美国国家网络空间安全保护系统"爱因斯坦计划"技术综述及最新进展

时间：2022-08-09 01:30:01 | 来源：网站运营

时间：2022-08-09 01:30:01 来源：网站运营

爱因斯坦计划是美国政府为了加强对其联邦政府网络出口安全而进行的一项长期的安全监测与防护计划，核心目标就是保护美国联邦政府的网络空间基础设施安全，提升其防御网络空间安全威胁的能力。




1、爱因斯坦计划概述

借助爱因斯坦计划，美国国土安全部（DHS）建立了一套系统，能够自动地收集、关联、分析和共享美国联邦政府之间的计算机安全信息，从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁，并更迅速地采取恰当的对策。通过收集参与该计划的联邦政府机构的信息，国土安全部所属的US-CERT（美国计算机应急响应小组）能够建立和增强对美国网络空间态势感知的能力。这种态势感知的能力将使得国家能够更好地识别和响应网络威胁与攻击，提高网络安全性，提升关键的电子政务服务的弹性，增强Internet的可生存性。

爱因斯坦计划从2003年开始，时间跨度很长，并分为了若干阶段，每个阶段都应对若干模块（Block）。

从2009年开始，美国政府启动了全面国家网络空间安全计划（CNCI），爱因斯坦计划并入CNCI，并改名为NCPS（National CybersecurityProtection System，国家网络空间安全保护系统）。因此，NCPS等价于爱因斯坦计划。

2、爱因斯坦计划的关键技术

爱因斯坦计划的关键技术点包括：

1） 入侵检测技术

2） 入侵防御技术

3） 高级网络空间分析技术

1. 数据聚合与关联
2. 可视化
3. 恶意代码分析
4. 包捕获

4） 突发事件管理

5） 信息共享与协作




3、爱因斯坦计划发展及路线图

美国爱因斯坦计划从启动至今已经11年了。整体上，目前为止，爱因斯坦计划分为3个阶段，分别称为爱因斯坦1、爱因斯坦2和爱因斯坦3。每个阶段又分为若干个迭代的模块（block），如下表所示。







爱因斯坦各个阶段之间不是取代关系，而是不断增强的关系。爱因斯坦1的检测引擎至今仍在服役。







4、爱因斯坦1（Block1）

爱因斯坦1的最根本动因就在于美国联邦机构各自都有自己的互联网出口，这种各自为战的情形使得联邦政府整体安全性难以得到保障，也无法获悉整个联邦政府的安全态势，不利于相互之间的信息共享、信息安全的协同。

爱因斯坦1对应的模块是Block1。

4.1核心技术内容

爱因斯坦1的核心技术内容就是在联邦政府机构出口部署流（Flow）检测引擎，进行基于流的分析，同时构建一个包括前端检测引擎和后端分析中心相关基础设施及其支撑系统在内的任务操作环境（MOE）。

流分析的内容包括：

1） 蠕虫检测：尤其是可以形成一幅跨政府部门的蠕虫攻击图；

2） 异常行为检测：通过跨政府部门的带内和带外的异常行为分析，能够更加全面的分析异常行为，并对其它部门提供预警信息和攻击线索；这个功能是爱因斯坦计划1 的核心；

3） 配置管理建议：通过爱因斯坦计划，US-CERT能够为联邦政府机构提供更有价值的配置管理建议；

4） 趋势分析：帮助联邦政府从整体上了解政府网络的健康度。

在爱因斯坦1中的流分析主要是指DFI（深度流检测）技术，分析对象就是各种格式的Flow数据，包括NetFlow、sFlow，jFlow，IPFIX等等。US-CERT通过采集各个联邦政府机构的这些Flow数据进行分析，获悉网络态势。

