美國網路空間安全態勢感知能力建設階段介紹

美國網路空間安全態勢感知能力建設階段介紹

文 | 李鵬飛

網路空間安全能力不僅是簡單的防護能力，而是綜合了防護、檢測和響應能力，以及掌握網路空間安全態勢以保障網路在遭受攻擊時的能存能力。通過網路安全態勢感知能力建設，可以更好地識別和響應網路威脅與攻擊，全方位提高網路空間安全。

最近十幾年來，美國大幅提升對網路空間安全態勢的感知和控制能力，從最初的在聯邦政府網路部署入侵檢測系統，到前一篇文章《美國國家網路空間安全態勢感知協調機制》中提到的統一協調六個中心進行安全態勢感知，最終到利用大數據分析和處理能力實施大規模的全球網路監控，可以說美國在網路空間安全態勢感知領域的投入是極其巨大的。

那麼，美國網路空間安全態勢感知能力建設到底經過幾個階段呢？本文將按照時間順序對每個階段的重點進行詳細說明。

階段一：在部分聯邦政府機構網路部署愛因斯坦1系統，採用基於網路流量的入侵檢測技術

根據《2002年國土安全法案》和聯邦信息安全管理法案（FISMA）於2003年12月17日發布的國土安全第7號總統令的要求，US-CERT開發了愛因斯坦入侵檢測系統。系統的第一個版本能夠監視美國政府部門和機構網路關口的非正常流量，在2004年～2008年由聯邦政府機構自願部署。

愛因斯坦1計劃採用了基於流量的分析技術，具體地說就是基於流數據（如NetFlow、sFlow、IPFIX等）的深度流檢測（DFI）技術。US-CERT通過採集各個聯邦政府機構的這些流信息，進行分析並獲悉網路態勢。

階段二：在所有聯邦政府機構網路部署愛因斯坦2系統，採用基於流量的深度包檢測（DPI）分析技術，能夠自動發現惡意行為並報警

美國政府於2007年啟動了愛因斯坦2計劃，愛因斯坦2計劃是愛因斯坦1計劃的增強，系統在原來對異常行為分析的基礎上，增加了對惡意行為的分析能力，使得US-CERT獲得更好的網路態勢感知能力。

愛因斯坦2計劃的系統掃描所有互聯網流量及政府計算機（包括私人通信部分）的副本數據，檢查這些數據的內容和元數據，以發現可能用於獲取或傷害政府計算機系統的惡意計算機代碼的「已知特徵」。

愛因斯坦2計劃實現惡意行為分析能力的技術是網路入侵檢測技術，對TCP/IP通信的數據包進行DPI分析，發現惡意行為（攻擊和入侵）。愛因斯坦2計劃採用的IDS既有基於特徵庫的檢測，也有基於異常的檢測，二者互為補充。愛因斯坦2計劃主要以商業的IDS技術為基礎進行開發，並採用了US-CERT精選特徵庫。

階段三：在所有聯邦政府機構網路部署愛因斯坦3系統，採用基於對雙向流量的實時全包檢測分析技術和基於威脅的決策分析技術，自動檢測並正確響應網路威脅

2008年美國啟動CNCI中的一部分，就是DHS的愛因斯坦3計劃（DHS成為下一代愛因斯坦計劃）。愛因斯坦3計劃的系統將檢測惡意攻擊代理，在惡意代碼的威脅影響到政府計算機系統之前，採取實時措施進行阻斷操作，以防止其攻擊影響到政府網路系統。

作為實施愛因斯坦3計劃的一個重要步驟，DHS啟動了一個「第三階段演練」項目，其中就有愛因斯坦3計劃的部分技術可行性分析與驗證工作。愛因斯坦3計劃的主要技術支撐是入侵防禦技術，而該入侵防禦技術是由美國NSA主導開發的一套識別特定攻擊的特徵庫。

在愛因斯坦3計劃中，將綜合運用商業技術和美國NSA的技術對政府機構的互聯網出口的進出雙向流量進行實時的全包檢測（FPI），以及基於威脅的決策分析。藉助在電信運營商處（ITCAP）部署感測器，能夠在攻擊進入政府網路之前就進行分析和阻斷。愛因斯坦3計劃的總體目標是識別並標記惡意網路傳輸（尤其是惡意郵件），以增強網路空間的安全分析、態勢感知和安全響應能力。系統將能夠自動地檢測網路威脅並在危害發生之前做出適當的響應，即具備入侵防禦系統的動態防禦能力。

其關鍵創新之處在於在電信運營商處部署感測器，並採用重定向技術；在分析端，加入了主動響應技術和實時全包分析技術，其中涉及更加精準的特徵庫、超高的感測器處理性能和更多高級的威脅分析技術。

階段四：監控美國在情報、國防、國土安全、司法等方面的網路和系統狀態，創建跨領域的網路空間態勢感知系統

按照2008年頒布的CNCI的要求，由DHS內的NCSC協調和綜合來自事件響應中心（IC-IRC）、威脅行動中心（NTOC）、US-CERT、聯合任務組-全球網路運行中心（JTF-GNO）、DC3、國家網路空間調查聯合任務組（NCIJTF）六個中心的信息，提供橫跨六個中心的態勢感知與分析，並報告美國在情報、國防、國土安全、司法等方面的網路和系統狀態，以促進合作與協調。通過建立橫跨六個行動中心的通信和信息共享機制，創建跨領域的態勢感知系統。

階段五：藉助大數據分析和處理能力，實施全球網路監控

2013年起，NSA負責建立和維護了世界最大的數據中心-猶他數據中心，收集和保存全世界所有的個人和組織的交流信息，包括個人電子郵件、手機通信記錄、谷歌搜索記錄和其他任何個人的跟蹤信息，如停車收據、旅遊線路、購書記錄、電子消費開支記錄等。藉助強大的大數據處理和分析能力，數據中心對所有金融信息、股票交易信息、商業信息、各國軍事、外交、法律文件和各中絕密的個人交流信息進行收集、處理，實施全球範圍內的網路監控。

2013年，斯諾登向媒體提供機密文件曝光了包括「稜鏡」項目在內的美國項目政府多個秘密情報監視項目。通過該項目美國政府直接從包括Microsoft、Google、Yahoo、Facebook、PalTalk、AOL、Skype、YouTube及Apple在內的這九個公司伺服器收集信息，甚至入侵其他國家網路實施網路監控。

如果覺得內容不錯，歡迎關注微信公共號（微信號ID：WeYanXPJ）獲得後續更新；如需閱讀以前文章，請在公共號後台查看歷史消息。