简介

产品定位(背景 产品及定位)

网络安全管理面临的问题(目前面临的问题 网络安全管理的现状和主流技术)

蚁警网络安全态势分析系统(技术架构 系统功能 系统运行环境 系统优势和特色)

典型应用

简介

蚁警网络安全态势分析系统（以下简称“蚁警”）是一套面向大规模网络应用环境的网络安全管理系统，为用户提供一个统一强大的网络安全管理平台。“蚁警”独具实时网络安全指数计算和态势分析的能力，通过综合管理入侵检测系统、防火墙、漏洞评估工具、流量检测系统等各类网络安全产品，将分散在不同地域的各种网络安全产品有机的整合成一体；对各种网络安全产品所检测的网络安全数据进行采集、存储、关联分析、统计分析、指数计算，挖掘出真正的威胁，降低系统的误报和虚报率；协助用户掌握全局的网络安全态势，能够实时监测网络中的安全攻击事件，调整网络安全产品的安全策略，及时应对网络安全威胁，从而实现用户网络环境的整体安全。“蚁警”包含众多功能组件，可根据具体的用户需求将这些组件进行合理搭配。

关键词：网络安全、网络安全态势、威胁、脆弱性、资产、风险、网络安全指数、指标体系、关联分析、数据集成、指数计算，态势预测。

产品定位

背景

随着信息化的日渐深入，互联网正在成为国家的关键信息基础设施，各种基于网络的应用也日益广泛，网络安全关系到国家和社会的根本利益。目前，保障国家骨干网络安全以及大型网络运营商、大型企事业单位的网络安全方面面临一些重大的技术问题：如何及时、准确、全面地掌握整体网络安全状况；如何针对网络安全的整体情况及时准确地做出威胁评估、预警和应对方案的选择；针对网络安全危机事件，如何及时有效地采取相应的危机控制措施等。为了应对网络安全的挑战，VPN、IDS、防病毒系统、身份认证、数据加密、安全审计等安全防护和管理系统得到了广泛应用。但是这些产品大部分功能分散，各自为战，形成了互相隔离的“安全孤岛”。由于相互之间缺乏协同机制，其应用效能无法充分发挥。实施大规模网络的安全管理，如果简单地将部署在网络中的大量安全产品的上报数据汇聚分析，不仅需要付出巨大的存储和计算代价，更严重的是真正的威胁信息会被海量的无用信息淹没，管理人员无法得到整个网络的总体安全态势，难以做出正确的安全决策或应急响应。网络安全管理平台面向大规模网络环境，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。网络安全管理平台通过融合、归并和关联底层多个检测设备提供的安全事件信息，从整体上动态反映网络安全情况，并对网络安全的发展趋势进行预测和预警，是实现网络安全监控的重要技术手段，因此成为网络安全各大厂商关注的焦点。研究和开发面向大规模网络的网络安全管理平台对于提高国家骨干网络以及大型网络运营商、大型企事业单位的安全应急响应能力、缓解网络攻击造成的危害，发现潜在的恶意入侵等具有十分重要的意义。

产品及定位

“蚁警”是蚁坊软件自主研发的网络安全态势分析系统，在技术上处于国际先进水平。系统面向国家骨干网络、大型网络运营商、大型企事业单位等，为网络管理者提供一个统一的网络安全管理平台，通过这个平台，网络管理者可以对他所管辖网络范围内的整个安全态势获得都有一个详细的全局视图（攻击、流量、资产、脆弱性、风险等）。通过网络安全专家对关联分析规则和网络安全指数的配置，系统能够对各类网络安全事件进行关联分析，并计算网络安全指数，通过指数直观的反应网络安全态势。通过人性化的操作，功能强大的“蚁警”可综合管理企业中 IDS、IPS、防火墙、漏洞评估工具、网关防病毒产品等各类网络安全设备。“蚁警”首先通过高度自动化的管理手段将分散在各地区的各种网络安全产品有机的结合成一个整体，并通过对各类数据进行关联分析，挖掘出真正的威胁，降低系统误报率，随后基于网络安全指标体系对网络安全态势进行评估，并采用可视化的方式对网络安全态势进行展示。“警”包含众多功能组件，可根据具体的用户需求将这些组件进行合理搭配。

