美國(guó)網(wǎng)絡(luò)空間攻擊與主動(dòng)防御能力解析
——美國(guó)網(wǎng)絡(luò)空間安全主動(dòng)防御體系

◎安天研究院

上一期，我們對(duì)美國(guó)的大型信號(hào)情報(bào)獲取項(xiàng)目進(jìn)行了介紹，包括監(jiān)聽(tīng)目標(biāo)涵蓋美國(guó)公民的“星風(fēng)”（STELLARWIND）計(jì)劃、網(wǎng)上行為監(jiān)視和分析的關(guān)鍵得分（X-KEYSCORE）項(xiàng)目、針對(duì)全球網(wǎng)絡(luò)安全廠商的“拱形”（CAMBERDADA）計(jì)劃等，全面地展現(xiàn)了美國(guó)強(qiáng)大的信號(hào)情報(bào)獲取能力。在本期中，我們將聚焦美國(guó)網(wǎng)絡(luò)空間安全主動(dòng)防御體系，呈現(xiàn)其全面的網(wǎng)絡(luò)空間安全防御能力，以及美國(guó)將信號(hào)情報(bào)與主動(dòng)防御相結(jié)合，全面拒止威脅的能力。

2008年1月8日，時(shí)任美國(guó)總統(tǒng)布什簽署了第54號(hào)國(guó)家安全總統(tǒng)令/第23號(hào)國(guó)土安全總統(tǒng)令，即《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》（Comprehensive National Cybersecurity Initiative, CNCI）。 該 計(jì)劃旨在從國(guó)家層面建設(shè)一個(gè)的綜合的網(wǎng)絡(luò)空間安全防御系統(tǒng)，抵御美國(guó)遭受到的網(wǎng)絡(luò)攻擊，保護(hù)美國(guó)的網(wǎng)絡(luò)空間安全。CNCI自簽署以來(lái)，就以涉及國(guó)家安全的原因被列為高度機(jī)密，至2008年底僅公開(kāi)了12項(xiàng)計(jì)劃的基本信息。

2010年，為了體現(xiàn)“實(shí)現(xiàn)前所未有的政府開(kāi)放性”的承諾，奧巴馬政府公開(kāi)了一份關(guān)于CNCI的摘要，其中包括“部署一個(gè)由遍布整個(gè)聯(lián)邦的感應(yīng)器組成的入侵檢測(cè)系統(tǒng)”和“尋求在整個(gè)聯(lián)邦范圍內(nèi)部署入侵防御系統(tǒng)”，即“愛(ài)因斯坦2”（EINSTEIN 2）計(jì)劃和“愛(ài)因斯坦3”（EINSTEIN 3）計(jì)劃。

“愛(ài)因斯坦”計(jì)劃是美國(guó)聯(lián)邦政府主導(dǎo)的一個(gè)網(wǎng)絡(luò)空間安全自動(dòng)監(jiān)測(cè)項(xiàng)目，由國(guó)土安全部（Department of Homeland Security, DHS）下屬的美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)小組（US-CERT）開(kāi)發(fā)，用于監(jiān)測(cè)針對(duì)政府網(wǎng)絡(luò)的入侵行為，保護(hù)政府網(wǎng)絡(luò)系統(tǒng)安全。美國(guó)政府啟動(dòng)了CNCI后，愛(ài)因斯坦計(jì)劃并入CNCI，并改名為國(guó)家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)（National Cybersecurity Protection System, NCPS），但依然被成為“愛(ài)因斯坦”計(jì)劃。

“愛(ài)因斯坦”計(jì)劃經(jīng)歷了三個(gè)階段。“愛(ài)因斯坦1”自2003年開(kāi)始實(shí)施，監(jiān)控聯(lián)邦政府機(jī)構(gòu)網(wǎng)絡(luò)的進(jìn)出流量，收集和分析網(wǎng)絡(luò)流量記錄，使得DHS能夠識(shí)別潛在的攻擊活動(dòng)，并在攻擊事件發(fā)生后進(jìn)行關(guān)鍵的取證分析?！皭?ài)因斯坦2”始于2007年，在“愛(ài)因斯坦1”的基礎(chǔ)上加入了入侵檢測(cè)（Intrusion Detection）技術(shù)，基于特定已知特征識(shí)別聯(lián)邦政府網(wǎng)絡(luò)流量中的惡意或潛在的有害計(jì)算機(jī)網(wǎng)絡(luò)活動(dòng)。“愛(ài)因斯坦2”傳感器產(chǎn)生大量關(guān)于潛在網(wǎng)絡(luò)攻擊的警報(bào)，DHS安保人員會(huì)對(duì)這些警報(bào)進(jìn)行評(píng)估，以確認(rèn)警報(bào)是否具有威脅，以及是否需要進(jìn)一步的補(bǔ)救，如果需要，DHS會(huì)與受害者機(jī)構(gòu)合作解決?！皭?ài)因斯坦2”是“愛(ài)因斯坦1”的增強(qiáng)，系統(tǒng)在原來(lái)對(duì)異常行為分析的基礎(chǔ)上，增加了對(duì)惡意行為的分析能力，使得USCERT具備更好的態(tài)勢(shì)感知能力。2010年，DHS計(jì)劃設(shè)計(jì)和開(kāi)發(fā)入侵防御（Intrusion Prevention）來(lái)識(shí)別和阻止網(wǎng)絡(luò)攻擊，即“愛(ài)因斯坦3”。根據(jù)奧巴馬政府公布的摘要，“愛(ài)因斯坦3”將利用商業(yè)科技和政府專業(yè)能力相結(jié)合的方式，實(shí)現(xiàn)實(shí)時(shí)的完整數(shù)據(jù)包檢測(cè)，并能夠基于威脅情況對(duì)進(jìn)出聯(lián)邦行政部門(mén)的網(wǎng)絡(luò)流量進(jìn)行決策，在危害發(fā)生前，對(duì)網(wǎng)絡(luò)威脅自動(dòng)檢測(cè)并正確響應(yīng)，形成一個(gè)支持動(dòng)態(tài)保護(hù)的入侵防御系統(tǒng)。

