计算机网络防御方案仿真执行系统

摘要

计算机网络防御方案仿真执行系统包括：(1)设计并实现了一种上下文无关文法的形式化的计算机网络防御方案描述语言CNDSDL(Computer NetworkDefense Scheme Description Language)，给出该描述语言的EBNF范式，并设计了基于CNDSDL语言解释器。(2)提出了基于CNDSDL语言的方案部署方法。包括防御方案中任务的死锁检测及调度算法，保障了防御方案的正确性。(3)在GTNetS仿真平台上，实现了防御方案的仿真，包括IDS、防火墙、备份、恢复、以及I DS、漏洞库和防火墙之间的联动任务的仿真。

说明书

技术领域

本发明设计并实现了一种计算机网络防御方案仿真执行系统，属于计算机 网络安全技术领域，涉及到计算机网络防御方案的描述问题，方案的部署问题， 以及方案的仿真实现。

背景技术

由于互联网本身的多样性、开放性和计算机系统及网络设备存在的许多软 硬件漏洞，以及网络规模的增长和结构的日益复杂等原因，导致系统内各个部 分的关系复杂、多样，网络攻击手段也呈现多样性发展，人们面临着网络安全 问题带来的诸多风险，从而对计算机网络防御提出来更大的挑战。为了适应这 种保障大规模的计算机网络及应用系统安全的需求，必须研究如何在网络上自 动实现防御方案的部署来应对复杂的攻击。

安全并非一个孤立的问题，依靠任何单一的安全产品都无法保障计算机网 络和信息的安全，网络安全设备的种类千变万化，配置方法各异，传统的手工 配置网络安全防御方案日益力不从心。在网络防御方案中，安全设备进行联动 防御已成为一种常用手段。通过将各种安全设备互联，进行安全信息的互通与 整合，每个系统利用自己的优势弥补其他系统的不足，可以更加有效的实现网 络防御方案。

由于搭建物理网络易受到网络规模的限制，且具有无法精确再现数据，数 据易丢失，错误处理等原因，因此，建模与仿真的方法在研究网络攻击与防御 中得到了广泛的应用。建模与仿真研究网络安全问题的一种重要方式和手段。

通过对以上研究现状的分析，可以发现存在如下问题。

(1)目前对方案的形式化描述的研究多集中在军事领域，缺乏对面向计算 机网络防御的方案形式化描述方法的研究。即缺乏一种统一的松耦合的语言级 接口描述，从而可以表达安全设备的防御任务，以及设备之间的联动防御任务；

(2)缺乏防御方案自动执行的部署方法。能够自动化的验证防御方案中所 存在的死锁等问题，并能将其自动部署到仿真平台上实现方案的仿真；

(3)网络防御的仿真研究多用于安全评估和训练演习，对实现防御方案的 自动部署的仿真执行机制有待进一步研究，特别是实现各种防御设备联动防御 任务的联动防御方案的仿真。

发明内容

本发明的技术解决问题：克服现有技术的不足，提供一种计算机网络防御 方案仿真执行系统，能够更有效地描述防御方案，将防御方案部署到仿真平台 上以实现方案的仿真，从而大大提高了计算机网络防御的效率。

本发明的技术解决方案：计算机网络防御方案仿真执行系统，其特征在 于包括：方案解释模块、方案部署模块、方案仿真模块及其执行结果显示模 块，其中：

方案解释模块：防御方案是由防御任务和任务之间的时序逻辑关系构成。 防御任务是由任务主体、操作集、执行时间和执行结果构成。包括防护任务、 检测任务、分析任务、响应任务和恢复任务。操作是由动作、动作对象和输入 参数构成。首先设计并实现一种语法形式简单，结构清晰，具有易操作性和可 扩展性的计算机网络防御方案描述语言CNDSDL，给出该语言的EBNF范式。 然后面向计算机网络防御方案描述语言CN DSDL，设计并实现基于Flex和 Bison的防御方案解释器，对CNDSDL语句进行解析识别，从而将各种语句的 参数传递到接口函数中。解释器分别进行词法分析、语法分析和语义分析，最 终分别识别出全局变量定义语句、任务描述语句，任务关系描述语句。其具体 过程为对输入的计算机网络防御方案描述文件进行解析，解析出防御方案中的 防护、检测、分析、响应和恢复防御任务，以及任务之间的顺序与、顺序或、 并行与、并行或和异或关系。

