1 項目概述

愛因斯坦計劃，其正式名稱爲“國家網絡空間安全保護系統”（National Cybersecurity Protection System，簡稱NCPS），是美國“全面國家網絡空間安全行動計劃”（Comprehensive National Cybersecurity Initiative，簡稱CNCI）的關鍵組成部分。NCPS以DFI、DPI和DCI技術爲抓手，以大數據技術爲依託，以CTI爲核心，實現對美國聯邦政府互聯網出口網絡threat的持續監測、預警與響應，以提升聯邦政府網絡的態勢感知能力和可生存性。

NCPS由美國國土安全部（DHS）負責設計、運行和協調，大體上分爲三個階段。

藉助NCPS，美國聯邦政府爲其互聯網側態勢感知構建起了四大能力：入|侵檢測、入|侵防禦、安全分析和信息共享。

1.1 入|侵檢測

NCPS的入|侵檢測能力包括愛因斯坦1（簡稱E1）探針中基於Flow的檢測能力、愛因斯坦2（簡稱E2）和愛因斯坦3A（簡稱E3A）探針中基於特徵的檢測能力，以及2015年啓動的在E1、E2和E3A中基於機器學習的行爲檢測能力（代號LRA）。

NCPS的檢測能力不追求檢測所有攻|擊和入|侵，而重點關注APT類高級threat，因而其檢測特徵庫並不大，但很有針對性，並由美國DOD/NSA提供部分特徵信息。

1.2 入|侵防禦

NCPS的入|侵防禦能力是從愛因斯坦3A（簡稱E3A）階段開始的。

NCPS的入|侵防禦也不是一般意義上的入|侵防禦系統（IPS），其功能設計更加聚焦，更有針對性，並且是由NSA協助（主導）設計的，主要包括4種能力：

l 惡意流量阻斷：自動地對進出聯邦政府機構的惡意流量進行阻斷。這是依靠ISP來實現的。ISP部署了入|侵防禦和基於威脅的決策判定機制，並使用DHS開發的惡意網絡行爲指標（Indicator）來進行惡意行爲識別。

l DNS阻斷：也就是DNS Sinkhole技術，用於阻止已經被植入政府網絡的惡意代碼與外部的惡意域名之間的通訊。

l 電子郵件過濾：對所有發給政府網絡用戶的郵件進行掃描，識別含有惡意代碼的附件、惡意URL等，並將其過濾掉。

l Web內容過濾（WCF）：這是2016年加入到E3A入|侵防禦中的能力，可以阻斷可疑的web網站訪問、阻止web網站中惡意代碼的執行，阻斷web釣魚。

值得一提的是，NSA在協助DHS設計E3A入|侵防禦系統的時候，將他們的Tutelage項目移植了過去，超越了一般意義上主動防禦的層次，具有很強的對抗性。

1.3 安全分析

如果說入|侵檢測和入|侵防禦構成了NCPS的前端系統，那麼NCPS的後端核心就是構建在大數據之上的安全分析能力，而這個分析結果的輸出就是網絡安全威脅態勢。NCPS的分析能力主要包括：安全信息與事件管理（SIEM）、數字媒體分析環境（Digital Media Analysis Environment）、高級惡意代碼分析中心（AMAC）、各種分析工具可視化工具，等等。

1.4 信息共享

用時髦的話來說，信息共享就是情報共享，這是NCPS的核心能力。藉助該能力，DHS構建起一個信息共享與協作環境（ISCE），使得其下屬國家網絡空間安全和通信集成中心（National Cybersecurity and Communications Integration Center，簡稱NCCIC）的安全分析師能夠按照不同的密級與他們的合作伙伴快速交換網絡威脅和網絡事件信息，通過合作與協同以降低事件響應時間，通過自動化信息分享與披露以提升工作效率。

NCPS的信息共享能力主要包括：自動指標共享（AIS）、指標管理平臺（IMP）、統一工作流、跨域解決方案（CDS），等等。

2 項目走勢

如下所示，是筆者自己根據DHS歷年的預算報告自行編制的2008財年到2020財年NCPS預算走勢圖，採用的數據可能與實際有差異，均爲概數。

透過上圖，可以發現美國政府對愛因斯坦項目的投入基本呈現逐年上升的態勢，只是在最近3年有所下降，但仍維持在高位。不少人以爲美國政府因爲其效果不佳（GAO評價）而將其打入冷宮，事實並非如此。

根據DHS官方的數據，截至2017年財年，NCPS的資金投入累計已經達到了28.17億美元。

同期的NCPS全職工作人員預算編制數量走勢如下圖所示：

可以發現，NCPS的專職管理人員的數量也是穩步增長。

3 最新進展

根據2019年8月16日OMB公佈的2018財年的FISMA報告，目前，愛因斯坦項目總體上處於E3A階段。截至2018年9月26日，在102個聯邦民事機構中，有70個已經完全實現了三階段NCPS能力，包括列入CFO法案的23個機構。

