美國(guó)愛因斯坦計(jì)劃1
美國(guó)愛因斯坦計(jì)劃技術(shù)分析
1 愛因斯坦-1
1.1概述
愛因斯坦計(jì)劃1始于2003年,系統(tǒng)能夠自動(dòng)地收集、關(guān)聯(lián)、分析和共享美國(guó)聯(lián)邦國(guó)內(nèi)政府之間的計(jì)算機(jī)安全信息,從而使得各聯(lián)邦機(jī)構(gòu)能夠接近實(shí)時(shí)地感知其網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的威脅,并更迅速地采取恰當(dāng)?shù)膶?duì)策。通過收集參與該計(jì)劃的聯(lián)邦政府機(jī)構(gòu)的信息,US-CERT能夠建立和增強(qiáng)對(duì)美國(guó)網(wǎng)絡(luò)空間態(tài)勢(shì)感知的能力。這種態(tài)勢(shì)感知的能力將使得國(guó)家能夠更好地識(shí)別和響應(yīng)網(wǎng)絡(luò)威脅與攻擊,提高網(wǎng)絡(luò)安全性,提升關(guān)鍵的電子政務(wù)服務(wù)的彈性,增強(qiáng)Internet的可生存性。
1.2動(dòng)因
愛因斯坦1計(jì)劃的最根本動(dòng)因就在于美國(guó)聯(lián)邦機(jī)構(gòu)各自都有自己的互聯(lián)網(wǎng)出口,這種各自為戰(zhàn)的情形使得聯(lián)邦政府整體安全性難以得到保障,也無(wú)法獲悉整個(gè)聯(lián)邦政府的安全態(tài)勢(shì),不利于相互之間的信息共享、信息安全的協(xié)同。
1.3 收益
原來US-CERT更多的是分享弱點(diǎn)信息,而通過愛因斯坦1計(jì)劃,則能夠從更多的方面幫助聯(lián)邦政府,這些方面包括:
1) 蠕蟲檢測(cè):尤其是可以形成一幅跨政府部門的蠕蟲攻擊圖;
2) 異常行為檢測(cè):通過跨政府部門的帶內(nèi)和帶外的異常行為分析,能夠更加全面的分析異常行為,并對(duì)其它部門提供預(yù)警信息和攻擊線索;這個(gè)功能是愛因斯坦計(jì)劃1 的核心;
3) 配置管理建議:通過愛因斯坦計(jì)劃,US-CERT能夠?yàn)槁?lián)邦政府機(jī)構(gòu)提供更有價(jià)值的配置管理建議;
4) 趨勢(shì)分析:幫助聯(lián)邦政府從整體上了解政府網(wǎng)絡(luò)的健康度。
1.4技術(shù)分析
愛因斯坦1的技術(shù)本質(zhì)是基于流量的分析技術(shù)(DFI)來進(jìn)行異常行為的檢測(cè)與總體趨勢(shì)分析,具體的說就是基于*Flow數(shù)據(jù)的DFI技術(shù)。這里的*Flow最典型的一種就是NetFlow,此外還有sFlow,jFlow,IPFIX等等。US-CERT通過采集各個(gè)聯(lián)邦政府機(jī)構(gòu)的這些Flow信息,進(jìn)行分析,獲悉網(wǎng)絡(luò)態(tài)勢(shì)。
愛因斯坦1通過采集Flow信息,獲得的數(shù)據(jù)包括以下幾個(gè)部分:
1) ASN自治域號(hào)
2) ICMP類型/代號(hào)
3) 流字節(jié)長(zhǎng)度
4) TCP/IP協(xié)議類型
5) 傳感器編號(hào):整個(gè)系統(tǒng)將在參與的聯(lián)邦政府機(jī)構(gòu)的網(wǎng)絡(luò)中部署Flow采集傳感器
6) 傳感器狀態(tài)
7) 源IP地址(IPv4)
8) 目的IP地址(IPv4)
9) 源端口
10) 目的端口
11) TCP標(biāo)志位信息
12) 時(shí)間戳
13) 持續(xù)時(shí)間
1.5系統(tǒng)工作流程
1) 各聯(lián)邦機(jī)構(gòu)通過部署傳感器采集Flow數(shù)據(jù),然后在本地進(jìn)行一次分析,僅將關(guān)鍵的分析結(jié)果或者必要的信息傳遞給US-CERT,確保傳輸數(shù)據(jù)量受控;
2) US-CERT的分析師對(duì)傳上來的數(shù)據(jù)進(jìn)行二次分析,
3) 如果發(fā)現(xiàn)了可疑的行為或者其他異常,US-CERT分析師將與信息來源方聯(lián)邦機(jī)構(gòu)取得聯(lián)系,一起檢查與此可疑行為有關(guān)的其他網(wǎng)絡(luò)行為;
