科技: 人物 企业 技术 IT业 TMT
科普: 自然 科学 科幻 宇宙 科学家
通信: 历史 技术 手机 词典 3G馆
索引: 分类 推荐 专题 热点 排行榜
互联网: 广告 营销 政务 游戏 google
新媒体: 社交 博客 学者 人物 传播学
新思想: 网站 新书 新知 新词 思想家
图书馆: 文化 商业 管理 经济 期刊
网络文化: 社会 红人 黑客 治理 亚文化
创业百科: VC 词典 指南 案例 创业史
前沿科技: 清洁 绿色 纳米 生物 环保
知识产权: 盗版 共享 学人 法规 著作
用户名: 密码: 注册 忘记密码?
    创建新词条
科技百科
  • 人气指数: 4634 次
  • 编辑次数: 1 次 历史版本
  • 更新时间: 2013-08-04
高兴
高兴
发短消息
相关词条
美国信息安全体制
美国信息安全体制
龙虾计划
龙虾计划
爱因斯坦计划
爱因斯坦计划
袋熊计划
袋熊计划
美国网络司令部
美国网络司令部
美国国家网络安全和通信集成中心
美国国家网络安全和通信集成中心
美国网络安全战略分析
美国网络安全战略分析
推荐词条
希拉里二度竞选
希拉里二度竞选
《互联网百科系列》
《互联网百科系列》
《黑客百科》
《黑客百科》
《网络舆情百科》
《网络舆情百科》
《网络治理百科》
《网络治理百科》
《硅谷百科》
《硅谷百科》
2017年特斯拉
2017年特斯拉
MIT黑客全纪录
MIT黑客全纪录
桑达尔·皮查伊
桑达尔·皮查伊
阿里双十一成交额
阿里双十一成交额
最新词条

热门标签

微博侠 数字营销2011年度总结 政务微博元年 2011微博十大事件 美国十大创业孵化器 盘点美国导师型创业孵化器 盘点导师型创业孵化器 TechStars 智能电视大战前夜 竞争型国企 公益型国企 2011央视经济年度人物 Rhianna Pratchett 莱恩娜·普莱契 Zynga与Facebook关系 Zynga盈利危机 2010年手机社交游戏行业分析报告 游戏奖励 主流手机游戏公司运营表现 主流手机游戏公司运营对比数据 创建游戏原型 正反馈现象 易用性设计增强游戏体验 易用性设计 《The Sims Social》社交亮 心理生理学与游戏 Kixeye Storm8 Storm8公司 女性玩家营销策略 休闲游戏的创新性 游戏运营的数据分析 社交游戏分析学常见术语 游戏运营数据解析 iPad风行美国校园 iPad终结传统教科书 游戏平衡性 成长类型及情感元素 鸿蒙国际 云骗钱 2011年政务微博报告 《2011年政务微博报告》 方正产业图谱 方正改制考 通信企业属公益型国企 善用玩家作弊行为 手机游戏传播 每用户平均收入 ARPU值 ARPU 游戏授权三面观 游戏设计所运用的化学原理 iOS应用人性化界面设计原则 硬核游戏 硬核社交游戏 生物测量法研究玩家 全球移动用户 用户研究三部曲 Tagged转型故事 Tagged Instagram火爆的3大原因 全球第四大社交网络Badoo Badoo 2011年最迅猛的20大创业公司 病毒式传播功能支持的游戏设计 病毒式传播功能 美国社交游戏虚拟商品收益 Flipboard改变阅读 盘点10大最难iPhone游戏 移动应用设计7大主流趋势 成功的设计文件十个要点 游戏设计文件 应用内置付费功能 内置付费功能 IAP功能 IAP IAP模式 游戏易用性测试 生理心理游戏评估 游戏化游戏 全美社交游戏规模 美国社交游戏市场 全球平板电脑出货量 Facebook虚拟商品收益 Facebook全球广告营收 Facebook广告营收 失败游戏设计的数宗罪名 休闲游戏设计要点 玩游戏可提高认知能力 玩游戏与认知能力 全球游戏广告 独立开发者提高工作效率的100个要点 Facebook亚洲用户 免费游戏的10种创收模式 人类大脑可下载 2012年最值得期待的20位硅谷企业家 做空中概股的幕后黑手 做空中概股幕后黑手 苹果2013营收 Playfish社交游戏架构