网络安全管理面临的问题

目前面临的问题

网络安全管理平台的产生，能够有效地对网络安全产品进行统一的管理和配置，使得构成的网络安全系统更加安全、高效。但是，目前研发的安全管理平台还存在的一个突出问题是，不具备真正意义上的联动互操作能力和基于各种日志的综合交叉分析能力，具体如下：

1、网络安全产品的标准管理协议问题。目前国内没有制定统一的网络安全产品接口协议，各厂家也不开放自己的技术框架，这种状况从根上严重影响了各类网络安全产品的互通互联。

2、绝大多数产品没有安全事件应急处理的预案专家知识库和安全事件的预测模型库。由于缺乏较科学的定性和定量相结合的分析手段，导致无法准确评估安全事件的威胁程度，提不出切实可行的应急防范措施，无法胜任安全预警的任务和目标。

3、服务问题。安全管理平台技术比较复杂，有些问题的暴露需较长时间，用户想用好平台难度较大，这就需要厂家提供长期的安全服务，但目前看，不大现实，一是因为有许多控制技术还未过关，二是用户是否愿意每年付数额不菲的服务费。

4、部分网络安全管理平台集成的是一些公开源代码的网络安全产品，但是这样的集成就需要非常及时地对这些公开源代码的产品进行技术升级，因为那些公开的漏洞广为人知，不及时升级就会对整个平台的安全性造成极大威胁。

5、还有部分平台采用不同厂商的优秀安全产品优化组合构成自己的网络安全管理平台，其中比较典型的有国外的 CheckPoint、Nokia 、iS·One 以及国内的天融信、中科网威等公司，这种做法在集成最优秀的安全产品的同时也依然存在一些不足：1 ) 由于平台集成的并非自有产品，再加上专利版权等原因，使得集成者很难接触到集成产品的源代码等技术核心，集成商在优化集成时就会遇到更大技术困难。2 ) 由于采用不同厂商的安全产品，各种产品的协同性兼容性等易出问题。3 ) 由于牵涉到知识版权，造成生产成本较高，市场竞争力下降。

6、平台集成厂商几乎使用自己生产的较成熟的全线安全产品来搭建网络安管理平台，这当中比较典型的有国外的 CA 、NAI 以及国内的启明星辰等公司，这种做法固然能够达到较好的产品协同性，但也存在一些不足：1 ) 由于平台集成的完全是自有产品，厂商本身并非在各种安全产品的技术上都很有优势，故无法作到安全产品的强强联合。2 ) 用户对平台中安全产品的选择较少，只能选择解决方案中所推产品。

网络安全管理的现状和主流技术

目前，业界在网络安全管理方面常用的解决方案和技术主要包括以下几类：

联动互操作技术

安全事件的应急处理

网络安全态势评估技术

关联分析技术

态势预测技术

网络安全管理现状及对策

联动互操作技术

联动互操作功能是指在网络安全管理平台集成的产品之间，当某一平台部件产品根据一定的策略侦测到了某些安全事件，若该安全事件可以通过修改另一平台部件产品的安全策略或访问规则等来解决，则平台联动互操作功能可以通过平台自动修改另一平台部件产品的策略或规则，并且用户可以从界面看到这种联动互操作的发生。联动互操作功能在平台上有两种功能需求：

1、平台部件产品无关的联动互操作功能

平台部件产品无关的联动互操作功能是指当平台部件产品之间没有通信渠道时，平台将收集到的某一平台部件发生的某些安全信息数据，根据平台配置功能完成的针对该事件的策略信息，形成对另一平台部件产品的配置或配置更改，通过平台配置信息流对另一平台部件产品进行配置。

2、平台部件产品相关的联动互操作功能

平台部件产品相关的联动互操作功能是指某些平台部件产品之间原本已具有一定的联动能力，能根据某一平台部件发生的某些安全信息数据，形成对另一平台部件产品的配置或配置更改。此时，平台的联动互操作性已通过平台部件产品自行解决，平台只负责实时收集具有联动互操作能力的平台部件产品各自对该事件的事件数据，以及针对事件的配置信息等安全信息数据，并进行关联。

安全事件的应急处理

从大量的安全报警和安全日志中快速分析判断攻击事件，可以提示安全管理员提早采取措施，减少对真正安全事故响应的延迟，避免错过了安全防护的最佳时机。因此，安全管理中事件的自动整合和关联显得尤为重要。通过事件整合，安全事件可以以统一的格式集中上报，通过事件关联，安全管理系统可以发现与某种特定攻击相关的关键事件甚至可以知道其所产生的实际危害。

