美国爱因斯坦计划技术分析

【本文与2014年6月16日再次编辑，增加了一个续文的链接】

【本文于2011年8月30日再次更新，修订并补充了有关爱因斯坦3的一些内容】

【本文于2011年8月20日更新】

【前言】本文始于对网络安全态势感知的研究。而美国的这个爱因斯坦计划可以看成是网络态势感知的实际大规模运用。我发表此文，不担保文中的内容正确性，仅在于传播更多有关态势感知和爱因斯坦计划的信息。此外，本文在博客发表，也冀希望于借助开放的网络平台让更多人士看到本文，从而更好的指出其中的错误，深化其中的内容。

美国爱因斯坦计划技术分析

1 爱因斯坦-1

1.1概述

爱因斯坦计划1始于2003年，系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息，从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁，并更迅速地采取恰当的对策。通过收集参与该计划的联邦政府机构的信息，US-CERT能够建立和增强对美国网络空间态势感知的能力。这种态势感知的能力将使得国家能够更好地识别和响应网络威胁与***，提高网络安全性，提升关键的电子政务服务的弹性，增强Internet的可生存性。

1.2动因

爱因斯坦1计划的最根本动因就在于美国联邦机构各自都有自己的互联网出口，这种各自为战的情形使得联邦政府整体安全性难以得到保障，也无法获悉整个联邦政府的安全态势，不利于相互之间的信息共享、信息安全的协同。

1.3 收益

原来US-CERT更多的是分享弱点信息，而通过爱因斯坦1计划，则能够从更多的方面帮助联邦政府，这些方面包括：

1） 蠕虫检测：尤其是可以形成一幅跨政府部门的蠕虫***图；

2） 异常行为检测：通过跨政府部门的带内和带外的异常行为分析，能够更加全面的分析异常行为，并对其它部门提供预警信息和***线索；这个功能是爱因斯坦计划1 的核心；

3） 配置管理建议：通过爱因斯坦计划，US-CERT能够为联邦政府机构提供更有价值的配置管理建议；

4） 趋势分析：帮助联邦政府从整体上了解政府网络的健康度。

1.4技术分析

爱因斯坦1的技术本质是基于流量的分析技术（DFI）来进行异常行为的检测与总体趋势分析，具体的说就是基于*Flow数据的DFI技术。这里的*Flow最典型的一种就是NetFlow，此外还有sFlow，jFlow，IPFIX等等。US-CERT通过采集各个联邦政府机构的这些Flow信息，进行分析，获悉网络态势。

爱因斯坦1通过采集Flow信息，获得的数据包括以下几个部分：

1） ASN自治域号

2） ICMP类型/代号

3） 流字节长度

4） TCP/IP协议类型

5） 传感器编号：整个系统将在参与的联邦政府机构的网络中部署Flow采集传感器

6） 传感器状态

7） 源IP地址（IPv4）

8） 目的IP地址（IPv4）

9） 源端口

10）  目的端口

11）  TCP标志位信息

12）  时间戳

13）  持续时间

1.5系统工作流程

1） 各联邦机构通过部署传感器采集Flow数据，然后在本地进行一次分析，仅将关键的分析结果或者必要的信息传递给US-CERT，确保传输数据量受控；

2） US-CERT的分析师对传上来的数据进行二次分析，

3） 如果发现了可疑的行为或者其他异常，US-CERT分析师将与信息来源方联邦机构取得联系，一起检查与此可疑行为有关的其他网络行为；

4） 除了分析潜在的异常行为，US-CERT还将为联邦机构提供配置管理的设置建议。

1.6 系统管理界面截图

2 爱因斯坦-2

2.1 概述

爱因斯坦2计划是1号计划的增强，始于2007年，该系统在原来对异常行为分析的基础上，增加了对恶意行为的分析能力，以期使得US-CERT获得更好的网络态势感知能力。同时，2号计划将配合美国政府的TIC（可信Internet接入，旨在减少和收拢联邦政府机构分散的互联网出口）计划一起实施。