如上圖所示，仍有28個機構尚未實現E1和E2，還有9個機構在實施E3A的過程中遇到阻礙。譬如郵件安全這塊受限於某些機構採購的第三方雲郵件服務商。

4 2020財年項目預算與計劃分析

下面是DHS在2020財年預算中提供的表格。

據此我們可以發現，在2017財年（含）之前的總預算達到了28.17億美元，2018財年的預算是4.02億美元，2019財年的預算是4.07億美元，而2020財年的預算是4.05億美元，最近三年預算基本持平，都是略多於4億美元。

NCPS項目的預算總體上包括兩部分：運行維護、採購建設與提升。從上表可以發現，最近三年的兩部分預算分配比例也都基本保持一致，都是2：1的樣子。

而在2017財年（含）以前，NCPS的預算則主要是採購建設與提升，運維部分的預算比例較低，2017財年（含）之前的運維總預算還不及最近三年的運維預算之和多。這也說明，近些年開始，NCPS項目主要是運維，採購實施和升級工作逐步減少。

4.1 運維預算分析

以下針對2020財年的運維（Operations and Support）預算進行分析。

在2.99億運維預算中，有2.69億是非支付性成本（Non Pay Budget，包括譬如房租水電、固定資產、耗材、差旅住宿、培訓、通訊、物流、諮詢與協助服務、來自聯邦的其它貨品和服務等），人員成本（支付性成本）是3000萬美元，約合169人（人均成本17.7萬美元）。

其中，在2.69億美元的非支付性成本中，“諮詢與協助服務”，以及“來自聯邦的其它貨品和服務”的金額佔比很高，達到87%，並沒有給出具體明細。根據筆者的分析，這部分服務和貨物應該包括了DOD對NCPS的各種幫助，以及大量的運維外包服務。很顯然，全國性的這麼一個大系統，僅靠預算編制的169人是不可能運維的起來的。

4.2 採購實施與提升預算分析

進一步分析2020財年採購建設和提升（Procurement, Construction and Improvements）的預算（1.06億美元）的構成，如下表，包括6個部分：項目規劃與運作、核心基礎設施、入|侵檢測、入|侵防禦、分析、信息共享。

這裏，入|侵檢測和入|侵防禦就是愛因斯坦的前端，相當於探針和傳感器；分析就是愛因斯坦的後端，相當於一個基於大數據分析技術的SOC平臺；而信息共享就是愛因斯坦的威脅情報平臺（TIP）；核心基礎設施主要是“任務操作環境”（Mission Operating Environment，簡稱MOE），相當於SOC平臺的底層架構和軟硬件支撐環境，生產和測試環境，網絡鏈路和帶寬，等等；項目規劃與運作包括系統規劃、設計與評估、採購管理、項目管理、人員管理與培訓等。

可以發現，從2019財年開始，重新列入了入|侵檢測的預算。這是因爲，從2018財年Q4開始，NCPS開始升級其入|侵檢測功能，在過去基於特徵的檢測基礎之上增加了基於ML的檢測方法（代號LRA），並啓動了雲檢測試點。此外，2020財年的入|侵檢測預算中還包括一項440萬美元的構建統一DNS服務的預算。

4.3 主要合同分析

上表顯示了近三年來NCPS主要的採購合同，可以看到最大的供應商（集成商）是雷神公司，其兩個合同的總值達到了5年6.24億美元。

4.4 項目計劃

2020財年NCPS的主要計劃和里程碑事件包括：

l 入|侵檢測與防禦

n 繼續改進和夯實基於非簽名的檢測能力，藉助基於行爲和信譽的機器學習技術的LRA項目來實現高級檢測能力；

n 繼續同聯邦政府的雲服務提供商合作，使得NCCIC可以藉助他們的安全服務和數據去保護聯邦機構的資產，以順應政府上雲的發展趨勢；

n 繼續對愛因斯坦的傳感器套件進行升級，提升性能、可靠、容量和賬戶，以滿足不變演進的新場景（譬如雲、移動）下的流量檢測之需；

n 升級和夯實入|侵防禦安全服務（IPSS），以增強對.gov域名的網絡安全防護；

n 收集各方需求，開發一套集中的權威DNS域名解析系統，爲聯邦民事機構（FCEB）提供服務。該託管服務將提供DNS管理功能，並在傳統DNS服務的基礎之上提供一系列安全分析服務。DHS認爲DNS系統影響面極大，並引用思科的分析報告稱99%的惡意代碼都利用DNS。

