美国爱因斯坦计划1

2023-12-15 09:10
文章标签 计划 美国 爱因斯坦

本文主要是介绍美国爱因斯坦计划1,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

美国爱因斯坦计划技术分析

 

1 爱因斯坦-1

1.1概述

爱因斯坦计划1始于2003年,系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁,并更迅速地采取恰当的对策。通过收集参与该计划的联邦政府机构的信息,US-CERT能够建立和增强对美国网络空间态势感知的能力。这种态势感知的能力将使得国家能够更好地识别和响应网络威胁与攻击,提高网络安全性,提升关键的电子政务服务的弹性,增强Internet的可生存性。

1.2动因

爱因斯坦1计划的最根本动因就在于美国联邦机构各自都有自己的互联网出口,这种各自为战的情形使得联邦政府整体安全性难以得到保障,也无法获悉整个联邦政府的安全态势,不利于相互之间的信息共享、信息安全的协同。

1.3 收益

原来US-CERT更多的是分享弱点信息,而通过爱因斯坦1计划,则能够从更多的方面帮助联邦政府,这些方面包括:

1) 蠕虫检测:尤其是可以形成一幅跨政府部门的蠕虫攻击图;

2) 异常行为检测:通过跨政府部门的带内和带外的异常行为分析,能够更加全面的分析异常行为,并对其它部门提供预警信息和攻击线索;这个功能是爱因斯坦计划1 的核心;

3) 配置管理建议:通过爱因斯坦计划,US-CERT能够为联邦政府机构提供更有价值的配置管理建议;

4) 趋势分析:帮助联邦政府从整体上了解政府网络的健康度。

1.4技术分析

爱因斯坦1的技术本质是基于流量的分析技术(DFI)来进行异常行为的检测与总体趋势分析,具体的说就是基于*Flow数据的DFI技术。这里的*Flow最典型的一种就是NetFlow,此外还有sFlow,jFlow,IPFIX等等。US-CERT通过采集各个联邦政府机构的这些Flow信息,进行分析,获悉网络态势。

爱因斯坦1通过采集Flow信息,获得的数据包括以下几个部分:

1) ASN自治域号

2) ICMP类型/代号

3) 流字节长度

4) TCP/IP协议类型

5) 传感器编号:整个系统将在参与的联邦政府机构的网络中部署Flow采集传感器

6) 传感器状态

7) 源IP地址(IPv4)

8) 目的IP地址(IPv4)

9) 源端口

10)  目的端口

11)  TCP标志位信息

12)  时间戳

13)  持续时间

1.5系统工作流程

1) 各联邦机构通过部署传感器采集Flow数据,然后在本地进行一次分析,仅将关键的分析结果或者必要的信息传递给US-CERT,确保传输数据量受控;

2) US-CERT的分析师对传上来的数据进行二次分析,

3) 如果发现了可疑的行为或者其他异常,US-CERT分析师将与信息来源方联邦机构取得联系,一起检查与此可疑行为有关的其他网络行为;

4) 除了分析潜在的异常行为,US-CERT还将为联邦机构提供配置管理的设置建议。

1.6 系统管理界面截图

 

 

2 爱因斯坦-2

2.1 概述

爱因斯坦2计划是1号计划的增强,始于2007年,该系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,以期使得US-CERT获得更好的网络态势感知能力。同时,2号计划将配合美国政府的TIC(可信Internet接入,旨在减少和收拢联邦政府机构分散的互联网出口)计划一起实施。

而实现该恶意行为分析能力的技术是网络入侵检测技术。而爱因斯坦2计划主要以商业的IDS技术为基础进行了定制开发,而特征库即有商业的,也有US-CERT自己的。爱因斯坦2计划中的特征库是US-CERT精选的,做到尽可能的少。

2.2 技术分析

爱因斯坦2计划的技术本质是IDS技术,它对TCP/IP通讯的数据包进行DPI分析,来发现恶意行为(攻击和入侵)。

爱因斯坦2计划的IDS技术中既有基于特征库(Signature,也有叫指纹库、指纹信息、签名库)的检测,也有基于异常的检测,二者互为补充。

爱因斯坦2通过DPI,获得的数据包包括以下几个部分:

