【前言】这是笔者结合早前发表的《美国爱因斯坦计划技术分析》和《从爱因斯坦2到爱因斯坦3》两篇文章所写的一篇综述,发表于2014年。从现在来看,尽管有了新的发展,仍然可以作为了解“爱因斯坦计划”的重要技术参考。在这篇文章中,尚没有提及基于机器学的威胁检测技术、包括SSL解密功能的web内容过滤技术。此外,TIC参考架构在2017年也发布了2.2版。

美国爱因斯坦计划技术路线综述

1 概述

爱因斯坦计划是美国政府为了加强对其联邦政府网络出口安全而进行的一项长期的安全监测与防护计划,核心目标就是保护美国联邦政府的网络空间基础设施安全,提升其防御网络空间安全威胁的能力。

借助爱因斯坦计划,美国国土安全部(DHS )建立了一套系统,能够自动地收集、关联、分析和共享美国联邦政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁,并更迅速地采取恰当的对策。通过收集参与该计划的联邦政府机构的信息,国土安全部所属的US-CERT (美国计算机应急响应小组)能够建立和增强对美国网络空间态势感知的能力。这种态势感知的能力将使得国家能够更好地识别和响应网络威胁与攻击,提高网络安全性,提升关键的电子政务服务的弹性,增强Internet 的可生存性。

爱因斯坦计划从2003 年开始,时间跨度很长,并分为了若干阶段,每个阶段都应对若干模块(Block )。

从2009 年开始,美国政府启动了全面国家网络空间安全计划(CNCI ),爱因斯坦计划并入CNCI ,并改名为NCPS (National CybersecurityProtection System ,国家网络空间安全保护系统)。因此,NCPS 等价于爱因斯坦计划。

爱因斯坦计划的关键技术点包括:

1) 入侵检测技术

2) 入侵防御技术

3) 高级网络空间分析技术

  1. 数据聚合与关联

  2. 可视化

  3. 恶意代码分析

  4. 包捕获

4) 突发事件管理

5) 信息共享与协作

2 爱因斯坦计划的技术路线图

美国爱因斯坦计划从启动至今已经11 年了。整体上,目前为止,爱因斯坦计划分为3 个阶段,分别称为爱因斯坦1 、爱因斯坦2 和爱因斯坦3 。每个阶段又分为若干个迭代的模块(block ),如下表所示。

阶段

模块(Block )

核心技术内容概述

爱因斯坦1

Block1.0

Flow 流检测引擎、任务操作环境(MOE )、流数据存储、流分析

爱因斯坦2

Block2.0

入侵检测系统、增强的数据存储、增强流检测与分析

Block2.0.X

增强的入侵检测系统(可疑包捕获)、突发事件管理(IMS )、恶意代码分析、高级分析(大数据分析与可视化)

Block2.1

安全信息与事件管理系统(SIEM )、海量数据存储、多源数据关联分析、可视化

Block2.2

网络空间安全信息共享与协作、网络调查与取证、数据分享

爱因斯坦3A

Block3.0

入侵防御与主动防护、ISP 接口、增强的流分析、增强的SIEM 、网络管理、性能管理、增强的任务操作环境(MOE )

表1:爱因斯坦计划路线图

需要指出的是,上述爱因斯坦各个阶段之间不是取代关系,而是不断增强的关系。爱因斯坦1 的检测引擎至今仍在服役。

3 爱因斯坦1(Block1)

爱因斯坦1 的最根本动因就在于美国联邦机构各自都有自己的互联网出口,这种各自为战的情形使得联邦政府整体安全性难以得到保障,也无法获悉整个联邦政府的安全态势,不利于相互之间的信息共享、信息安全的协同。

爱因斯坦1 对应的模块是Block1 。

3.1 核心技术内容

爱因斯坦1 的核心技术内容就是在联邦政府机构出口部署流(Flow )检测引擎,进行基于流的分析,同时构建一个包括前端检测引擎和后端分析中心相关基础设施及其支撑系统在内的任务操作环境(MOE )。

流分析的内容包括:

1) 蠕虫检测:尤其是可以形成一幅跨政府部门的蠕虫攻击图;

