美国土安全部近年网络空间安全领域主要项目梳理

前言

2021年5月18日，《美国创新与竞争法案》（United States Innovation and Competition Act of 2021）通过，由芯片和ORAN5G紧急拨款、《无尽前沿法案》、《2021战略竞争法案》、国土安全和政府事务委员会相关条款、《2021迎接中国挑战法案》和其他事项六部分构成。该法案进一步强化了《无尽前沿法案》提出的在科技领域赢得与中国的竞争的目标，提出了十大科技创新领域，其中包括网络空间安全。基于此背景，编者梳理了美国防部、DARPA、国土安全部近年网络空间安全领域的主要项目，以此厘清美在网络空间安全领域的研发部署重点，供参阅。

在网络安全领域，国土安全部承担着对美国联邦民事机构的物理及网络关键基础设施的安全保卫职责，近年来国土安全部在网络态势感知、移动通信网络基础设施安全、应急通讯网络安全、利用人工智能促进安全的网络基础设施方面部署了一些典型计划项目。

一、“爱因斯坦”项目（Einstein）

“爱因斯坦”计划是美国国土安全部（DHS）下属的计算机应急响应小组（US-CERT）开发的一个网络安全自动监测项目，用于监测针对政府网络的入侵行为，保护政府网络系统安全。该项目始于2003年，于2009年并入美国政府的国家网络空间安全计划（CNCI），并改名为国家网络空间安全保护系统（NCPS）。爱因斯坦计划分为三个阶段[1]，主要聚焦四种能力，包括入侵检测、入侵防御、数据分析和信息共享。

1.1项目阶段

第一阶段始于2003年，DHS开发爱因斯坦1（EINSTEIN1），即入侵监测系统，主要任务是监听、分析、共享安全信息，主要特点是信息采集，技术本质是基于流量分析技术（DFI深度流检测）对异常行为的检测与总体趋势进行分析，US-CERT通过采集、分析各联邦政府机构的流量信息，进而获悉网络态势。

第二阶段是2008年，DHS实施爱因斯坦2（EINSTEIN2），该系统在原来对异常行为分析的基础上，增加了对恶意行为的分析能力，本质上依然是入侵检测系统（IDS）。爱因斯坦2的技术本质是IDS技术，对TCP/IP通讯的数据包进行深度包检测（DPI），进而发现攻击和入侵等恶意行为。

第三阶段是2010年，DHS计划设计与部署入侵防御系统爱因斯坦3（EINSTEIN3）来识别和阻止网络攻击，2012年DHS使用互联网服务提供商（ISPs）的商业技术为联邦政府机构提供入侵防御安全服务，被称为爱因斯坦3加速（EINSTEIN3 Accelerated，E3A）[2]

1.2技术能力

• 入侵检测

NCPS的入侵检测能力包括爱因斯坦1探针中基于Flow的检测能力、爱因斯坦2和爱因斯坦3探针中基于特征的检测能力，以及2015年启动的基于机器学习的行为检测能力（代号LRA）。NCPS的检测能力不追求检测所有攻击和入侵，而重点关注APT类高级威胁，因而其检测特征库并不大，但很有针对性，并由美国国防部/国安局（DOD/NSA）提供部分特征信息。

• 入侵防御

NCPS的入侵防御能力是从爱因斯坦3A（简称E3A）阶段开始的，主要包括4种能力：①恶意流量阻断，即自动地对进出联邦政府机构的恶意流量进行阻断。这依靠ISP来实现，ISP部署了入侵防御和基于威胁的决策判定机制，并使用DHS开发的恶意网络行为指标来进行恶意行为识别。②DNS阻断，即DNS Sinkhole技术，用于阻止已经被植入政府网络的恶意代码与外部的恶意域名之间的通讯。③电子邮件过滤，即对所有发给政府网络用户的邮件进行扫描，识别含有恶意代码的附件、恶意URL等，并将其过滤掉。④Web内容过滤（WCF），即阻断可疑的web网站访问、阻止web网站中恶意代码的执行，阻断web钓鱼。

• 安全分析

入侵检测和入侵防御构成了类似NCPS的前端系统，其后端核心是构建在大数据之上的安全分析能力，而这个分析结果的输出就是网络安全威胁态势。NCPS的分析能力主要包括：安全信息与事件管理（SIEM）、数字媒体分析环境（Digital Media Analysis Environment）、高级恶意代码分析中心（AMAC）、各种分析工具可视化工具等。

• 信息共享

信息共享是NCPS的核心能力，DHS构建起一个信息共享与协作环境（ISCE），使得其下属国家网络空间安全和通信集成中心（NCCIC）能够按照不同的密级与合作伙伴快速交换网络威胁和网络事件信息，通过合作与协同以降低事件响应时间，通过自动化信息分享与披露以提升效率。NCPS的信息共享主要包括：自动指标共享（AIS）、指标管理平台（IMP）、统一工作流、跨域解决方案（CDS）等。

