美国爱因斯坦计划解析

前言

从2003年至今，美国政府一直在研发和部署一项保护其政府网络的安全监测和防护计划---爱因斯坦计划。爱因斯坦系统是一个用于异常流量分析，入侵检测，入侵防御，大数据关联分析，快速响应和信息共享的国家级综合态势感知系统。经过十三年的发展，爱因斯坦系统已经演变成了一个以保护美国联邦机构和重要基础设施为目标，监控和感知它国互联网活动的主动防御工具甚至是一种攻击武器。我国需要在政策引导和扶植的基础上加大国家和安全厂商的合作，开发出能与之相抗衡的具有自主知识产权的新型网络安全设备和态势感知系统。

美国网络空间安全战略

美国从2009年开始启动了《全面国家网络空间安全计划》（CNCI），目标是全面建设联邦政府和基础设施的安防体系，建立全国统一的安全态势信息共享和指挥系统。CNCI中最重要的一个目标是“通过在联邦政府内部建设对网络漏洞、威胁和事件的共享态势感知能力和对减少当前漏洞和防止入侵的快速反应能力，从而搭建一条保护联邦政府的安全防御线”。而这个目标就是下文要重点阐述的爱因斯坦计划。

爱因斯坦计划详解

如下图所示，美国的网络安全工作由美国司法部（DoJ），美国国土安全部（DHS）和美国国防部（DoD）共同负责，但三者分工侧重点不同。本文要介绍的爱因斯坦计划着眼于美国本土安全，由美国国土安全部具体负责。美国国土安全部改组于2002年11月，下设16个部门。其中的科学和技术局(STD)下属的网络安全部(CSD)主要负责国家层面网络安全理论和技术路线的研究，而国家保卫与计划执行局（NPPD）下属的网络安全和通信办公室(CS&C)负责国家层面网络安全当前工作的执行。CS&C下属的美国计算机应急响应小组（US-CERT）具体负责爱因斯坦计划的实施。

爱因斯坦计划的目的是建立一套能够自动地收集、关联、分析和共享美国联邦政府安全信息的系统，使得各联邦机构能够实时地感知其网络基础设施面临的威胁，并更迅速地采取恰当的对策。这种态势感知的能力将使得国家能够更好地识别和响应网络威胁与攻击，提高网络安全性，提升关键的电子政务服务的弹性。爱因斯坦计划包括3个阶段，分别启动于2003、2007、2008年。

一、爱因斯坦1

爱因斯坦1开始于2003年，其动因在于美国联邦机构各自都有自己的互联网出口，这种各自为战的情形使得联邦政府整体安全难以得到保证，也无法从全局上掌握整个联邦政府的安全态势，不利于相互之间的信息共享和安全的协防。

爱因斯坦1的技术本质是使用深度流检测技术（DFI）进行异常行为的监控与总体趋势分析，具体的说就是基于Flow 数据的DFI 技术。这里的Flow 最典型的一种就是NetFlow，此外还有sFlow，jFlow，IPFIX等。爱因斯坦1的流量统计功能可以从地理位置、协议类型，源端口和目的端口等不同角度进行统计。下图显示的是2006年6月2日11点起24小时内通过爱因斯坦1系统的全球流量分布情况（数据来源：美国国土安全部）。

二、爱因斯坦2

爱因斯坦2是爱因斯坦1的增强版，始于2007 年。爱因斯坦2配合美国政府的可信任互联网连接计划(TIC)一起实施，目的是将联邦政府机构分散的互联网出口合并成单一的可信任互联的政府网络。根据TIC计划，在2009年末美国联邦机构的互联网出口数量从4300多个下降到100个左右。

爱因斯坦2在异常行为分析的基础上，增加了对恶意行为的分析能力，从而使得US-CERT 获得了更好的网络态势感知能力。当网络流信息进入或离开政府网络时，系统通过指纹比对进行检测。一旦发现可疑活动，立即向US－CERT报警，同时复制相应的网络流数据，供后续分析。
爱因斯坦2分为三个阶段进行：爱因斯坦2.0，爱因斯坦2.1和爱因斯坦2.2。