4) 除了分析潛在的異常行為,US-CERT還將為聯(lián)邦機(jī)構(gòu)提供配置管理的設(shè)置建議。
1.6 系統(tǒng)管理界面截圖
2 愛因斯坦-2
2.1 概述
愛因斯坦2計(jì)劃是1號(hào)計(jì)劃的增強(qiáng),始于2007年,該系統(tǒng)在原來對(duì)異常行為分析的基礎(chǔ)上,增加了對(duì)惡意行為的分析能力,以期使得US-CERT獲得更好的網(wǎng)絡(luò)態(tài)勢(shì)感知能力。同時(shí),2號(hào)計(jì)劃將配合美國(guó)政府的TIC(可信Internet接入,旨在減少和收攏聯(lián)邦政府機(jī)構(gòu)分散的互聯(lián)網(wǎng)出口)計(jì)劃一起實(shí)施。
而實(shí)現(xiàn)該惡意行為分析能力的技術(shù)是網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。而愛因斯坦2計(jì)劃主要以商業(yè)的IDS技術(shù)為基礎(chǔ)進(jìn)行了定制開發(fā),而特征庫(kù)即有商業(yè)的,也有US-CERT自己的。愛因斯坦2計(jì)劃中的特征庫(kù)是US-CERT精選的,做到盡可能的少。
2.2 技術(shù)分析
愛因斯坦2計(jì)劃的技術(shù)本質(zhì)是IDS技術(shù),它對(duì)TCP/IP通訊的數(shù)據(jù)包進(jìn)行DPI分析,來發(fā)現(xiàn)惡意行為(攻擊和入侵)。
愛因斯坦2計(jì)劃的IDS技術(shù)中既有基于特征庫(kù)(Signature,也有叫指紋庫(kù)、指紋信息、簽名庫(kù))的檢測(cè),也有基于異常的檢測(cè),二者互為補(bǔ)充。
愛因斯坦2通過DPI,獲得的數(shù)據(jù)包包括以下幾個(gè)部分:
1) 源IP:sIP
2) 目的IP:dIP
3) 源端口:sPort
4) 目的端口:dPort
5) 協(xié)議類型:protocol,例如TCP、ICMP、UDP等
6) 包數(shù)量:packets,通過傳感器計(jì)算出來的一次連接的包數(shù)量
7) 字節(jié)數(shù):bytes
8) 連接開始時(shí)間:sTime
9) 連接持續(xù)時(shí)間:dur
10) 連接結(jié)束時(shí)間:eTime
11) 傳感器編號(hào)
12) 數(shù)據(jù)流方向:type,分為進(jìn)(in/inweb/inimcp)、出(out/outweb/outicmp)、內(nèi)到內(nèi)(int2tint)、外到外(ext2ext)
13)初始標(biāo)志位:intialFlag,例如C(WR)/E(CE)/U(RG)/A(CK)/P(SH)/R(ST)/S(YN)/F(IN)
2.3 傳感器設(shè)計(jì)
愛因斯坦2計(jì)劃的傳感器中包括了商業(yè)的軟件,政府定制的軟件,以及商業(yè)的IDS軟件。該傳感器放置于聯(lián)邦機(jī)構(gòu)的互聯(lián)網(wǎng)出口處(IAP,Internet Access Point),并且最終就是TIC計(jì)劃中的那些統(tǒng)一互聯(lián)網(wǎng)出口。
2.4 系統(tǒng)工作流程
1) 各傳感器在本地互聯(lián)網(wǎng)出口處進(jìn)行DPI分析,通過特征檢測(cè)技術(shù)和異常檢測(cè)技術(shù)發(fā)現(xiàn)惡意行為,并產(chǎn)生告警;
2) 告警信息(Alert),相關(guān)的數(shù)據(jù)包信息(Flow-Records),以及必要的與惡意行為相關(guān)的網(wǎng)絡(luò)原始報(bào)文信息(Traffic),都被送到US-CERT,供分析師進(jìn)行深入分析;
3) US-CERT負(fù)責(zé)統(tǒng)一對(duì)傳感器的特征庫(kù)進(jìn)行升級(jí)維護(hù);
4) 所有US-CERT收集到的信息保存3年。
3 愛因斯坦-3
3.1概述
