einstein 走近科学：“爱因斯坦”（EINSTEIN）计划综述( 二 )

11)传感器数量；
12)数据流方向:类型等。
爱因斯坦2计划的传感器放置在联邦机构的互联网接入点(IAP)，是TIC计划中的统一互联网出口。
爱因斯坦3项目(DHS称之为下一代爱因斯坦项目)目前披露的信息很少。作为实施爱因斯坦3的一个重要步骤，DHS开始了第三阶段的演习项目，其中包括爱因斯坦3的技术可行性分析和验证。根据第三阶段练习项目，可以知道爱因斯坦3计划的主要技术支持是IPS。入侵防御技术是在美国国家安全局(NSA)的领导下开发的，代号为Tutelage(已用于保护军事网络)，主要是他们为识别特定攻击而制作的一组签名。第三阶段练习项目旨在验证相关技术，确定爱因斯坦3号的技术方案。整个练习分为四个阶段。

文章图片

根据综合国家网络空内部安全计划(CNCI)中的TIC，提出了TICP(可信互联网连接接入提供商)的概念，其中包括为联邦政府提供网络接入的互联网服务提供商，如at & T公司。第三阶段演练项目，预计AT & T参与。演习之一是TICAP将有选择地镜像和重定向政府网络的流量，可以被US-CERT用于入侵检测和防御分析。
根据3号计划，DHS希望把TIC和Einstein整合起来，成为联邦政府网络基础设施的基本保障。此外，自从爱因斯坦3计划以来，NSA和国防部都明确加入其中。
在爱因斯坦3计划中，将综合运用商业技术和NSA技术，对政府机构互联网网点的双向流量进行实时全包检测(FPI)和基于威胁的决策分析。特别是通过在电信运营商部署传感器，可以在攻击进入政府网络之前进行分析和拦截。
爱因斯坦3计划的总体目标是识别和标记恶意网络传输(尤其是恶意邮件)，以增强网络之间的安全分析、态势感知和安全响应能力空。该系统将能够在危害发生之前自动检测网络威胁并做出适当的响应，即具有IPS的动态防御能力。
爱因斯坦3号计划还增加了一个联系单位——国家安全局。在获得DHS的许可后，美国核应急中心将向美国国家安全局发送必要的警报信息，以供进一步分析。
爱因斯坦3项目解决的主要问题是网络之间的威胁空，包括网络钓鱼、IP欺骗、僵尸网络、DDoS、中间人攻击和恶意代码插入攻击。
由于入侵防御功能部署在签约的网络服务提供商中，因此在这些网络服务提供商中部署了一种称为“嵌套”的安全设施。“鸟巢”负责将政府机构的互联网流量拉入其中，检测并拦截，然后将清理后的流量发送回互联网。
第三，最新发展
到目前为止，NCPS项目已经在政府网络出口处部署了229个入侵检测传感器。gov，总共部署了9000多个入侵检测功能，其中大约2300个是全天候激活的。

文章图片

2016年1月，美国总审计局(GAO)提交的一份报告“DHS需要增强能力，改进规划，并支持更大程度地采用其国家网络安全保护系统”声称该系统仅“部分符合标准”，并对其进行了严厉批评。从入侵检测能力的角度来看，NCPS(“爱因斯坦计划”)仅支持基于签名的检测方法，但尚不支持基于异常和基于状态的检测方法。此外，目前数据类型有限，无法检测加密网络流量、邮件和文件传输中的攻击。从入侵防御能力的角度来看，NCPS部署的入侵防御能力具有近实时的入侵拦截功能，但它不能在细粒度上只拦截某些协议流量，同时某些流量(如网页内容)还不能被检测和拦截。从信息共享能力来看，NCPS的信息共享能力仍然处于手动和无序状态。