该IP 地址的归属和被攻击地址的统计和归属和案件证据信息，案件证据信息对每个被扫描的地址的归属和流量信息进行了记录。用户可以根据这些信息结合可视化工具进行进一步的时间调查和分析。

　　对于不同类型的事件，CHAIRS 系统提供了统一的摘要界面和定制的证据页面。在下一版中，还将提供更丰富的可视化工具功能，协助进行证据链的分析。

　　NBOS 系统的使用

图2 局部流量行为

图3 端口和IP 地址信息查询

　　NBOS 系统除了作为CHAIRS 系统的检测数据源外，同时也是非常重要的网络调查工具。NBOS 不仅提供了传统的网络服务质量监控功能，同时提供了异常检查和事件调查功能。

　　NBOS 的首页中提供了流量的热点信息，其中列出了机器流量或连接IP 数排在当前流量中最前面的地址信息。其中往往会包含DDoS 攻击者的信息，如热点监测显示江苏省网内某单位地址*.*.186.105 经常会出现源地址的尖峰流量，使用UDP 协议和30 个以上端口。对于需要进一步调查的地址，可以利用NBOS 的局部流量行为观测功能。对于用户感兴趣的地址、端口，NBOS 允许用户配置地址和端口参数，并向用户显示36 到48 小时内该地址和端口的行为。

　　通过将*.*.186.105 加入NBOS 局部IP 流量观测，可以观测到该地址交互的地址细节信息，通过辅助对上述地址的全报文采集，分析前后的其他报文， 发现两个irc 控制器：85.17.29.51 和198.23.244.92，均使用6667 端口，控制器向*.*.186.105发出大量攻击指令，三次的指令依次是：

　　Dilbar!Dilbar@test PRIVMSG #DDoS :.udpflood 74.117.173.147 113 180 65000

　　Forged!ddos@DDoS PRIVMSG #DDoS :.udpflood 9 1.212.150.172 80 150 65000

　　Forged!ddos@DDoS PRIVMSG #DDoS :.udpflood 192.184.11.134 80 120 65000

　　收到攻击指令之后依次出现针对74.117.173.147、91.212.150.172、和192.184.11.134 的攻击，这些攻击流量都在NBOS 流量中检出。

　　除了对攻击行为的分析，NBOS 还提供了地址和端口辅助查询的功能，可以协助进行用户地址和应用端口的使用信息查询。

　　NBOS 系统和CHAIRS 系统是“211 工程”三期安全报障系统的一次尝试，希望为各个学校和学术单位的网络管理员用户提供一种新的工具来解决网络安全管理中遇到的问题，希望能通过尽可能自由定制的工具让用户能够发现检测和解决安全问题的新手段。

　　（作者单位为东南大学）