2) 异常行为检测:通过跨政府部门的带内和带外的异常行为分析,能够更加全面的分析异常行为,并对其它部门提供预警信息和攻击线索;这个功能是爱因斯坦计划1 的核心;

3) 配置管理建议:通过爱因斯坦计划,US-CERT 能够为联邦政府机构提供更有价值的配置管理建议;

4) 趋势分析:帮助联邦政府从整体上了解政府网络的健康度。

在爱因斯坦1 中的流分析主要是指DFI (深度流检测)技术,分析对象就是各种格式的Flow 数据,包括NetFlow 、sFlow ,jFlow ,IPFIX 等等。US-CERT 通过采集各个联邦政府机构的这些Flow 数据进行分析,获悉网络态势。

爱因斯坦1 分析的Flow 数据包括以下属性:

1) ASN 自治域号

2) ICMP 类型/ 代号

3) 流字节长度

4) TCP/IP 协议类型

5) 传感器编号:整个系统将在参与的联邦政府机构的网络中部署Flow 采集传感器

6) 传感器状态

7) 源IP 地址(IPv4 )

8) 目的IP 地址(IPv4 )

9) 源端口

10) 目的端口

11) TCP 标志位信息

12) 时间戳

13) 持续时间

3.2 关键工作流程

1) 各联邦机构通过部署传感器采集Flow 数据,然后在本地进行一次分析,仅将关键的分析结果或者必要的信息传递给US-CERT ,确保传输数据量受控;

2) US-CERT 的分析师对传上来的数据进行二次分析,

3) 如果发现了可疑的行为或者其他异常,US-CERT 分析师将与信息来源方联邦机构取得联系,一起检查与此可疑行为有关的其他网络行为;

4) 除了分析潜在的异常行为,US-CERT 还将为联邦机构提供配置管理的设置建议。

图1 :爱因斯坦1 界面

4 爱因斯坦2

4.1 Block2.0

Block2.0 是爱因斯坦1 (Block1.0 )的增强,始于2007 年,该系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,以期使得US-CERT 获得更好的网络态势感知能力。同时,Block2.0 配合美国政府的TIC (可信互联网接入,旨在减少和收拢联邦政府机构分散的互联网出口)计划【参见附录A 】一起实施。

4.1.1 核心技术内容

Block2.0 的核心技术内容是在联邦政府网络出口部署入侵检测系统(IDS ),并融合了爱因斯坦1 (Block1.0 )的流传感器和流数据分析技术,实现基于特征的入侵检测和基于异常行为的入侵检测,并实现了集中化的数据存储,以及开发一套可视化分析工具和知识库。

Block2.0 主要以商业的IDS 技术为基础进行了定制开发,而特征库既有商业的,也有US-CERT 自己的。

Block2.0 中流数据的属性跟爱因斯坦1 (Block1.0 )相比,有所改进:

1) 源IP :sIP

2) 目的IP :dIP

3) 源端口:sPort

4) 目的端口:dPort

5) 协议类型:protocol ,例如TCP 、ICMP 、UDP 等

6) 包数量:packets ,通过传感器计算出来的一次连接的包数量

7) 字节数:bytes

8) 连接开始时间:sTime

9) 连接持续时间:dur

10) 连接结束时间:eTime

11) 传感器编号

12) 数据流方向:type ,分为进(in/inweb/inimcp )、出(out/outweb/outicmp )、内到内(int2tint )、外到外(ext2ext )

13) 初始标志位:intialFlag ,例如C(WR)/E(CE)/U(RG)/A(CK)/P(SH)/R(ST)/S(YN)/F(IN)

4.1.2 关键工作流程

1) 各传感器在本地互联网出口处进行DPI 分析,通过特征检测技术和异常检测技术发现恶意行为,并产生告警;

2) 告警信息(Alert ),相关的数据包信息(Flow-Records ),以及必要的与恶意行为相关的网络原始报文信息(Traffic ),都被送到US-CERT ,供分析师进行深入分析;

3) US-CERT 负责统一对传感器的特征库进行升级维护;

4) 所有US-CERT 收集到的信息保存3 年。

到2013 财年底,美国各联邦机构82% 的流量都纳入了IDS 检测范围之内。

4.2 Block2.0.X

Block2.0.X 是Block2.0 的增强版,旨在进一步增强IDS 的检测能力以及后端的分析能力。

Block2.0.X 的核心技术内容包括:

1) 包捕获技术:就是抓取网络中可疑的网络流量,并将这些payload 存储起来进行分析,构建起一个可以网络恶意流量信息的抓取、存储、分析的环境。

2) 恶意代码分析中心:一个能够安全自动地的提交和分析恶意代码的工作环境,实现对恶意代码样本的安全提交、存储、分析和研究。

3) 增强的分析中心:具备高吞吐能力的关系型数据库和可视化分析工具,用以对大规模数据进行查询分析和可视化,以及出具分析报表报告。

4) 突发事件管理系统(IMS ):主要是构建一个全新的Incident (突发事件)管理系统,包括遵循相关的标准化流程、具有派单处置功能能够,替代US-CERT 原有的类似系统。

5) 网络空间指标体系库(CIR ):旨在让US CERT 与各联邦机构部门之间分享各种与恶意网络流量相关的威胁指标(例如DNS 、EMAIL 、文件哈希值等等)。

6) 网络空间指标分析平台(CIAP ):就是对CIR 中的各种CI (指标)进行分析的平台。

7) 与CyberScope 集成:将爱因斯坦系统与CyberScope 【参见附录B 】系统对接,实现DHS 数据中心与司法部数据中心之间的数据交换。

8) 建立US-CERT 的公共网站:主要是重构US-CERT 的网站,承办单位是CMU 的SEI 软件工程研究所,能够与DHS 的数据中心相连。

9) 建立US-CERT 的HSIN 门户:就是一个对内门户网站,承包商是NC4 。这个门户网站旨在在CERT 、联邦机构、可信赖的合作伙伴之间构建一个信息分享协作和分析工作的社区。

4.3 Block2.1

Block2.0 的重点在于前端的检测引擎,而Block2.1 的重点就在于后端的分析能力构建。

Block2.1 的核心技术内容就是搭建SIEM 系统,实现对分散数据源的事件的标准化与关联分析,提供威胁的可视化、分析与报告服务,从而提升对网络空间突发事件的检测、防御和通知能力,提升对网络空间要素信息的关联、聚合与可视化能力。

在Block2.1 中,分析的数据源主要包括:Flow 数据、Flow 数据标签、IDS 告警、商业的威胁情报,以及CERT 的各种黑白名单。

随着SIEM 系统的不断优化,到2013 年,US-CERT 利用SIEM 每天分析的事件量达到了20 亿条。

下图展示了各联邦机构部署的爱因斯坦1 前端设备和爱因斯坦2 前端设备是如何连接到DHS 新建的位于美国佛罗里达Pensacola 的数据中心的。

图2 :爱因斯坦1 和爱因斯坦2 的前后端网络示意图

4.4 Block2.2

Block2.2 的核心技术内容是建立一个网络空间安全信息的共享与协作(ISCE )平台及其系列工具,以及获得基于搜索技术的网络调查分析追踪能力。DHS 为Block2.2 的信息分享与协作定了几个关键指标,包括该项目的各参与方能够在30 分钟内分享到任何一方检测并确认的网络空间安全事件的数据和相关信息。

图3 :信息共享与协作环境(ISCE )

可见,在爱因斯坦2 的后期,主要使命是如何将那些收集到的天量数据以及各种分析结果及时有效地使用起来,不仅是DHS 能够用起来,也让各联邦政府机构也参与到安全分析工作中来。

5 爱因斯坦3

爱因斯坦3 始于2009 年。之前的阶段都是被动的安全检测,而从爱因斯坦3 开始,试图进行主动的安全防御,即部署IPS (入侵防御系统)。

爱因斯坦3 计划的总体目标是识别并标记恶意网络传输,以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应,也就是具备IPS 的动态防御能力。

爱因斯坦3 计划还增加了一个联动单位——NSA (美国国家安全局)。US-CERT 在获得DHS 的许可后,会将必要的告警信息送给NSA 进行进一步分析。

为了实现爱因斯坦3 ,DHS 首先从2010 年开始进行陆续了一系列验证和演练。在演练结束后,正式启动了爱因斯坦3 的第一阶段子计划——爱因斯坦3A (Einstein 3 Accelerated ,爱因斯坦3 促进计划),对应Block3.0 模块。