從2008年開始,美國(guó)政府啟動(dòng)了全面國(guó)家網(wǎng)絡(luò)空間安全計(jì)劃(CNCI)。作為其中的一部分,就是DHS的愛因斯坦3計(jì)劃(DHS稱其為下一代愛因斯坦計(jì)劃)。目前,該計(jì)劃披露的信息甚少。作為實(shí)施愛因斯坦3計(jì)劃的一個(gè)重要步驟,DHS啟動(dòng)了一個(gè)第三階段演練的項(xiàng)目,其中就有愛因斯坦3的部分技術(shù)可行性分析與驗(yàn)證的工作。根據(jù)第三階段演練項(xiàng)目,可以得知,愛因斯坦3計(jì)劃的主要技術(shù)支撐是IPS。而該入侵防御技術(shù)是由NSA(國(guó)家安全局)主導(dǎo)開發(fā)出來的,代號(hào)為稱作Tutelage(已經(jīng)用于保護(hù)軍方網(wǎng)絡(luò)),主要就是他們做出來的一套識(shí)別特定攻擊的特征庫(kù)(Signature)。第三階段演練項(xiàng)目旨在驗(yàn)證有關(guān)技術(shù),確定用于愛因斯坦3的技術(shù)方案。整個(gè)演練分為4各階段實(shí)施。
根據(jù)全面國(guó)家網(wǎng)絡(luò)空間安全計(jì)劃(CNCI)中的TIC,提出了TICAP(可信Internet連接訪問提供商)的概念,即將為聯(lián)邦政府提供網(wǎng)絡(luò)接入的ISP也納入其中,例如AT&T公司。在第三階段演練項(xiàng)目中,AT&T預(yù)計(jì)將參與其中。其中有一個(gè)演練的內(nèi)容就是由TICAP將政府網(wǎng)絡(luò)的流量有選擇性的鏡像并重定向出來,供US-CERT對(duì)這些流量進(jìn)行入侵檢測(cè)與防御分析的實(shí)驗(yàn)。
根據(jù)3號(hào)計(jì)劃,DHS希望最終能夠?qū)IC與愛因斯坦融合起來,成為聯(lián)邦政府網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基本保障。
另外,從愛因斯坦3計(jì)劃開始,NSA(國(guó)家安全局)和DoD(國(guó)防部)都明確加入其中。
3.2 總體技術(shù)分析
在愛因斯坦3計(jì)劃中,將綜合運(yùn)用商業(yè)技術(shù)和NSA的技術(shù)對(duì)政府機(jī)構(gòu)的互聯(lián)網(wǎng)出口的進(jìn)出雙向的流量進(jìn)行實(shí)時(shí)的全包檢測(cè)(Full Packet Inspection,F(xiàn)PI),以及基于威脅的決策分析。特別的,借助在電信運(yùn)營(yíng)商處(ITCAP)部署傳感器,能夠在攻擊進(jìn)入政府網(wǎng)絡(luò)之前就進(jìn)行分析和阻斷。
愛因斯坦3計(jì)劃的總體目標(biāo)是識(shí)別并標(biāo)記惡意網(wǎng)絡(luò)傳輸(尤其是惡意郵件),以增強(qiáng)網(wǎng)絡(luò)空間的安全分析、態(tài)勢(shì)感知和安全響應(yīng)能力。系統(tǒng)將能夠自動(dòng)地檢測(cè)網(wǎng)絡(luò)威脅并在危害發(fā)生之前作出適當(dāng)?shù)捻憫?yīng),也就是具備IPS的動(dòng)態(tài)防御能力。
愛因斯坦3計(jì)劃還增加了一個(gè)聯(lián)動(dòng)單位NSA。US-CERT在獲得DHS的許可后,會(huì)將必要的告警信息送給NSA進(jìn)行進(jìn)一步分析。
愛因斯坦3計(jì)劃主要要解決的問題是網(wǎng)絡(luò)空間威脅(Cyber Threat),至少包括釣魚、IP欺騙、僵尸網(wǎng)絡(luò)、DoS、DDoS、中間人攻擊,以及其他惡意代碼插入。
初步可以判斷,愛因斯坦3計(jì)劃依然是以使用DPI+DFI技術(shù)為主,獲取的數(shù)據(jù)包信息沒有超過1號(hào)和2號(hào)計(jì)劃,最多也就相當(dāng)于上述之和。
綜上所述,愛因斯坦3的技術(shù)本質(zhì)可以概括為:依托商業(yè)IPS技術(shù),通過FPI,DPI+DFI等手段,與TIC計(jì)劃緊密結(jié)合,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間威脅(Cyber Threat)的識(shí)別和阻斷。