爱因斯坦2.0
爱因斯坦2.0 的核心工作是在联邦政府网络出口部署IDS设备，还加入了以下的增强功能。
1）事件管理系统（IMS）：构建一个全新的网络安全事件管理系统。在这个系统中，不同角色的人员可以对发现的网络威胁进行汇报，分析，处理和信息共享。
2）深度报检测环境（PCAP）：通过PCAP，US-CERT可以对爱因斯坦传感器识别的流量进行负载检测，并且转化JavaScript脚本为人类可读的代码，使得分析人员能更好地评估恶意流量的功能，用途和危害程度。
3）高级恶意代码分析中心(AMAC)：分析人员使用AMAC来分析真实恶意代码来找到威胁的意图和如何保护系统。
4）增强的分析数据库和流可视化系统（EADB）： EADB的数据来源于爱因斯坦 1，2和3的传感器和PCAP等环境。数据库采用支持高速并行处理的技术，并采用商业的可视化和分析工具。US-CERT可以快速可视化地分析不同数据间的关系，并通过分析表面上不相关数据的模型，趋势和内在联系来发现潜在的威胁。
5）网络空间指标体系库（CIR）：CIR管理着US-CERT与各联邦机构之间共享的与恶意网络流量相关的各种威胁指标。可以作为威胁特征的对象包括：ip地址，域名，URI，字符串，文件大小和hash值，email头的发送时间、主题、链接、附件、发送者名字和发送者email地址等。
6）网络空间指标分析平台（CIAP）：对CIR中的各种指标进行分析的平台。
7）与CyberScope网站集成：CyberScope是美国行政管理和预算局（OMB）主管的一个用于对联邦机构进行持续监控的系统，能够定期自动地产生各个机构的FISMA报表。通过爱因斯坦2.0，能够实现司法部的数据中心与DHS的数据中心进行数据交换。
8）建立US-CERT的公共网站： US-CERT网站用于向公众发布US-CERT的工作进展和网络空间安全信息。
9）建立US-CERT的HSIN网站：HSIN是一个对内的门户网站，在US-CERT、联邦机构和可信赖的合作伙伴之间构建了一个信息分享和协作的社区。
上述的功能1用于支撑网络威胁事件的发现，分析，解决到信息共享的完整过程。功能2,3,4为网络流量数据包存储，攻击行为分析和大数据分析提供了坚实的基础。功能5和6用于更新网络威胁的特征库。功能7,8和9用于信息共享。我们可以看到，爱因斯坦2.0的完成，美国政府已经具备网络威胁的发现、分析和信息共享的能力。

爱因斯坦2.1
爱因斯坦2.1的核心是搭建安全信息和事件管理系统（SIEM）。此外还包括建立具有聚合和增强能力的数据存储机制，多数据源关联技术和可视化技术。SIEM通过PCAP，EADB和AMAC等环境,可以汇集相同的事件和日志，并且可视化地分析和处理威胁事件。在爱因斯坦2.1中，分析的数据源主要包括：Flow数据、IDS告警、外部情报，以及US-CERT的各种黑白名单。通过对上述数据的接近实时处理与分析，SIEM可以提高安全事件响应能力，帮助US-CERT更有效的响应外部威胁。
下图是爱因斯坦系统数据收集和分析的示意图。图中的红线表示被（3）和（4）中的爱因斯坦1和2传感器捕获的可疑流量，被发送到（2）中的位于佛罗里达州彭沙科拉城的SIEM中心。蓝线表示位于弗吉尼亚的US-CERT分析师通过VPN连接到（2）中的SIEM系统进行流量分析和态势感知。
在2013年，US-CERT 使用 SIEM系统每天分析的事件量达到了20亿条。通过搭建SIEM系统使得爱因斯坦具有了大数据分析的能力。