1) 源IP:sIP

2) 目的IP:dIP

3) 源端口:sPort

4) 目的端口:dPort

5) 协议类型:protocol,例如TCP、ICMP、UDP等

6) 包数量:packets,通过传感器计算出来的一次连接的包数量

7) 字节数:bytes

8) 连接开始时间:sTime

9) 连接持续时间:dur

10) 连接结束时间:eTime

11) 传感器编号

12) 数据流方向:type,分为进(in/inweb/inimcp)、出(out/outweb/outicmp)、内到内(int2tint)、外到外(ext2ext)

13)初始标志位:intialFlag,例如C(WR)/E(CE)/U(RG)/A(CK)/P(SH)/R(ST)/S(YN)/F(IN)

2.3 传感器设计

爱因斯坦2计划的传感器中包括了商业的软件,政府定制的软件,以及商业的IDS软件。该传感器放置于联邦机构的互联网出口处(IAP,Internet Access Point),并且最终就是TIC计划中的那些统一互联网出口。

2.4 系统工作流程

1) 各传感器在本地互联网出口处进行DPI分析,通过特征检测技术和异常检测技术发现恶意行为,并产生告警;

2) 告警信息(Alert),相关的数据包信息(Flow-Records),以及必要的与恶意行为相关的网络原始报文信息(Traffic),都被送到US-CERT,供分析师进行深入分析;

3) US-CERT负责统一对传感器的特征库进行升级维护;

4) 所有US-CERT收集到的信息保存3年。

3 爱因斯坦-3

3.1概述

从2008年开始,美国政府启动了全面国家网络空间安全计划(CNCI)。作为其中的一部分,就是DHS的爱因斯坦3计划(DHS称其为下一代爱因斯坦计划)。目前,该计划披露的信息甚少。作为实施爱因斯坦3计划的一个重要步骤,DHS启动了一个第三阶段演练的项目,其中就有爱因斯坦3的部分技术可行性分析与验证的工作。根据第三阶段演练项目,可以得知,爱因斯坦3计划的主要技术支撑是IPS。而该入侵防御技术是由NSA(国家安全局)主导开发出来的,代号为称作Tutelage(已经用于保护军方网络),主要就是他们做出来的一套识别特定攻击的特征库(Signature)。第三阶段演练项目旨在验证有关技术,确定用于爱因斯坦3的技术方案。整个演练分为4各阶段实施。

根据全面国家网络空间安全计划(CNCI)中的TIC,提出了TICAP(可信Internet连接访问提供商)的概念,即将为联邦政府提供网络接入的ISP也纳入其中,例如AT&T公司。在第三阶段演练项目中,AT&T预计将参与其中。其中有一个演练的内容就是由TICAP将政府网络的流量有选择性的镜像并重定向出来,供US-CERT对这些流量进行入侵检测与防御分析的实验。

根据3号计划,DHS希望最终能够将TIC与爱因斯坦融合起来,成为联邦政府网络基础设施的基本保障。

另外,从爱因斯坦3计划开始,NSA(国家安全局)和DoD(国防部)都明确加入其中。

3.2 总体技术分析

在爱因斯坦3计划中,将综合运用商业技术和NSA的技术对政府机构的互联网出口的进出双向的流量进行实时的全包检测(Full Packet Inspection,FPI),以及基于威胁的决策分析。特别的,借助在电信运营商处(ITCAP)部署传感器,能够在攻击进入政府网络之前就进行分析和阻断。

爱因斯坦3计划的总体目标是识别并标记恶意网络传输(尤其是恶意邮件),以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应,也就是具备IPS的动态防御能力。

爱因斯坦3计划还增加了一个联动单位NSA。US-CERT在获得DHS的许可后,会将必要的告警信息送给NSA进行进一步分析。

爱因斯坦3计划主要要解决的问题是网络空间威胁(Cyber Threat),至少包括钓鱼、IP欺骗、僵尸网络、DoS、DDoS、中间人攻击,以及其他恶意代码插入。

初步可以判断,爱因斯坦3计划依然是以使用DPI+DFI技术为主,获取的数据包信息没有超过1号和2号计划,最多也就相当于上述之和。

综上所述,爱因斯坦3的技术本质可以概括为:依托商业IPS技术,通过FPI,DPI+DFI等手段,与TIC计划紧密结合,实现对网络空间威胁(Cyber Threat)的识别和阻断。

