科技: 人物 企业 技术 IT业 TMT
科普: 自然 科学 科幻 宇宙 科学家
通信: 历史 技术 手机 词典 3G馆
索引: 分类 推荐 专题 热点 排行榜
互联网: 广告 营销 政务 游戏 google
新媒体: 社交 博客 学者 人物 传播学
新思想: 网站 新书 新知 新词 思想家
图书馆: 文化 商业 管理 经济 期刊
网络文化: 社会 红人 黑客 治理 亚文化
创业百科: VC 词典 指南 案例 创业史
前沿科技: 清洁 绿色 纳米 生物 环保
知识产权: 盗版 共享 学人 法规 著作
用户名: 密码: 注册 忘记密码?
    创建新词条
科技百科
  • 人气指数: 6908 次
  • 编辑次数: 2 次 历史版本
  • 更新时间: 2013-08-04
高兴
高兴
发短消息
高兴
高兴
发短消息
相关词条
美国信息安全体制
美国信息安全体制
龙虾计划
龙虾计划
爱因斯坦计划
爱因斯坦计划
袋熊计划
袋熊计划
美国网络司令部
美国网络司令部
美国国家网络安全和通信集成中心
美国国家网络安全和通信集成中心
美国网络安全战略分析
美国网络安全战略分析
推荐词条
希拉里二度竞选
希拉里二度竞选
《互联网百科系列》
《互联网百科系列》
《黑客百科》
《黑客百科》
《网络舆情百科》
《网络舆情百科》
《网络治理百科》
《网络治理百科》
《硅谷百科》
《硅谷百科》
2017年特斯拉
2017年特斯拉
MIT黑客全纪录
MIT黑客全纪录
桑达尔·皮查伊
桑达尔·皮查伊
阿里双十一成交额
阿里双十一成交额
最新词条

热门标签

微博侠 数字营销2011年度总结 政务微博元年 2011微博十大事件 美国十大创业孵化器 盘点美国导师型创业孵化器 盘点导师型创业孵化器 TechStars 智能电视大战前夜 竞争型国企 公益型国企 2011央视经济年度人物 Rhianna Pratchett 莱恩娜·普莱契 Zynga与Facebook关系 Zynga盈利危机 2010年手机社交游戏行业分析报告 游戏奖励 主流手机游戏公司运营表现 主流手机游戏公司运营对比数据 创建游戏原型 正反馈现象 易用性设计增强游戏体验 易用性设计 《The Sims Social》社交亮 心理生理学与游戏 Kixeye Storm8 Storm8公司 女性玩家营销策略 休闲游戏的创新性 游戏运营的数据分析 社交游戏分析学常见术语 游戏运营数据解析 iPad风行美国校园 iPad终结传统教科书 游戏平衡性 成长类型及情感元素 鸿蒙国际 云骗钱 2011年政务微博报告 《2011年政务微博报告》 方正产业图谱 方正改制考 通信企业属公益型国企 善用玩家作弊行为 手机游戏传播 每用户平均收入 ARPU值 ARPU 游戏授权三面观 游戏设计所运用的化学原理 iOS应用人性化界面设计原则 硬核游戏 硬核社交游戏 生物测量法研究玩家 全球移动用户 用户研究三部曲 Tagged转型故事 Tagged Instagram火爆的3大原因 全球第四大社交网络Badoo Badoo 2011年最迅猛的20大创业公司 病毒式传播功能支持的游戏设计 病毒式传播功能 美国社交游戏虚拟商品收益 Flipboard改变阅读 盘点10大最难iPhone游戏 移动应用设计7大主流趋势 成功的设计文件十个要点 游戏设计文件 应用内置付费功能 内置付费功能 IAP功能 IAP IAP模式 游戏易用性测试 生理心理游戏评估 游戏化游戏 全美社交游戏规模 美国社交游戏市场 全球平板电脑出货量 Facebook虚拟商品收益 Facebook全球广告营收 Facebook广告营收 失败游戏设计的数宗罪名 休闲游戏设计要点 玩游戏可提高认知能力 玩游戏与认知能力 全球游戏广告 独立开发者提高工作效率的100个要点 Facebook亚洲用户 免费游戏的10种创收模式 人类大脑可下载 2012年最值得期待的20位硅谷企业家 做空中概股的幕后黑手 做空中概股幕后黑手 苹果2013营收 Playfish社交游戏架构