网络安全态势评估技术

如何准确评价网络的安全状态，这是安全界公认的一个技术难点。目前已经开展了一些有实用价值理论和应用研究，例如：建立基于 IPIB 博弈的网络安全态势评估模型；研究基于模糊理论的网络安全事件编群方法；研究基于AHP 的网络安全态势评估量化指标体系建立方法；研究基于 CLIPS模板匹配的网络安全态势推理算法；建立基于模糊时间序列模型；研究支持向量机回归的网络安全态势预测方法等等。以上研究使得安全管理平台能在一定程度上真实地展现所管理网络的现实安全态势。

关联分析技术

常用的 IDS，FireWall 等各类异常检测工具从特定的角度满足了一部分的安全需求，但远远未达到网络管理员对网络整体安全态势进行简单、直观、全面掌握的要求。一方面由于单个工具的局限，常因为不能识别正常行为而引发误报；另一方面，单个攻击行为引发多个重复告警时，给管理员做出正确判断带来困难；更重要的是，网络攻击行为日趋复杂化、分布化，一个攻击过程由多个攻击步骤构成，多个步骤又完全可能在不同的地方实施，依靠单个的事件志，太过琐碎、无法反映整个攻击行为的全貌，因而也就无法捕捉到那些有计划、有步骤的复杂攻击行为。“蚁警”保持 IDS，FireWall 异常检测工具在网络节点中的原有部署，采用一个中心节点集中接收这些节点的安全事件，并对这些信息作关联分析处理，以减少误报、避免重复报警、增加攻击检测率。它通过关联来自于不同地点、不同层次、不同类型的安全事件，从而发现真正的安全风险，达到对当前安全态势的准确、实时评估，并根据预先制定策略作出快速的响应。

态势预测技术

一个完整的网络安全态势感知过程包括对当前的网络安全态势理解和对未来的网络安全态势的预测。但是，目前提出的网络安全态势感知框架，较多属于实时或近实时的当前网络安全态势的理解，对未来的网络安全态势变化趋势并不能提供真实有效的预测，不能帮助网络管理人员对网络系统的实际安全状况做出及时、前瞻性的决策。当前，网络安全态势预测一般采用回归分析预测、时间序列预测、指数法预测以及灰色预测等方法。但是在网络安全态势预测研究中，采用何种方法来预测安全态势的未来发展有待于进一步地探讨。

网络安全管理现状及对策

综上所述，网络安全管理的现状以及“蚁警”中采取的对策如下：

1、很多用户在使用安全管理平台前已经在系统中部署了大量网络安全产品，或者在部署了安全管理平台后还可能在系统中动态加入其它安全产品，而目前的安全管理平台在这些方面的支持不足。对策：“蚁警”支持已有网络安全产品的集成，支持新的网络安全产品在系统运行过程中动态加入。

2、安全管理平台虽然进行了归并以及关联分析，依然有大量的报警事件需要响应。导致管理员依然面对海量事件无从下手，安全管理平台的作用开始被质疑。对策：“蚁警”不仅仅是安全信息的汇总，需要结合业务针对性的发现和挖掘关键事件。

3、大部分网络安全管理平台可以很好地分析和报告出安全事件，但无法对网络安全整体态势做出评估，少部分网络安全管理平台可以给出网络安全态势的评估，但无法根据用户的具体需求对网络安全态势的评估计算方法进行调整。对策：“蚁警”支持网络安全态势多维实时计算以及可视化展示功能，支持用户根据需求动态配置调整网络安全态势计算方法。

蚁警网络安全态势分析系统

“蚁警”是蚁坊软件自主研发的面向大规模网络的安全管理系统。系统通过集成各类网络安全产品，如入侵检测、防火墙、异常检测、流量工具、漏洞管理、设备管理等，采集网络安全产品的日志记录等，按照网络安全事件标准对数据进行统一处理。对采集的数据进行 OLAP 在线联机分析，获取网络安全实时态势，并对各类设备数据进行多维度层次化关联分析，减少误报和虚报。引入专家知识，进行网络安全指数计算，用指数来反映网络安全态势，最后采用可视化的方式对网络安全态势进行展示。将企业的网络安全投资回报率发挥到最大，并将企业的网络安全总成本降到最低。