爱因斯坦1分析的Flow数据包括以下属性：

1） ASN自治域号

2） ICMP类型/代号

3） 流字节长度

4） TCP/IP协议类型

5） 传感器编号：整个系统将在参与的联邦政府机构的网络中部署Flow采集传感器

6） 传感器状态

7） 源IP地址（IPv4）

8） 目的IP地址（IPv4）

9） 源端口

10）目的端口

11）TCP标志位信息

12） 时间戳

13） 持续时间

4.2 关键工作流程

1） 各联邦机构通过部署传感器采集Flow数据，然后在本地进行一次分析，仅将关键的分析结果或者必要的信息传递给US-CERT，确保传输数据量受控；

2） US-CERT的分析师对传上来的数据进行二次分析，

3） 如果发现了可疑的行为或者其他异常，US-CERT分析师将与信息来源方联邦机构取得联系，一起检查与此可疑行为有关的其他网络行为；

4） 除了分析潜在的异常行为，US-CERT还将为联邦机构提供配置管理的设置建议。

爱因斯坦1界面







5、爱因斯坦2

Block2.0是爱因斯坦1（Block1.0）的增强，始于2007年，该系统在原来对异常行为分析的基础上，增加了对恶意行为的分析能力，以期使得US-CERT获得更好的网络态势感知能力。同时，Block2.0配合美国政府的TIC（可信互联网接入，旨在减少和收拢联邦政府机构分散的互联网出口）计划一起实施。




5.1核心技术内容

Block2.0的核心技术内容是在联邦政府网络出口部署入侵检测系统（IDS），并融合了爱因斯坦1（Block1.0）的流传感器和流数据分析技术，实现基于特征的入侵检测和基于异常行为的入侵检测，并实现了集中化的数据存储，以及开发一套可视化分析工具和知识库。

Block2.0主要以商业的IDS技术为基础进行了定制开发，而特征库既有商业的，也有US-CERT自己的。

Block2.0中流数据的属性跟爱因斯坦1（Block1.0）相比，有所改进：

1） 源IP：sIP

2） 目的IP：dIP

3） 源端口：sPort

4） 目的端口：dPort

5） 协议类型：protocol，例如TCP、ICMP、UDP等

6） 包数量：packets，通过传感器计算出来的一次连接的包数量

7） 字节数：bytes

8） 连接开始时间：sTime

9） 连接持续时间：dur

10 连接结束时间：eTime

11）传感器编号

12）数据流方向： type，分为进（in/inweb/inimcp）、出（out/outweb/outicmp）、内到内（int2tint）、外到外（ext2ext）

13）初始标志位：intialFlag，

例如C(WR)/E(CE)/U(RG)/A(CK)/P(SH)/R(ST)/S(YN)/F(IN)

5.2 关键工作流程

1） 各传感器在本地互联网出口处进行DPI分析，通过特征检测技术和异常检测技术发现恶意行为，并产生告警；

2） 告警信息（Alert），相关的数据包信息（Flow-Records），以及必要的与恶意行为相关的网络原始报文信息（Traffic），都被送到US-CERT，供分析师进行深入分析；

3） US-CERT负责统一对传感器的特征库进行升级维护；

4） 所有US-CERT收集到的信息保存3年。

到2013财年底，美国各联邦机构82%的流量都纳入了IDS检测范围之内。

5.3 Block2.0.X

Block2.0.X是Block2.0的增强版，旨在进一步增强IDS的检测能力以及后端的分析能力。

Block2.0.X的核心技术内容包括：

1）包捕获技术：就是抓取网络中可疑的网络流量，并将这些payload存储起来进行分析，构建起一个可以网络恶意流量信息的抓取、存储、分析的环境。

2） 恶意代码分析中心：一个能够安全自动地的提交和分析恶意代码的工作环境，实现对恶意代码样本的安全提交、存储、分析和研究。

3） 增强的分析中心：具备高吞吐能力的关系型数据库和可视化分析工具，用以对大规模数据进行查询分析和可视化，以及出具分析报表报告。

4）突发事件管理系统（IMS）：主要是构建一个全新的Incident（突发事件）管理系统，包括遵循相关的标准化流程、具有派单处置功能能够，替代US-CERT原有的类似系统。

