走近科学:“爱因斯坦”(EINSTEIN)计划综述

“ 爱因斯坦”计划是美国联邦政府主导的一个网络安全自动监测项目,由国土安全部(DHS)下属的美国计算机应急响应小组(US-CERT)开发,用于监测针对政府网络的入侵行为,保护政府网络系统安全。

从2009年开始,美国政府启动了全面国家网络空间安全计划(CNCI),爱因斯坦计划并入CNCI,并改名为NCPS(National Cybersecurity Protection System,国家网络空间安全保护系统),但是依然称为爱因斯坦计划。目前,NCPS已经在美国政府机构中除国防部及其相关部门之外的其余23个机构中部署运行。

一、项目概要

爱因斯坦计划分为三个阶段,如表1所示。该计划具有四种能力,包括:入侵检测、入侵防御、数据分析和信息共享。

表格 1 “爱因斯坦”项目

EINSTEIN1始于2003年,本质上是入侵监测系统,主要任务是监听、分析、共享安全信息,特点是信息采集。2008年起实施EINSTEIN2,2009年部署,该系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,本质上依然是入侵检测系统,特点是被动响应。2010年,DHS开始计划设计与部署入侵防御系统(即EINSTEIN3)来识别和阻止网络攻击,原计划在2018年覆盖所有联邦行政机构。在2012年DHS转变为使用一种新的方法,在这种方法中互联网服务提供商(ISPs)使用商业技术为联邦政府机构提供入侵防御安全服务,这被称为EINSTEIN 3 Accelerated (E3A),E3A是入侵防御系统。

EINSTEIN2计划配合美国政府的TIC(可信Internet接入,旨在减少和收拢联邦政府机构分散的互联网出口)计划一起实施,2008年,美国把政府网络接入口数量从8000多个减少到约2700个,计划最终减少到100个以内,由多个政府部门共享。

二、项目介绍

爱因斯坦1的技术本质是基于流量的分析技术(DFI深度流检测)来进行异常行为的检测与总体趋势分析,具体的说就是基于*Flow数据的DFI技术。这里的*Flow最典型的一种就是NetFlow,此外还有sFlow,jFlow,IPFIX等等。US-CERT通过采集各个联邦政府机构的这些Flow信息,进行分析,获悉网络态势。

爱因斯坦1通过采集Flow信息,获得的数据包括以下几个部分:

1) ASN自治域号; 2) ICMP类型/代号; 3) 流字节长度; 4) TCP/IP协议类型; 5) 传感器编号:整个系统将在参与的联邦政府机构的网络中部署Flow采集传感器; 6) 传感器状态; 7) 源IP地址(IPv4); 8) 目的IP地址(IPv4); 9) 源端口; 10) 目的端口; 11) TCP标志位信息; 12) 时间戳; 13) 持续时间

爱因斯坦2计划是爱因斯坦1计划的增强。主要以商业的IDS技术为基础进行了定制开发,而特征库即有商业的,也有US-CERT自己的。爱因斯坦2计划中的特征库是US-CERT精选的,做到尽可能的少。

爱因斯坦2计划的技术本质是IDS技术,它对TCP/IP通讯的数据包进行DPI(深度包检测),来发现恶意行为(攻击和入侵)。爱因斯坦2通过DPI,获得的数据包包括以下几个部分:

1) 源IP:sIP; 2) 目的IP:dIP; 3) 源端口:sPort; 4) 目的端口:dPort; 5) 协议类型:protocol,例如TCP、ICMP、UDP等; 6) 包数量:packets,通过传感器计算出来的一次连接的包数量; 7) 字节数:bytes; 8) 连接开始时间:sTime; 9) 连接持续时间:dur; 10) 连接结束时间:eTime; 11) 传感器编号; 12) 数据流方向:type,等。

爱因斯坦2计划的传感器放置于联邦机构的互联网出口处(IAP,InternetAccess Point),并且最终就是TIC计划中的那些统一互联网出口。

爱因斯坦3计划(DHS称其为下一代爱因斯坦计划),目前披露的信息甚少。作为实施爱因斯坦3计划的一个重要步骤,DHS启动了一个第三阶段演练的项目,其中就有爱因斯坦3的部分技术可行性分析与验证的工作。根据第三阶段演练项目,可以得知,爱因斯坦3计划的主要技术支撑是IPS。而该入侵防御技术是由NSA(国家安全局)主导开发出来的,代号为Tutelage(已经用于保护军方网络),主要就是他们做出来的一套识别特定攻击的特征库(Signature)。第三阶段演练项目旨在验证有关技术,确定用于爱因斯坦3的技术方案。整个演练分为四个阶段实施。

根据全面国家网络空间安全计划(CNCI)中的TIC,提出了TICAP(可信Internet连接访问提供商)的概念,即将为联邦政府提供网络接入的ISP也纳入其中,例如AT&T公司。在第三阶段演练项目中,AT&T预计将参与其中。其中有一个演练的内容就是由TICAP将政府网络的流量有选择性的镜像并重定向出来,供US-CERT对这些流量进行入侵检测与防御分析的实验。

根据3号计划,DHS希望最终能够将TIC与爱因斯坦融合起来,成为联邦政府网络基础设施的基本保障。另外,从爱因斯坦3计划开始,NSA(国家安全局)和DoD(国防部)都明确加入其中。

在爱因斯坦3计划中,将综合运用商业技术和NSA的技术对政府机构的互联网出口的进出双向的流量进行实时的全包检测(FullPacket Inspection,FPI),以及基于威胁的决策分析。特别的,借助在电信运营商处部署传感器,能够在攻击进入政府网络之前就进行分析和阻断。