技术架构

“蚁警”系统的核心技术包括多源异构网络安全数据的集成、多维交叉关联分析和多维指标体系的态势分析和展示。

?海量网络安全事件异构集成与管理技术有效的将被动收集和主动询问技术相结合，从多个维度收集不同的网络安全事件，为后续的关联分析提供了详实可靠的数据基础。多维交叉关联分析核心技术通过有效的综合分析事件、漏洞等之间关系，深层次的挖掘网络安全风险，有效的降低了系统的漏报率和误报率。多维网络安全指标核心技术从基础维、脆弱维和威胁维三个维度，全面的评估网络面临着的安全状况，对使用者理解网络安全态势提供一个良好的支撑。

系统功能

“蚁警”系统的功能模块主要包括前端数据集成模块、关联分析模块、事件统计分析模块、指数基数计算模块、系统展示模块和系统配置模块。各个模块具体的功能如下：

前端集成模块

前端数据集成模块采用了海量网络安全事件异构集成与管理技术，其主要实现功能如下:

1、可集成现有的网络安全工具对网络的安全性进行实时检测，这些网络安全工具可以作为系统的插件动态进行扩展。

2、 可以对各安全工具的运行状态进行检测和管理。比如启动、关闭一个插件等操作。

3、 实现了一种基于日志的被动数据收集器，各节点通过实时的检测各自网络安全设备产生的日志信息来收集网络安全事件，把收集的安全事件按照预先定义的技术封装成一个对象，发送到一个中心数据库服务器进行存储和预处理，为后续的安全事件关联分析以及各种态势的计算提供完整的基础数据。

4、 实现了一种基于主动查询收集信息的探测器，核心服务器调用远程的安全工具对远程网络进行主动扫描，并把结果返回给服务器。主动查询技术主要用来收集网络的固有数据，如基础流量信息，网络拓扑信息，漏洞信息等。

5、 和服务器实现可靠的通信。

关联分析模块

网络安全事件的关联分析技术旨在对不同地点，不同时间，不同层次的网络安全告警进行多维度的关联分析，从而挖掘出真实安全事件，识别真实的安全风险。目前，本系统关联分析的事件源包括：NIDS（snort）、HIDS（snare），统计分组异常检测引擎（Spade），漏洞扫描工具（Nessus），网络流量监测工具（Ntop），主动探测工具（Arpwatch、P0f、Pads），网络扫描器（Nmap），开源漏洞库（OSVDB）。

关联分析模块主要的功能包括：

1、 数据预处理。有三类处理：

a) 合并。合并技术用于处理重复事件，在检测端完成，便于减轻引擎处理性能上的压力。

b) 分级。分级用于划分事件级别，便于提高告警分析的针对性。

c) 归一化。事件来自异构的安全设备，格式互不相同，在提交给引擎作集中分析前，需要进行格式化。可供参考的描述标准有IODEF，IDMEF 等。

2、 读取配置策略。本地策略，包括定义资产重要度、特定类型事件的处理方式（必须进行的

关联类型）、事件处理方式（重定向到其他服务器或者本地存储）。

3、 事件与漏洞关联。前提是已经利用漏洞扫描工具（Nessus）对管理网络内的主机进行了漏洞扫描，操作系统发现工具P0f）对主机的操作系统进行了识别，网络监测工具（pads）对主机的端口进行了监控。

4、 事件与资产关联。

事件统计分析模块

事件的统计分析主要是按照不同用户的要求实现对现有的数据的统计，比如按照事件的 IP 地址分布情况进行统计、按照事件的类型进行统计分析等。事件的统计分析主要为后续的指数计算模块和系统展示模块提供数据支撑。为此我们将事件的统计分析按照不同类别分为以下几个类别：

A、事件维度统计分析

事件维度的统计分析主要是按照事件原始数据包做统计分析，事件维度的统计分析不但为指数计算模块的网络威胁指数提供数据支撑，而且对后续网络安全事件的展示模块提供基础数据，因此事件维度的统计分析需要统计分析以下的内容：