愛因斯坦3計(jì)劃的關(guān)鍵創(chuàng)新之處在于其部署方式(TICAP的加入使得原先的傳感器專為在TICAP端部署,并采用所謂重定向技術(shù))和運(yùn)作流程。 在分析端,亮點(diǎn)在于加入了IPS的技術(shù)(主動(dòng)響應(yīng)技術(shù)),還有實(shí)時(shí)FPI全包分析的技術(shù)。進(jìn)一步分析,這就涉及到更加精準(zhǔn)的特征庫(kù)、超高的傳感器處理性能、更多高級(jí)的威脅分析技術(shù)。
另外,沒有證據(jù)表明愛因斯坦3計(jì)劃中的FPI不會(huì)對(duì)數(shù)據(jù)包的payload進(jìn)行內(nèi)容檢測(cè)。
下圖進(jìn)一步說明了愛因斯坦3的傳感器與TIC聯(lián)合部署的邏輯拓?fù)洌?/p>
上圖展示了在四種接入方式下的愛因斯坦3號(hào)傳感器的部署。圖中,Networx是TIC下的另一個(gè)項(xiàng)目,旨在幫助聯(lián)邦政府機(jī)構(gòu)選擇TIC接入的路由。
愛因斯坦計(jì)劃不僅需要最先進(jìn)的技術(shù),還需要大量的人力資源,尤其是安全分析師。2009年的時(shí)候,US-CERT和DHS宣布在未來3年要為愛因斯坦計(jì)劃招聘1000人的安全分析師。
【注1】關(guān)于CNCI,再多說一下,TIC與愛因斯坦是CNCI涉及的12項(xiàng)計(jì)劃中的最重要的兩個(gè)。CNCI計(jì)劃由美國(guó)總統(tǒng)在2008年1月簽署實(shí)施(NPSD54)。實(shí)際上,TIC和愛因斯坦都比CNCI提出的要早,但是后來都被合并到CNCI中去了。另外,在2008年底,DHS將愛因斯坦計(jì)劃又合并到了NCPS(National Cyberseucrity Protection System)項(xiàng)目中了。因?yàn)樵瓉韺?duì)愛因斯坦的定義更多的是部署傳感器,而在NCPS中則更加強(qiáng)調(diào)基于這些傳感器獲得的數(shù)據(jù)做關(guān)聯(lián)與分析。
【后記】美國(guó)的愛因斯坦計(jì)劃十分龐大,目標(biāo)旨在保護(hù)其電子政務(wù)網(wǎng)絡(luò),同理,類似的技術(shù)也可以用戶保護(hù)私人網(wǎng)絡(luò)。愛因斯坦計(jì)劃所對(duì)應(yīng)的系統(tǒng)可以分為兩個(gè)部分:傳感器部分和分析中心部分,抑或稱之為前端和后端。在前端,可以運(yùn)用NAV技術(shù),而后端可以運(yùn)用SIEM技術(shù)。整個(gè)分布式的前端和集中化的后端和起來就構(gòu)成了一個(gè)態(tài)勢(shì)感知網(wǎng)絡(luò)。而正在建設(shè)中的這個(gè)愛因斯坦系統(tǒng),可以說是真正大規(guī)模實(shí)用的態(tài)勢(shì)感知系統(tǒng)。事實(shí)上,愛因斯坦計(jì)劃就是一個(gè)政府主導(dǎo)的,商業(yè)廠商參與的項(xiàng)目。在這個(gè)項(xiàng)目中處處可見商業(yè)廠商的影子,而這些參與的廠商,從技術(shù)上肯定有NAV和SIEM廠商。NAV,說到底,就是DPI+DFI。根據(jù)美國(guó)某公司的市場(chǎng)分析,美國(guó)政府的DPI市場(chǎng)從2010年到2015年將有36%的年均復(fù)合增長(zhǎng)率,2015年將有18億美元市場(chǎng)容量。市場(chǎng)中將包括DPI廠商,政府的合同供應(yīng)商(SI),政府相關(guān)機(jī)構(gòu)等。例如,國(guó)防外包商SAIC公司就在2010年收購(gòu)了做DPI的公司。
通過了解最前沿的這些廠商的技術(shù)及其他們所服務(wù)的客戶,也可以一窺網(wǎng)絡(luò)態(tài)勢(shì)感知的發(fā)展趨勢(shì)。
此外,網(wǎng)絡(luò)空間的安全態(tài)勢(shì)感知(Cyber Security SA)與一般的網(wǎng)絡(luò)安全態(tài)勢(shì)感知(Network Security SA)還是有所不同的。
http://blog.51cto.com/yepeng/641002
浙公網(wǎng)安備 33010602011771號(hào)