而实现该恶意行为分析能力的技术是网络***检测技术。而爱因斯坦2计划主要以商业的IDS技术为基础进行了定制开发，而特征库即有商业的，也有US-CERT自己的。爱因斯坦2计划中的特征库是US-CERT精选的，做到尽可能的少。

2.2 技术分析

爱因斯坦2计划的技术本质是IDS技术，它对TCP/IP通讯的数据包进行DPI分析，来发现恶意行为（***和***）。

爱因斯坦2计划的IDS技术中既有基于特征库（Signature，也有叫指纹库、指纹信息、签名库）的检测，也有基于异常的检测，二者互为补充。

爱因斯坦2通过DPI，获得的数据包包括以下几个部分：

1） 源IP：sIP

2） 目的IP：dIP

3） 源端口：sPort

4） 目的端口：dPort

5） 协议类型：protocol，例如TCP、ICMP、UDP等

6） 包数量：packets，通过传感器计算出来的一次连接的包数量

7） 字节数：bytes

8） 连接开始时间：sTime

9） 连接持续时间：dur

10） 连接结束时间：eTime

11） 传感器编号

12） 数据流方向：type，分为进（in/inweb/inimcp）、出（out/outweb/outicmp）、内到内（int2tint）、外到外（ext2ext）

13）初始标志位：intialFlag，例如C(WR)/E(CE)/U(RG)/A(CK)/P(SH)/R(ST)/S(YN)/F(IN)

2.3 传感器设计

爱因斯坦2计划的传感器中包括了商业的软件，政府定制的软件，以及商业的IDS软件。该传感器放置于联邦机构的互联网出口处（IAP，Internet Access Point），并且最终就是TIC计划中的那些统一互联网出口。

2.4 系统工作流程

1） 各传感器在本地互联网出口处进行DPI分析，通过特征检测技术和异常检测技术发现恶意行为，并产生告警；

2） 告警信息（Alert），相关的数据包信息（Flow-Records），以及必要的与恶意行为相关的网络原始报文信息（Traffic），都被送到US-CERT，供分析师进行深入分析；

3） US-CERT负责统一对传感器的特征库进行升级维护；

4） 所有US-CERT收集到的信息保存3年。

3 爱因斯坦-3

3.1概述

从2008年开始，美国政府启动了“全面国家网络空间安全计划（CNCI）【注1】”。作为其中的一部分，就是DHS的爱因斯坦3计划（DHS称其为下一代爱因斯坦计划）。目前，该计划披露的信息甚少。作为实施爱因斯坦3计划的一个重要步骤，DHS启动了一个“第三阶段演练”的项目，其中就有爱因斯坦3的部分技术可行性分析与验证的工作。根据“第三阶段演练”项目，可以得知，爱因斯坦3计划的主要技术支撑是IPS。而该***防御技术是由NSA（国家安全局）主导开发出来的，代号为称作“Tutelage”（已经用于保护军方网络），主要就是他们做出来的一套识别特定***的特征库（Signature）。“第三阶段演练”项目旨在验证有关技术，确定用于爱因斯坦3的技术方案。整个演练分为4各阶段实施。

根据“全面国家网络空间安全计划”（CNCI）中的TIC，提出了TICAP（可信Internet连接访问提供商）的概念，即将为联邦政府提供网络接入的ISP也纳入其中，例如AT&T公司。在“第三阶段演练”项目中，AT&T预计将参与其中。其中有一个演练的内容就是由TICAP将政府网络的流量有选择性的镜像并重定向出来，供US-CERT对这些流量进行***检测与防御分析的实验。

根据3号计划，DHS希望最终能够将TIC与爱因斯坦融合起来，成为联邦政府网络基础设施的基本保障。

另外，从爱因斯坦3计划开始，NSA（国家安全局）和DoD（国防部）都明确加入其中。

3.2 总体技术分析

在爱因斯坦3计划中，将综合运用商业技术和NSA的技术对政府机构的互联网出口的进出双向的流量进行实时的全包检测（Full Packet Inspection，FPI），以及基于威胁的决策分析。特别的，借助在电信运营商处（ITCAP）部署传感器，能够在***进入政府网络之前就进行分析和阻断。