方案部署模块：对解释出来的防御方案中的各种防御任务进行死锁检测和 任务调度。根据任务之间的关系构建任务图，采用基于图的任务死锁检测算法， 通过对图进行闭包运算，若发现任意一条有向边存在逆向边，则两个任务互相 存在时序依赖关系，表示方案会产生死锁，则拒绝方案的执行；否则将其部署 到对应的仿真节点执行。

方案仿真模块：将防御方案中的防御任务部署在仿真平台上实现仿真，并 显示拓扑中节点的信息。采用基于离散事件驱动的分布式仿真器GTNetS，对 IDS检测任务，防火墙的访问控制任务，漏洞扫描任务，备份任务，恢复任务， 系统打补丁和重启任务，I DS，漏扫和防火墙之间的联动任务进行仿真。

执行结果显示模块：防火墙任务仿真将会显示在防火墙上部署的访问控制 列表，I DS仿真任务将显示部署的检测规则；这些仿真任务最终将以命令控制 台的形式显示各个仿真节点的信息。

所述方案解释模块的具体实现过程：(1)设计并实现一种计算机网络防御 方案描述语言，给出该语言的EBN F范式，用该语言表达防御方案中的防护、 检测、分析、响应和恢复任务，以及任务之间的顺序与、顺序或、并行与、并 行或和异或关系。(2)设计了CN DSDL解释器。对输入计算机网络防御方案 描述文件进行解析，解析出防御方案中的防御任务和任务之间的关系，以及每 条任务中的主体，操作集合，执行时间，执行结果，及任务约束，操作所包含 的动作、动作对象、动作输入参数三元组。首先对CNDSDL语句进行解析识 别，包括词法分析和语法分析，分别由Flex和Bison工具完成，从而将各种语 句的参数传递到接口函数中。然后进行语义分析，根据CNDSDL中的EBNF 范式描述，分别识别全局变量定义语句、任务描述语句，任务关系描述语句。 并对不同的语句调用相应的API接口，将参数传递至仿真系统中的相关模块， 由仿真系统完成最终的方案执行。解释器通过以上流程实现了对CNDSDL源 文件的解析；

所述方案部署模块的具体实现过程：对解释后得到的各种类型的防御任务 进行任务的死锁检测，采用基于图的任务死锁检测算法。(1)首先根据任务间 的顺序或关系和顺序与关系构建任务图。(2)通过对图进行闭包运算，若发现 任意一条有向边存在逆向边，则两个任务互相存在时序依赖关系，表示方案会 产生死锁(3)否则，从任务图中调度入度为0的节点，若该节点具有顺序或 关系的所有前向任务逻辑执行结果失败，则该任务必须执行，若该节点具有顺 序与关系的所有前向任务逻辑执行结果执行成功，则该任务方能执行；

所述方案仿真模块的具体实现过程：将经过死锁检测的任务调入到仿真平 台中来实现仿真，采用基于离散事件驱动的分布式仿真器(discrete event-driven simulator)GTNetS，方便对大中型网络进行模拟；数据库中将存 储漏洞信息以及仿真过程中产生的I DS检测规则和防火墙的访问控制规则。其 具体的任务仿真包含如下三部分：(1)采用GTNetS实现一种基于网络的入侵 检测(NIDS)的仿真，并重点关注其中的特征检测。NIDS放置在比较重要的网 段内，不停地监视网段中的各种数据包，对每个数据包或可疑的数据进行特征 分析。如果数据包与规则相符合，则入侵检测系统会发出报警，或进行响应， 如向漏洞发出漏洞确认信息，或向防火墙放出阻断数据包的任务；(2)采用 GTNetS实现防火墙的访问控制仿真。安全仿真中的防火墙主要应用于数据包 过滤，而数据包过滤分为静态包过滤和根据状态对数据包的过滤。静态包过滤 防火墙，当接口收到数据包时，首先确定ACL是否被应用到了该接口。如果没 有，正常的路由该数据包。如果有，处理ACL。对于输出ACL，过程是相似的。 状态防火墙主要通过记录连接的状态信息来过滤，对于IP、TCP、UDP、ICMP 协议，一种可行的方案是在连接时要获取连接相关信息进行Hash，防火墙根据 Hash匹配判断流量是否是返回流量，从而达到过滤的效果。(3)采用GTNetS 实现其它的防御任务的仿真。实现了防护任务中的备份任务和检测任务中的漏 洞确认任务的仿真，备份是目标到其副本的映射，通过对系统中的数据和文件 进行备份，在面对攻击和威胁时，可以及时采用恢复任务进行数据的恢复，从 而保障了网络的安全性。漏洞确认任务主要是较低IDS的误检率。对IDS检测 到的攻击特征，进行漏洞扫描，并在漏洞知识库中进行查找，从而确认网络中 是否存在该种漏洞的攻击。通过方案描述语言的描述，最终实现了一种考虑 IDS，防火墙和漏洞扫描系统之间的联动仿真。

