走近科学：“爱因斯坦”（EINSTEIN）计划综述

“ 爱因斯坦”计划是美国联邦政府主导的一个网络安全自动监测项目，由国土安全部（DHS）下属的美国计算机应急响应小组（US-CERT）开发，用于监测针对政府网络的入侵行为，保护政府网络系统安全。

从2009年开始，美国政府启动了全面国家网络空间安全计划（CNCI），爱因斯坦计划并入CNCI，并改名为NCPS（National Cybersecurity Protection System，国家网络空间安全保护系统），但是依然称为爱因斯坦计划。目前，NCPS已经在美国政府机构中除国防部及其相关部门之外的其余23个机构中部署运行。

一、项目概要

爱因斯坦计划分为三个阶段，如表1所示。该计划具有四种能力，包括：入侵检测、入侵防御、数据分析和信息共享。

表格 1 “爱因斯坦”项目

EINSTEIN1始于2003年，本质上是入侵监测系统，主要任务是监听、分析、共享安全信息，特点是信息采集。2008年起实施EINSTEIN2，2009年部署，该系统在原来对异常行为分析的基础上，增加了对恶意行为的分析能力，本质上依然是入侵检测系统，特点是被动响应。2010年，DHS开始计划设计与部署入侵防御系统（即EINSTEIN3）来识别和阻止网络攻击，原计划在2018年覆盖所有联邦行政机构。在2012年DHS转变为使用一种新的方法，在这种方法中互联网服务提供商（ISPs）使用商业技术为联邦政府机构提供入侵防御安全服务，这被称为EINSTEIN 3 Accelerated (E3A)，E3A是入侵防御系统。

EINSTEIN2计划配合美国政府的TIC（可信Internet接入，旨在减少和收拢联邦政府机构分散的互联网出口）计划一起实施，2008年，美国把政府网络接入口数量从8000多个减少到约2700个，计划最终减少到100个以内，由多个政府部门共享。

二、项目介绍

爱因斯坦1的技术本质是基于流量的分析技术（DFI深度流检测）来进行异常行为的检测与总体趋势分析，具体的说就是基于*Flow数据的DFI技术。这里的*Flow最典型的一种就是NetFlow，此外还有sFlow，jFlow，IPFIX等等。US-CERT通过采集各个联邦政府机构的这些Flow信息，进行分析，获悉网络态势。

爱因斯坦1通过采集Flow信息，获得的数据包括以下几个部分：

1） ASN自治域号； 2） ICMP类型/代号； 3） 流字节长度； 4） TCP/IP协议类型； 5） 传感器编号：整个系统将在参与的联邦政府机构的网络中部署Flow采集传感器； 6） 传感器状态； 7） 源IP地址（IPv4）； 8） 目的IP地址（IPv4）； 9） 源端口； 10） 目的端口； 11） TCP标志位信息； 12） 时间戳； 13） 持续时间

爱因斯坦2计划是爱因斯坦1计划的增强。主要以商业的IDS技术为基础进行了定制开发，而特征库即有商业的，也有US-CERT自己的。爱因斯坦2计划中的特征库是US-CERT精选的，做到尽可能的少。

爱因斯坦2计划的技术本质是IDS技术，它对TCP/IP通讯的数据包进行DPI（深度包检测），来发现恶意行为（攻击和入侵）。爱因斯坦2通过DPI，获得的数据包包括以下几个部分：

1） 源IP：sIP； 2） 目的IP：dIP； 3） 源端口：sPort； 4） 目的端口：dPort； 5） 协议类型：protocol，例如TCP、ICMP、UDP等； 6） 包数量：packets，通过传感器计算出来的一次连接的包数量； 7） 字节数：bytes； 8） 连接开始时间：sTime； 9） 连接持续时间：dur； 10） 连接结束时间：eTime； 11） 传感器编号； 12） 数据流方向：type，等。