目录

欧洲龙虾计划技术初探编辑本段回目录

概述
龙虾计划(Lobster Program)是由欧盟委员会下的IST资助的一个项目,旨在建立一套提前发现、追踪和消除复杂网络攻击,并分享这些攻击信息的系统。主要承担方是希腊研究与技术基金会。龙虾计划的全称是Large-scale Monitoring of Broadband Internet Infrastructures,即大规模宽带Internet基础设施监测。
项目于2004年1月启动,并已经在2007年6月结项。目前,各参与方仍在继续基于这个项目进行各自的进一步研究与开发。
项目的动因本质上就是为了获得对网络的态势感知,尤其是安全态势感知,尽管当时他们并未用这个词来概括其动因。
该项目的核心目标是:基于被动监测传感器,针对欧洲地区的互联网建立起从2.5Gbps到10Gbps环境下的网络流量监测的试点。另外,值得一提的是该项目中几个具体目标:

1)              实现一个能够实现原始流量数据匿名化的工具与通用的匿名数据流量信息表达方式。因为该项目的一个目标是要在不同的参与者之间分享捕获的攻击数据,以便进行协作分析。而保护每个信息提供者的原始数据隐私是很重要的、也是很实际的一个问题。这就好比如现在的MSSP在给最终用户提供服务的时候,如何既能够发现针对客户的敏感信息窃取攻击,又不看到客户的敏感信息一样。

2)              在这个高性能、分布式的监测传感器(Traffic Monitoring)基础上建立一套应用分析框架和典型应用,支持识别0day蠕虫传播、识别动态端口应用、对互联网服务进行度量,等等。

另外,需要指出的是,龙虾计划很多都与网络安全有关,但并未单纯为了网络安全,还包括网络性能与可用性的监测,例如流量分布、(应用层)流量统计、应用性能度量、Internet服务质量度量,等等。
最后,需要强调的是,Lobster计划做出来的核心是一个应用框架,以及一些基本的应用(NERD、Ruler、Stager等),具体的应用还需要开发者基于这个框架做各自的开发。Lobster支持的创新型应用包括:
1) 精确识别使用动态端口的应用,例如P2P应用;
2) 0day蠕虫扩散的早期预警分析系统;
3) 应用性能度量;
4) 检测与跟踪DoS攻击;
5) 等等。
这个链接提到了其发现的攻击样本。
关键技术
被动监测技术
其本质就是DPI+DFI技术。所谓被动,就是不会对监测网络产生影响,例如不需要在当前的运行网络中注入监测指令(数据包),不会产生监测流量。相对而言,采用注入方式监测的技术就称作主动监测技术,该技术在网络管理中经常用到。例如执行Ping和Traceroute指令去获悉网络状态,实际上是对现有网络产生了一定的流量影响的。又例如SNMP get/set操作等。被动监测技术一般都采用流量镜像的方式来进行数据获取与分析。因此,被动监测技术也被称作是一种非侵入式的监测方式。
Lobster的被动监测技术获取的数据包括:Flow信息、数据包信息(包括包头,并且在必要的时候获取完整的报文——payload)。因此说,Lobster传感器的技术本质是DPI+DFI。此外,由于会获取报文,因而数据匿名化技术很有必要。
高性能硬件支撑
Lobster的软件系统是一个十分具有伸缩性的系统,既能够在简单的设备上运行,例如PC机和IA服务器,借助以太网卡即可被动监测百兆和千兆的网络;也支持在高性能服务器和专门的高速硬件设备上运行。对于支持高速硬件设备,主要就是指高速捕包网络接口卡。Lobster支持Endace的DAG卡,也支持IST另一个更加基础的项目——SCAMPI计划——中研制出来基于Combo6的硬件加速卡,以及基于Intel或IBM的NP的硬件加速卡(例如Intel的IXP1200)。
图:Combo6卡
SCAMPI是欧盟的另一只龙虾。他更加底层,重点是解决高速网络环境(10Gbps)下的高速数据分析技术,包括开发一套高速硬件数据采集卡,以及进行网络和安全分析的开放式网络监测架构及其工具包(API)。该项目启动于2002年,在2004年9月结项。
SCAMPI包括两个核心:MAPI(监测API)和适配器。适配器是一套特制的硬件卡,可以支持10Gbps的数据捕获;MAPI就是一套给开发人员使用的编程接口,用于操控适配器卡。
SCAMPI的硬件卡
借助SCAMPI适配器,从硬件的层面上实现了数据包过滤、哈希、采样、字符查找、包头匹配等操作。
此外,Lobster的底层还支持基于硬件的包过滤技术。这种技术建立了一个包解析的流水线,并配上了一套可视化的编辑工具。
其他