1、 安全事件聚集统计，按照源地址、源端口、目的地址、目的端口进行统计分析。

2、 实现基于网络安全事件类型的统计分析，统计出各类网络安全事件在指定时间范围内的数量规模。

3、 实现对僵尸网络的特征统计，包括僵尸网络目的省份分布统计、僵尸网络目的端口统计、僵尸网络源境外国家分布统计、僵尸网络源境内外分布统计、僵尸网络源境内省市分布统计、僵尸网络类型统计。

4、 实现对拒绝服务攻击事件特征的统计，包括事件资产重要性统计、攻击规模统计。

5、 实现对木马类事件特征统计，包括木马事件源境内省市分布统计、木马事件严重程度统计、木马事件源境外国家分布统计、木马事件源境内外分布统计、木马事件源境内省市分布统计、木马数量 top-k、木马攻击重要资产 top-k。

6、 实现对蠕虫事件的统计分析，包括蠕虫事件资产重要性统计、蠕虫事件省市分布统计、蠕虫事件类型统计、蠕虫数量top-k、蠕虫攻击重要资产 top-k、威胁事件 top-k。

7、 实现对僵尸网络以及其他类型安全事件的统计分析。

B、集成运行数据统计

基础运行数据统计为指数计算模块和系统展示模块关于展示网络的基础运行情况进行数据支撑，需要统计的数据包括以下几个方面：

1、 流量数据统计分析。

2、 服务信息数据统计分析。

3、 网络拓扑结构的分析。

C、脆弱性统计

脆弱性的统计主要为脆弱性指数的计算提供数据支撑，因此脆弱性统计需要统计扫描到的漏洞的名称，出现的总和以及漏洞的优先级和风险级别。

指数计算模块

指数的设计重要是为了体现网络当前的安全态势，具体包含基础指数、脆弱性指数、威胁性指数和风险指数四个方面，下面就对每一个部分的功能做一个详细的描述。

1、基础指数

基础指数主要用来展示网络基础运行安全状况的，可以查看特定地区的实时基础指数、历史基础指数。指数的展示通过二维坐标来展示，其中横轴表示时间，纵轴表示指数的大小，指数值越大表示该地区对应时刻的基础网络运行安全状况就越差，具体来说：

0~2 表示当前基础网络运行正常，用户对网络安全问题没有显著感知。

2~4 表示当前基础网络运行受到轻微影响，少量用户对网络安全问题有显著感知。

4~6 表示当前基础网络运行受到一定影响，一些用户对网络安全问题有显著感知。

6~8 表示当前基础网络运行因局部网络瘫痪受到较大影响，大量用户对网络安全问题有显著感知。

8~10 表示当前基础网络运行因大面积网络瘫痪受到严重影响，用户普遍对网络安全问题有显著感知。

2、脆弱性指数

脆弱性指数主要用来展示网络存在的潜在风险状况的，可以查看特定地区的实时脆弱性指数、历史脆弱性指数。指数的展示通过二维坐标来展示，其中横轴表示时间，纵轴表示指数的大小，指数值越大表示该地区对应时刻的网络存在的潜在风险最大，具体来说：

0~2 表示当前网络安全状况优，几乎不存在可以引起网络攻击行为的漏洞和脆弱性。

2~4 表示当前网络安全状况良好，网络中存在着比较较少的漏洞，这些漏洞的存在会对网络的正常运行和网络用户数据造成轻微的影响，而且这些网络漏洞弥补的代价很小。

4~6 表示当前网络安全状况中等，网络中存在着比较多的漏洞，利用这些漏洞会对单个用户信息的机密性等属性造成危害。

6~8 表示当前网络安全状况较差，网络的核心设备存在这较为严重的漏洞，利用这个漏洞可以很容易对网络设施攻击，造成绝大多数用户正常的访问受到限制。

8~10 表示当前网络安全状况危，网络的核心设备存在这特别严重的漏洞，利用这个漏洞很容易对整个网络的可用性、完整性和机密性等属性造成重大威胁，严重的威胁到了网络服务的可用性。

3、威胁性指数

威胁性指数主要用来展示网络面临的网络攻击状况，为了满足不同用户对网络威胁的感知需求，网络威胁指数从三个维度进行展示，机密性指数 C 用蓝色的曲线展示、完整性指数 I 用红色曲线展示，可用性指数 A 用绿色曲线展示。可以查看特定地区的实时威胁指数、历史威胁指数。指数的展示通过二维坐标来展示，其中横轴表示时间，纵轴表示指数的大小，指数值越大表示该地区对应时刻的遭受的网络攻击越严重，网络安全状况越差，具体来说：

