美國國家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)"愛因斯坦計(jì)劃"技術(shù)綜述及最新進(jìn)展

時(shí)間：2022-08-09 01:30:01 | 來源：網(wǎng)站運(yùn)營

時(shí)間：2022-08-09 01:30:01 來源：網(wǎng)站運(yùn)營

愛因斯坦計(jì)劃是美國政府為了加強(qiáng)對其聯(lián)邦政府網(wǎng)絡(luò)出口安全而進(jìn)行的一項(xiàng)長期的安全監(jiān)測與防護(hù)計(jì)劃，核心目標(biāo)就是保護(hù)美國聯(lián)邦政府的網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施安全，提升其防御網(wǎng)絡(luò)空間安全威脅的能力。




1、愛因斯坦計(jì)劃概述

借助愛因斯坦計(jì)劃，美國國土安全部（DHS）建立了一套系統(tǒng)，能夠自動(dòng)地收集、關(guān)聯(lián)、分析和共享美國聯(lián)邦政府之間的計(jì)算機(jī)安全信息，從而使得各聯(lián)邦機(jī)構(gòu)能夠接近實(shí)時(shí)地感知其網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的威脅，并更迅速地采取恰當(dāng)?shù)膶Σ?。通過收集參與該計(jì)劃的聯(lián)邦政府機(jī)構(gòu)的信息，國土安全部所屬的US-CERT（美國計(jì)算機(jī)應(yīng)急響應(yīng)小組）能夠建立和增強(qiáng)對美國網(wǎng)絡(luò)空間態(tài)勢感知的能力。這種態(tài)勢感知的能力將使得國家能夠更好地識(shí)別和響應(yīng)網(wǎng)絡(luò)威脅與攻擊，提高網(wǎng)絡(luò)安全性，提升關(guān)鍵的電子政務(wù)服務(wù)的彈性，增強(qiáng)Internet的可生存性。

愛因斯坦計(jì)劃從2003年開始，時(shí)間跨度很長，并分為了若干階段，每個(gè)階段都應(yīng)對若干模塊（Block）。

從2009年開始，美國政府啟動(dòng)了全面國家網(wǎng)絡(luò)空間安全計(jì)劃（CNCI），愛因斯坦計(jì)劃并入CNCI，并改名為NCPS（National CybersecurityProtection System，國家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)）。因此，NCPS等價(jià)于愛因斯坦計(jì)劃。

2、愛因斯坦計(jì)劃的關(guān)鍵技術(shù)

愛因斯坦計(jì)劃的關(guān)鍵技術(shù)點(diǎn)包括：

1） 入侵檢測技術(shù)

2） 入侵防御技術(shù)

3） 高級網(wǎng)絡(luò)空間分析技術(shù)

1. 數(shù)據(jù)聚合與關(guān)聯(lián)
2. 可視化
3. 惡意代碼分析
4. 包捕獲

4） 突發(fā)事件管理

5） 信息共享與協(xié)作




3、愛因斯坦計(jì)劃發(fā)展及路線圖

美國愛因斯坦計(jì)劃從啟動(dòng)至今已經(jīng)11年了。整體上，目前為止，愛因斯坦計(jì)劃分為3個(gè)階段，分別稱為愛因斯坦1、愛因斯坦2和愛因斯坦3。每個(gè)階段又分為若干個(gè)迭代的模塊（block），如下表所示。







愛因斯坦各個(gè)階段之間不是取代關(guān)系，而是不斷增強(qiáng)的關(guān)系。愛因斯坦1的檢測引擎至今仍在服役。







4、愛因斯坦1（Block1）

愛因斯坦1的最根本動(dòng)因就在于美國聯(lián)邦機(jī)構(gòu)各自都有自己的互聯(lián)網(wǎng)出口，這種各自為戰(zhàn)的情形使得聯(lián)邦政府整體安全性難以得到保障，也無法獲悉整個(gè)聯(lián)邦政府的安全態(tài)勢，不利于相互之間的信息共享、信息安全的協(xié)同。

愛因斯坦1對應(yīng)的模塊是Block1。

4.1核心技術(shù)內(nèi)容

愛因斯坦1的核心技術(shù)內(nèi)容就是在聯(lián)邦政府機(jī)構(gòu)出口部署流（Flow）檢測引擎，進(jìn)行基于流的分析，同時(shí)構(gòu)建一個(gè)包括前端檢測引擎和后端分析中心相關(guān)基礎(chǔ)設(shè)施及其支撐系統(tǒng)在內(nèi)的任務(wù)操作環(huán)境（MOE）。

流分析的內(nèi)容包括：

1） 蠕蟲檢測：尤其是可以形成一幅跨政府部門的蠕蟲攻擊圖；

2） 異常行為檢測：通過跨政府部門的帶內(nèi)和帶外的異常行為分析，能夠更加全面的分析異常行為，并對其它部門提供預(yù)警信息和攻擊線索；這個(gè)功能是愛因斯坦計(jì)劃1 的核心；

3） 配置管理建議：通過愛因斯坦計(jì)劃，US-CERT能夠?yàn)槁?lián)邦政府機(jī)構(gòu)提供更有價(jià)值的配置管理建議；

4） 趨勢分析：幫助聯(lián)邦政府從整體上了解政府網(wǎng)絡(luò)的健康度。

在愛因斯坦1中的流分析主要是指DFI（深度流檢測）技術(shù)，分析對象就是各種格式的Flow數(shù)據(jù)，包括NetFlow、sFlow，jFlow，IPFIX等等。US-CERT通過采集各個(gè)聯(lián)邦政府機(jī)構(gòu)的這些Flow數(shù)據(jù)進(jìn)行分析，獲悉網(wǎng)絡(luò)態(tài)勢。