爱因斯坦计划 发表评论(0) 编辑词条

目录

爱因斯坦计划—美国的GFW编辑本段回目录

美国联邦政府有两个网络安全项目,旨在保护政府网络免受攻击:爱因斯坦2系统(入侵检测系统)和爱因斯坦3系统(入侵防御系统)。 

爱因斯坦2系统扫描所有互联网流量以及政府电脑(包括私人通信部分)的副本数据。它检查这些数据的内容和元数据,是为了发现可能用于获取或伤害政府电脑系统的恶意计算机代码的“已知特征”。当爱因斯坦2系统标记出具有恶意代码特征的通信数据,它就会自动获取并存储整个消息,包括:电子邮件的内容(它还删除不包含恶意代码特征的数据)。被识别出来和存储的信息随后会受到计算机网络防御部门政府官员的审查。所有这一切工作都是在没有法院以及任何外部行政部门进行监督保证的情况下进行的。 

政府正在计划用入侵防御系统——爱因斯坦3系统,作为仅具有入侵检测能力的爱因斯坦2系统的补充。前国土安全部长切尔托夫表示,如果爱因斯坦2系统是“一个在路边拿着测速雷达的警察,他们可以提前用电话警告有人醉酒或超速驾驶”;那么爱因斯坦3系统则是一位可以“逮捕疑犯”和“阻止攻击”的警察。爱因斯坦3系统将检测恶意攻击代理,并采取实时措施 - 其中大部分将是计算机自动化完成的 以防止攻击影响到政府网络系统。用切尔托夫的话说,从表面上看,这就像一个防空武器系统,它可以在导弹攻击到目标之前将其击落。许多人相信爱因斯坦3系统是由政府机构,或者由获得了政府的授权的私营骨干网络提供商以及网络服务提供商(ISP),在恶意代码的威胁影响到政府电脑系统之前,在私营电信通道(或者类似通道的拷贝)中进行阻断操作的。 

国土安全部在爱因斯坦3计划中扮演了重要的角色,它与私营的网络和通信公司之间有密切的合作关系,经常会互相分享信息。这些公司的硬件和软件构成了互联网的骨干以及互联网的连接节点;并且这些公司有大量的在其系统中检测和消除不良行为者及其代理组织的经验和专业知识。

可能扩展到全美网络 

许多私营美国公司安装了类似政府的爱因斯坦3系统的入侵检测和入侵防御系统。但是也有很多公司没有安装类似系统,并在国家网络系统中的整个政府和私营系统中之间,留下了大量的监控空白地带。这些监管空白之间充满了大量的恶意软件,并且可能会被用来造成严重的伤害。有一种解决方案是在全美范围内将国家入侵阻止系统的运营范围扩展到私营通讯系统中。 

至少有4个方面的考虑来支持在全美网络范围内综合性的符合政府规定,并由政府协调的入侵防御系统。

1、  政府,尤其是国土安全部,可以提供最新的基于它的间谍活动以及相关技术能力的有关威胁载体信息。

2、  政府或许占据了可以综合不同的恶意特征列表信息的最佳位置。它可以从其自身、骨干网运营商、网络服务商、信息安全公司等获取信息;并且具有最好的能力实现一副对于网络安全威胁的全景视图。