二、“安全与弹性移动网络基础设施”计划（SRMNI）

美国国土安全部（DHS）下属的网络安全和基础设施安全局（CISA）负责整个联邦政府的网络安全工作，并承担提高关键基础设施安全性和网络弹性，识别和解决国家关键机能的重大风险，提供无缝和安全的应急通信的职责。CISA致力于将利益攸关方串联起来为决策提供信息，并推进创新和情报共享。CISA当前的五项工作重点包括：5G安全、选举安全、软目标安全、联邦网络安全和工业控制系统安全。

为支撑以上工作重点，CISA公开披露了“安全和弹性移动网络基础设施”（SRMNI）计划，旨在提供准确、及时和有效的5G、移动安全研发解决方案，以支撑传统和下一代移动通信网络基础设施安全。SRMNI还支持白宫发布的“5G安全国家战略”和CISA的“5G战略”。SRMNI计划下包含9个分支项目：

2.1 SRMNI计划分支项目[3]

“GoSecure and EchoPTT Pro：安全语音及因后端协议和无线攻击引起的信息传送威胁防范”项目（SecureVoice and Messaging Threat Mitigation from Backend Protocol andOver-the-Air-Attacks），160万美元，由4K解决方案有限公司承担。该项目将开发和完善两种主要的安全语音通信软件解决方案，包括GovSecure，一个集中管理的安全语音功能，适用于iOS和Android平台；EchoPTT Pro，一个无服务器Push-To-Talk和语音会议互联网语音协议应用程序。这两种解决方案的结合，可与现有的基于Internet协议的语音系统和5G实现互操作，无需专门硬件或召回设备，快速完成集中管理、控制，此外，不需要受控的密码项目存储、保护或协议。

“5G网络安全项目”（Fifth Generation Network Security），200万美元，由Commdex有限公司承担。该项目为5G设备、5G无线接入网、核心网、传输网架构开发和评估不同的端到端安全控制，包括分布式拒绝服务（DDoS）缓解、政府通信的端到端安全。探索开放的硬件/软件和系统，以减轻来自高风险供应商、公共部门及5G优先服务共存应用程序的供应链威胁。该项目还将专门解决如何确保在5G基础设施拥塞事件期间为紧急通信提供优先服务，并通过拥塞识别DDoS/大规模物联网攻击的解决方案。

“政府安全语音架构”项目（Government Secure Voice Architecture），110万美元，由德州农工大学承担，该项目旨在开发一个安全数据和语音网络架构，支持安全的固定电话到固定电话、固定电话到移动电话、以及移动电话到移动电话的通信。

“通过气隙硬件验证和代码执行跟踪来保护移动核心网络元件”项目（Protectingthe Mobile Core Network Elements Via Air-Gapped Hardware Verification and CodeExecution Tracking），140万美元，由AetherArgus公司承担，开发5G基础设施组件的固件异常检测系统，通过监测设备射频发射情况检测操作运行是否异常，保护传统和5G移动核心网络元件和物联网设备免受框架软件供应链攻击，并检测运行时的（软件）利用。该系统的关键优势之一是不需要在设备上安装软件，并且对经过审查的设备的监控是无损和带外进行的。

“利用AWARE试验台部署蜂窝网络防御系统”项目（DeployingDefenses for Cellular Networks Using the AWARE Testbed），170万美元，由佛罗里达大学承担，该项目将开发试验台原型解决方案，支持4G长期演进（LTE）功能的呼叫设备，包括安全距离绑定协议、针对核心长期演进协议优化的模糊基础设施、设备链路位置测量和加密系统。

“移动网络基础设施的共生集成”项目（Symbiote Integration for Mobile Network Infrastructure），75万美元，由红气球安全公司承担。该项目将红气球公司专利的框架软件加固和运行时保护技术Symbiote和Autotomic Binary Structure Randomization （ABSR）集成到移动网络基础设施的嵌入式设备中，以减少对广泛的攻击链的暴露，抵御移动网络基础设施固件攻击，如缓冲区/堆溢出、涉及任何嵌入式设备或物联网设备的rootkit攻击、攻击链。Symbiote是基于主机的直接注入固件二进制文件的防御，Symbiote与正常的设备执行并行运行，提供运行时保护以检测攻击并实时响应。ABSR通过自动攻击面缩减以及二进制级别的内存和代码随机化提供固件加固。