根據(jù)目前披露的資料，“愛(ài)因斯坦3”的入侵防御能力主要來(lái)自于美國(guó)國(guó)家安全 局（National Security Agency, NSA）開(kāi)發(fā)的一套名為T(mén)UTELAGE的系統(tǒng)。TUTELAGE是一套具有網(wǎng)絡(luò)流量監(jiān)控、主動(dòng)防御與反擊功能的系統(tǒng)，用于保護(hù)美軍的網(wǎng)絡(luò)安全，相關(guān)文件顯示早至2009年以前就已投入使用。傳統(tǒng)基于日志的防御方法具有時(shí)效性差、通常在攻擊成功實(shí)施后才能發(fā)現(xiàn)和應(yīng)對(duì)的問(wèn)題，而TUTELAGE可以和信號(hào)情報(bào)（SIGINT）、商業(yè)防護(hù)工具一起，協(xié)作應(yīng)對(duì)威脅。TUTELAGE通過(guò)SIGINT提前發(fā)現(xiàn)對(duì)手的工具、意圖并設(shè)計(jì)反制手段，在對(duì)手入侵之前拒止。即使對(duì)手成功入侵，也能通過(guò)阻斷、修改C2指令等方法，緩解威脅。

TUTELAGE運(yùn)行環(huán)境

系統(tǒng)通過(guò)部署在國(guó)防部（Department of Defense, DOD） 非 保密因特網(wǎng)協(xié)議路由器網(wǎng)（Non-secure Internet Protocol Router Network,NIPRNet）與互聯(lián)網(wǎng)連接的邊界網(wǎng)關(guān)上的傳感器發(fā)現(xiàn)惡意行為，并將這些行為報(bào)告給TUTELAGE。TUTELAGE使用深度包處理技術(shù)，通過(guò)內(nèi)嵌的包處理器(in-line packet processor)透明地干預(yù)對(duì)手的行動(dòng)，對(duì)雙向的包進(jìn)行檢測(cè)和替換等，從而實(shí)現(xiàn)對(duì)惡意流量的攔截、替換、重定向、阻斷等功能。

通過(guò)商業(yè)科技和政府專業(yè)能力的深度融合，“愛(ài)因斯坦”系統(tǒng)允許國(guó)土安全部為聯(lián)邦政府機(jī)構(gòu)提供多種安全服務(wù)，包括：入侵檢測(cè)、入侵防御、解析和信息共享等。這些服務(wù)是以一系列專業(yè)的工程能力為基礎(chǔ)的，如全網(wǎng)的信號(hào)情報(bào)獲取能力、高效的深度包檢測(cè)能力、從全流量數(shù)據(jù)中快速抽取特定信息的能力等。這些基礎(chǔ)的專業(yè)工程能力是區(qū)別在國(guó)際網(wǎng)絡(luò)空間對(duì)抗中取得實(shí)戰(zhàn)效果的項(xiàng)目與實(shí)驗(yàn)室中的原型系統(tǒng)的關(guān)鍵。我國(guó)也可以利用軍民融合的優(yōu)勢(shì)，依靠大規(guī)模工程建立超前部署的先進(jìn)的網(wǎng)絡(luò)空間安全防御基礎(chǔ)平臺(tái)，為前沿技術(shù)創(chuàng)新和探索打下基礎(chǔ)，在此基礎(chǔ)上，不斷建設(shè)，疊加演進(jìn)，最終形成一套完備有效的、具備全天候全方位感知能力的網(wǎng)絡(luò)空間安全防御體系。

美國(guó)的網(wǎng)絡(luò)空間安全主動(dòng)防御體系借助商用技術(shù)和能力，將網(wǎng)絡(luò)空間的威脅預(yù)警、入侵防御和安全響應(yīng)能力相結(jié)合，創(chuàng)建跨領(lǐng)域的網(wǎng)絡(luò)空間態(tài)勢(shì)感知系統(tǒng)，為聯(lián)邦政府網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全保障。在后續(xù)的文章中，我們將關(guān)注美國(guó)在網(wǎng)絡(luò)空間攻擊方面的能力，介紹美國(guó)的網(wǎng)絡(luò)攻擊支持體系和裝備體系，敬請(qǐng)期待。

TUTELAGE功能