爱因斯坦3A 于2013 年7 月实现了第一个联邦机构的正式部署上线。目前为止,整个爱因斯坦计划仍处于3A 阶段(Block3.0 )。

5.1 核心技术内容

Block3.0 的核心技术内容就是入侵防御能力的构建,变被动监测为主动防御。通过部署IPS ,综合运用商业技术和NSA 的技术对政府机构的互联网出口的进出双向的流量进行实时的全包检测(Full Packet Inspection ,FPI ),以及基于威胁的决策分析。

此外,Block3.0 还包括对之前两个阶段成果的能力增强。在Block3.0 中,包括了对更加大量数据的采集、存储与分析,更高效的信息共享与协作(要将之用于主动防御),更强大的流分析能力和SIEM 能力,引入网络管理、性能管理技术,同时还加强了任务操作环境(MOE )建设。

DHS 很清楚要实现如此大规模的入侵防御并非易事,需要循序渐进。因此,在Block3.0 中,入侵防御功能首先就落到了DNS 防护和电子邮件过滤上。通过部署IPS ,重点实现DNS 防护和电子邮件防护。

DNS Sinkhole技术

DNS Sinkhole 技术用于阻止已经被植入政府网络的恶意代码与外部的恶意域名之间的通讯,它能够将恶意代码的DNS 连接请求重定向到安全的服务器,或者是Sinkhole Server ,从而阻止恶意代码的后续行为(譬如下载木马和谍件)。与此同时,ISP (互联网服务提供商)和DHS 可以收集到这些试图连接确定的或者可疑的DNS 的请求信息,并对他们进行进一步地分析。

Email过滤技术

电子邮件过滤技术使得DHS 能够在网络上对所有发给政府网络用户的邮件进行扫描,能够识别含有恶意代码的附件、恶意URL 等,将其过滤掉,并可以转发到特定位置,以供分析人员进一步检测。

无论是DNS 防护还是邮件过滤,都属于这个IPS 设备中的核心功能,并且IPS 设备主要依靠所谓的指标特征(Indicator )来进行识别。这些指标包括:

1) IP 地址和DNS 域名:本质上就是一份IP 和DNS 的黑名单。这份黑名单由DHS 的分析师来制定和下发。

2) 电子邮件头:包括发件日期、主题、发件人、发件人地址、链接、附件,等等。

3) 文件:恶意文件的特征标记。

4) 其它各种特征串。

5.2 关键工作流程

在Block3.0 中,IPS 就是根据前述指标特征进行恶意邮件过滤和恶意DNS 连接阻断,工作很单纯。但是作为整个体系,需要DHS 后台的分析师定义出清晰地特征指标并下发给IPS 设备,此外,还需要快速地在各个ISP 间及IPS 设备间进行指标特征的信息分享。很多时候,指标特征是DHS 下发给ISP 服务商,再由ISP 根据具体情况进行修订和下发。同时,ISP 也能识别并提交新的指标特征。

一旦IPS识别到某个攻击行为,不仅会进行阻断,而且还会产生告警,并将告警及其相关的情境信息经由ISP提交给CS&C。这些信息包括:唯一的告警ID、发生告警的联邦机构、产生告警的指标/动作对、告警的时间、相关的netflow流数据,并且,可能地话,还有被隔离或者被捕获/存储的相关数据报文。

5.3 爱因斯坦3A的业务模式和部署进展

2013 年7 月,第一个联邦机构部署才正式上线爱因斯坦3A 服务,整个2013 年共部署了4 个单位。从2013 年开始至今,DHS 针对爱因斯坦3 的业务模式已经从原来的由DHS 部署IPS 设备转成了DHS 跟ISP (互联网服务提供商)签署合同,由ISP 来提供IPS 服务的方式。当然,DHS 与ISP 之间有一个专用内部网络用来交换相关信息。

在这种模式下,对联邦机构提供爱因斯坦3A 服务的不直接是DHS 的CS&C (也就是负责运营爱因斯坦的部门),而是ISP 。而ISP 将这些服务包装成一个MSS (可管理安全服务),同时DHS 对ISP 提出了明确清晰的服务目标和服务水平要求,而服务具体如何是实现则是MSSP (即ISP )的事。