5）网络空间指标体系库（CIR）：旨在让US CERT与各联邦机构部门之间分享各种与恶意网络流量相关的威胁指标（例如DNS、EMAIL、文件哈希值等等）。

6）网络空间指标分析平台（CIAP）：就是对CIR中的各种CI（指标）进行分析的平台。

7） 与CyberScope集成：将爱因斯坦系统与CyberScope【参见附录B】系统对接，实现DHS数据中心与司法部数据中心之间的数据交换。

8） 建立US-CERT的公共网站：主要是重构US-CERT的网站，承办单位是CMU的SEI软件工程研究所，能够与DHS的数据中心相连。

9） 建立US-CERT的HSIN门户：就是一个对内门户网站，承包商是NC4。这个门户网站旨在在CERT、联邦机构、可信赖的合作伙伴之间构建一个信息分享协作和分析工作的社区。

5.4 Block2.1

Block2.0的重点在于前端的检测引擎，而Block2.1的重点就在于后端的分析能力构建。

Block2.1的核心技术内容就是搭建SIEM系统，实现对分散数据源的事件的标准化与关联分析，提供威胁的可视化、分析与报告服务，从而提升对网络空间突发事件的检测、防御和通知能力，提升对网络空间要素信息的关联、聚合与可视化能力。

在Block2.1中，分析的数据源主要包括：Flow数据、Flow数据标签、IDS告警、商业的威胁情报，以及CERT的各种黑白名单。

随着SIEM系统的不断优化，到2013年，US-CERT利用SIEM每天分析的事件量达到了20亿条。

下图展示了各联邦机构部署的爱因斯坦1前端设备和爱因斯坦2前端设备是如何连接到DHS新建的位于美国佛罗里达Pensacola的数据中心的。




5.5 Block2.2

Block2.2的核心技术内容是建立一个网络空间安全信息的共享与协作（ISCE）平台及其系列工具，以及获得基于搜索技术的网络调查分析追踪能力。DHS为Block2.2的信息分享与协作定了几个关键指标，包括该项目的各参与方能够在30分钟内分享到任何一方检测并确认的网络空间安全事件的数据和相关信息。

信息共享与协作环境（ISCE）

可见，在爱因斯坦2的后期，主要使命是如何将那些收集到的天量数据以及各种分析结果及时有效地使用起来，不仅是DHS能够用起来，也让各联邦政府机构也参与到安全分析工作中来。




6、爱因斯坦3

爱因斯坦3始于2009年。之前的阶段都是被动的安全检测，而从爱因斯坦3开始，试图进行主动的安全防御，即部署IPS（入侵防御系统）。

爱因斯坦3计划的总体目标是识别并标记恶意网络传输，以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应，也就是具备IPS的动态防御能力。

爱因斯坦3计划还增加了一个联动单位——NSA（美国国家安全局）。US-CERT在获得DHS的许可后，会将必要的告警信息送给NSA进行进一步分析。

为了实现爱因斯坦3，DHS首先从2010年开始进行陆续了一系列验证和演练。在演练结束后，正式启动了爱因斯坦3的第一阶段子计划——爱因斯坦3A（Einstein 3 Accelerated，爱因斯坦3促进计划），对应Block3.0模块。

爱因斯坦3A于2013年7月实现了第一个联邦机构的正式部署上线。目前为止，整个爱因斯坦计划仍处于3A阶段（Block3.0）。

6.1核心技术内容

Block3.0的核心技术内容就是入侵防御能力的构建，变被动监测为主动防御。通过部署IPS，综合运用商业技术和NSA的技术对政府机构的互联网出口的进出双向的流量进行实时的全包检测（Full Packet Inspection，FPI），以及基于威胁的决策分析。

此外，Block3.0还包括对之前两个阶段成果的能力增强。在Block3.0中，包括了对更加大量数据的采集、存储与分析，更高效的信息共享与协作（要将之用于主动防御），更强大的流分析能力和SIEM能力，引入网络管理、性能管理技术，同时还加强了任务操作环境（MOE）建设。

DHS很清楚要实现如此大规模的入侵防御并非易事，需要循序渐进。因此，在Block3.0中，入侵防御功能首先就落到了DNS防护和电子邮件过滤上。通过部署IPS，重点实现DNS防护和电子邮件防护。