所述执行结果显示模块的具体实现过程：将防御仿真任务的仿真执行结果 以命令控制台的形式显示出来，根据方案仿真模块得到的仿真现象，点击仿真 中的拓扑节点，即可将该节点的仿真执行结果显示出来。例如点击防火墙，将 会显示部署防火墙的访问控制任务后的访问控制列表，点击IDS，将会显示部 署IDS检测任务后的检测规则。

本发明与现有的技术方法相比的有益效果在于：

(1)本发明提出了一种计算机网络防御方案描述语言。针对计算机网络防 御任务，采用一种计算机网络防御方案描述语言CNDSL，该语言能够统一描 述计算机网络防御中保护、检测、分析、响应和恢复任务，及其这些任务之间 的顺序与、顺序或、并行与、并行或和异或5种时序逻辑关系。这样可以描述 各种安全设备的防御任务，及其各种安全设备相互联动的协同防御任务。这样 大大提高了计算机网络防御的效率。

(2)本发明给出了防御方案的解释与部署方法。设计并实现了一种 CN DSDL语言的解释器，结合其EBN F范式，解析计算机网络防御方案。并设 计了一种防御方案的死锁检测算法和任务调度算法，这样可以验证防御方案， 防止所描述的防御方案中存在冲突的任务。确保了防御方案的正确性。最终将 正确的方案部署在仿真平台上。

(3)本发明给出了防御方案的仿真。实现基于分布式的GTNetS仿真平 台的I DS任务的仿真，防火墙访问控制任务的仿真，备份恢复任务的仿真，漏 洞扫描的仿真，及其IDS、漏洞库和防火墙各种防御任务的联动仿真。

附图说明

图1为本发明的CND防御方案仿真执行系统功能结构图；

图2为本发明的CN D方案的语法树图；

图3为本发明的CND任务死锁检测及调度算法流程图；

图4为本发明的Snort入侵检测系统对数据包处理流程图；

图5为本发明的输入访问控制列表(ACL)逻辑流程图；

图6为本发明的输出访问控制列表(ACL)逻辑流程图。

具体实施方式

如图1所示，本发明计算机网络防御方案仿真执行系统，输入为防御方 案，输出为防御方案执行报告，包括方案解释模块、方案部署模块、方案仿 真模块及其执行结果显示模块。

整个实现过程如下：

(1)方案解释模块

设计计算机网络防御方案描述语言CNDSDL及其解释器，对采用 CDNSDL描述的防御方案进行词法分析、语法分析和语义分析，解释生成 各种符合防御方案语法格式的防御任务。

定义1方案：方案是由任务集合及任务之间的关系集合构成的二元组。 记为：

$\left(\begin{array}{c}\mathrm{Scheme}::=(\zeta ,R);\\ \zeta ::\left\{{\mathrm{Task}}_i\right|1\le i\le n\};\\ R\subseteq \zeta \times \zeta .\end{array}\right)$

其中ζ指任务集合，R指任务与任务之间的关系集合。

定义2任务：任务是由主体，操作集合，执行时间，执行结果，及任务 约束构成的五元组，形式化表示为：

$\left(\begin{array}{c}\mathrm{Task}::=(\mathrm{sub},\mathrm{Operation},\mathrm{time},\mathrm{effect},\mathrm{Constrain});\\ \mathrm{sub}\in \mathrm{Subject};\\ \mathrm{Operation}::=\{{\mathrm{ope}}_{i}1\le i\le n\};\\ \mathrm{time}\in \mathrm{TIME};\\ \mathrm{effect}\in \mathrm{Effect};\\ \mathrm{Contrain}\subseteq \mathrm{Condition};\end{array}\right)$

