美国网络空间安全态势感知能力建设阶段介绍

时间：2022-08-09 00:54:01 | 来源：网站运营

时间：2022-08-09 00:54:01 来源：网站运营

美国网络空间安全态势感知能力建设阶段介绍

■ 文 | 李鹏飞

网络空间安全能力不仅是简单的防护能力，而是综合了防护、检测和响应能力，以及掌握网络空间安全态势以保障网络在遭受攻击时的能存能力。通过网络安全态势感知能力建设，可以更好地识别和响应网络威胁与攻击，全方位提高网络空间安全。

最近十几年来，美国大幅提升对网络空间安全态势的感知和控制能力，从最初的在联邦政府网络部署入侵检测系统，到前一篇文章《美国国家网络空间安全态势感知协调机制》中提到的统一协调六个中心进行安全态势感知，最终到利用大数据分析和处理能力实施大规模的全球网络监控，可以说美国在网络空间安全态势感知领域的投入是极其巨大的。

那么，美国网络空间安全态势感知能力建设到底经过几个阶段呢？本文将按照时间顺序对每个阶段的重点进行详细说明。

阶段一：在部分联邦政府机构网络部署爱因斯坦1系统，采用基于网络流量的入侵检测技术

根据《2002年国土安全法案》和联邦信息安全管理法案（FISMA）于2003年12月17日发布的国土安全第7号总统令的要求，US-CERT开发了爱因斯坦入侵检测系统。系统的第一个版本能够监视美国政府部门和机构网络关口的非正常流量，在2004年～2008年由联邦政府机构自愿部署。

爱因斯坦1计划采用了基于流量的分析技术，具体地说就是基于流数据（如NetFlow、sFlow、IPFIX等）的深度流检测（DFI）技术。US-CERT通过采集各个联邦政府机构的这些流信息，进行分析并获悉网络态势。

阶段二：在所有联邦政府机构网络部署爱因斯坦2系统，采用基于流量的深度包检测（DPI）分析技术，能够自动发现恶意行为并报警

美国政府于2007年启动了爱因斯坦2计划，爱因斯坦2计划是爱因斯坦1计划的增强，系统在原来对异常行为分析的基础上，增加了对恶意行为的分析能力，使得US-CERT获得更好的网络态势感知能力。

爱因斯坦2计划的系统扫描所有互联网流量及政府计算机（包括私人通信部分）的副本数据，检查这些数据的内容和元数据，以发现可能用于获取或伤害政府计算机系统的恶意计算机代码的“已知特征”。

爱因斯坦2计划实现恶意行为分析能力的技术是网络入侵检测技术，对TCP/IP通信的数据包进行DPI分析，发现恶意行为（攻击和入侵）。爱因斯坦2计划采用的IDS既有基于特征库的检测，也有基于异常的检测，二者互为补充。爱因斯坦2计划主要以商业的IDS技术为基础进行开发，并采用了US-CERT精选特征库。

阶段三：在所有联邦政府机构网络部署爱因斯坦3系统，采用基于对双向流量的实时全包检测分析技术和基于威胁的决策分析技术，自动检测并正确响应网络威胁

2008年美国启动CNCI中的一部分，就是DHS的爱因斯坦3计划（DHS成为下一代爱因斯坦计划）。爱因斯坦3计划的系统将检测恶意攻击代理，在恶意代码的威胁影响到政府计算机系统之前，采取实时措施进行阻断操作，以防止其攻击影响到政府网络系统。

作为实施爱因斯坦3计划的一个重要步骤，DHS启动了一个“第三阶段演练”项目，其中就有爱因斯坦3计划的部分技术可行性分析与验证工作。爱因斯坦3计划的主要技术支撑是入侵防御技术，而该入侵防御技术是由美国NSA主导开发的一套识别特定攻击的特征库。

在爱因斯坦3计划中，将综合运用商业技术和美国NSA的技术对政府机构的互联网出口的进出双向流量进行实时的全包检测（FPI），以及基于威胁的决策分析。借助在电信运营商处（ITCAP）部署传感器，能够在攻击进入政府网络之前就进行分析和阻断。爱因斯坦3计划的总体目标是识别并标记恶意网络传输（尤其是恶意邮件），以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前做出适当的响应，即具备入侵防御系统的动态防御能力。

其关键创新之处在于在电信运营商处部署传感器，并采用重定向技术；在分析端，加入了主动响应技术和实时全包分析技术，其中涉及更加精准的特征库、超高的传感器处理性能和更多高级的威胁分析技术。

阶段四：监控美国在情报、国防、国土安全、司法等方面的网络和系统状态，创建跨领域的网络空间态势感知系统

按照2008年颁布的CNCI的要求，由DHS内的NCSC协调和综合来自事件响应中心（IC-IRC）、威胁行动中心（NTOC）、US-CERT、联合任务组-全球网络运行中心（JTF-GNO）、DC3、国家网络空间调查联合任务组（NCIJTF）六个中心的信息，提供横跨六个中心的态势感知与分析，并报告美国在情报、国防、国土安全、司法等方面的网络和系统状态，以促进合作与协调。通过建立横跨六个行动中心的通信和信息共享机制，创建跨领域的态势感知系统。

阶段五：借助大数据分析和处理能力，实施全球网络监控

2013年起，NSA负责建立和维护了世界最大的数据中心-犹他数据中心，收集和保存全世界所有的个人和组织的交流信息，包括个人电子邮件、手机通信记录、谷歌搜索记录和其他任何个人的跟踪信息，如停车收据、旅游线路、购书记录、电子消费开支记录等。借助强大的大数据处理和分析能力，数据中心对所有金融信息、股票交易信息、商业信息、各国军事、外交、法律文件和各中绝密的个人交流信息进行收集、处理，实施全球范围内的网络监控。

2013年，斯诺登向媒体提供机密文件曝光了包括“棱镜”项目在内的美国项目政府多个秘密情报监视项目。通过该项目美国政府直接从包括Microsoft、Google、Yahoo、Facebook、PalTalk、AOL、Skype、YouTube及Apple在内的这九个公司服务器收集信息，甚至入侵其他国家网络实施网络监控。




如果觉得内容不错，欢迎关注微信公共号（微信号ID：WeYanXY）获得后续更新；如需阅读以前文章，请在公共号后台查看历史消息。