◎安天研究院

上一期，我們對美國的大型信號情報獲取項目進行了介紹，包括監(jiān)聽目標涵蓋美國公民的“星風”（STELLARWIND）計劃、網(wǎng)上行為監(jiān)視和分析的關(guān)鍵得分（X-KEYSCORE）項目、針對全球網(wǎng)絡(luò)安全廠商的“拱形”（CAMBERDADA）計劃等，全面地展現(xiàn)了美國強大的信號情報獲取能力。在本期中，我們將聚焦美國網(wǎng)絡(luò)空間安全主動防御體系，呈現(xiàn)其全面的網(wǎng)絡(luò)空間安全防御能力，以及美國將信號情報與主動防御相結(jié)合，全面拒止威脅的能力。

2008年1月8日，時任美國總統(tǒng)布什簽署了第54號國家安全總統(tǒng)令/第23號國土安全總統(tǒng)令，即《國家網(wǎng)絡(luò)安全綜合計劃》（Comprehensive National Cybersecurity Initiative, CNCI）。 該 計劃旨在從國家層面建設(shè)一個的綜合的網(wǎng)絡(luò)空間安全防御系統(tǒng)，抵御美國遭受到的網(wǎng)絡(luò)攻擊，保護美國的網(wǎng)絡(luò)空間安全。CNCI自簽署以來，就以涉及國家安全的原因被列為高度機密，至2008年底僅公開了12項計劃的基本信息。

2010年，為了體現(xiàn)“實現(xiàn)前所未有的政府開放性”的承諾，奧巴馬政府公開了一份關(guān)于CNCI的摘要，其中包括“部署一個由遍布整個聯(lián)邦的感應(yīng)器組成的入侵檢測系統(tǒng)”和“尋求在整個聯(lián)邦范圍內(nèi)部署入侵防御系統(tǒng)”，即“愛因斯坦2”（EINSTEIN 2）計劃和“愛因斯坦3”（EINSTEIN 3）計劃。

“愛因斯坦”計劃是美國聯(lián)邦政府主導(dǎo)的一個網(wǎng)絡(luò)空間安全自動監(jiān)測項目，由國土安全部（Department of Homeland Security, DHS）下屬的美國計算機應(yīng)急響應(yīng)小組（US-CERT）開發(fā)，用于監(jiān)測針對政府網(wǎng)絡(luò)的入侵行為，保護政府網(wǎng)絡(luò)系統(tǒng)安全。美國政府啟動了CNCI后，愛因斯坦計劃并入CNCI，并改名為國家網(wǎng)絡(luò)空間安全保護系統(tǒng)（National Cybersecurity Protection System, NCPS），但依然被成為“愛因斯坦”計劃。

“愛因斯坦”計劃經(jīng)歷了三個階段?！皭垡蛩固?”自2003年開始實施，監(jiān)控聯(lián)邦政府機構(gòu)網(wǎng)絡(luò)的進出流量，收集和分析網(wǎng)絡(luò)流量記錄，使得DHS能夠識別潛在的攻擊活動，并在攻擊事件發(fā)生后進行關(guān)鍵的取證分析?！皭垡蛩固?”始于2007年，在“愛因斯坦1”的基礎(chǔ)上加入了入侵檢測（Intrusion Detection）技術(shù)，基于特定已知特征識別聯(lián)邦政府網(wǎng)絡(luò)流量中的惡意或潛在的有害計算機網(wǎng)絡(luò)活動。“愛因斯坦2”傳感器產(chǎn)生大量關(guān)于潛在網(wǎng)絡(luò)攻擊的警報，DHS安保人員會對這些警報進行評估，以確認警報是否具有威脅，以及是否需要進一步的補救，如果需要，DHS會與受害者機構(gòu)合作解決?！皭垡蛩固?”是“愛因斯坦1”的增強，系統(tǒng)在原來對異常行為分析的基礎(chǔ)上，增加了對惡意行為的分析能力，使得USCERT具備更好的態(tài)勢感知能力。2010年，DHS計劃設(shè)計和開發(fā)入侵防御（Intrusion Prevention）來識別和阻止網(wǎng)絡(luò)攻擊，即“愛因斯坦3”。根據(jù)奧巴馬政府公布的摘要，“愛因斯坦3”將利用商業(yè)科技和政府專業(yè)能力相結(jié)合的方式，實現(xiàn)實時的完整數(shù)據(jù)包檢測，并能夠基于威脅情況對進出聯(lián)邦行政部門的網(wǎng)絡(luò)流量進行決策，在危害發(fā)生前，對網(wǎng)絡(luò)威脅自動檢測并正確響應(yīng)，形成一個支持動態(tài)保護的入侵防御系統(tǒng)。