爱因斯坦3计划的总体目标是识别并标记恶意网络传输(尤其是恶意邮件),以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应,也就是具备IPS的动态防御能力。

爱因斯坦3计划还增加了一个联动单位—NSA。US-CERT在获得DHS的许可后,会将必要的告警信息送给NSA进行进一步分析。

爱因斯坦3计划主要解决的问题是网络空间威胁,包括钓鱼、IP欺骗、僵尸网络、DDoS、中间人攻击以及恶意代码插入攻击等。

由于入侵防御能力是部署在签约的ISP那里,因此,在那些ISP里面部署了一个称作“Nest”的保密设施。“Nest”负责将政府机构上网的流量牵引到其中,进行检测和阻断,然后再将清洗后的流量送回互联网。

三、最新动态

到目前为止,NCPS项目已经在.gov政府网络出口部署了229台入侵检测传感器,一共部署了超过9000条入侵检测特征,其中大约2300条处于全天候激活状态。

2016年1月,美国审计署(GAO,GeneralAccounting Office)提交的一份报告《DHS Needs toEnhance Capabilities, Improve Planning, and Support Greater Adoption of ItsNational Cybersecurity Protection System》称该系统仅“部分达标”,提出了严厉的批评。从入侵检测能力看NCPS(即“爱因斯坦”计划)仅支持基于签名的检测方法,尚不支持基于异常和状态的检测方法,而且数据类型目前也有限,无法检测加密网络流量、邮件、文件传输中的攻击。从入侵防御能力看NCPS部署的入侵防御能力具备近实时的的入侵阻断功能,但无法仅针对某些协议流量进行细粒度阻断,同时,有些流量(例如WEB内容)尚无法进行检测和阻断。从信息共享能力看NCPS的信息共享能力还处于手工和无序的状态。

四、观点

美国“爱因斯坦”计划迄今已经历时13年,尽管存在非议,然后美国政府仍然支持该计划,这表现在2016年2月美国总统奥巴马发布的《网络安全国家行动计划》,“计划”中指出将要拓展“爱因斯坦”项目。

五、参考文章

1 EINSTEIN.

2 EINSTEIN 3 Accelerated.

3 National Cybersecurity Protection System(NCPS).

4 AT&T finally joins DHS Einsteincybersecurity program.

5 DHS Needs to Enhance Capabilities,Improve Planning, and Support Greater Adoption of Its National CybersecurityProtection System.

6 FACT SHEET: Cybersecurity National ActionPlan.

7重新审视美国爱因斯坦计划(2016).

8美国爱因斯坦计划技术分析.

9从爱因斯坦2到爱因斯坦3.

10 美国联邦政府如何保护互联网?

* 本文原创作者:ArkTeam/HP,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-10-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员互动联盟

揭秘黑客如何挣钱?

黑客赚钱是个众所周知的事实,但是,这个行业有多赚钱?黑客们又是怎样进行内部交易以避免互相倾轧?就像与其业务类似的黑手党和地下帮派的精密体系,黑客们也创立了他们自...

69213
来自专栏域名资讯

工信部资质审批了Donuts注册局旗下的21顶级域域名注册

工信部官网公布:.center/.video/.social/.team/.show/.cool/.zone/.world/.today/.cit...

3875
来自专栏FreeBuf

CNCERT:2014年中国互联网网络安全态势报告速读

国家互联网应急中心(CNCERT)日前发布的《2014年我国互联网网络安全态势报告》数据显示,中国网络安全形式不容乐观,2014年CNCERT通报的漏洞事件达9...

2025
来自专栏域名资讯

180数字集团品牌升级 启用域名180.ai

近日传出了180数字集团升级品牌域名的消息,域名由原来的180china.com升级为180.ai,与此同时京东集团的老板娘章泽天也到了现场,并且还...

2836
来自专栏人工智能快报

美学者提出无人机互联网概念

据VICE网站2016年5月8日报道称,商用航空诞生于第一次世界大战后期,而空中交通管制的需求亦随之出现。面对战后突然多出来的军用飞机,英国和法国开始将他们性能...

4238

勒索软件公司的四种攻击方式,这让他们表现的就像合法企业一样

勒索软件 - 加密计算机上所有的数据然后要求计算机用户向其付款以解锁数据的应用程序 - 已普遍成为企业的威胁。

1030

安全使用网上银行的重要建议

数以百万计的巴克莱银行客户现在通过易于使用的智能手机App和在线银行技术来管理他们的财务,使他们可以随时随地自由体验银行服务。

1235
来自专栏FreeBuf

美国司法部是如何打造漏洞披露计划框架的?

美国司法部(DOJ)刑事部门网络安全分部日前打造了“在线系统漏洞披露计划框架”,旨在帮助组织机构开发正式的漏洞披露计划。 ? 实际上,现在越来越多的企业机构都已...

3689
来自专栏互联资讯

A站近千万用户数据外泄,企业应该怎么做?

6月12日晚间,弹幕社区网站Acfun(以下简称“A站”)发布公告称遭遇黑客攻击,近千万条用户数据外泄,其中包括用户 ID、昵称、“加密存储”的密码等信息。

2124
来自专栏FreeBuf

FreeBuf 2018年企业安全月报(二月刊)

“It takes 20 years to build a reputation and few minutes of cyber-incident to ru...

3544

扫码关注云+社区

领取腾讯云代金券