3、  一个具有强制性的系统可以填补由很多缺乏网络入侵检测系统的电脑系统之间造成的检测空白区域。

4、  出去国家安全的考虑,政府具有足够的责任和恰当的激励措施,去投资建设合适的网络防御体系;私人公司有许多的技术条件来控制他们的信息基础架构,但是他们缺乏这种责任或者这些激励措施。 

如果联邦政府在国家网络层面上运行一套入侵阻止系统,国土安全部将会不可避免地扮演极其重要的角色,并且其将非常愿意与私营公司进行技术合作和信息共享。 

这对于很多公民权力来说将是个噩梦:一个美国国防部下属,主要由国土安全部运营,可以无限制地在美国本土拥有巨大的计算和分析能力,并且与私营公司有紧密合作关系的可怕的,全能的,破坏隐私的机构。(a)收集和监控私人通信的内容;(b)暂时性的存储这些通信信息;(c)在全球范围内,包括在美国国内对这些通讯的恶意机构的源头进行追踪;(d)采取积极的行动阻挠恶意通信,甚至包括当他们源于或者是在美国国内使用计算机。 

少有实际的法律障碍 

大部分对于这类国家入侵阻止系统的法律障碍是来自立法,因此可以被国会所改变。最大的宪法障碍是“第四次修订案”(禁止“无理搜查和扣押”),但截止到今天,第四修正案并没有如同预期的那样成为计划规划的实际障碍。

l  国会需要清晰的授权总统一些少量的特殊性,去采取一些积极的措施。

l  国会需要授权政府与私营公司合作去监控网络,筛选及分析网络中的内容和元数据,并且采取积极措施去应对网络威胁。

l  国会需要实施各种审查和问责的机制。

l  只要搜索或扣押的情况是合理的,第四修正案没有要求不切实际的保证。如果来自网络的威胁到了国家和经济安全的攻击开始被认为是严重的且很难被阻止的;那么政府的一些行动(大量采集数据副本,存储,分析私人通信数据),可能会被授权并且用有限的及合适的方法去完成这些任务。在这种情况下,这些都可能很容易被认为是合理的,这是第四修正案的最终需要。 

总体而言,国家入侵防御系统并没有基本的联邦法律障碍。 

结论 

在没有保证和对此类状况的充分质疑情况下,美国公民被强迫在美国的机场、体育赛事和法庭等处接受侵入性的检查。公民的笔记本电脑、邮件和行李等也在边境、进入关键性的基础设施,以及其他吸引恐怖分子的网站的时候被检查。我们允许无保证的搜索,是因为政府的命令以及高等级的安全需要,以及合理的搜索和适当的任务。 

在大量的国内通信中,为了类似的原因所进行的类似搜索,看似很不幸,因为相当数量的通讯涉入其中,并且我们不认为数据和代码字符串会带来多大的伤害。但是实际上数据和字符串可以,并正在造成巨大危害。而且如果政府缺少可以对网络中究竟发生什么事情的综合性视图,就没有太多的方法可以检查这些危害。在这个的世界上,只要其目的和可信的保障措施到位,政府在网络中进行大规模的信息嗅探将是合法的。

网络威胁,政府网络运营以及第四修订案 

Jack Goldsmith   布鲁金斯大学论文 201012 网络论文地址

http://www.brookings.edu/papers/2010/1208_4th_amendment_goldsmith.aspx

爱因斯坦计划编辑本段回目录

本文始于对网络安全态势感知的研究。而美国的这个爱因斯坦计划可以看成是网络态势感知的实际大规模运用。我发表此文,不担保文中的内容正确性,仅在于传播更多有关态势感知和爱因斯坦计划的信息。此外,本文在博客发表,也冀希望于借助开放的网络平台让更多人士看到本文,从而更好的指出其中的错误,深化其中的内容。