愛因斯坦1分析的Flow數(shù)據(jù)包括以下屬性：

1） ASN自治域號(hào)

2） ICMP類型/代號(hào)

3） 流字節(jié)長度

4） TCP/IP協(xié)議類型

5） 傳感器編號(hào)：整個(gè)系統(tǒng)將在參與的聯(lián)邦政府機(jī)構(gòu)的網(wǎng)絡(luò)中部署Flow采集傳感器

6） 傳感器狀態(tài)

7） 源IP地址（IPv4）

8） 目的IP地址（IPv4）

9） 源端口

10）目的端口

11）TCP標(biāo)志位信息

12） 時(shí)間戳

13） 持續(xù)時(shí)間

4.2 關(guān)鍵工作流程

1） 各聯(lián)邦機(jī)構(gòu)通過部署傳感器采集Flow數(shù)據(jù)，然后在本地進(jìn)行一次分析，僅將關(guān)鍵的分析結(jié)果或者必要的信息傳遞給US-CERT，確保傳輸數(shù)據(jù)量受控；

2） US-CERT的分析師對傳上來的數(shù)據(jù)進(jìn)行二次分析，

3） 如果發(fā)現(xiàn)了可疑的行為或者其他異常，US-CERT分析師將與信息來源方聯(lián)邦機(jī)構(gòu)取得聯(lián)系，一起檢查與此可疑行為有關(guān)的其他網(wǎng)絡(luò)行為；

4） 除了分析潛在的異常行為，US-CERT還將為聯(lián)邦機(jī)構(gòu)提供配置管理的設(shè)置建議。

愛因斯坦1界面







5、愛因斯坦2

Block2.0是愛因斯坦1（Block1.0）的增強(qiáng)，始于2007年，該系統(tǒng)在原來對異常行為分析的基礎(chǔ)上，增加了對惡意行為的分析能力，以期使得US-CERT獲得更好的網(wǎng)絡(luò)態(tài)勢感知能力。同時(shí)，Block2.0配合美國政府的TIC（可信互聯(lián)網(wǎng)接入，旨在減少和收攏聯(lián)邦政府機(jī)構(gòu)分散的互聯(lián)網(wǎng)出口）計(jì)劃一起實(shí)施。




5.1核心技術(shù)內(nèi)容

Block2.0的核心技術(shù)內(nèi)容是在聯(lián)邦政府網(wǎng)絡(luò)出口部署入侵檢測系統(tǒng)（IDS），并融合了愛因斯坦1（Block1.0）的流傳感器和流數(shù)據(jù)分析技術(shù)，實(shí)現(xiàn)基于特征的入侵檢測和基于異常行為的入侵檢測，并實(shí)現(xiàn)了集中化的數(shù)據(jù)存儲(chǔ)，以及開發(fā)一套可視化分析工具和知識(shí)庫。

Block2.0主要以商業(yè)的IDS技術(shù)為基礎(chǔ)進(jìn)行了定制開發(fā)，而特征庫既有商業(yè)的，也有US-CERT自己的。

Block2.0中流數(shù)據(jù)的屬性跟愛因斯坦1（Block1.0）相比，有所改進(jìn)：

1） 源IP：sIP

2） 目的IP：dIP

3） 源端口：sPort

4） 目的端口：dPort

5） 協(xié)議類型：protocol，例如TCP、ICMP、UDP等

6） 包數(shù)量：packets，通過傳感器計(jì)算出來的一次連接的包數(shù)量

7） 字節(jié)數(shù)：bytes

8） 連接開始時(shí)間：sTime

9） 連接持續(xù)時(shí)間：dur

10 連接結(jié)束時(shí)間：eTime

11）傳感器編號(hào)

12）數(shù)據(jù)流方向： type，分為進(jìn)（in/inweb/inimcp）、出（out/outweb/outicmp）、內(nèi)到內(nèi)（int2tint）、外到外（ext2ext）

13）初始標(biāo)志位：intialFlag，

例如C(WR)/E(CE)/U(RG)/A(CK)/P(SH)/R(ST)/S(YN)/F(IN)

5.2 關(guān)鍵工作流程

1） 各傳感器在本地互聯(lián)網(wǎng)出口處進(jìn)行DPI分析，通過特征檢測技術(shù)和異常檢測技術(shù)發(fā)現(xiàn)惡意行為，并產(chǎn)生告警；

2） 告警信息（Alert），相關(guān)的數(shù)據(jù)包信息（Flow-Records），以及必要的與惡意行為相關(guān)的網(wǎng)絡(luò)原始報(bào)文信息（Traffic），都被送到US-CERT，供分析師進(jìn)行深入分析；

3） US-CERT負(fù)責(zé)統(tǒng)一對傳感器的特征庫進(jìn)行升級維護(hù)；

4） 所有US-CERT收集到的信息保存3年。

到2013財(cái)年底，美國各聯(lián)邦機(jī)構(gòu)82%的流量都納入了IDS檢測范圍之內(nèi)。

5.3 Block2.0.X

Block2.0.X是Block2.0的增強(qiáng)版，旨在進(jìn)一步增強(qiáng)IDS的檢測能力以及后端的分析能力。

Block2.0.X的核心技術(shù)內(nèi)容包括：

1）包捕獲技術(shù)：就是抓取網(wǎng)絡(luò)中可疑的網(wǎng)絡(luò)流量，并將這些payload存儲(chǔ)起來進(jìn)行分析，構(gòu)建起一個(gè)可以網(wǎng)絡(luò)惡意流量信息的抓取、存儲(chǔ)、分析的環(huán)境。

2） 惡意代碼分析中心：一個(gè)能夠安全自動(dòng)地的提交和分析惡意代碼的工作環(huán)境，實(shí)現(xiàn)對惡意代碼樣本的安全提交、存儲(chǔ)、分析和研究。

