美國網絡空間攻擊與主動防御能力解析
——美國網絡空間安全主動防御體系

◎安天研究院

上一期，我們對美國的大型信號情報獲取項目進行了介紹，包括監聽目標涵蓋美國公民的“星風”（STELLARWIND）計劃、網上行為監視和分析的關鍵得分（X-KEYSCORE）項目、針對全球網絡安全廠商的“拱形”（CAMBERDADA）計劃等，全面地展現了美國強大的信號情報獲取能力。在本期中，我們將聚焦美國網絡空間安全主動防御體系，呈現其全面的網絡空間安全防御能力，以及美國將信號情報與主動防御相結合，全面拒止威脅的能力。

2008年1月8日，時任美國總統布什簽署了第54號國家安全總統令/第23號國土安全總統令，即《國家網絡安全綜合計劃》（Comprehensive National Cybersecurity Initiative, CNCI）。 該 計劃旨在從國家層面建設一個的綜合的網絡空間安全防御系統，抵御美國遭受到的網絡攻擊，保護美國的網絡空間安全。CNCI自簽署以來，就以涉及國家安全的原因被列為高度機密，至2008年底僅公開了12項計劃的基本信息。

2010年，為了體現“實現前所未有的政府開放性”的承諾，奧巴馬政府公開了一份關于CNCI的摘要，其中包括“部署一個由遍布整個聯邦的感應器組成的入侵檢測系統”和“尋求在整個聯邦范圍內部署入侵防御系統”，即“愛因斯坦2”（EINSTEIN 2）計劃和“愛因斯坦3”（EINSTEIN 3）計劃。

“愛因斯坦”計劃是美國聯邦政府主導的一個網絡空間安全自動監測項目，由國土安全部（Department of Homeland Security, DHS）下屬的美國計算機應急響應小組（US-CERT）開發，用于監測針對政府網絡的入侵行為，保護政府網絡系統安全。美國政府啟動了CNCI后，愛因斯坦計劃并入CNCI，并改名為國家網絡空間安全保護系統（National Cybersecurity Protection System, NCPS），但依然被成為“愛因斯坦”計劃。

“愛因斯坦”計劃經歷了三個階段。“愛因斯坦1”自2003年開始實施，監控聯邦政府機構網絡的進出流量，收集和分析網絡流量記錄，使得DHS能夠識別潛在的攻擊活動，并在攻擊事件發生后進行關鍵的取證分析。“愛因斯坦2”始于2007年，在“愛因斯坦1”的基礎上加入了入侵檢測（Intrusion Detection）技術，基于特定已知特征識別聯邦政府網絡流量中的惡意或潛在的有害計算機網絡活動。“愛因斯坦2”傳感器產生大量關于潛在網絡攻擊的警報，DHS安保人員會對這些警報進行評估，以確認警報是否具有威脅，以及是否需要進一步的補救，如果需要，DHS會與受害者機構合作解決。“愛因斯坦2”是“愛因斯坦1”的增強，系統在原來對異常行為分析的基礎上，增加了對惡意行為的分析能力，使得USCERT具備更好的態勢感知能力。2010年，DHS計劃設計和開發入侵防御（Intrusion Prevention）來識別和阻止網絡攻擊，即“愛因斯坦3”。根據奧巴馬政府公布的摘要，“愛因斯坦3”將利用商業科技和政府專業能力相結合的方式，實現實時的完整數據包檢測，并能夠基于威脅情況對進出聯邦行政部門的網絡流量進行決策，在危害發生前，對網絡威脅自動檢測并正確響應，形成一個支持動態保護的入侵防御系統。

根據目前披露的資料，“愛因斯坦3”的入侵防御能力主要來自于美國國家安全 局（National Security Agency, NSA）開發的一套名為TUTELAGE的系統。TUTELAGE是一套具有網絡流量監控、主動防御與反擊功能的系統，用于保護美軍的網絡安全，相關文件顯示早至2009年以前就已投入使用。傳統基于日志的防御方法具有時效性差、通常在攻擊成功實施后才能發現和應對的問題，而TUTELAGE可以和信號情報（SIGINT）、商業防護工具一起，協作應對威脅。TUTELAGE通過SIGINT提前發現對手的工具、意圖并設計反制手段，在對手入侵之前拒止。即使對手成功入侵，也能通過阻斷、修改C2指令等方法，緩解威脅。

TUTELAGE運行環境

系統通過部署在國防部（Department of Defense, DOD） 非 保密因特網協議路由器網（Non-secure Internet Protocol Router Network,NIPRNet）與互聯網連接的邊界網關上的傳感器發現惡意行為，并將這些行為報告給TUTELAGE。TUTELAGE使用深度包處理技術，通過內嵌的包處理器(in-line packet processor)透明地干預對手的行動，對雙向的包進行檢測和替換等，從而實現對惡意流量的攔截、替換、重定向、阻斷等功能。

通過商業科技和政府專業能力的深度融合，“愛因斯坦”系統允許國土安全部為聯邦政府機構提供多種安全服務，包括：入侵檢測、入侵防御、解析和信息共享等。這些服務是以一系列專業的工程能力為基礎的，如全網的信號情報獲取能力、高效的深度包檢測能力、從全流量數據中快速抽取特定信息的能力等。這些基礎的專業工程能力是區別在國際網絡空間對抗中取得實戰效果的項目與實驗室中的原型系統的關鍵。我國也可以利用軍民融合的優勢，依靠大規模工程建立超前部署的先進的網絡空間安全防御基礎平臺，為前沿技術創新和探索打下基礎，在此基礎上，不斷建設，疊加演進，最終形成一套完備有效的、具備全天候全方位感知能力的網絡空間安全防御體系。

美國的網絡空間安全主動防御體系借助商用技術和能力，將網絡空間的威脅預警、入侵防御和安全響應能力相結合，創建跨領域的網絡空間態勢感知系統，為聯邦政府網絡基礎設施提供安全保障。在后續的文章中，我們將關注美國在網絡空間攻擊方面的能力，介紹美國的網絡攻擊支持體系和裝備體系，敬請期待。

TUTELAGE功能