美国爱因斯坦计划技术分析
 
1 爱因斯坦-1
1.1概述
爱因斯坦计划1始于2003年,系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁,并更迅速地采取恰当的对策。通过收集参与该计划的联邦政府机构的信息,US-CERT能够建立和增强对美国网络空间态势感知的能力。这种态势感知的能力将使得国家能够更好地识别和响应网络威胁与攻击,提高网络安全性,提升关键的电子政务服务的弹性,增强Internet的可生存性。
1.2动因
爱因斯坦1计划的最根本动因就在于美国联邦机构各自都有自己的互联网出口,这种各自为战的情形使得联邦政府整体安全性难以得到保障,也无法获悉整个联邦政府的安全态势,不利于相互之间的信息共享、信息安全的协同。
1.3 收益
原来US-CERT更多的是分享弱点信息,而通过爱因斯坦1计划,则能够从更多的方面帮助联邦政府,这些方面包括:
1) 蠕虫检测:尤其是可以形成一幅跨政府部门的蠕虫攻击图;
2) 异常行为检测:通过跨政府部门的带内和带外的异常行为分析,能够更加全面的分析异常行为,并对其它部门提供预警信息和攻击线索;这个功能是爱因斯坦计划1 的核心;
3) 配置管理建议:通过爱因斯坦计划,US-CERT能够为联邦政府机构提供更有价值的配置管理建议;
4) 趋势分析:帮助联邦政府从整体上了解政府网络的健康度。
1.4技术分析
爱因斯坦1的技术本质是基于流量的分析技术(DFI)来进行异常行为的检测与总体趋势分析,具体的说就是基于*Flow数据的DFI技术。这里的*Flow最典型的一种就是NetFlow,此外还有sFlow,jFlow,IPFIX等等。US-CERT通过采集各个联邦政府机构的这些Flow信息,进行分析,获悉网络态势。
爱因斯坦1通过采集Flow信息,获得的数据包括以下几个部分:
1) ASN自治域号
2) ICMP类型/代号
3) 流字节长度
4) TCP/IP协议类型
5) 传感器编号:整个系统将在参与的联邦政府机构的网络中部署Flow采集传感器
6) 传感器状态
7) 源IP地址(IPv4)
8) 目的IP地址(IPv4)
9) 源端口

10)  目的端口

11)  TCP标志位信息

12)  时间戳

13)  持续时间

1.5系统工作流程
1) 各联邦机构通过部署传感器采集Flow数据,然后在本地进行一次分析,仅将关键的分析结果或者必要的信息传递给US-CERT,确保传输数据量受控;
2) US-CERT的分析师对传上来的数据进行二次分析,
3) 如果发现了可疑的行为或者其他异常,US-CERT分析师将与信息来源方联邦机构取得联系,一起检查与此可疑行为有关的其他网络行为;
4) 除了分析潜在的异常行为,US-CERT还将为联邦机构提供配置管理的设置建议。
1.6 系统管理界面截图
 

 
2 爱因斯坦-2
2.1 概述
爱因斯坦2计划是1号计划的增强,始于2007年,该系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,以期使得US-CERT获得更好的网络态势感知能力。同时,2号计划将配合美国政府的TIC(可信Internet接入,旨在减少和收拢联邦政府机构分散的互联网出口)计划一起实施。
而实现该恶意行为分析能力的技术是网络入侵检测技术。而爱因斯坦2计划主要以商业的IDS技术为基础进行了定制开发,而特征库即有商业的,也有US-CERT自己的。爱因斯坦2计划中的特征库是US-CERT精选的,做到尽可能的少。
2.2 技术分析
爱因斯坦2计划的技术本质是IDS技术,它对TCP/IP通讯的数据包进行DPI分析,来发现恶意行为(攻击和入侵)。
爱因斯坦2计划的IDS技术中既有基于特征库(Signature,也有叫指纹库、指纹信息、签名库)的检测,也有基于异常的检测,二者互为补充。
爱因斯坦2通过DPI,获得的数据包包括以下几个部分:
1) 源IP:sIP
2) 目的IP:dIP
3) 源端口:sPort
4) 目的端口:dPort
5) 协议类型:protocol,例如TCP、ICMP、UDP等
6) 包数量:packets,通过传感器计算出来的一次连接的包数量
7) 字节数:bytes
8) 连接开始时间:sTime
9) 连接持续时间:dur

