技术控

    今日:147| 主题:49136
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] 走近科学:“爱因斯坦”(EINSTEIN)计划综述

[复制链接]
残梦Dangerou 发表于 2016-10-2 10:29:20
161 2

立即注册CoLaBug.com会员,免费获得投稿人的专业资料,享用更多功能,玩转个人品牌!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  * 本文原创作者:ArkTeam/HP,   本文属FreeBuf原创奖励计划,未经许可禁止转载     
  

走近科学:“爱因斯坦”(EINSTEIN)计划综述-1 (爱因斯坦,国防部,美国政府,网络安全,互联网)

   “ 爱因斯坦”计划是美国联邦政府主导的一个网络安全自动监测项目,由国土安全部(DHS)下属的美国计算机应急响应小组(US-CERT)开发,用于监测针对政府网络的入侵行为,保护政府网络系统安全。 从2009年开始,美国政府启动了全面国家网络空间安全计划(CNCI),爱因斯坦计划并入CNCI,并改名为NCPS(National Cybersecurity Protection System,国家网络空间安全保护系统),但是依然称为爱因斯坦计划。目前,NCPS已经在美国政府机构中除国防部及其相关部门之外的其余23个机构中部署运行。
  一、项目概要

  爱因斯坦计划分为三个阶段,如表1所示。该计划具有四种能力,包括:入侵检测、入侵防御、数据分析和信息共享。
               代号        部署时间        目标        描述                     EINSTEIN 1     2003     入侵检测     通过在政府机构的互联网出口部署传感器,形成一套自动化采集、关联和分析传感器抓取的网络流量信息的流程             EINSTEIN 2     2009     入侵检测     对联邦政府机构互联网连接进行监测,跟预置的特定已知恶意行为的签名进行比对,一般匹配上就向US-CERT发出告警             E3A     2013     入侵检测 入侵防御     自动地对进出联邦政府机构的恶意流量进行阻断。这是依靠ISP来实现的。ISP部署了入侵防御和基于威胁的决策判定机制,并使用DHS开发的恶意网络行为指示器(Indicator)来进行恶意行为识别           表格 1 “爱因斯坦”项目
  EINSTEIN1始于2003年,本质上是入侵监测系统,主要任务是监听、分析、共享安全信息,特点是信息采集。2008年起实施EINSTEIN2,2009年部署,该系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,本质上依然是入侵检测系统,特点是被动响应。2010年,DHS开始计划设计与部署入侵防御系统(即EINSTEIN3)来识别和阻止网络攻击,原计划在2018年覆盖所有联邦行政机构。在2012年DHS转变为使用一种新的方法,在这种方法中互联网服务提供商(ISPs)使用商业技术为联邦政府机构提供入侵防御安全服务,这被称为EINSTEIN 3 Accelerated (E3A),E3A是入侵防御系统。
  EINSTEIN2计划配合美国政府的TIC(可信Internet接入,旨在减少和收拢联邦政府机构分散的互联网出口)计划一起实施,2008年,美国把政府网络接入口数量从8000多个减少到约2700个,计划最终减少到100个以内,由多个政府部门共享。
  二、项目介绍

  爱因斯坦1的技术本质是基于流量的分析技术(DFI深度流检测)来进行异常行为的检测与总体趋势分析,具体的说就是基于*Flow数据的DFI技术。这里的*Flow最典型的一种就是NetFlow,此外还有sFlow,jFlow,IPFIX等等。US-CERT通过采集各个联邦政府机构的这些Flow信息,进行分析,获悉网络态势。
  


走近科学:“爱因斯坦”(EINSTEIN)计划综述-2 (爱因斯坦,国防部,美国政府,网络安全,互联网)

  爱因斯坦1通过采集Flow信息,获得的数据包括以下几个部分:
  1) ASN自治域号;
  2) ICMP类型/代号;
  3) 流字节长度;
  4) TCP/IP协议类型;
  5) 传感器编号:整个系统将在参与的联邦政府机构的网络中部署Flow采集传感器;
  6) 传感器状态;
  7) 源IP地址(IPv4);
  8) 目的IP地址(IPv4);
  9) 源端口;
  10) 目的端口;
  11) TCP标志位信息;
  12) 时间戳;
  13) 持续时间
  爱因斯坦2计划是爱因斯坦1计划的增强。主要以商业的IDS技术为基础进行了定制开发,而特征库即有商业的,也有US-CERT自己的。爱因斯坦2计划中的特征库是US-CERT精选的,做到尽可能的少。
  爱因斯坦2计划的技术本质是IDS技术,它对TCP/IP通讯的数据包进行DPI(深度包检测),来发现恶意行为(攻击和入侵)。爱因斯坦2通过DPI,获得的数据包包括以下几个部分:
  1) 源IP:sIP;
  2) 目的IP:dIP;
  3) 源端口:sPort;
  4) 目的端口:dPort;
  5) 协议类型:protocol,例如TCP、ICMP、UDP等;
  6) 包数量:packets,通过传感器计算出来的一次连接的包数量;
  7) 字节数:bytes;
  8) 连接开始时间:sTime;
  9) 连接持续时间:dur;
  10) 连接结束时间:eTime;
  11) 传感器编号;
  12) 数据流方向:type,等。
  爱因斯坦2计划的传感器放置于联邦机构的互联网出口处(IAP,InternetAccess Point),并且最终就是TIC计划中的那些统一互联网出口。
  爱因斯坦3计划(DHS称其为下一代爱因斯坦计划),目前披露的信息甚少。作为实施爱因斯坦3计划的一个重要步骤,DHS启动了一个第三阶段演练的项目,其中就有爱因斯坦3的部分技术可行性分析与验证的工作。根据第三阶段演练项目,可以得知,爱因斯坦3计划的主要技术支撑是IPS。而该入侵防御技术是由NSA(国家安全局)主导开发出来的,代号为Tutelage(已经用于保护军方网络),主要就是他们做出来的一套识别特定攻击的特征库(Signature)。第三阶段演练项目旨在验证有关技术,确定用于爱因斯坦3的技术方案。整个演练分为四个阶段实施。
  

12下一页
友荐云推荐




上一篇:The Berkeley Document Summarizer: Learning-Based, Single-Document Summarization
下一篇:Accountability for What you Say is Dangerous and That’s Okay
酷辣虫提示酷辣虫禁止发表任何与中华人民共和国法律有抵触的内容!所有内容由用户发布,并不代表酷辣虫的观点,酷辣虫无法对用户发布内容真实性提供任何的保证,请自行验证并承担风险与后果。如您有版权、违规等问题,请通过"联系我们"或"违规举报"告知我们处理。

wgja2tQm 发表于 2016-10-17 09:58:28
失去某人,最糟糕的莫过于,他近在身旁,却犹如远在天边.
回复 支持 反对

使用道具 举报

诗桃 发表于 2016-10-22 17:30:34
友情提示:由于此用户的签名太过于个性而被系统自动屏蔽
回复 支持 反对

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

我要投稿

推荐阅读

扫码访问 @iTTTTT瑞翔 的微博
回页顶回复上一篇下一篇回列表手机版
手机版/CoLaBug.com ( 粤ICP备05003221号 | 文网文[2010]257号 )|网站地图 酷辣虫

© 2001-2016 Comsenz Inc. Design: Dean. DiscuzFans.

返回顶部 返回列表