einstein 走近科学：“爱因斯坦”（EINSTEIN）计划综述

文章图片

“爱因斯坦”计划是由美国联邦政府牵头的自动网络安全监控项目。它由美国国土安全部(DHS)下属的美国计算机应急小组(US-CERT)开发，用于监控对政府网络的入侵，保护政府网络系统的安全。
自2009年以来，美国政府启动了综合国家网络空内部安全计划(CNCI)。爱因斯坦的计划被并入CNCI，并更名为NCPS(国家网络安全保护系统)，但仍被称为爱因斯坦计划。目前，除国防部及其相关部门外，NCPS已经在美国23个政府机构中部署和运作。
一、项目总结
爱因斯坦的计划分为三个阶段，如表1所示。该计划有四项功能，包括入侵检测、入侵防御、数据分析和信息共享。

文章图片

表1“爱因斯坦”项目
EINSTEIN1始于2003年，本质上是一个入侵监测系统。其主要任务是监控、分析和共享安全信息，其特点是信息收集。EINSTEIN2于2008年实施，2009年部署。该系统在原有异常行为分析的基础上，增加了对恶意行为的分析能力，本质上仍然是一个入侵检测系统，具有被动响应的特点。2010年，DHS开始计划设计和部署入侵防御系统(EINSTEIN3)，以识别和防止网络攻击。最初计划在2018年覆盖所有联邦行政机构。2012年，DHS改变了一种新方法，即互联网服务提供商(ISPs)使用商业技术为联邦政府机构提供入侵防御安全服务，这种方法被称为爱因斯坦3加速(E3A)，是一种入侵防御系统。
EINSTEIN2计划与美国政府的TIC(可信互联网接入，旨在减少和关闭联邦政府机构分散的互联网出口)合作。2008年，政府网络接入端口数量从8000多个减少到2700个左右，最终计划减少到100个以下，由多个政府部门共享。
二、项目介绍
爱因斯坦1的技术本质是基于流量分析技术(DFI深度流量检测)来检测异常行为和分析整体趋势，具体是基于*Flow数据的DFI技术。这里最典型的*Flow类型是NetFlow，此外还有sFlow、jFlow、IPFIX等等。美国计算机应急中心从各种联邦政府机构收集这些流量信息，分析它们，并了解网络情况。

文章图片

爱因斯坦1号收集了流量信息，获得的数据包括以下几个部分:
1) ASN自治域号；
【einstein 走近科学：“爱因斯坦”（EINSTEIN）计划综述】2) ICMP类型/代码；
3)流字节长度；
TCP/IP协议的类型；
5)传感器号:整个系统将在参与联邦政府机构的网络中部署流量采集传感器；
6)传感器状态；
7)源IP地址(IP v4)；
8)目的IP地址(IP v4)；
9)源端口；
10)目的港；
11) TCP标志位信息；
12)时间戳；
13)持续时间
爱因斯坦2号计划是爱因斯坦1号计划的改进。主要基于商用IDS技术，进行定制开发，特征库既有商用的，也有US-CERT自带的。爱因斯坦2计划中的特征库是US-CERT选择的，应该尽量少。
爱因斯坦2项目的技术本质是IDS技术，对TCP/IP通信数据包进行DPI(深度包检测)，发现恶意行为(攻击和入侵)。爱因斯坦2号通过了DPI，得到的数据包包括以下几个部分:
1)源IP:sip；
2)目的IP:dip；
3)源端口:sPort；
4)目的端口:dPort；
5)协议类型:协议，如TCP、ICMP、UDP等。
6)包数:包，传感器计算的一次连接的包数；
7)字节数:字节；
8)连接开始时间:sTime；
9)连接持续时间:dur；
10)连接结束时间:eTime；