3） 增強(qiáng)的分析中心：具備高吞吐能力的關(guān)系型數(shù)據(jù)庫和可視化分析工具，用以對大規(guī)模數(shù)據(jù)進(jìn)行查詢分析和可視化，以及出具分析報(bào)表報(bào)告。

4）突發(fā)事件管理系統(tǒng)（IMS）：主要是構(gòu)建一個(gè)全新的Incident（突發(fā)事件）管理系統(tǒng)，包括遵循相關(guān)的標(biāo)準(zhǔn)化流程、具有派單處置功能能夠，替代US-CERT原有的類似系統(tǒng)。

5）網(wǎng)絡(luò)空間指標(biāo)體系庫（CIR）：旨在讓US CERT與各聯(lián)邦機(jī)構(gòu)部門之間分享各種與惡意網(wǎng)絡(luò)流量相關(guān)的威脅指標(biāo)（例如DNS、EMAIL、文件哈希值等等）。

6）網(wǎng)絡(luò)空間指標(biāo)分析平臺(tái)（CIAP）：就是對CIR中的各種CI（指標(biāo)）進(jìn)行分析的平臺(tái)。

7） 與CyberScope集成：將愛因斯坦系統(tǒng)與CyberScope【參見附錄B】系統(tǒng)對接，實(shí)現(xiàn)DHS數(shù)據(jù)中心與司法部數(shù)據(jù)中心之間的數(shù)據(jù)交換。

8） 建立US-CERT的公共網(wǎng)站：主要是重構(gòu)US-CERT的網(wǎng)站，承辦單位是CMU的SEI軟件工程研究所，能夠與DHS的數(shù)據(jù)中心相連。

9） 建立US-CERT的HSIN門戶：就是一個(gè)對內(nèi)門戶網(wǎng)站，承包商是NC4。這個(gè)門戶網(wǎng)站旨在在CERT、聯(lián)邦機(jī)構(gòu)、可信賴的合作伙伴之間構(gòu)建一個(gè)信息分享協(xié)作和分析工作的社區(qū)。

5.4 Block2.1

Block2.0的重點(diǎn)在于前端的檢測引擎，而Block2.1的重點(diǎn)就在于后端的分析能力構(gòu)建。

Block2.1的核心技術(shù)內(nèi)容就是搭建SIEM系統(tǒng)，實(shí)現(xiàn)對分散數(shù)據(jù)源的事件的標(biāo)準(zhǔn)化與關(guān)聯(lián)分析，提供威脅的可視化、分析與報(bào)告服務(wù)，從而提升對網(wǎng)絡(luò)空間突發(fā)事件的檢測、防御和通知能力，提升對網(wǎng)絡(luò)空間要素信息的關(guān)聯(lián)、聚合與可視化能力。

在Block2.1中，分析的數(shù)據(jù)源主要包括：Flow數(shù)據(jù)、Flow數(shù)據(jù)標(biāo)簽、IDS告警、商業(yè)的威脅情報(bào)，以及CERT的各種黑白名單。

隨著SIEM系統(tǒng)的不斷優(yōu)化，到2013年，US-CERT利用SIEM每天分析的事件量達(dá)到了20億條。

下圖展示了各聯(lián)邦機(jī)構(gòu)部署的愛因斯坦1前端設(shè)備和愛因斯坦2前端設(shè)備是如何連接到DHS新建的位于美國佛羅里達(dá)Pensacola的數(shù)據(jù)中心的。




5.5 Block2.2

Block2.2的核心技術(shù)內(nèi)容是建立一個(gè)網(wǎng)絡(luò)空間安全信息的共享與協(xié)作（ISCE）平臺(tái)及其系列工具，以及獲得基于搜索技術(shù)的網(wǎng)絡(luò)調(diào)查分析追蹤能力。DHS為Block2.2的信息分享與協(xié)作定了幾個(gè)關(guān)鍵指標(biāo)，包括該項(xiàng)目的各參與方能夠在30分鐘內(nèi)分享到任何一方檢測并確認(rèn)的網(wǎng)絡(luò)空間安全事件的數(shù)據(jù)和相關(guān)信息。

信息共享與協(xié)作環(huán)境（ISCE）

可見，在愛因斯坦2的后期，主要使命是如何將那些收集到的天量數(shù)據(jù)以及各種分析結(jié)果及時(shí)有效地使用起來，不僅是DHS能夠用起來，也讓各聯(lián)邦政府機(jī)構(gòu)也參與到安全分析工作中來。




6、愛因斯坦3

愛因斯坦3始于2009年。之前的階段都是被動(dòng)的安全檢測，而從愛因斯坦3開始，試圖進(jìn)行主動(dòng)的安全防御，即部署IPS（入侵防御系統(tǒng)）。

愛因斯坦3計(jì)劃的總體目標(biāo)是識(shí)別并標(biāo)記惡意網(wǎng)絡(luò)傳輸，以增強(qiáng)網(wǎng)絡(luò)空間的安全分析、態(tài)勢感知和安全響應(yīng)能力。系統(tǒng)將能夠自動(dòng)地檢測網(wǎng)絡(luò)威脅并在危害發(fā)生之前作出適當(dāng)?shù)捻憫?yīng)，也就是具備IPS的動(dòng)態(tài)防御能力。

愛因斯坦3計(jì)劃還增加了一個(gè)聯(lián)動(dòng)單位——NSA（美國國家安全局）。US-CERT在獲得DHS的許可后，會(huì)將必要的告警信息送給NSA進(jìn)行進(jìn)一步分析。