DNS Sinkhole技术

DNS Sinkhole技术用于阻止已经被植入政府网络的恶意代码与外部的恶意域名之间的通讯，它能够将恶意代码的DNS连接请求重定向到安全的服务器，或者是Sinkhole Server，从而阻止恶意代码的后续行为（譬如下载木马和谍件）。与此同时，ISP（互联网服务提供商）和DHS可以收集到这些试图连接确定的或者可疑的DNS的请求信息，并对他们进行进一步地分析。

Email过滤技术

电子邮件过滤技术使得DHS能够在网络上对所有发给政府网络用户的邮件进行扫描，能够识别含有恶意代码的附件、恶意URL等，将其过滤掉，并可以转发到特定位置，以供分析人员进一步检测。

无论是DNS防护还是邮件过滤，都属于这个IPS设备中的核心功能，并且IPS设备主要依靠所谓的指标特征（Indicator）来进行识别。这些指标包括：

1）IP地址和DNS域名：本质上就是一份IP和DNS的黑名单。这份黑名单由DHS的分析师来制定和下发。

2）电子邮件头：包括发件日期、主题、发件人、发件人地址、链接、附件，等等。

3）文件：恶意文件的特征标记。

4）其它各种特征串。

6.2 关键工作流程

在Block3.0中，IPS就是根据前述指标特征进行恶意邮件过滤和恶意DNS连接阻断，工作很单纯。但是作为整个体系，需要DHS后台的分析师定义出清晰地特征指标并下发给IPS设备，此外，还需要快速地在各个ISP间及IPS设备间进行指标特征的信息分享。很多时候，指标特征是DHS下发给ISP服务商，再由ISP根据具体情况进行修订和下发。同时，ISP也能识别并提交新的指标特征。

一旦IPS识别到某个攻击行为，不仅会进行阻断，而且还会产生告警，并将告警及其相关的情境信息经由ISP提交给CS&C。这些信息包括：唯一的告警ID、发生告警的联邦机构、产生告警的指标/动作对、告警的时间、相关的netflow流数据，并且，可能地话，还有被隔离或者被捕获/存储的相关数据报文。

6.3 爱因斯坦3A的业务模式和部署进展

2013年7月，第一个联邦机构部署才正式上线爱因斯坦3A服务，整个2013年共部署了4个单位。从2013年开始至今，DHS针对爱因斯坦3的业务模式已经从原来的由DHS部署IPS设备转成了DHS跟ISP（互联网服务提供商）签署合同，由ISP来提供IPS服务的方式。当然，DHS与ISP之间有一个专用内部网络用来交换相关信息。

在这种模式下，对联邦机构提供爱因斯坦3A服务的不直接是DHS的CS&C（也就是负责运营爱因斯坦的部门），而是ISP。而ISP将这些服务包装成一个MSS（可管理安全服务），同时DHS对ISP提出了明确清晰的服务目标和服务水平要求，而服务具体如何是实现则是MSSP（即ISP）的事。

通过此举，DHS降低了所需预算，也提前了落地的时间进度。根据DHS自己的估计，原本采用自建模式，覆盖美国所有联邦政府机构需要到2018财年，而通过这种联营的方式，全覆盖可以在2015财年实现，即提前了3年。

在2013年，花费在爱因斯坦3A（Block3.0）爱因斯坦2增强版（Block2.2）上的预算高达1.16亿美元。不过，由于其业务模式转变为借助ISP来提供服务，后续的预算应该会逐步减少。




7、最新进展

根据2019年8月16日OMB公布的2018财年的FISMA报告，目前，爱因斯坦项目总体上处于E3A阶段。截至2018年9月26日，在102个联邦民事机构中，有70个已经完全实现了三阶段NCPS能力，包括列入CFO法案的23个机构。




7.1 2020财年项目预算与计划分析

据此我们可以发现，在2017财年（含）之前的总预算达到了28.17亿美元，2018财年的预算是4.02亿美元，2019财年的预算是4.07亿美元，而2020财年的预算是4.05亿美元，最近三年预算基本持平，都是略多于4亿美元。

NCPS项目的预算总体上包括两部分：运行维护、采购建设与提升。从上表可以发现，最近三年的两部分预算分配比例也都基本保持一致，都是2：1的样子。

而在2017财年（含）以前，NCPS的预算则主要是采购建设与提升，运维部分的预算比例较低，2017财年（含）之前的运维总预算还不及最近三年的运维预算之和多。这也说明，近些年开始，NCPS项目主要是运维，采购实施和升级工作逐步减少。