通过此举,DHS 降低了所需预算,也提前了落地的时间进度。根据DHS 自己的估计,原本采用自建模式,覆盖美国所有联邦政府机构需要到2018 财年,而通过这种联营的方式,全覆盖可以在2015 财年实现,即提前了3 年。

在2013 年,花费在爱因斯坦3A (Block3.0 )爱因斯坦2 增强版(Block2.2 )上的预算高达1.16 亿美元。不过,由于其业务模式转变为借助ISP 来提供服务,后续的预算应该会逐步减少。

6 结语

通过对各阶段爱因斯坦计划的技术路线分析,可以看出,爱因斯坦计划经历了从被动检测到主动防御、从单一威胁分析到综合威胁分析、从情报分析到情报共享、从一个机构承担绝大部分分析工作到各个参与方之间协同配合的不断演进的过程。同时,随着IT 技术的不断进步,爱因斯坦计划也不断引入新兴技术,包括大数据分析、SECaaS (安全即服务)等等,具有较强的技术开放性和包容性。

随着我国网络空间安全问题的日益突出,以及国家对网络空间安全的空前重视,美国爱因斯坦计划的技术路线和发展历程可以从多方面对我国政府和企事业单位的网络空间安全防护建设提供参考与借鉴。

附录A:可信互联网连接(TIC)简介

说到爱因斯坦计划,不仅要看它的技术,还要看它的落地,也就是部署。部署很重要,部署得不好,爱因斯坦系统可能就无法获得必要的信息,而分析就成了无源之水;部署得不好,可能造成巨大的投入负担,从而使得计划难以推行落实。而说到爱因斯坦传感器的部署,就必须说到DHS 的TIC (可信互联网连接)计划,这也是CNCI 的一项重要工作。从爱因斯坦2 开始,传感器的部署跟TIC 息息相关。而TIC 又牵扯到了整个美国电子政务网络的升级改造。

下图进一步说明了爱因斯坦传感器与TIC 联合部署的逻辑拓扑:

图4 :四种TIC 接入方式及其爱因斯坦设备的部署示意图

上图展示了在四种接入方式下的爱因斯坦传感器的部署。图中,Networx 是TIC 下的另一个项目,旨在帮助联邦政府机构选择TIC 接入的路由。

那么,到底什么是TIC ?简言之,TIC 就是美国政府的电子政务互联网出口的收口计划,大幅减少互联网出口,提升出口的安全防护水平,让联邦政府所有机构的互联网出口都处于可控范围之内。在2013 年10 月分,DHS 发布了TIC 的参考架构V2.0 。

图5 :TIC 概念模型

上图展示了TIC 的概念模型。整个TIC 包括模型包括三块:外部区域,TIC 区域和内部区域。而爱因斯坦传感器或者IPS 就部署在TIC 区域和外部区域之间。注意,公共服务都部署在TIC 区域,我们可以把TIC 类比为一个DMZ 区,但更加复杂。

下图则展示了TIC 的关键安全功能。

图6 :TIC 是系统安全模式示意图

图中的NCPS 监控设施就包括了爱因斯坦传感器/IPS 。此外,可以看到,有专门的针对在TIC 中建立SOC 的要求(依据OMB M-08-16之规定)。注意,这里的SOC 不是US-CERT 的SOC ,而只是管理TIC 的SOC ,不能混淆。

附录B:CyberScope简介

CyberScope 是DHS 联合美国司法部开发的、OMB (美国行政管理和预算局)主管的一个用于对联邦个机构进行持续监控的系统,能够定期自动地产生各个联邦机构的FISMA 报表。系统与2009 年上线。

下图展示了系统的界面。

图7 :CyberScope 界面截图

下图则是CyberScope 的系统架构示意图。

图8 :CyberScope 的系统架构示意图

【参考】

以下是笔者以前撰写的NCPS相关的文章,供大家参考,大家可以自行搜索。

  • 美国爱因斯坦计划技术分析,2011

  • 从爱因斯坦2到爱因斯坦3,2014

  • 重新审视美国爱因斯坦计划(2016)

  • 美国爱因斯坦计划最新动态201508

  • 爱因斯坦计划最新进展(201705)

  • 爱因斯坦计划最新进展(201710)

声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。