Lobster也采用了类似爱因斯坦3的全包检测技术(Full Packet Inspection),这意味着Lobster的传感器不仅要有高性能的数据包捕获和解析能力,还要有巨大的存储能力。

与爱因斯坦计划的异同对比
龙虾(Lobster)计划是一个欧盟资助的民间计划,监测的范围主要是欧盟的互联网,其部署传感器的节点大部分是学校、研究性组织、以及一些电信运营商。而爱因斯坦计划很明确就是针对美国联邦政府机构,DHS负责本土机构,DoD和NSA负责海外机构。
龙虾计划资金也就百万欧元级别,偏研究与验证性质,自愿参与,并且是不完整的,很多具体的应用是缺乏的。而爱因斯坦计划投入资金庞大(可能达数十亿美元),是大规模实施类项目,里面涉及的很多内容都是运用成熟的商业化技术和产品。
两个计划最大的共同之处就在于都采用了DPI+DFI技术,都强调了高性能的数据处理,实时的全数据包检测(FPI)。
总之,龙虾计划的很多思想和成果可以为态势感知研究提供借鉴,但总体上距离美国的爱因斯坦计划的蓝图还比较远。
 
后记】网络安全态势感知的研究理论上可以分为态势要素的获取、态势理解和态势预测三个部分。我们谈到态势要素获取更多地是谈到如何更广泛地获取各种要素信息,进而涉及到异构数据源支持、多种采集协议、数据标准化和归并,等等相关议题。而实际上,对于具体的一个态势感知项目而言,感知的目标是很重要的,他决定了需要什么样的要素。要素质量很关键。高质量的要素信息,能够准确的帮助我们进行态势感知;相反,低质量的要素信息,无异于给系统输入一堆垃圾数据,加大分析难度。对于网络安全的态势感知,尤其是CyberSpace的SA而言,基于DPI+DFI分析得到的要素信息很有意义。而这些要素信息是现有的绝大多数安全设备并不能完全提供的。或者说,现在的安全产品在技术上还需要进阶。而谈及进阶,可以有两个维度,一个是将DPI+DFI往深了做,例如NetWitness,另一个就是将多种DPI+DFI的功能进行有机组合。

参考文献编辑本段回目录

http://yepeng.blog.51cto.com/3101105/652177

→如果您认为本词条还有待完善,请 编辑词条

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
0

标签: 龙虾计划 欧洲龙虾计划

收藏到: Favorites  

同义词: Lobster Program,欧洲龙虾计划

关于本词条的评论 (共0条)发表评论>>

对词条发表评论

评论长度最大为200个字符。