0~2 表示当前安全状态优。网络服务运行正常，所有用户都可以正常使用；网络完整性良好，无任何非授权修改数据事件。用户对网络安全问题没有显著感知。

2~4 表示当前网络安全状态良好。系统的可用性受到轻微的影响，使得小范围内的网络服务偶尔不可用，影响了少量客户的正常使用；系统的完整性受到轻微的影响，只发现少量数据被非法篡改，影响了极少量的用户的正常使用；系统的机密性受到轻微的影响，存在少量的非授权访问等威胁事件，影响了极少量用户的正常使用。少量用户对网络安全问题有显著感知。

4~6 表示当前网络安全状态中等。网络的可用性受到一定程度的影响，使得网络服务在一定的范围内不可用，但是不影响大部分用户的正常使用；系统的完整性受到一定的破坏，使得一定范围内的数据被非授权修改，影响了一定范围内用户的正常使用；系统的机密性受到一定程度的破坏，使得一定范围内的用户的私有信息受到非授权访问，影响到了用户的正常使用。一些用户对网络安全问题有显著感知。

6~8 表示当前网络安全状态差。网络的可用性受到较大程度的威胁，使得网络服务大范围不可用，影响了大部分用户的正常使用；系统的完整性受到了较大的破坏，大部分数据被非法修改，严重的影响了绝大部分用户的正常使用；系统的机密性受到较大程度的威胁，使得大部分用户的私有数据受到严重威胁，破坏了绝大部分用户正常使用。大量用户对网络安全问题有显著感知。

8~10 表示当前网络安全状态危。网络的可用性受到很严重的威胁，使得网络服务完全不可用，影响了所有用户的正常使用；网络的完整性受到严重的威胁，使得所有数据均被非授权的修改，影响了所有用户的正常使用；系统的机密性受到严重的威胁，使得所有用户私有信息受到严重的威胁，破坏了所有用户的正常使用。用户普遍对网络安全问题有显著感知。

4、风险指数

风险指数综合评估了系统威胁、漏洞和资产之间的关联关系，给出了网络当前遭受的风险情况：

0~2 表示当前网络安全状况优，网络安全状况优秀，网络几乎没有遭受任何攻击，网络攻击对用户正常使用网络产生的影响可忽略不计，通过简单的措施就可以弥补这些影响造成的损失。2~4 表示当前网络安全状况良好，网络安全状况良好，网络存在着很少的网络攻击，网络攻击对用户正常使用网络产生的影响比较小，通过较少的代价就可以弥补这些影响造成的损失。

4~6 表示当前网络安全状况中等，网络安全状况中等，网络上存在着较多的网络攻击，网络攻击对用户正常使用网络产生的影响较大，通过较大的代价才可以弥补这些影响造成的损失。

6~8 网络安全状况差，网络上存在着很多的网络攻击，网络攻击对用户正常使用网络产生的影响很严重，通过很大的代价才可以弥补这些影响造成的损失。

8~10 表示当前网络安全状况危，网络上存在着特别多的网络攻击，网络攻击对用户正常使用网络产生的影响特别大，通过特别大的代价才可以弥补这些影响造成的损失。

系统展示模块

系统展示模块主要用来展示网络安全状况，其中包括有仪表盘展示、地图展示、图表展示几种方式。界面右上角有综合指数的级别指示标尺及其它三个维度的指数级别指示灯，指数级别共分为五个等级：优、良、中、差、危，分别由绿、蓝、黄、橙、红五种颜色对应。综合指数指示标尺指针可以在各个颜色块之间滑动，可以直观地看出当前网络的综合状况，基础指数、脆弱指数及威胁指数三个指示灯则对应于网络三个基本维度，根据指示灯的颜色即可知道相应维度的安全状况。