其中，Subject指网络中可以执行任务的所有主体；Operation是该任务所 包含的操作；TIME指任务执行的时间；Effect指任务执行的结果，包括成功 和失败两种；Condition指任务执行时，执行主体本身需满足的约束条件。

定义3主体：主体指参与计算机网络安全防御的所有软件和硬件资源， 是保护、检测、响应和恢复主体的集合。

Subject::=Subject_protect∪Subject_detect∪Subject_respond∪Subject_recover

定义4操作：是由动作、动作对象、动作输入参数构成的三元组。记 为：

$\left(\begin{array}{c}\mathrm{ope}::=(\mathrm{action},\mathrm{object},\mathrm{inPara});\\ \mathrm{action}\in \mathrm{Action};\\ \mathrm{object}\in \mathrm{Object};\\ \mathrm{inPara}\subseteq \mathrm{InPara};\end{array}\right)$

其中，Action是动作的集合，Object是动作对象的集合，InPara是输入参 数的集合，输入参数是键值对构成，InPara::={(key,value)|key∈strig，value∈strig}

定义5任务间关系：任务间的关系指任务间的时序与逻辑关系，包括 顺序与关系，顺序或关系，并行与关系，并行或关系，异或关系。记为：

R_task::={r_{seq_and},r_{seq_or},r_{concu_and},r_{concu_or},r_xor}

下面对每种关系分别进行介绍：

r_{seq_and}：如果seq_and(task₁,task₂)，则表示先执行task₁，若task₁执行成功， 则接着执行task₂，且task₁,task₂都执行成功，表示方案执行成功。

r_{seq_or}：若果seq_or(task₁,task₂)，则表示先执行task₁，若task₁执行成功，则task₂可不必执行，如果task₁执行失败，则task₂必须执行，且方案的成功与否取决 于task₂是否能成功执行。

r_{concu_and}：如果concu_and(task₁,task₂)，表示task₁和task₂须同时执行，且task₁,task₂都执行成功，方案方能成功。

r_{concu_or}：如果concu_or(task₁,task₂)，表示task₁和task₂须同时执行，且只要一 个任务执行成功，则方案执行成功。

r_xor：如果xor(task₁,task₂)，表示task₁和task₂有且只有一个会执行，且这个 任务的成功与否直接决定方案的成功与失败。

防御方案的EBNF定义如下：

防御任务是由任务执行主体，任务包含的操作，任务执行时间，及任务 执行的约束条件构成。

<tasks>::=<task>|<tasks>；<task>

<task>::=task<num>‘{‘subject:<subject>actions:‘(‘<actions>‘)’

[time:<time>][constrains:‘{‘<constrains>’}’]

主体分为四种，分别是保护主体，检测主体，响应主体，恢复主体。

<subjcet>::=<protection_subject>|<detection_subject>|<response_su bject>|<recovery_subject>

常用的保护主体为备份服务器、防火墙和网关，网关，加密机，主机和 服务器等。

<protection_subject>=back_up_server<num>|fi rewall<num>|gateway <num>|cryptor<num>|host<num>|server<num>

检测主体包括入侵检测系统，防病毒系统，漏洞库，审计系统。

<detection_subject>::=IDS<num>|anti_virus_system<num>|vul_base <num>|audit_system<num>

响应主体包括主机和服务器。

<response_subject>::＝server<num>|host<num>

恢复主体包括备份服务器，主机，服务器等。

<recovery_subject>::=back_up_server<num>|host<num>|server <num>

每一类主体均可通过增加关键字进行扩展。

操作与主体相对应，分别为保护操作，检测操作，响应操作，恢复操作。

<actions>::=<action>|<actions>，<action>

<action>::=<protect_action>|<detect_action>|<respond_action>|<rec over_action>

操作包括动作，动作对象，输入参数构成。

<protect_action>::=<protect_act><protect_obj>[inPara:’{‘<protection _inParas>’}’]