為了實(shí)現(xiàn)愛因斯坦3，DHS首先從2010年開始進(jìn)行陸續(xù)了一系列驗(yàn)證和演練。在演練結(jié)束后，正式啟動(dòng)了愛因斯坦3的第一階段子計(jì)劃——愛因斯坦3A（Einstein 3 Accelerated，愛因斯坦3促進(jìn)計(jì)劃），對應(yīng)Block3.0模塊。

愛因斯坦3A于2013年7月實(shí)現(xiàn)了第一個(gè)聯(lián)邦機(jī)構(gòu)的正式部署上線。目前為止，整個(gè)愛因斯坦計(jì)劃仍處于3A階段（Block3.0）。

6.1核心技術(shù)內(nèi)容

Block3.0的核心技術(shù)內(nèi)容就是入侵防御能力的構(gòu)建，變被動(dòng)監(jiān)測為主動(dòng)防御。通過部署IPS，綜合運(yùn)用商業(yè)技術(shù)和NSA的技術(shù)對政府機(jī)構(gòu)的互聯(lián)網(wǎng)出口的進(jìn)出雙向的流量進(jìn)行實(shí)時(shí)的全包檢測（Full Packet Inspection，F(xiàn)PI），以及基于威脅的決策分析。

此外，Block3.0還包括對之前兩個(gè)階段成果的能力增強(qiáng)。在Block3.0中，包括了對更加大量數(shù)據(jù)的采集、存儲(chǔ)與分析，更高效的信息共享與協(xié)作（要將之用于主動(dòng)防御），更強(qiáng)大的流分析能力和SIEM能力，引入網(wǎng)絡(luò)管理、性能管理技術(shù)，同時(shí)還加強(qiáng)了任務(wù)操作環(huán)境（MOE）建設(shè)。

DHS很清楚要實(shí)現(xiàn)如此大規(guī)模的入侵防御并非易事，需要循序漸進(jìn)。因此，在Block3.0中，入侵防御功能首先就落到了DNS防護(hù)和電子郵件過濾上。通過部署IPS，重點(diǎn)實(shí)現(xiàn)DNS防護(hù)和電子郵件防護(hù)。

DNS Sinkhole技術(shù)

DNS Sinkhole技術(shù)用于阻止已經(jīng)被植入政府網(wǎng)絡(luò)的惡意代碼與外部的惡意域名之間的通訊，它能夠?qū)阂獯a的DNS連接請求重定向到安全的服務(wù)器，或者是Sinkhole Server，從而阻止惡意代碼的后續(xù)行為（譬如下載木馬和諜件）。與此同時(shí)，ISP（互聯(lián)網(wǎng)服務(wù)提供商）和DHS可以收集到這些試圖連接確定的或者可疑的DNS的請求信息，并對他們進(jìn)行進(jìn)一步地分析。

Email過濾技術(shù)

電子郵件過濾技術(shù)使得DHS能夠在網(wǎng)絡(luò)上對所有發(fā)給政府網(wǎng)絡(luò)用戶的郵件進(jìn)行掃描，能夠識(shí)別含有惡意代碼的附件、惡意URL等，將其過濾掉，并可以轉(zhuǎn)發(fā)到特定位置，以供分析人員進(jìn)一步檢測。

無論是DNS防護(hù)還是郵件過濾，都屬于這個(gè)IPS設(shè)備中的核心功能，并且IPS設(shè)備主要依靠所謂的指標(biāo)特征（Indicator）來進(jìn)行識(shí)別。這些指標(biāo)包括：

1）IP地址和DNS域名：本質(zhì)上就是一份IP和DNS的黑名單。這份黑名單由DHS的分析師來制定和下發(fā)。

2）電子郵件頭：包括發(fā)件日期、主題、發(fā)件人、發(fā)件人地址、鏈接、附件，等等。

3）文件：惡意文件的特征標(biāo)記。

4）其它各種特征串。

6.2 關(guān)鍵工作流程

在Block3.0中，IPS就是根據(jù)前述指標(biāo)特征進(jìn)行惡意郵件過濾和惡意DNS連接阻斷，工作很單純。但是作為整個(gè)體系，需要DHS后臺(tái)的分析師定義出清晰地特征指標(biāo)并下發(fā)給IPS設(shè)備，此外，還需要快速地在各個(gè)ISP間及IPS設(shè)備間進(jìn)行指標(biāo)特征的信息分享。很多時(shí)候，指標(biāo)特征是DHS下發(fā)給ISP服務(wù)商，再由ISP根據(jù)具體情況進(jìn)行修訂和下發(fā)。同時(shí)，ISP也能識(shí)別并提交新的指標(biāo)特征。

一旦IPS識(shí)別到某個(gè)攻擊行為，不僅會(huì)進(jìn)行阻斷，而且還會(huì)產(chǎn)生告警，并將告警及其相關(guān)的情境信息經(jīng)由ISP提交給CS&C。這些信息包括：唯一的告警ID、發(fā)生告警的聯(lián)邦機(jī)構(gòu)、產(chǎn)生告警的指標(biāo)/動(dòng)作對、告警的時(shí)間、相關(guān)的netflow流數(shù)據(jù)，并且，可能地話，還有被隔離或者被捕獲/存儲(chǔ)的相關(guān)數(shù)據(jù)報(bào)文。

6.3 愛因斯坦3A的業(yè)務(wù)模式和部署進(jìn)展

2013年7月，第一個(gè)聯(lián)邦機(jī)構(gòu)部署才正式上線愛因斯坦3A服務(wù)，整個(gè)2013年共部署了4個(gè)單位。從2013年開始至今，DHS針對愛因斯坦3的業(yè)務(wù)模式已經(jīng)從原來的由DHS部署IPS設(shè)備轉(zhuǎn)成了DHS跟ISP（互聯(lián)網(wǎng)服務(wù)提供商）簽署合同，由ISP來提供IPS服務(wù)的方式。當(dāng)然，DHS與ISP之間有一個(gè)專用內(nèi)部網(wǎng)絡(luò)用來交換相關(guān)信息。