区域安全态势分析

将网络安全事件发生地映射到地图上，并根据各个地域的网络安全指数所处的等级在地图上用不同的颜色表示出来，用户能够非常直观地了解到各地的网络安全状况。右上角提供四个按钮供用户在不同维度之间切换进行察看。当鼠标滑动到某个省（自治区、直辖市）时，能显示出当前地域的网络安全四个维度的指数值。在地图右侧以表格的形式展示了安全指数取值最大的 10 个地区，并且提供实时及历史状况的展示。点击各个省（自治区、直辖市）地图，能够查看所选择地域的行政区域图，详细显示当前地域内市（区）的网络安全状况。

网络安全态势综合分析

“蚁警”主界面是四个仪表盘，展示指标体系计算出的不同维度的网络安全指数，主要包括：综合指数，基础指数，脆弱指数，威胁指数。根据仪表盘的指示，用户能够非常直观地了解到当前的网络状况。仪表盘下方列出了重要的威胁信息，包括威胁类型，威胁名称，风险值，发生次数、原因以及最后的统计时间，用户根据这些信息可以确定网络中最严重的威胁是什么，从而有针对性地采取措施。

网络安全态势统计分析

网络安全态势统计分析，可以对网络安全态势进行实时和历史分析，并用多种图表对四个维度的指数进行展示。以曲线、饼图、柱状图来表示网络安全态势，让用户能够直观地了解网络安全状况。

系统配置模块

系统配置模块主要用来向用户提供友好的配置界面，主要包括探针配置、网络和主机配置、服务器配置、用户配置以及指数配置。

1、探针配置主要包括流量配置和脆弱性扫描配置。

2、网络和主机配置向用户提供网络中主要资产的配置界面，包括主机、子网、主机组、子网组以及端口及端口组的配置。

3、服务器配置供管理员配置服务器的一些设置，分为框架配置（主要是对系统展示框架获取数据的一些参数值的配置）、前端 plugin 配置（包括前端插件分组配置、默认值配置）以及服务端配置。

4、用户配置是管理员对系统用户进行管理的配置界面，分为用户管理、用户组管理和权限定义三个配置页面。

5、指数配置支持用户根据应用实际需求对网络安全指标体系进行配置，配置完成后可以根据新的网络安全指标体系进行网络安全态势计算与展示。

系统运行环境

“蚁警”的相关适配指标如下：

指标　参数

设备要求　可安装于各类兼容机

安全设备支持　各种主流商用以及开源的入侵检测，异常检测，漏洞扫描，流量工具
，设备管理，防火墙，系统日志等网络安全设备

应用平台　Windows、HPUnix、Linux、AIX、Solanis、SCO Unix、VMWare、Xen
、Hyper-V

网络环境　数据库，标准网络协议支持

运行平台　Windows2000 Server 、Windows 2003 Server、Windows 2008 Server

系统优势和特色

1、标准化、易扩展的数据集成

“蚁警”采用分布式的异构数据集成技术，要对大规模的网络实施安全检测，就需要在一些核心节点部署网络安全产品用于探测和收集网络安全事件，然后需要对这些收集到事件进行统一的处理，以提高这个安全态势的准确性，降低漏报率和误报率。为了实现网络事件监控数据的集成我们提出了一种基于日志的被动数据技术，各个核心节点通过实时的检测各自网络安全设备产生的日志信息来收集网络安全事件，把收集的安全事件按照预先定义的技术封装成一个对象，发送到一个中心数据库服务器进行存储和预处理，为后续的安全事件关联分析以及各种态势的计算提供完整的基础数据。

2、层次化的关联分析

为了降低误报率，我们提出了基于可靠度的逐级关联思想。为事件指定可靠度属性来度量事件发生的可信度，每次关联分析都会改变该事件的可靠度。将事件与脆弱性数据、资产数据及其他事件等多个维度进行逐级分析，动态计算可靠度。最后通过计算风险指数得到安全事件的风险值，根据风险值将其中的高威胁事件告警。脆弱性数据包括安全漏洞及漏洞与安全事件之间的关系。资产数据主要是主机的运行环境数据。关联规则数据存储的是关联规则的树形表示。