保护动作包括备份，允许，拒绝，加密，认证等，可通过增加关键字进 行扩展。

<protect_act>::=bac k_up|permit|deny|crypt|authenticate

保护对象包括文件，数据包，ip地址等。

<protect_obj>::=<file>|<packet>|ip

数据包包括ip包，TCP包，U DP包，ICMP包。

<packet>::=<ip_packet>|<tcp_packet>|<udp_packet>|<icmp_packet>

ip包包括原IP地址，目的IP地址。

<ip_packet>::=IP<src_ip><dst_ip>

TCP包，UDP包，ICMP包包括IP地址与端口号。

<tcp_packet>::=TCP<src_ip><ports><dst_ip><ports>

<udp_packet>::=UDP<src_ip><ports><dst_ip><ports>

<icmp_packet>::=ICMP<src_ip><ports><dst_ip><ports>

I P地址包括ip和掩码。

<src_ip>::=(ip/mask)|any

<dst_ip>::=(ip/mask)|any

端口可以是一个特定端口，端口区间，或带有比较符的端口等。

<ports>=<port>|<port>:<port>|<port_operator><port>|any

保护动作的参数主要有备份优先级，备份类型，是否加密，安全传输， 接口编号等。

<protection_inPara>::=priority:<num>|type:(full|addition|offset)|crypt:( Y|N)|secure_trans:(Y|N)|interface:<num>

检测操作包括检测数据包，检查病毒，扫描漏洞，审计日志等操作。

<detection_action>::=<detect_act><detect_obj>[in_Para:’{‘<detectio n_inParas>’}’

<detect_act>::=detect|check_virus|scan|audit

<detect_obj>::=<IDS_rule>|<virus>|<vul>|<log>

<virus>::=<string>

<vul>::=cve-<cve_year>-<cve_number>

<log>::=<file>

<detection_inPara>::=(host:<num>)|(ip:<ip>)|(service:<service_name >)

<service_name>::=Web|Telnet|Rlogin|Ftp|SMTP

ids规则包括规则头和规则体两部分。

<ids_rule>::=<idsRule_head><idsRule_body>

<idsRule_head>::=<idsRule_action><packet>

<idsRule_action>::=alert|pass|log

规则体包括检测选项。

<idsRule_body>::=’(‘<options>’)’

<options>::=<option>|<options>；<option>

content一般是二进制位串或字符串，用于特征模式匹配，refenrence 是攻击利用的漏洞信息，fw参数则是当该规则触发时，需要联动的防火墙 编号或IP地址，vbase表示规则触发时，需要联动的漏洞库编号或IP地址。

<option>::=(message:<string>)|(content:<bin-str>|<string

>)|(refenrence:<vul>)|(fw:<num>|<ip>)|(vbase:<num>|<ip>)|resp:(rst_all|r st_rcv|rst_sen d|icmp_all|icmp_host|icmp_net|icmp_port)

基于以上EBNF设计了CNDSDL解释器。对CNDSDL语句进行解析 识别，从而将各种语句的参数传递到接口函数中。CNDSDL解释器中词法 分析和语法分析模块代码即分别由Flex和Bison工具生成，在语义分析中， 根据CNDSDL中的EBNF范式描述，分别识别全局变量定义语句、任务描 述语句，任务关系描述语句，并生成一颗防御方案语法树，如图2所示。

(2)方案部署模块

当一个方案可以执行，当且仅当该方案的任务没有构成死锁，即两个任 务之间不存在相互的时序依赖关系，所以判断任务死锁及选择正确的任务运 行是方案执行的关键，根据上文中的任务相关概念及任务间关系，可以分析 得到任务死锁检测及调度算法。

该算法中，首先根据任务间的seq_or关系seq_and关系构建任务图， 通过对图进行闭包运算，若发现任意一条有向边存在逆向边，则两个任务互 相存在时序依赖关系，表示方案会产生死锁；否则，从任务图中调度入度为 0的节点，若该节点具有seq_or关系的所有前向任务逻辑执行结果失败， 则该任务必须执行，若该节点具有seq_and关系的所有前向任务逻辑执行 结果执行成功，则该任务方能执行。该算法的流程图为图3所示。

(3)方案仿真模块

采用基于离散事件驱动的、支持分布式仿真的仿真器GTNetS对IDS检测 任务、防火墙的访问控制任务、备份恢复任务、IDS、漏扫和防火墙的联动任 务进行仿真。

IDS检测任务

对基于特征检测的网络的入侵检测(NIDS)进行仿真。NIDS的典型代表 是Snort。Snort是一个轻量级的入侵检测系统，具有截取网络数据报文， 进行网络数据实时分析，报警以及记录日志的能力。Snort的报文截取基于 libpcap库。Snort由数据包嗅探器、预处理器、检测引擎、报警输出等基本 模块组成。Snort对数据包的处理流程具体如下图4所示。