l 分析

n 增強分析框架的能力，使得NCCIC的分析師能夠實現跨NCPS數據集的信息查詢和分析；

n 繼續增強分析工具和過程以進一步提升網絡威脅分析的自動化水平；

u 繼續實現重構後的高級惡意代碼分析中心（AMAC），更加自動化地對收集到的惡意樣本進行分析、逆向

l 信息共享

n 繼續增強信息共享基礎設施，提升NCPS與網絡社區共享信息的效率、可靠性和速度；

n 繼續增強統一工作流（Unified Workflow）能力，爲NCCIC下各個獨立的業務和任務支撐應用提供一個單一的工作流自動化平臺，並將他們統一到一個統一視圖中去，從而提升NCCIC跟蹤、協調和報告安全事件的能力；

u 實施跨域解決方案（CDS）項目，以提升涉密信息處理的效率

5 重點技術介紹

5.1 LRA

LRA的全名是“邏輯響應孔徑”（Logical Response Aperture），是DHS開展的一項旨在提升安全分析與響應自動化的項目的內部代號。LRA能夠藉助智能化的安全分析技術，在沒有簽名和特徵的情況下識別攻|擊。

下圖展示了LRA的基本工作流程。

在聯邦部委機構（D/A）和互聯網（Internet）之間有一套部署在互聯網服務提供商（ISP）處的“NEST”設施。NEST會利用TAP將進出聯邦機構的的互聯網流量按需送給LRA。LRA的流量引擎利用Zeek做協議解析，並將解析後的流量日誌（流量元數據）連同原始的pcap包存儲到大數據存儲系統中（默認存儲90天）。存儲的數據內容包括：DNS查詢的域名和響應的IP地址、域名-IP地址對的TTL、電子郵件附件中的可執行文件、http請求的user agent信息，等等。基於機器學習和統計分析算法的分析引擎、惡意代碼檢測裝置，及其它自動化工具會從大數據存儲中讀取這些數據，並結合通過其它方式獲得的各種情境數據（譬如域名和可執行文件的黑白名單，GeoIP等）進行復合安全分析，生成惡意流量的潛在指標，並存入潛在指標庫中。分析師通過交互性UI檢查潛在指標庫中的指標，對其進行研判和標註，一方面獲得有效的指標，另一方面爲機器學習算法提供改進。

5.2 Tutelage

Tutelage（現已改名，具體不詳）作爲NSA號稱21世紀執行信號情報（SIGINT）任務的核心繫統的Turbulence項目中的一個子系統，承擔主動防禦的任務。作爲NCPS的重要諮詢方和協作方，NSA將Tutelage移植給了E3A。作爲NCPS中涉密的部分，我們無從知曉E3A的入|侵防禦系統設計有何玄機。

幸運的是，斯諾登泄密事件給了我們一窺Tutelage的機會，我們可以自行腦補E3A可能的設計。如下圖所示，展示了Tutelage項目在檢測到惡意流量和攻|擊後可以採取的遏制/反制措施，十分豐富。

可以肯定的是，E3A的入|侵防禦系統絕非我們一般意義上的IPS。

5.3 WCF

WCF的全名是WEB內容過濾（WEB Content Filtering）,是2016年前後追加到E3A中的一個新防禦能力（最初的E3A入|侵防禦能力包括DNS sinkholing和email過濾），重點阻斷可疑的web網站訪問、阻止web網站中惡意代碼的執行，阻斷web釣魚。

WCF具有四個功能：web流量檢測與阻斷、SSL解密、惡意代碼檢測、高級分析。

1) WCF會對可疑的web流量按照URL/URI進行分類，允許系統管理員允許或者拒絕某類web訪問。WCF會根據高可信網絡威脅指標和商業的簽名指標來進行研判並決定是告警還是阻斷，抑或其它遏制操作。WCF的技術原理就是一個WEB代理，由它來進行檢測，並執行重定向、阻斷或者告警操作。

2) WCF支持對SSL web流量解密，分析解密後的流量數據。

3) WCF內置惡意代碼檢測功能，使用政府提供的網絡威脅指標來檢測惡意活動。

4) WCF包括高級分析功能。這裏的高級分析是指基於行爲的異常分析，也即LRA。

5.4 AIS

說到NCPS項目，而不提及威脅情報，那麼一定是對NCPS不甚瞭解，或者僅僅停留在愛因斯坦計劃早期的認知水平上。必須強調，威脅情報，或者說信息共享是NCPS的核心能力之一，所有檢測、分析的能力最後都是爲了能夠在DHS和其夥伴間實現高效的情報共享和協同聯動。美國政府實施NCPS的一個終極目標就是自動化地檢測威脅、共享情報和處置攻|擊。這跟我們近些年談及從美國傳過來的TIP、SOAR等理念是一致的。

AIS全名是自動指標共享（Automated Indicator Sharing），其目標就是在網絡防禦行動中以機器速度（Machine-peed）快速廣泛地共享機讀（Machine-readable）網絡威脅指標和防禦措施。AIS要能夠自動處理海量高速的共享指標，而這是人工操作無法達成的。