在這種模式下，對聯(lián)邦機(jī)構(gòu)提供愛因斯坦3A服務(wù)的不直接是DHS的CS&C（也就是負(fù)責(zé)運(yùn)營愛因斯坦的部門），而是ISP。而ISP將這些服務(wù)包裝成一個(gè)MSS（可管理安全服務(wù)），同時(shí)DHS對ISP提出了明確清晰的服務(wù)目標(biāo)和服務(wù)水平要求，而服務(wù)具體如何是實(shí)現(xiàn)則是MSSP（即ISP）的事。

通過此舉，DHS降低了所需預(yù)算，也提前了落地的時(shí)間進(jìn)度。根據(jù)DHS自己的估計(jì)，原本采用自建模式，覆蓋美國所有聯(lián)邦政府機(jī)構(gòu)需要到2018財(cái)年，而通過這種聯(lián)營的方式，全覆蓋可以在2015財(cái)年實(shí)現(xiàn)，即提前了3年。

在2013年，花費(fèi)在愛因斯坦3A（Block3.0）愛因斯坦2增強(qiáng)版（Block2.2）上的預(yù)算高達(dá)1.16億美元。不過，由于其業(yè)務(wù)模式轉(zhuǎn)變?yōu)榻柚鶬SP來提供服務(wù)，后續(xù)的預(yù)算應(yīng)該會(huì)逐步減少。




7、最新進(jìn)展

根據(jù)2019年8月16日OMB公布的2018財(cái)年的FISMA報(bào)告，目前，愛因斯坦項(xiàng)目總體上處于E3A階段。截至2018年9月26日，在102個(gè)聯(lián)邦民事機(jī)構(gòu)中，有70個(gè)已經(jīng)完全實(shí)現(xiàn)了三階段NCPS能力，包括列入CFO法案的23個(gè)機(jī)構(gòu)。




7.1 2020財(cái)年項(xiàng)目預(yù)算與計(jì)劃分析

據(jù)此我們可以發(fā)現(xiàn)，在2017財(cái)年（含）之前的總預(yù)算達(dá)到了28.17億美元，2018財(cái)年的預(yù)算是4.02億美元，2019財(cái)年的預(yù)算是4.07億美元，而2020財(cái)年的預(yù)算是4.05億美元，最近三年預(yù)算基本持平，都是略多于4億美元。

NCPS項(xiàng)目的預(yù)算總體上包括兩部分：運(yùn)行維護(hù)、采購建設(shè)與提升。從上表可以發(fā)現(xiàn)，最近三年的兩部分預(yù)算分配比例也都基本保持一致，都是2：1的樣子。

而在2017財(cái)年（含）以前，NCPS的預(yù)算則主要是采購建設(shè)與提升，運(yùn)維部分的預(yù)算比例較低，2017財(cái)年（含）之前的運(yùn)維總預(yù)算還不及最近三年的運(yùn)維預(yù)算之和多。這也說明，近些年開始，NCPS項(xiàng)目主要是運(yùn)維，采購實(shí)施和升級工作逐步減少。

7.2運(yùn)維預(yù)算分析

以下針對2020財(cái)年的運(yùn)維（Operations and Support）預(yù)算進(jìn)行分析。

在2.99億運(yùn)維預(yù)算中，有2.69億是非支付性成本（Non Pay Budget，包括譬如房租水電、固定資產(chǎn)、耗材、差旅住宿、培訓(xùn)、通訊、物流、咨詢與協(xié)助服務(wù)、來自聯(lián)邦的其它貨品和服務(wù)等），人員成本（支付性成本）是3000萬美元，約合169人（人均成本17.7萬美元）。

其中，在2.69億美元的非支付性成本中，“咨詢與協(xié)助服務(wù)”，以及“來自聯(lián)邦的其它貨品和服務(wù)”的金額占比很高，達(dá)到87%，并沒有給出具體明細(xì)。根據(jù)筆者的分析，這部分服務(wù)和貨物應(yīng)該包括了DOD對NCPS的各種幫助，以及大量的運(yùn)維外包服務(wù)。很顯然，全國性的這么一個(gè)大系統(tǒng)，僅靠預(yù)算編制的169人是不可能運(yùn)維的起來的。

7.2 采購實(shí)施與提升預(yù)算分析

進(jìn)一步分析2020財(cái)年采購建設(shè)和提升（Procurement, Construction and Improvements）的預(yù)算（1.06億美元）的構(gòu)成，如下表，包括6個(gè)部分：項(xiàng)目規(guī)劃與運(yùn)作、核心基礎(chǔ)設(shè)施、入侵檢測、入侵防御、分析、信息共享。

這里，入侵檢測和入侵防御就是愛因斯坦的前端，相當(dāng)于探針和傳感器；分析就是愛因斯坦的后端，相當(dāng)于一個(gè)基于大數(shù)據(jù)分析技術(shù)的SOC平臺(tái)；而信息共享就是愛因斯坦的威脅情報(bào)平臺(tái)（TIP）；核心基礎(chǔ)設(shè)施主要是“任務(wù)操作環(huán)境”（Mission Operating Environment，簡稱MOE），相當(dāng)于SOC平臺(tái)的底層架構(gòu)和軟硬件支撐環(huán)境，生產(chǎn)和測試環(huán)境，網(wǎng)絡(luò)鏈路和帶寬，等等；項(xiàng)目規(guī)劃與運(yùn)作包括系統(tǒng)規(guī)劃、設(shè)計(jì)與評估、采購管理、項(xiàng)目管理、人員管理與培訓(xùn)等。