3、基于模型的指数计算

网络安全指标体系是对网络整体安全态势的量化和评估，其必须客观的反应出当前网络整体运行态势，为此我们设计了多维度，可理解的网络安全指标体系。“蚁警”把网络安全指标体系分为三个主要维度，一是面向网络的基础运行，主要用来评价网络拓扑结构，网络安全设备，主机资产以及网络流量等的安全性；二是面向脆响性的指标，主要是对特定网络存在的漏洞危害性加以评估，用于量化特定网络潜在的风险大小；三是面向威胁的指标，针对威胁考虑到不同的用户对威胁的理解不同，我们设计了基于 CIA 三个维度的威胁评估指标体系，从而更加客观全面的对网络遭受的网络攻击加以量化评估，给出当前网络遭受的网络攻击的严重程度。本系统的网络安全指标体系全面综合考虑了网络的各个要素，并对各个要素的特征进行详细的描述，提出了基于事件特征的网络指标计算模型，通过对各安全事件的特征的量化来计算各个要素的安全指标，通过对模型参数的调整，可以很好的反应出当前网络的安全态势。

4、基于数据流和 OLAP 的实时统计

现有实时网络安全数据分析系统主要有：流数据（流量、威胁事件流）的实时统计、实时展示及预警。实时数据分析视角单一：⑴维度单一：缺乏多个维度组合的综合分析，如源地址、目的地址、攻击类型三个维度的组合缺乏；⑵层次单一：缺乏由粗略到详细的数据层次间的上钻下钻，如源地址由国家->省->市的层次变换。数据仓库系统的 OLAP 技术解决了多维度、多层次数据分析需求。但是 OLAP 技术只适合于历史（off-line）数据进行联机分析，不能对实时的网络流数据提供分析支持，无法满足网络安全数据分析的实时性需求。因此，在网络安全数据分析环境下，需要一种多维度、多层次的实时数据分析系统。我们称多维度、多层次的实时数据分析为Stream OLAP 技术，并提出一种 Stream Cube 的数据存储结构。StreamOLAP 技术主要为 Stream Cube 的构建、生成及查询以及相关优化技术。由于网络探测点获取的信息往往是网络攻击或入侵行为中的一个动作，仅凭借孤立的信息很难对复杂网络攻击或威胁行为进行全面、准确的检测，因此本课题在实现中对不同来源数据进行多维度、多层次的综合分析，以发现数据中蕴含的安全事件和威胁。

5、易于维护的图形化管理，方便的 WEB 监控管理

“蚁警”系统采用了图形 WEB 化管理方式，只需一个鼠标，就可以管理网络内部署的全部网络安全设备，处理效率之高超乎想象。过去代价高昂，管理复杂的网络安全设备维护成本不仅大为下降，而且应急效率也大为提高。同时中心平台的管理也大为简化，可以在任意地点进行，进一步的提高了管理效率，降低了管理成本。

6、扩展成本低

“蚁警”系统采用的开放的体系结构，可扩展性很强，各类网络安全设备的接入，各类应用的添加都不需要对现有结构做大的变动，一次投入获得长远回报，保护用户的既有投资。

7、基于时序的态势预测

“蚁警”系统针对网络安全事件的特点，提出了一种新的预测思路。首先通过对时序数据的分段和对时序子序列特征的离散事件化将时间序列转换为事件序列，再引入事件序列处理领域中频繁情节的相关概念和方法提取预测所需的知识，进而利用这些知识对时序数据未来的发展进行预测。具体预测过程可分为知识提取和预测两个阶段,在提取预测所需知识的阶段,将时序数据按一定的时间间隔进行分段处理,从每一个时序子段中均提取出和预测相关的某个数据据特征,并将该特征离散化为特征事件,所有时序子段的特征事件形成了这个时序数据的特征事件序列,再使用事件序列处

理领域中频繁情节挖掘的相关方法提取出频繁情节作为预测阶段所使用的知识;在预测阶段,使用提取出的频繁情节前缀事件匹配近期时序数据形成的特征事件序列,继而利用选定的频繁情节后缀事件预测未来时序子段上的特征事件,最后再根据所预测的特征事件计算出未来时间序列各点的量值从而完成预测工作。在实际的系统运行中证明了该方法较之传统的时序数据预测方法在一定的情况下有更好的预测准确性。

典型应用

在北京 2008 年奥运会与残奥会的网络安全保障过程中，经过奥组委网络安全保障专家确认之后，“蚁警”网络安全态势分析系统于4 月29 日起开始对奥运信息网络互联网出入口的镜像数据进行监测。在奥运会与残奥会期间，针对奥运会网络的外围接入端进行网络安全的安全保障，取得了成功的应用，在“奥运网”的安全保障中发挥了重要作用。