“网络威胁检测和保护”项目（Threat Detection and Protection of Networks），120万美元，由AdaptiveMobile安全公司承担。该项目使用Adaptive Mobile公司开发的三管齐下的解决方案来防御跨协议/多协议威胁，包括信令防火墙、以安全为重点的高级分析算法、以及全球威胁情报服务，从而确保移动网络边界安全。该项目将解决组织在保护移动基础设施时面临的检测、分析和响应规划问题，对移动网络基础设施威胁进行优先排序和计划响应。

“企业移动网络流量可见性”项目（Mobile Network TrafficVisibility for the Enterprise）由GuidePoint安全有限公司承担，该项目正在设计和实现一种解决方案，以实现联邦民事行政机构管理的移动设备上的保护性域名系统（DNS）功能和服务提供。该项目强制将移动DNS流量路由到由CISA管理的保护性DNS解析器中，并将DNS流量归属于拥有它们的设备和机构。这种方法将减少对物理空间和额外硬件的需求以及成本。

“大规模移动流量智能”项目（Mobile Traffic Intelligence at Scale）由AppCensus公司承担，该项目旨在增强移动设备上政府DNS流量的保护，以识别潜在的恶意软件、攻击或试图通过设备提取敏感数据的行为。通过对移动DNS流量的控制，建立设备上的流量拦截和控制，使移动客户端与CISA管理的受保护的DNS服务进行安全通信。此外，项目将探索用于控制加密DNS协议的解决方案，并研究用于验证和保护iOS和安卓设备的设备DNS设置的解决方案。

三、应急通讯计划

应急通讯计划[4]旨在保护美国国家应急部门关键通信系统安全，包括以下三项研发重点：加强应急通信中心的网络安全保护；创建更有效和可信的联邦身份、认证和访问管理功能；为计算机辅助调度系统制定互用性标准，以促进跨司法管辖区和响应方更有效地共享数据和信息。

“信息共享、保护和联合身份、认证和访问管理”项目（InformationSharing，Safeguarding, and Federated ICAM），由佐治亚理工学院应用研究公司承担。该项目的目标是推进支持信任标志框架的一套关键开源软件工具的成熟开发。促进公共安全实体实现联邦身份、认证和访问管理（ICAM）功能。允许以可靠、严格、灵活和可扩展的方式共享信息。

“CAD-to-CAD互操作性”项目（CAD-to-CADInteroperability），由IJIS研究所承担。该项目将联合公共安全从业人员、CAD解决方案供应商和标准开发组织，在协作的环境中促进需求和标准开发，并进行技术试点测试，以确保成功解决互操作性方面的挑战。项目采用分阶段的方法来减少风险，并通过基于步骤的共识构建来解决复杂的技术环境。提高响应人员的态势感知能力，优化对事件的响应。

“创建具有网络弹性的公共安全基础设施”项目（CreatingA Cyber-Resilient Public Safety Infrastructure），由SecuLore解决方案有限公司承担。该项目通过预测分析为应急通信中心/公共服务应答点提供网络安全保护，以快速响应已识别的网络攻击。执行者通过分析2级网络流量，使用长短期记忆递归神经网络来识别某些类型的恶意流量。执行者的Guardian服务允许它暂时阻止非常特定的流量，等待PSAP员工的审查和补救。项目开发的应急通信中心网络安全解决方案可以实现区分加密暴力攻击的成功与失败，并确保数据流量或吞吐量不会成为应急工作的阻碍。

四、人工智能与机器学习战略计划

2021年8月，DHS科学技术局发布《人工智能机器学习战略计划》[5]，开展人工智能和机器学习(AI/ML)的研究、开发、测试和评估活动，以支持国土安全部的任务需求。AI/ML战略计划提出推动下一代AI/ML技术发展，实现跨领域的国土安全能力，并明确了三个优先研发领域。

4.1发展先进可靠的人工智能

主要研究并为可解释的人工智能、隐私保护和反对抗性机器学习等问题提供可行的解决方案。

• 可解释的人工智能

科学与技术局将通过投资、合作和知识共享，支持可解释人工智能的研究。AI/ML的有效使用需要解释系统如何工作，需要对如何有效地评估AI/ML系统进行技术研究，包括确保技术评估纳入社会、行为和道德考虑，以及法律、政策和DHS的隐私要求。

• 隐私保护

许多AI/ML模型都经过大量数据的训练和处理。隐私保护新方法的研究可确保数据的收集、使用、维护和传播遵循隐私法律、法规和国土安全部政策，同时保持公众信任。科学与技术局的研究将包括政策、业务规则和创新隐私增强如何最好地确保AI/ML功能的隐私，还将研究新的隐私增强和保护，以及如何训练AI/ML模型以保护个人隐私的方式处理数据。

• 反对抗性机器学习

AI/ML在带来巨大益处的同时也创造了独特的攻击载体。AI/ML模型植根于它的训练数据，如果这些数据被泄露，人工智能/ML系统可能会以导致负面结果的方式被训练。另一方面，AI/ML模型也可以被攻击、窃取、欺骗或修改。研究反对抗性机器学习对于DHS开发可靠的人工智能至关重要。