可以發(fā)現(xiàn)，從2019財(cái)年開始，重新列入了入侵檢測的預(yù)算。這是因?yàn)?，?018財(cái)年Q4開始，NCPS開始升級其入侵檢測功能，在過去基于特征的檢測基礎(chǔ)之上增加了基于ML的檢測方法（代號(hào)LRA），并啟動(dòng)了云檢測試點(diǎn)。此外，2020財(cái)年的入侵檢測預(yù)算中還包括一項(xiàng)440萬美元的構(gòu)建統(tǒng)一DNS服務(wù)的預(yù)算。

7.3 主要合同分析

上表顯示了近三年來NCPS主要的采購合同，可以看到最大的供應(yīng)商（集成商）是雷神公司，其兩個(gè)合同的總值達(dá)到了5年6.24億美元。

7.4 項(xiàng)目計(jì)劃

2020財(cái)年NCPS的主要計(jì)劃和里程碑事件包括：

入侵檢測與防御

• 收集各方需求，開發(fā)一套集中的權(quán)威DNS域名解析系統(tǒng)，為聯(lián)邦民事機(jī)構(gòu)（FCEB）提供服務(wù)。該托管服務(wù)將提供DNS管理功能，并在傳統(tǒng)DNS服務(wù)的基礎(chǔ)之上提供一系列安全分析服務(wù)。DHS認(rèn)為DNS系統(tǒng)影響面極大，并引用思科的分析報(bào)告稱99%的惡意代碼都利用DNS。
• 升級和夯實(shí)入侵防御安全服務(wù)（IPSS），以增強(qiáng)對.gov域名的網(wǎng)絡(luò)安全防護(hù)；
• 繼續(xù)對愛因斯坦的傳感器套件進(jìn)行升級，提升性能、可靠、容量和賬戶，以滿足不變演進(jìn)的新場景（譬如云、移動(dòng)）下的流量檢測之需；
• 繼續(xù)同聯(lián)邦政府的云服務(wù)提供商合作，使得NCCIC可以借助他們的安全服務(wù)和數(shù)據(jù)去保護(hù)聯(lián)邦機(jī)構(gòu)的資產(chǎn)，以順應(yīng)政府上云的發(fā)展趨勢；
• 繼續(xù)改進(jìn)和夯實(shí)基于非簽名的檢測能力，借助基于行為和信譽(yù)的機(jī)器學(xué)習(xí)技術(shù)的LRA項(xiàng)目來實(shí)現(xiàn)高級檢測能力；

分析

• 繼續(xù)實(shí)現(xiàn)重構(gòu)后的高級惡意代碼分析中心（AMAC），更加自動(dòng)化地對收集到的惡意樣本進(jìn)行分析、逆向
• 繼續(xù)增強(qiáng)分析工具和過程以進(jìn)一步提升網(wǎng)絡(luò)威脅分析的自動(dòng)化水平；
• 增強(qiáng)分析框架的能力，使得NCCIC的分析師能夠?qū)崿F(xiàn)跨NCPS數(shù)據(jù)集的信息查詢和分析；

信息共享

• 實(shí)施跨域解決方案（CDS）項(xiàng)目，以提升涉密信息處理的效率
• 繼續(xù)增強(qiáng)統(tǒng)一工作流（Unified Workflow）能力，為NCCIC下各個(gè)獨(dú)立的業(yè)務(wù)和任務(wù)支撐應(yīng)用提供一個(gè)單一的工作流自動(dòng)化平臺(tái)，并將他們統(tǒng)一到一個(gè)統(tǒng)一視圖中去，從而提升NCCIC跟蹤、協(xié)調(diào)和報(bào)告安全事件的能力；
• 繼續(xù)增強(qiáng)信息共享基礎(chǔ)設(shè)施，提升NCPS與網(wǎng)絡(luò)社區(qū)共享信息的效率、可靠性和速度；

8、重點(diǎn)技術(shù)介紹

8.1 LRA

LRA的全名是“邏輯響應(yīng)孔徑”（Logical Response Aperture），是DHS開展的一項(xiàng)旨在提升安全分析與響應(yīng)自動(dòng)化的項(xiàng)目的內(nèi)部代號(hào)。LRA能夠借助智能化的安全分析技術(shù)，在沒有簽名和特征的情況下識(shí)別攻擊。下圖展示了LRA的基本工作流程。

在聯(lián)邦部委機(jī)構(gòu)（D/A）和互聯(lián)網(wǎng)（Internet）之間有一套部署在互聯(lián)網(wǎng)服務(wù)提供商（ISP）處的“NEST”設(shè)施。NEST會(huì)利用TAP將進(jìn)出聯(lián)邦機(jī)構(gòu)的的互聯(lián)網(wǎng)流量按需送給LRA。LRA的流量引擎利用Zeek做協(xié)議解析，并將解析后的流量日志（流量元數(shù)據(jù)）連同原始的pcap包存儲(chǔ)到大數(shù)據(jù)存儲(chǔ)系統(tǒng)中（默認(rèn)存儲(chǔ)90天）。存儲(chǔ)的數(shù)據(jù)內(nèi)容包括：DNS查詢的域名和響應(yīng)的IP地址、域名-IP地址對的TTL、電子郵件附件中的可執(zhí)行文件、http請求的user agent信息，等等?；跈C(jī)器學(xué)習(xí)和統(tǒng)計(jì)分析算法的分析引擎、惡意代碼檢測裝置，及其它自動(dòng)化工具會(huì)從大數(shù)據(jù)存儲(chǔ)中讀取這些數(shù)據(jù)，并結(jié)合通過其它方式獲得的各種情境數(shù)據(jù)（譬如域名和可執(zhí)行文件的黑白名單，GeoIP等）進(jìn)行復(fù)合安全分析，生成惡意流量的潛在指標(biāo)，并存入潛在指標(biāo)庫中。分析師通過交互性UI檢查潛在指標(biāo)庫中的指標(biāo)，對其進(jìn)行研判和標(biāo)注，一方面獲得有效的指標(biāo)，另一方面為機(jī)器學(xué)習(xí)算法提供改進(jìn)。