爱因斯坦2计划的传感器放置于联邦机构的互联网出口处（IAP，InternetAccess Point），并且最终就是TIC计划中的那些统一互联网出口。

爱因斯坦3计划（DHS称其为下一代爱因斯坦计划），目前披露的信息甚少。作为实施爱因斯坦3计划的一个重要步骤，DHS启动了一个第三阶段演练的项目，其中就有爱因斯坦3的部分技术可行性分析与验证的工作。根据第三阶段演练项目，可以得知，爱因斯坦3计划的主要技术支撑是IPS。而该入侵防御技术是由NSA（国家安全局）主导开发出来的，代号为Tutelage（已经用于保护军方网络），主要就是他们做出来的一套识别特定攻击的特征库（Signature）。第三阶段演练项目旨在验证有关技术，确定用于爱因斯坦3的技术方案。整个演练分为四个阶段实施。

根据全面国家网络空间安全计划（CNCI）中的TIC，提出了TICAP（可信Internet连接访问提供商）的概念，即将为联邦政府提供网络接入的ISP也纳入其中，例如AT&T公司。在第三阶段演练项目中，AT&T预计将参与其中。其中有一个演练的内容就是由TICAP将政府网络的流量有选择性的镜像并重定向出来，供US-CERT对这些流量进行入侵检测与防御分析的实验。

根据3号计划，DHS希望最终能够将TIC与爱因斯坦融合起来，成为联邦政府网络基础设施的基本保障。另外，从爱因斯坦3计划开始，NSA（国家安全局）和DoD（国防部）都明确加入其中。

在爱因斯坦3计划中，将综合运用商业技术和NSA的技术对政府机构的互联网出口的进出双向的流量进行实时的全包检测（FullPacket Inspection，FPI），以及基于威胁的决策分析。特别的，借助在电信运营商处部署传感器，能够在攻击进入政府网络之前就进行分析和阻断。

爱因斯坦3计划的总体目标是识别并标记恶意网络传输（尤其是恶意邮件），以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应，也就是具备IPS的动态防御能力。

爱因斯坦3计划还增加了一个联动单位—NSA。US-CERT在获得DHS的许可后，会将必要的告警信息送给NSA进行进一步分析。

爱因斯坦3计划主要解决的问题是网络空间威胁，包括钓鱼、IP欺骗、僵尸网络、DDoS、中间人攻击以及恶意代码插入攻击等。

由于入侵防御能力是部署在签约的ISP那里，因此，在那些ISP里面部署了一个称作“Nest”的保密设施。“Nest”负责将政府机构上网的流量牵引到其中，进行检测和阻断，然后再将清洗后的流量送回互联网。

三、最新动态

到目前为止，NCPS项目已经在.gov政府网络出口部署了229台入侵检测传感器，一共部署了超过9000条入侵检测特征，其中大约2300条处于全天候激活状态。

2016年1月，美国审计署（GAO，GeneralAccounting Office）提交的一份报告《DHS Needs toEnhance Capabilities, Improve Planning, and Support Greater Adoption of ItsNational Cybersecurity Protection System》称该系统仅“部分达标”，提出了严厉的批评。从入侵检测能力看NCPS（即“爱因斯坦”计划）仅支持基于签名的检测方法，尚不支持基于异常和状态的检测方法，而且数据类型目前也有限，无法检测加密网络流量、邮件、文件传输中的攻击。从入侵防御能力看NCPS部署的入侵防御能力具备近实时的的入侵阻断功能，但无法仅针对某些协议流量进行细粒度阻断，同时，有些流量（例如WEB内容）尚无法进行检测和阻断。从信息共享能力看NCPS的信息共享能力还处于手工和无序的状态。

四、观点

美国“爱因斯坦”计划迄今已经历时13年，尽管存在非议，然后美国政府仍然支持该计划，这表现在2016年2月美国总统奥巴马发布的《网络安全国家行动计划》，“计划”中指出将要拓展“爱因斯坦”项目。

五、参考文章

1 EINSTEIN.

2 EINSTEIN 3 Accelerated.

3 National Cybersecurity Protection System(NCPS).

4 AT&T finally joins DHS Einsteincybersecurity program.

5 DHS Needs to Enhance Capabilities,Improve Planning, and Support Greater Adoption of Its National CybersecurityProtection System.

6 FACT SHEET: Cybersecurity National ActionPlan.

7重新审视美国爱因斯坦计划(2016).

8美国爱因斯坦计划技术分析.

9从爱因斯坦2到爱因斯坦3.

10 美国联邦政府如何保护互联网？

* 本文原创作者：ArkTeam/HP，本文属FreeBuf原创奖励计划，未经许可禁止转载