根據(jù)目前披露的資料，“愛因斯坦3”的入侵防御能力主要來自于美國國家安全 局（National Security Agency, NSA）開發(fā)的一套名為TUTELAGE的系統(tǒng)。TUTELAGE是一套具有網(wǎng)絡(luò)流量監(jiān)控、主動防御與反擊功能的系統(tǒng)，用于保護美軍的網(wǎng)絡(luò)安全，相關(guān)文件顯示早至2009年以前就已投入使用。傳統(tǒng)基于日志的防御方法具有時效性差、通常在攻擊成功實施后才能發(fā)現(xiàn)和應(yīng)對的問題，而TUTELAGE可以和信號情報（SIGINT）、商業(yè)防護工具一起，協(xié)作應(yīng)對威脅。TUTELAGE通過SIGINT提前發(fā)現(xiàn)對手的工具、意圖并設(shè)計反制手段，在對手入侵之前拒止。即使對手成功入侵，也能通過阻斷、修改C2指令等方法，緩解威脅。

TUTELAGE運行環(huán)境

系統(tǒng)通過部署在國防部（Department of Defense, DOD） 非 保密因特網(wǎng)協(xié)議路由器網(wǎng)（Non-secure Internet Protocol Router Network,NIPRNet）與互聯(lián)網(wǎng)連接的邊界網(wǎng)關(guān)上的傳感器發(fā)現(xiàn)惡意行為，并將這些行為報告給TUTELAGE。TUTELAGE使用深度包處理技術(shù)，通過內(nèi)嵌的包處理器(in-line packet processor)透明地干預(yù)對手的行動，對雙向的包進行檢測和替換等，從而實現(xiàn)對惡意流量的攔截、替換、重定向、阻斷等功能。

通過商業(yè)科技和政府專業(yè)能力的深度融合，“愛因斯坦”系統(tǒng)允許國土安全部為聯(lián)邦政府機構(gòu)提供多種安全服務(wù)，包括：入侵檢測、入侵防御、解析和信息共享等。這些服務(wù)是以一系列專業(yè)的工程能力為基礎(chǔ)的，如全網(wǎng)的信號情報獲取能力、高效的深度包檢測能力、從全流量數(shù)據(jù)中快速抽取特定信息的能力等。這些基礎(chǔ)的專業(yè)工程能力是區(qū)別在國際網(wǎng)絡(luò)空間對抗中取得實戰(zhàn)效果的項目與實驗室中的原型系統(tǒng)的關(guān)鍵。我國也可以利用軍民融合的優(yōu)勢，依靠大規(guī)模工程建立超前部署的先進的網(wǎng)絡(luò)空間安全防御基礎(chǔ)平臺，為前沿技術(shù)創(chuàng)新和探索打下基礎(chǔ)，在此基礎(chǔ)上，不斷建設(shè)，疊加演進，最終形成一套完備有效的、具備全天候全方位感知能力的網(wǎng)絡(luò)空間安全防御體系。

美國的網(wǎng)絡(luò)空間安全主動防御體系借助商用技術(shù)和能力，將網(wǎng)絡(luò)空間的威脅預(yù)警、入侵防御和安全響應(yīng)能力相結(jié)合，創(chuàng)建跨領(lǐng)域的網(wǎng)絡(luò)空間態(tài)勢感知系統(tǒng)，為聯(lián)邦政府網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全保障。在后續(xù)的文章中，我們將關(guān)注美國在網(wǎng)絡(luò)空間攻擊方面的能力，介紹美國的網(wǎng)絡(luò)攻擊支持體系和裝備體系，敬請期待。

TUTELAGE功能