8.2 Tutelage

Tutelage（現(xiàn)已改名，具體不詳）作為NSA號(hào)稱21世紀(jì)執(zhí)行信號(hào)情報(bào)（SIGINT）任務(wù)的核心系統(tǒng)的Turbulence項(xiàng)目中的一個(gè)子系統(tǒng)，承擔(dān)主動(dòng)防御的任務(wù)。作為NCPS的重要咨詢方和協(xié)作方，NSA將Tutelage移植給了E3A。作為NCPS中涉密的部分，我們無從知曉E3A的入侵防御系統(tǒng)設(shè)計(jì)有何玄機(jī)。

幸運(yùn)的是，斯諾登泄密事件給了我們一窺Tutelage的機(jī)會(huì)，我們可以自行腦補(bǔ)E3A可能的設(shè)計(jì)。如下圖所示，展示了Tutelage項(xiàng)目在檢測到惡意流量和攻擊后可以采取的遏制/反制措施，十分豐富。

可以肯定的是，E3A的入侵防御系統(tǒng)絕非我們一般意義上的IPS。


8.3 WCF

WCF的全名是WEB內(nèi)容過濾（WEB Content Filtering）,是2016年前后追加到E3A中的一個(gè)新防御能力（最初的E3A入侵防御能力包括DNS sinkholing和email過濾），重點(diǎn)阻斷可疑的web網(wǎng)站訪問、阻止web網(wǎng)站中惡意代碼的執(zhí)行，阻斷web釣魚。

WCF具有四個(gè)功能：web流量檢測與阻斷、SSL解密、惡意代碼檢測、高級分析。

1. WCF會(huì)對可疑的web流量按照URL/URI進(jìn)行分類，允許系統(tǒng)管理員允許或者拒絕某類web訪問。WCF會(huì)根據(jù)高可信網(wǎng)絡(luò)威脅指標(biāo)和商業(yè)的簽名指標(biāo)來進(jìn)行研判并決定是告警還是阻斷，抑或其它遏制操作。WCF的技術(shù)原理就是一個(gè)WEB代理，由它來進(jìn)行檢測，并執(zhí)行重定向、阻斷或者告警操作。
2. WCF支持對SSL web流量解密，分析解密后的流量數(shù)據(jù)。
3. WCF內(nèi)置惡意代碼檢測功能，使用政府提供的網(wǎng)絡(luò)威脅指標(biāo)來檢測惡意活動(dòng)。
4. WCF包括高級分析功能。這里的高級分析是指基于行為的異常分析，也即LRA。

8.4 AIS

說到NCPS項(xiàng)目，而不提及威脅情報(bào)，那么一定是對NCPS不甚了解，或者僅僅停留在愛因斯坦計(jì)劃早期的認(rèn)知水平上。必須強(qiáng)調(diào)，威脅情報(bào)，或者說信息共享是NCPS的核心能力之一，所有檢測、分析的能力最后都是為了能夠在DHS和其伙伴間實(shí)現(xiàn)高效的情報(bào)共享和協(xié)同聯(lián)動(dòng)。美國政府實(shí)施NCPS的一個(gè)終極目標(biāo)就是自動(dòng)化地檢測威脅、共享情報(bào)和處置攻擊。這跟我們近些年談及從美國傳過來的TIP、SOAR等理念是一致的。

AIS全名是自動(dòng)指標(biāo)共享（Automated Indicator Sharing），其目標(biāo)就是在網(wǎng)絡(luò)防御行動(dòng)中以機(jī)器速度（Machine-peed）快速廣泛地共享機(jī)讀（Machine-readable）網(wǎng)絡(luò)威脅指標(biāo)和防御措施。AIS要能夠自動(dòng)處理海量高速的共享指標(biāo)，而這是人工操作無法達(dá)成的。

下圖展示了AIS的工作原理。

首先，各個(gè)AIS的參與機(jī)構(gòu)（上圖右側(cè)灰色部分，包括各級地方政府、私營伙伴、聯(lián)邦機(jī)構(gòu)、ISAC和ISAO）通過TAXII協(xié)議將STIX格式的威脅情報(bào)信息送給DHS的TAXII服務(wù)器（上圖中間黃色部分）。接著，所有提交的情報(bào)信息都會(huì)經(jīng)過一個(gè)自動(dòng)化的“數(shù)據(jù)增強(qiáng)過程”，進(jìn)行信息修訂、匿名化處理、隱私評估、數(shù)據(jù)增強(qiáng)。此外，DHS也會(huì)接收商業(yè)的情報(bào)信息源信息（上圖上方綠色部分），并統(tǒng)一進(jìn)行數(shù)據(jù)增強(qiáng)。然后，DHS的分析師會(huì)對增強(qiáng)后的數(shù)據(jù)進(jìn)行核驗(yàn)【注：人工操作還是不可缺少，不可能完全自動(dòng)化】，并最終進(jìn)行發(fā)布。發(fā)布的途徑包括放到TAXII服務(wù)器上供各參與方獲取，或者可以供其它第三方訂閱（上圖上方藍(lán)灰色部分）。

截至2018年底，已經(jīng)有33個(gè)聯(lián)邦機(jī)構(gòu)，215家非聯(lián)邦政府實(shí)體（其中包括18家可以對共享信息進(jìn)行再分發(fā)的ISAC、ISAO和11家商業(yè)服務(wù)提供商）參與其中。