下圖展示了AIS的工作原理。

首先，各個AIS的參與機構（上圖右側灰色部分，包括各級地方|政府、私營夥伴、聯邦機構、ISAC和ISAO）通過TAXII協議將STIX格式的威脅情報信息送給DHS的TAXII服務器（上圖中間黃部分）。接着，所有提交的情報信息都會經過一個自動化的“數據增強過程”，進行信息修訂、匿名化處理、隱私評估、數據增強。此外，DHS也會接收商業的情報信息源信息（上圖上方綠色部分），並統一進行數據增強。然後，DHS的分析師會對增強後的數據進行覈驗【注：人工操作還是不可缺少，不可能完全自動化】，並最終進行發佈。發佈的途徑包括放到TAXII服務器上供各參與方獲取，或者可以供其它第三方訂閱（上圖上方藍灰色部分）。

截至2018年底，已經有33個聯邦機構，215家非聯邦政府實體（其中包括18家可以對共享信息進行再分發的ISAC、ISAO和11家商業服務提供商）參與其中。

6 關鍵考覈指標

爲了從宏觀層面衡量NCPS項目的效率和效果，在2020財年，DHS爲NCPS設計了2個戰略指標：

l 從最早檢測出某個單位潛在的惡意行爲到該單位接到告警通知的平均小時數

根據NCPS的工作流程，通過IOC比對檢測到某個單位存在可疑惡意行爲後，會產生告警送到後端，DHS分析師收到告警後，會進行初始研判，並進行告警分診和調查。如果一條或者多條告警被確認爲惡意行爲，會產生一條事件工單，並送給受到影響的單位，以便採取進一步行動。這個指標的目標就是要在保持報警的正確率的情況下讓這個時間儘可能地短。

根據DHS的設定，該指標在2019和2020財年的目標都是24小時之內。

l 愛因斯坦入|侵檢測和防禦系統檢測或者阻斷的攻|擊中可以溯源到國家行爲的比例

NCPS的目標不是去“撈小魚小蝦”，而重點是防禦國家行爲體的攻|擊。爲此，NCPS的檢測手段並不求全，而是重點針對那些複雜的攻|擊。

根據DHS的設定，該指標在2018財年是20%，2019財年是21%，2020財年是22%。2018財年的考覈結果已經出爐，是29%，高於設定值。

7 總結

通過以上分析，筆者談一談個人的幾點體會作爲本文總結。

1） NCPS項目從一開始就是站在國家戰略高度來推進的，採用法規先行（法案、總統行政令、NIST標準等）、制度開道、統一建設、持續投入的方式，從一個US-CERT下面的初級態勢感知項目，在CNCI計劃的推動下，逐步成爲了一個規模龐大的國家戰略級項目。

2）從項目定位上，NCPS區別於各個聯邦機構自己的安全防護。二者不是替代關係，而是疊加關係。並且NCPS更加註重針對高級威脅的監測與響應，更加重視跨部門/廠商的協調聯動、羣防羣治。

3）從建設過程來看，NCPS明顯以合規爲出發點進行建設，但強調以實戰對抗爲最終目標。

4） NCPS項目的投入時間很長，尤其是2009年CNCI計劃出臺之後，資金和人員投入逐年穩步提升，並維持在較高的水平線上。可見國家級態勢感知系統的建設需要長期持續的投入。

5）從資金分佈上看，DHS越來越重視NCPS的運行維護，技術和產品採購的比重越來越低。要想實現NCPS常態化的運營，就必須有持續的、大量的運營投入，並且需要大量的安全分析師。

6）從運營方式上看，NCPS被儘可能地封裝爲一系列託管服務和安全服務的形式，以服務的方法提供給各個聯邦機構。

7）儘管經過了十幾年的持續建設，但NCPS仍然存在不少問題，拖延嚴重，正如GAO的報告所言，成效低於預期。但儘管如此，美國政府並沒有停止這個項目，而是持續加大投入。因爲這個方向是正確的，技術路線是正確的。

8）從技術上看，過去人們大都認爲NCPS主要是規模效應，技術含量並不高，譬如基本都是基於特徵和簽名的檢測。事實上，NCPS還是比較注重新技術運用的。我們現在經常聽到的所謂高級威脅檢測、機器學習、行爲畫像和異常行爲行爲、編排自動化響應、威脅情報等，在NCPS中都有體現，並且都會經歷一個先試點再鋪開的過程。

9）我們常把愛因斯坦計劃指代美國政府的網絡安全態勢感知項目，其實這是不完整的。美國聯邦政府的網絡安全態勢感知是由一系列國家級大項目共同支撐起來的，至少包括TIC（可信互聯網接入）、NCPS（愛因斯坦計劃）、CDM（持續診斷與緩解）計劃，以及共享態勢感知。