10) 连接结束时间:eTime

11) 传感器编号

12) 数据流方向:type,分为进(in/inweb/inimcp)、出(out/outweb/outicmp)、内到内(int2tint)、外到外(ext2ext)

13)初始标志位:intialFlag,例如C(WR)/E(CE)/U(RG)/A(CK)/P(SH)/R(ST)/S(YN)/F(IN)

2.3 传感器设计
爱因斯坦2计划的传感器中包括了商业的软件,政府定制的软件,以及商业的IDS软件。该传感器放置于联邦机构的互联网出口处(IAP,Internet Access Point),并且最终就是TIC计划中的那些统一互联网出口。
2.4 系统工作流程
1) 各传感器在本地互联网出口处进行DPI分析,通过特征检测技术和异常检测技术发现恶意行为,并产生告警;
2) 告警信息(Alert),相关的数据包信息(Flow-Records),以及必要的与恶意行为相关的网络原始报文信息(Traffic),都被送到US-CERT,供分析师进行深入分析;
3) US-CERT负责统一对传感器的特征库进行升级维护;
4) 所有US-CERT收集到的信息保存3年。
3 爱因斯坦-3
3.1概述
从2008年开始,美国政府启动了“全面国家网络空间安全计划CNCI)【注1】”。作为其中的一部分,就是DHS的爱因斯坦3计划(DHS称其为下一代爱因斯坦计划)。目前,该计划披露的信息甚少。作为实施爱因斯坦3计划的一个重要步骤,DHS启动了一个“第三阶段演练”的项目,其中就有爱因斯坦3的部分技术可行性分析与验证的工作。根据“第三阶段演练”项目,可以得知,爱因斯坦3计划的主要技术支撑是IPS。而该入侵防御技术是由NSA(国家安全局)主导开发出来的,代号为称作“Tutelage”(已经用于保护军方网络),主要就是他们做出来的一套识别特定攻击的特征库(Signature)。“第三阶段演练”项目旨在验证有关技术,确定用于爱因斯坦3的技术方案。整个演练分为4各阶段实施。
根据“全面国家网络空间安全计划”(CNCI)中的TIC,提出了TICAP(可信Internet连接访问提供商)的概念,即将为联邦政府提供网络接入的ISP也纳入其中,例如AT&T公司。在“第三阶段演练”项目中,AT&T预计将参与其中。其中有一个演练的内容就是由TICAP将政府网络的流量有选择性的镜像并重定向出来,供US-CERT对这些流量进行入侵检测与防御分析的实验。
根据3号计划,DHS希望最终能够将TIC与爱因斯坦融合起来,成为联邦政府网络基础设施的基本保障。
另外,从爱因斯坦3计划开始,NSA(国家安全局)和DoD(国防部)都明确加入其中。
3.2 总体技术分析
在爱因斯坦3计划中,将综合运用商业技术和NSA的技术对政府机构的互联网出口的进出双向的流量进行实时的全包检测(Full Packet Inspection,FPI),以及基于威胁的决策分析。特别的,借助在电信运营商处(ITCAP)部署传感器,能够在攻击进入政府网络之前就进行分析和阻断。
爱因斯坦3计划的总体目标是识别并标记恶意网络传输(尤其是恶意邮件),以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应,也就是具备IPS的动态防御能力。
爱因斯坦3计划还增加了一个联动单位——NSA。US-CERT在获得DHS的许可后,会将必要的告警信息送给NSA进行进一步分析。
爱因斯坦3计划主要要解决的问题是网络空间威胁(Cyber Threat),至少包括钓鱼、IP欺骗、僵尸网络、DoS、DDoS、中间人攻击,以及其他恶意代码插入。
初步可以判断,爱因斯坦3计划依然是以使用DPI+DFI技术为主,获取的数据包信息没有超过1号和2号计划,最多也就相当于上述之和。
综上所述,爱因斯坦3的技术本质可以概括为:依托商业IPS技术,通过FPI,DPI+DFI等手段,与TIC计划紧密结合,实现对网络空间威胁(Cyber Threat)的识别和阻断。
爱因斯坦3计划的关键创新之处在于其部署方式(TICAP的加入使得原先的传感器专为在TICAP端部署,并采用所谓“重定向”技术)和运作流程。 在分析端,亮点在于加入了IPS的技术(主动响应技术),还有实时FPI全包分析的技术。进一步分析,这就涉及到更加精准的特征库、超高的传感器处理性能、更多高级的威胁分析技术。
另外,没有证据表明爱因斯坦3计划中的FPI不会对数据包的payload进行内容检测。
下图进一步说明了爱因斯坦3的传感器与TIC联合部署的逻辑拓扑:

上图展示了在四种接入方式下的爱因斯坦3号传感器的部署。图中,Networx是TIC下的另一个项目,旨在帮助联邦政府机构选择TIC接入的路由。
 
爱因斯坦计划不仅需要最先进的技术,还需要大量的人力资源,尤其是安全分析师。2009年的时候,US-CERT和DHS宣布在未来3年要为爱因斯坦计划招聘1000人的安全分析师。
 
【注1】关于CNCI,再多说一下,TIC与爱因斯坦是CNCI涉及的12项计划中的最重要的两个。CNCI计划由美国总统在2008年1月签署实施(NPSD54)。实际上,TIC和爱因斯坦都比CNCI提出的要早,但是后来都被合并到CNCI中去了。另外,在2008年底,DHS将爱因斯坦计划又合并到了NCPS(National Cyberseucrity Protection System)项目中了。因为原来对爱因斯坦的定义更多的是部署传感器,而在NCPS中则更加强调基于这些传感器获得的数据做关联与分析。
 
【后记】美国的爱因斯坦计划十分庞大,目标旨在保护其电子政务网络,同理,类似的技术也可以用户保护私人网络。爱因斯坦计划所对应的系统可以分为两个部分:传感器部分和分析中心部分,抑或称之为前端和后端。在前端,可以运用NAV技术,而后端可以运用SIEM技术。整个分布式的前端和集中化的后端和起来就构成了一个态势感知网络。而正在建设中的这个爱因斯坦系统,可以说是真正大规模实用的态势感知系统。事实上,爱因斯坦计划就是一个政府主导的,商业厂商参与的项目。在这个项目中处处可见商业厂商的影子,而这些参与的厂商,从技术上肯定有NAV和SIEM厂商。NAV,说到底,就是DPI+DFI。根据美国某公司的市场分析,美国政府的DPI市场从2010年到2015年将有36%的年均复合增长率,2015年将有18亿美元市场容量。市场中将包括DPI厂商,政府的合同供应商(SI),政府相关机构等。例如,国防外包商SAIC公司就在2010年收购了做DPI的公司
通过了解最前沿的这些厂商的技术及其他们所服务的客户,也可以一窥网络态势感知的发展趋势。
此外,网络空间的安全态势感知(Cyber Security SA)与一般的网络安全态势感知(Network Security SA)还是有所不同的。

参考文献编辑本段回目录

http://yepeng.blog.51cto.com/3101105/641002
http://blog.sina.com.cn/s/blog_45b831700100xhsk.html

→如果您认为本词条还有待完善,请 编辑词条

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
0

标签: 爱因斯坦计划

收藏到: Favorites  

同义词: 暂无同义词

关于本词条的评论 (共0条)发表评论>>

对词条发表评论

评论长度最大为200个字符。