爱因斯坦2.2
如下图所示，爱因斯坦2.2的主要任务是如何将收集到的海量网络安全信息进行协同处理和分享。爱因斯坦2.2具体包括以下内容：
1. 建立基于角色访问控制的双重认证和授权管理机制，保证系统的安全性和合规性。
2. 搭建用于社区参与和协作的email，语音邮件，文件共享，超级搜索和网络会议等系统。
3. 搭建研究恶意代码和共享研究成果的公共平台，共享安全工具和脚本。
4. 分享网络拓扑信息，培训资料和文档搜索服务。
5.共享IDS规则库，汇聚数据的报告，爱因斯坦数据库，恶意代码库和漏洞库。

通过爱因斯坦2.0,2,1和2.2的部署，美国联邦政府能够建立起完整的网络威胁的发现、大数据分析和信息共享的态势感知能力。

三、爱因斯坦3A

爱因斯坦3A是爱因斯坦计划3的第一阶段,开始于2008年。爱因斯坦3A的技术本质可以概括为：依托商业IPS技术，通过DPI+DFI 等手段，与TIC 计划紧密结合，对美国联邦机构的互联网出口流量进行实时检测并对恶意流量进行分析，在网络威胁进入联邦机构网络之前就进行分析和阻断。

爱因斯坦2和3A的区别在于：爱因斯坦2的传感器探测到潜在的恶意行为时向US-CERT报警，但它不直接改变相应机构自身对网络安全的监控和防御措施。而爱因斯坦3A的传感器可以实时识别恶意流量，并根据特征库的已有知识直接对恶意流量进行阻断等操作。
截止到2014年3月，DHS已经与5个ISP提供商(CenturyLink Inc., Level 3 Communications Inc., Sprint Corp, AT&T Inc.和Verizon Communications)签订了部署IPS的合同，已覆盖87%的联邦机构流量。
2017财年爱因斯坦计划获得了美国总统直属的行政管理与预算办公室（OMB）4.7亿美元的拨款，继续进行IPS设备的部署，增强信息共享和提高对数据的分析能力。
我们能看到，爱因斯坦系统是一个用于异常流量分析，入侵检测，入侵防御，大数据关联分析和信息共享的综合态势感知系统，正在进行相应的硬件，软件，分析工具和信息共享等方面的全方位的建设，承担起了事前预防，实时威胁遏制，大数据分析及快速响应的国家网络安全防御任务。

总结与展望

爱因斯坦计划的使用范围和威胁:美国政府一直强调爱因斯坦计划是部署在政府网络范围，在具体实施过程中却加入了军事、经济、司法、外交、反恐、情报等敏感网络。美国的三大电信运营商：AT&T，Verizon，Sprint都同时为美国政府网络和军事网络提供服务。从使用角度上看，已经很难区别政府网络与非政府网络的界线。从爱因斯坦1章节的美国国土安全部网站展示的全球流量分布图中我们可以看到，爱因斯坦系统7*24小时地监控非洲、亚洲、中美洲、欧洲、北美洲、大洋洲和南美洲的网络流量，这表明爱因斯坦系统已经对进出美国的，其它国的网络流量进行了监控。目前全球网络流量有超过32%域名服务和23%的流量交换发生在美国境内。棱镜计划的曝光充分证明了美国政府相关部门长期以来一直对包括中国在内的很多政府要员、个人和企业进行了大量的周密的网络窃密和监控，已经对我国国家安全构成了严重威胁。

爱因斯坦计划对我国的启示：经过十三年的发展，爱因斯坦系统已经演变成为了一个以保护美国联邦机构和重要基础设施为目标，监控和感知它国互联网活动的主动防御工具甚至是一种攻击武器。我国需要在政策引导和扶植的基础上加大国家和安全厂商的合作，开发出能与之相抗衡的具有自主知识产权的新型网络安全设备和态势感知系统，搭建出一整套具有态势感知和主动防御的联动系统，真正实现我国政务网络和公共网络的安全。