爱因斯坦3计划的总体目标是识别并标记恶意网络传输（尤其是恶意邮件），以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应，也就是具备IPS的动态防御能力。

爱因斯坦3计划还增加了一个联动单位——NSA。US-CERT在获得DHS的许可后，会将必要的告警信息送给NSA进行进一步分析。

爱因斯坦3计划主要要解决的问题是网络空间威胁（Cyber Threat），至少包括钓鱼、IP欺骗、僵尸网络、DoS、DDoS、中间人***，以及其他恶意代码插入。

初步可以判断，爱因斯坦3计划依然是以使用DPI+DFI技术为主，获取的数据包信息没有超过1号和2号计划，最多也就相当于上述之和。

综上所述，爱因斯坦3的技术本质可以概括为：依托商业IPS技术，通过FPI，DPI+DFI等手段，与TIC计划紧密结合，实现对网络空间威胁（Cyber Threat）的识别和阻断。

爱因斯坦3计划的关键创新之处在于其部署方式（TICAP的加入使得原先的传感器专为在TICAP端部署，并采用所谓“重定向”技术）和运作流程。 在分析端，亮点在于加入了IPS的技术（主动响应技术），还有实时FPI全包分析的技术。进一步分析，这就涉及到更加精准的特征库、超高的传感器处理性能、更多高级的威胁分析技术。

另外，没有证据表明爱因斯坦3计划中的FPI不会对数据包的payload进行内容检测。

下图进一步说明了爱因斯坦3的传感器与TIC联合部署的逻辑拓扑：

上图展示了在四种接入方式下的爱因斯坦3号传感器的部署。图中，Networx是TIC下的另一个项目，旨在帮助联邦政府机构选择TIC接入的路由。

爱因斯坦计划不仅需要最先进的技术，还需要大量的人力资源，尤其是安全分析师。2009年的时候，US-CERT和DHS宣布在未来3年要为爱因斯坦计划招聘1000人的安全分析师。

【注1】关于CNCI，再多说一下，TIC与爱因斯坦是CNCI涉及的12项计划中的最重要的两个。CNCI计划由美国总统在2008年1月签署实施（NPSD54）。实际上，TIC和爱因斯坦都比CNCI提出的要早，但是后来都被合并到CNCI中去了。另外，在2008年底，DHS将爱因斯坦计划又合并到了NCPS（National Cyberseucrity Protection System）项目中了。因为原来对爱因斯坦的定义更多的是部署传感器，而在NCPS中则更加强调基于这些传感器获得的数据做关联与分析。

【后记】美国的爱因斯坦计划十分庞大，目标旨在保护其电子政务网络，同理，类似的技术也可以用户保护私人网络。爱因斯坦计划所对应的系统可以分为两个部分：传感器部分和分析中心部分，抑或称之为前端和后端。在前端，可以运用NAV技术，而后端可以运用SIEM技术。整个分布式的前端和集中化的后端和起来就构成了一个态势感知网络。而正在建设中的这个爱因斯坦系统，可以说是真正大规模实用的态势感知系统。事实上，爱因斯坦计划就是一个政府主导的，商业厂商参与的项目。在这个项目中处处可见商业厂商的影子，而这些参与的厂商，从技术上肯定有NAV和SIEM厂商。NAV，说到底，就是DPI+DFI。根据美国某公司的市场分析，美国政府的DPI市场从2010年到2015年将有36%的年均复合增长率，2015年将有18亿美元市场容量。市场中将包括DPI厂商，政府的合同供应商（SI），政府相关机构等。例如，国防外包商SAIC公司就在2010年收购了做DPI的公司。

通过了解最前沿的这些厂商的技术及其他们所服务的客户，也可以一窥网络态势感知的发展趋势。

此外，网络空间的安全态势感知（Cyber Security SA）与一般的网络安全态势感知（Network Security SA）还是有所不同的。

【参考】

欧洲的民间版爱因斯坦计划：欧洲龙虾计划技术初探

 从爱因斯坦2到爱因斯坦3