爱因斯坦3计划的关键创新之处在于其部署方式(TICAP的加入使得原先的传感器专为在TICAP端部署,并采用所谓重定向技术)和运作流程。 在分析端,亮点在于加入了IPS的技术(主动响应技术),还有实时FPI全包分析的技术。进一步分析,这就涉及到更加精准的特征库、超高的传感器处理性能、更多高级的威胁分析技术。

另外,没有证据表明爱因斯坦3计划中的FPI不会对数据包的payload进行内容检测。

下图进一步说明了爱因斯坦3的传感器与TIC联合部署的逻辑拓扑:

上图展示了在四种接入方式下的爱因斯坦3号传感器的部署。图中,Networx是TIC下的另一个项目,旨在帮助联邦政府机构选择TIC接入的路由。

 

爱因斯坦计划不仅需要最先进的技术,还需要大量的人力资源,尤其是安全分析师。2009年的时候,US-CERT和DHS宣布在未来3年要为爱因斯坦计划招聘1000人的安全分析师。

 

【注1】关于CNCI,再多说一下,TIC与爱因斯坦是CNCI涉及的12项计划中的最重要的两个。CNCI计划由美国总统在2008年1月签署实施(NPSD54)。实际上,TIC和爱因斯坦都比CNCI提出的要早,但是后来都被合并到CNCI中去了。另外,在2008年底,DHS将爱因斯坦计划又合并到了NCPS(National Cyberseucrity Protection System)项目中了。因为原来对爱因斯坦的定义更多的是部署传感器,而在NCPS中则更加强调基于这些传感器获得的数据做关联与分析。

 

【后记】美国的爱因斯坦计划十分庞大,目标旨在保护其电子政务网络,同理,类似的技术也可以用户保护私人网络。爱因斯坦计划所对应的系统可以分为两个部分:传感器部分和分析中心部分,抑或称之为前端和后端。在前端,可以运用NAV技术,而后端可以运用SIEM技术。整个分布式的前端和集中化的后端和起来就构成了一个态势感知网络。而正在建设中的这个爱因斯坦系统,可以说是真正大规模实用的态势感知系统。事实上,爱因斯坦计划就是一个政府主导的,商业厂商参与的项目。在这个项目中处处可见商业厂商的影子,而这些参与的厂商,从技术上肯定有NAV和SIEM厂商。NAV,说到底,就是DPI+DFI。根据美国某公司的市场分析,美国政府的DPI市场从2010年到2015年将有36%的年均复合增长率,2015年将有18亿美元市场容量。市场中将包括DPI厂商,政府的合同供应商(SI),政府相关机构等。例如,国防外包商SAIC公司就在2010年收购了做DPI的公司。

通过了解最前沿的这些厂商的技术及其他们所服务的客户,也可以一窥网络态势感知的发展趋势。

此外,网络空间的安全态势感知(Cyber Security SA)与一般的网络安全态势感知(Network Security SA)还是有所不同的。

http://blog.51cto.com/yepeng/641002

转载于:https://www.cnblogs.com/staffyoung/p/8529967.html

这篇关于美国爱因斯坦计划1的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/495911

相关文章

2024年AMC10美国数学竞赛倒计时两个月:吃透1250道真题和知识点(持续)

根据通知,2024年AMC10美国数学竞赛的报名还有两周,正式比赛还有两个月就要开始了。计划参赛的孩子们要记好时间,认真备考,最后冲刺再提高成绩。 那么如何备考2024年AMC10美国数学竞赛呢?做真题,吃透真题和背后的知识点是备考AMC8、AMC10有效的方法之一。通过做真题,可以帮助孩子找到真实竞赛的感觉,而且更加贴近比赛的内容,可以通过真题查漏补缺,更有针对性的补齐知识的短板。

《计算机视觉工程师养成计划》 ·数字图像处理·数字图像处理特征·概述~

1 定义         从哲学角度看:特征是从事物当中抽象出来用于区别其他类别事物的属性集合,图像特征则是从图像中抽取出来用于区别其他类别图像的属性集合。         从获取方式看:图像特征是通过对图像进行测量或借助算法计算得到的一组表达特性集合的向量。 2 认识         有些特征是视觉直观感受到的自然特征,例如亮度、边缘轮廓、纹理、色彩等。         有些特征需要通