9、關(guān)鍵考核指標(biāo)

為了從宏觀層面衡量NCPS項(xiàng)目的效率和效果，在2020財(cái)年，DHS為NCPS設(shè)計(jì)了2個(gè)戰(zhàn)略指標(biāo)：

從最早檢測出某個(gè)單位潛在的惡意行為到該單位接到告警通知的平均小時(shí)數(shù)

根據(jù)NCPS的工作流程，通過IOC比對檢測到某個(gè)單位存在可疑惡意行為后，會(huì)產(chǎn)生告警送到后端，DHS分析師收到告警后，會(huì)進(jìn)行初始研判，并進(jìn)行告警分診和調(diào)查。如果一條或者多條告警被確認(rèn)為惡意行為，會(huì)產(chǎn)生一條事件工單，并送給受到影響的單位，以便采取進(jìn)一步行動(dòng)。這個(gè)指標(biāo)的目標(biāo)就是要在保持報(bào)警的正確率的情況下讓這個(gè)時(shí)間盡可能地短。

根據(jù)DHS的設(shè)定，該指標(biāo)在2019和2020財(cái)年的目標(biāo)都是24小時(shí)之內(nèi)。

愛因斯坦入侵檢測和防御系統(tǒng)檢測或者阻斷的攻擊中可以溯源到國家行為的比例

NCPS的目標(biāo)不是去“撈小魚小蝦”，而重點(diǎn)是防御國家行為體的攻擊。為此，NCPS的檢測手段并不求全，而是重點(diǎn)針對那些復(fù)雜的攻擊。

根據(jù)DHS的設(shè)定，該指標(biāo)在2018財(cái)年是20%，2019財(cái)年是21%，2020財(cái)年是22%。2018財(cái)年的考核結(jié)果已經(jīng)出爐，是29%，高于設(shè)定值。

小結(jié)

通過以上分析，筆者談一談個(gè)人的幾點(diǎn)體會(huì)作為本文總結(jié)。

1. NCPS項(xiàng)目從一開始就是站在國家戰(zhàn)略高度來推進(jìn)的，采用法規(guī)先行（法案、總統(tǒng)行政令、NIST標(biāo)準(zhǔn)等）、制度開道、統(tǒng)一建設(shè)、持續(xù)投入的方式，從一個(gè)US-CERT下面的初級態(tài)勢感知項(xiàng)目，在CNCI計(jì)劃的推動(dòng)下，逐步成為了一個(gè)規(guī)模龐大的國家戰(zhàn)略級項(xiàng)目。
2. 從項(xiàng)目定位上，NCPS區(qū)別于各個(gè)聯(lián)邦機(jī)構(gòu)自己的安全防護(hù)。二者不是替代關(guān)系，而是疊加關(guān)系。并且NCPS更加注重針對高級威脅的監(jiān)測與響應(yīng)，更加重視跨部門/廠商的協(xié)調(diào)聯(lián)動(dòng)、群防群治。
3. 從建設(shè)過程來看，NCPS明顯以合規(guī)為出發(fā)點(diǎn)進(jìn)行建設(shè)，但強(qiáng)調(diào)以實(shí)戰(zhàn)對抗為最終目標(biāo)。
4. NCPS項(xiàng)目的投入時(shí)間很長，尤其是2009年CNCI計(jì)劃出臺(tái)之后，資金和人員投入逐年穩(wěn)步提升，并維持在較高的水平線上?？梢妵壹墤B(tài)勢感知系統(tǒng)的建設(shè)需要長期持續(xù)的投入。
5. 從資金分布上看，DHS越來越重視NCPS的運(yùn)行維護(hù)，技術(shù)和產(chǎn)品采購的比重越來越低。要想實(shí)現(xiàn)NCPS常態(tài)化的運(yùn)營，就必須有持續(xù)的、大量的運(yùn)營投入，并且需要大量的安全分析師。
6. 從運(yùn)營方式上看，NCPS被盡可能地封裝為一系列托管服務(wù)和安全服務(wù)的形式，以服務(wù)的方法提供給各個(gè)聯(lián)邦機(jī)構(gòu)。
7. 盡管經(jīng)過了十幾年的持續(xù)建設(shè)，但NCPS仍然存在不少問題，拖延嚴(yán)重，正如GAO的報(bào)告所言，成效低于預(yù)期。但盡管如此，美國政府并沒有停止這個(gè)項(xiàng)目，而是持續(xù)加大投入。因?yàn)檫@個(gè)方向是正確的，技術(shù)路線是正確的。
8. 從技術(shù)上看，過去人們大都認(rèn)為NCPS主要是規(guī)模效應(yīng)，技術(shù)含量并不高，譬如基本都是基于特征和簽名的檢測。事實(shí)上，NCPS還是比較注重新技術(shù)運(yùn)用的。我們現(xiàn)在經(jīng)常聽到的所謂高級威脅檢測、機(jī)器學(xué)習(xí)、行為畫像和異常行為行為、編排自動(dòng)化響應(yīng)、威脅情報(bào)等，在NCPS中都有體現(xiàn)，并且都會(huì)經(jīng)歷一個(gè)先試點(diǎn)再鋪開的過程。
9. 我們常把愛因斯坦計(jì)劃指代美國政府的網(wǎng)絡(luò)安全態(tài)勢感知項(xiàng)目，其實(shí)這是不完整的。美國聯(lián)邦政府的網(wǎng)絡(luò)安全態(tài)勢感知是由一系列國家級大項(xiàng)目共同支撐起來的，至少包括TIC（可信互聯(lián)網(wǎng)接入）、NCPS（愛因斯坦計(jì)劃）、CDM（持續(xù)診斷與緩解）計(jì)劃，以及共享態(tài)勢感知。