规则解析首先读取规则文件，紧接着依次读取每一条规则，然后对其进 行解析，并用相应的规则语法表示，在内存中对规则进行组织，建立规则语 法树。

Snort中的所有规则按照规则头排列成主链，然后根据规则选项把规则 插入到这个链中，构成一棵规则树，RTN(RuleTreeNode)节点组成规则树的 第一层，这样每一个选项节点OTN(OptTreeNode节点)就对应一条规则。

检测引擎使用模式匹配方法对网络数据包进行检测，主要是根据规则树 与数据包的信息进行匹配，以判断是否有入侵行为。

采用GTNetS仿真出检测的流程及检测的结果。IDS的仿真包括数据包 的嗅探和解码，入侵检测规则的设置和检测引擎的设置。

采用GTNetS中的PeekPDU函数得到仿真平台中解码的数据包。

借鉴Snort的实现方式，将检测规则分为两个逻辑部分：规则头和规则 选项。规则头包括规则的动作、协议、源和目标IP地址与网络源码，以及 源和目标端口信息；规则选项部分包括报警信息内容和要检查的包的具体部 分。

检测引擎部分的设置，对Snort实现的规则树进行如下修改，第一层为 ListHead，该节点包含了一类攻击对应的检测规则集。按协议进一步组织不 同的链表。第二层为RTN；第三层为标志选项结点；第四层为OTN Idx(OTN Index)和OTN，它们之间是一一对应的关系，设置OTNIdx的目的是为了根 据检索的结果动态调整OTN的次序。规则匹配时按照规则树进行递归遍历。

防火墙的访问控制任务

使用GTNetS仿真防火墙的数据包过滤过程。包括静态包过滤和基于状 态的数据包过滤。

针对静态包过滤。防火墙对于输入的数据包有如图5逻辑流程：

当接口收到数据包时，首先确定ACL是否被应用到了该接口。如果没 有，正常的路由该数据包。如果有，处理ACL。从第一条语句开始，将条件 和数据包内容作比较。如果没有匹配，将处理列表中的下一条语句。如果有 匹配，则执行操作：允许或拒绝。如果默认操作是拒绝，则如果查遍了整个 ACL也没有匹配，则丢弃数据包；如果默认操作是允许，则如果查遍整个 ACL也没有匹配，则转发数据包。

对于输出ACL，过程是相似的，如图6所示。当接收到数据包时，首 先将数据包路由到输出接口，然后检查在接口上是否有ACL输出，如果没 有，将数据包排在队列中，发送出接口。否则，数据包通过与ACL条目进 行比较被处理，如前面所述。

由于访问控制列表不能跟踪连接状态；因此，如果要在内网将流量发送 到外网，再允许流量安全返回，静态防火墙很难做到，除非设置静态规则， 而这样的静态规则同时会允许不是返回流量的数据包通过，所以会引起安全 漏洞。即一个标准的或扩展的ACL总是使用静态的条目来过滤已经配置了 的信息，而此时需要状态防火墙来实现。状态防火墙主要通过记录连接的状 态信息来过滤，对于IP、TCP、UDP、ICMP协议，一种可行的方案是在连 接时要获取连接相关信息进行Hash，防火墙根据Hash匹配判断流量是否 是返回流量，从而达到过滤的效果。

其它防御任务

实现了防护任务中的备份任务和检测任务中的漏洞确认任务的仿真，备份 是目标到其副本的映射，通过对系统中的数据和文件进行备份，在面对攻击和 威胁时，可以及时采用恢复任务进行数据的恢复，从而保障了网络的安全性。 漏洞确认任务主要是较低IDS的误检率。对IDS检测到的攻击特征，进行漏洞 扫描，并在漏洞知识库中进行查找，从而确认网络中是否存在该种漏洞的攻击。 通过方案描述语言的描述，最终实现了一种考虑IDS，防火墙和漏洞扫描系统 之间的联动仿真。

(4)执行结果显示模块

将步骤(3)中得出的防御节点的防御信息，包括IDS的检测规则信息， 防火墙的访问控制列表信息，备份恢复节点信息等以报告的形式显示给网络 安全管理人员。