Claude Enterprise推出计划

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领域的领跑者。点击订阅,与未来同行! 订阅:https://rengongzhineng.io/ 今天推出的Claude Enterprise计划,专为企业打造安全的

为备份驱动器制定备份计划:维护数据的3大方法

时间:2014-02-26 14:49 来源:网管之家 字体:[大 中 小]   您可能已经对您的电脑进行了备份,但其实这样还是远远不够的,其并非如您所认为的那样安全。您企业备份驱动器上的文件可能与您的主系统上的文件一样,容易受到灾难的影响。根据最近流行的恶意软件CryptoLocker的感染途径显示,连接到PC的外置驱动器——辅助硬盘驱动器,例如,用于备份的外部USB硬盘驱动器,可以像

基于开源链动 2 + 1 模式、AI 智能名片与 S2B2C 商城小程序的用户忠诚度计划

摘要:本文深入探讨了在商业环境中执行用户忠诚度计划的创新途径。通过整合开源链动 2 + 1 模式、AI 智能名片以及 S2B2C 商城小程序等先进元素,从提供福利、解决问题和创造赚钱机会三个核心方面展开详细阐述。研究表明,这些新技术和新模式的有机结合,能够为企业打造更具吸引力和影响力的用户忠诚度计划,从而实现商业效益的最大化与可持续发展。 一、引言 在当今竞争激烈且市场环境快速变化的时代,

[置顶] 2014训练计划进阶版

动态规划: 区间dp,树状dp,数位dphdu3555, sgu258, sgu390  队列优化: zoj3399 最小表示法的状态压缩DP: spoj2159  专题链接:http://acm.hust.edu.cn/vjudge/contest/view.action?cid=38881#overview 专题链接: http://acm.hust.edu.cn/vjudg

[置顶] 2014训练计划

每个专题结束后会有5小时的专题赛~ 1、hustOJ目前支持谷歌、火狐浏览器等部分浏览器。 2、欢迎吐槽~ 3、推荐该阶段用书(以下具体算法实现多数可在此书中找到详解):算法竞赛入门经典之训练指南(刘汝佳) 4、题解报告:专题中的题目多是经典题目,百度搜索即有详细解答~ 5、专题相关知识点红字标出,建议先百度红字部分,有助于专题学习~ 6、专题时间会在"ACM 今天你AC了吗?"(12

Windows 一键定时自动化任务神器 zTasker,支持语音报时+多项定时计划执行

简介 zTasker(详情请戳 官网)是一款完全免费支持定时、热键或条件触发的方式执行多种自动化任务的小工具,支持win7-11。其支持超过100种任务类型,50+种定时/条件执行方法,而且任务列表可以随意编辑、排列、移动、更改类型,支持任务执行日志,可覆盖win自带的热键,同时支持任务列表等数据的备份及自动更新等。 简言之,比微软系统自带的任务计划要强好几倍,至少灵活性高多了,能大幅提高电脑使

【Oracle篇】全面理解优化器和SQL语句的解析步骤(含执行计划的详细分析和四种查看方式)(第二篇,总共七篇)

💫《博主介绍》:✨又是一天没白过,我是奈斯,DBA一名✨ 💫《擅长领域》:✌️擅长Oracle、MySQL、SQLserver、阿里云AnalyticDB for MySQL(分布式数据仓库)、Linux,也在扩展大数据方向的知识面✌️ 💖💖💖大佬们都喜欢静静的看文章,并且也会默默的点赞收藏加关注💖💖💖 SQL优化续新篇,第二篇章启幕时。 优化器内藏奥秘,解析SQL步

2019学习计划

工作三年了,第一年感觉是荒废的,第二年开始学习python,第三年开始自动化 感觉自己会的东西比较少,而且不够深入,流于表面 现制定一下今年大概的学习计划 需持续巩固加强:python、ui自动化、接口自动化、sql等 代码量需提升,敲的不够(重点) 学习: 1.移动端测试,appium等 2.前端知识系统整理学习  3.性能测试 4.docker入门,环境搭建 5.shell