7.2运维预算分析

以下针对2020财年的运维（Operations and Support）预算进行分析。

在2.99亿运维预算中，有2.69亿是非支付性成本（Non Pay Budget，包括譬如房租水电、固定资产、耗材、差旅住宿、培训、通讯、物流、咨询与协助服务、来自联邦的其它货品和服务等），人员成本（支付性成本）是3000万美元，约合169人（人均成本17.7万美元）。

其中，在2.69亿美元的非支付性成本中，“咨询与协助服务”，以及“来自联邦的其它货品和服务”的金额占比很高，达到87%，并没有给出具体明细。根据笔者的分析，这部分服务和货物应该包括了DOD对NCPS的各种帮助，以及大量的运维外包服务。很显然，全国性的这么一个大系统，仅靠预算编制的169人是不可能运维的起来的。

7.2 采购实施与提升预算分析

进一步分析2020财年采购建设和提升（Procurement, Construction and Improvements）的预算（1.06亿美元）的构成，如下表，包括6个部分：项目规划与运作、核心基础设施、入侵检测、入侵防御、分析、信息共享。

这里，入侵检测和入侵防御就是爱因斯坦的前端，相当于探针和传感器；分析就是爱因斯坦的后端，相当于一个基于大数据分析技术的SOC平台；而信息共享就是爱因斯坦的威胁情报平台（TIP）；核心基础设施主要是“任务操作环境”（Mission Operating Environment，简称MOE），相当于SOC平台的底层架构和软硬件支撑环境，生产和测试环境，网络链路和带宽，等等；项目规划与运作包括系统规划、设计与评估、采购管理、项目管理、人员管理与培训等。

可以发现，从2019财年开始，重新列入了入侵检测的预算。这是因为，从2018财年Q4开始，NCPS开始升级其入侵检测功能，在过去基于特征的检测基础之上增加了基于ML的检测方法（代号LRA），并启动了云检测试点。此外，2020财年的入侵检测预算中还包括一项440万美元的构建统一DNS服务的预算。

7.3 主要合同分析

上表显示了近三年来NCPS主要的采购合同，可以看到最大的供应商（集成商）是雷神公司，其两个合同的总值达到了5年6.24亿美元。

7.4 项目计划

2020财年NCPS的主要计划和里程碑事件包括：

入侵检测与防御

• 收集各方需求，开发一套集中的权威DNS域名解析系统，为联邦民事机构（FCEB）提供服务。该托管服务将提供DNS管理功能，并在传统DNS服务的基础之上提供一系列安全分析服务。DHS认为DNS系统影响面极大，并引用思科的分析报告称99%的恶意代码都利用DNS。
• 升级和夯实入侵防御安全服务（IPSS），以增强对.gov域名的网络安全防护；
• 继续对爱因斯坦的传感器套件进行升级，提升性能、可靠、容量和账户，以满足不变演进的新场景（譬如云、移动）下的流量检测之需；
• 继续同联邦政府的云服务提供商合作，使得NCCIC可以借助他们的安全服务和数据去保护联邦机构的资产，以顺应政府上云的发展趋势；
• 继续改进和夯实基于非签名的检测能力，借助基于行为和信誉的机器学习技术的LRA项目来实现高级检测能力；

分析

• 继续实现重构后的高级恶意代码分析中心（AMAC），更加自动化地对收集到的恶意样本进行分析、逆向
• 继续增强分析工具和过程以进一步提升网络威胁分析的自动化水平；
• 增强分析框架的能力，使得NCCIC的分析师能够实现跨NCPS数据集的信息查询和分析；

信息共享

• 实施跨域解决方案（CDS）项目，以提升涉密信息处理的效率
• 继续增强统一工作流（Unified Workflow）能力，为NCCIC下各个独立的业务和任务支撑应用提供一个单一的工作流自动化平台，并将他们统一到一个统一视图中去，从而提升NCCIC跟踪、协调和报告安全事件的能力；
• 继续增强信息共享基础设施，提升NCPS与网络社区共享信息的效率、可靠性和速度；