4.2促进人机合作

主要研究AI/ML如何最有效地增强人类决策能力，优化人机交互并限制其弱点。

• 优化Human-in-the-Loop架构

考虑到DHS组件的敏感性以及AI/ML系统的脆弱性，构建充分发挥人类能力的系统，以获得人类认知和计算处理的最佳效果。

• 支持用户与异构体系结构之间的协作

传感器和数据爆炸式增长，特别是随着物联网(IoT)和边缘计算的出现，为DHS使用数据创造了新的机会。然而这些数据在不同的体系结构中存在，为充分利用数据，将研究开发能够在不同架构上实时操作的AI/ML系统。

4.3利用AI/ML发展安全的网络基础设施

主要研究允许跨系统数据共享和处理的能力，有效管理AI/ML模型，以及实现威胁检测和响应的AI/ML能力。

• 表征模型生命周期

研究并评估AI/ML模型的效果，以便提出建议，并告知利益攸关方如何在整个生命周期中有效管理AI/ML。

• 快速威胁检测和响应

考虑到网络威胁的出现、传播和演进的速度，将研究、开发、测试和评估能够实时识别和跟踪新出现的网络威胁的AI/ML能力。

• 实时和安全共享计算

对分析网络威胁和保护网络基础设施至关重要的许多数据和系统都具有安全分类、PII或专有信息等敏感性。研究允许跨系统共享和处理数据的技术能力，同时确保经过授权的访问和使用，并且不暴露敏感信息。

五、其他资源平台

除专门的研发项目外，DHS下属机构CISA为促进各机构间的情报共享，提升平时防御能力，建立开发了资源市场、防御协作中心等资源平台，为联邦机构、私营部门、州和地方政府提供“网络安全工具箱”。

5.1“网络质量服务管理市场”（Cyber QSMO）[6]

CyberQSMO市场是一个集成高质量、成本效益网络安全服务的在线平台，以帮助联邦民用企业减少在采购和维护网络安全中产生的时间和成本。除了CISA提供的解决方案外，Cyber QSMO 还与联邦服务供应商合作，提供符合或超过政府标准和要求的额外网络安全服务。主要服务包括：漏洞披露政策平台（VDP），VDP平台通过改进机构跟踪、分析、报告、管理和交流潜在漏洞的方式，增强联邦企业间的信息共享，使机构接收到可采取行动的漏洞信息，并与公众合作，提高其互联网访问系统的安全性。安全运营服务，CISA与美国司法部合作，以网络安全最佳实践为基础，为各机构提供情报主导、专家驱动、全天候威胁检测和事件响应服务。提高网络漏洞、事件发现和信息共享的可见性。保护DNS解析器服务，也称DNS防火墙服务，中和网络攻击中使用的恶意DNS内容，使用先进的DNS技术和威胁情报来源，阻止政府查询流量到达恶意域，并在发生事故时向机构内的安全组织发出警报。同时，CISA还会不定时发布报告、指南，为机构提供网络安全工作指导。如联邦机构应对勒索软件的CISAInsight报告，以及MITRE ATT&CK 框架技术实践指南等。

5.2网络防御协作中心

2021年8月5月，CISA宣布成立“联合网络防御协作中心”（JCDC），旨在通过全面的网络防御计划与联合演习方案，促进联邦机构、私营部门、州和地方政府建立有效网络防御合作，将“公私合作”转化为“公私运营协同”。已有多家网络公司加入中心建设工作，包括亚马逊云科技、AT&T、Crowdstrike、FireEye Mandiant、谷歌Cloud、Lumen、微软、帕洛阿尔托网络和Verizon。[7]

参考文献：

[1] https://www.cisa.gov/einstein

[2] FreeBuf《 “爱因斯坦”（EINSTEIN）计划综述》，https://cloud.tencent.com/developer/article/1040584

[3] CISA，Homeland Security，“Secure & Resilient Mobile Network Infrastructure & EmergencyComms Program R&D Guidebook”，2021.7.20， https://www.dhs.gov/sites/default/files/publications/21_0720_st_srmni_ec_rd_program_guidebook_final_508.pdf

[4] Ibid

[5] https://www.dhs.gov/publication/st-artificial-intelligence-and-machine-learning-strategic-plan

[6] CISA，“CYBER QSMO MARKETPLACE”，2021.7.16, https://www.cisa.gov/cyber-qsmo-marketplace.

[7]互联网安全内参，“应对超大型网络攻击，美国将组建联合网络防御协作中心”，2021.8.6，https://www.secrss.com/articles/33263

声明：本文来自网安思考，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。