8、重点技术介绍

8.1 LRA

LRA的全名是“逻辑响应孔径”（Logical Response Aperture），是DHS开展的一项旨在提升安全分析与响应自动化的项目的内部代号。LRA能够借助智能化的安全分析技术，在没有签名和特征的情况下识别攻击。下图展示了LRA的基本工作流程。

在联邦部委机构（D/A）和互联网（Internet）之间有一套部署在互联网服务提供商（ISP）处的“NEST”设施。NEST会利用TAP将进出联邦机构的的互联网流量按需送给LRA。LRA的流量引擎利用Zeek做协议解析，并将解析后的流量日志（流量元数据）连同原始的pcap包存储到大数据存储系统中（默认存储90天）。存储的数据内容包括：DNS查询的域名和响应的IP地址、域名-IP地址对的TTL、电子邮件附件中的可执行文件、http请求的user agent信息，等等。基于机器学习和统计分析算法的分析引擎、恶意代码检测装置，及其它自动化工具会从大数据存储中读取这些数据，并结合通过其它方式获得的各种情境数据（譬如域名和可执行文件的黑白名单，GeoIP等）进行复合安全分析，生成恶意流量的潜在指标，并存入潜在指标库中。分析师通过交互性UI检查潜在指标库中的指标，对其进行研判和标注，一方面获得有效的指标，另一方面为机器学习算法提供改进。


8.2 Tutelage

Tutelage（现已改名，具体不详）作为NSA号称21世纪执行信号情报（SIGINT）任务的核心系统的Turbulence项目中的一个子系统，承担主动防御的任务。作为NCPS的重要咨询方和协作方，NSA将Tutelage移植给了E3A。作为NCPS中涉密的部分，我们无从知晓E3A的入侵防御系统设计有何玄机。

幸运的是，斯诺登泄密事件给了我们一窥Tutelage的机会，我们可以自行脑补E3A可能的设计。如下图所示，展示了Tutelage项目在检测到恶意流量和攻击后可以采取的遏制/反制措施，十分丰富。

可以肯定的是，E3A的入侵防御系统绝非我们一般意义上的IPS。


8.3 WCF

WCF的全名是WEB内容过滤（WEB Content Filtering）,是2016年前后追加到E3A中的一个新防御能力（最初的E3A入侵防御能力包括DNS sinkholing和email过滤），重点阻断可疑的web网站访问、阻止web网站中恶意代码的执行，阻断web钓鱼。

WCF具有四个功能：web流量检测与阻断、SSL解密、恶意代码检测、高级分析。

1. WCF会对可疑的web流量按照URL/URI进行分类，允许系统管理员允许或者拒绝某类web访问。WCF会根据高可信网络威胁指标和商业的签名指标来进行研判并决定是告警还是阻断，抑或其它遏制操作。WCF的技术原理就是一个WEB代理，由它来进行检测，并执行重定向、阻断或者告警操作。
2. WCF支持对SSL web流量解密，分析解密后的流量数据。
3. WCF内置恶意代码检测功能，使用政府提供的网络威胁指标来检测恶意活动。
4. WCF包括高级分析功能。这里的高级分析是指基于行为的异常分析，也即LRA。

8.4 AIS

说到NCPS项目，而不提及威胁情报，那么一定是对NCPS不甚了解，或者仅仅停留在爱因斯坦计划早期的认知水平上。必须强调，威胁情报，或者说信息共享是NCPS的核心能力之一，所有检测、分析的能力最后都是为了能够在DHS和其伙伴间实现高效的情报共享和协同联动。美国政府实施NCPS的一个终极目标就是自动化地检测威胁、共享情报和处置攻击。这跟我们近些年谈及从美国传过来的TIP、SOAR等理念是一致的。

AIS全名是自动指标共享（Automated Indicator Sharing），其目标就是在网络防御行动中以机器速度（Machine-peed）快速广泛地共享机读（Machine-readable）网络威胁指标和防御措施。AIS要能够自动处理海量高速的共享指标，而这是人工操作无法达成的。

下图展示了AIS的工作原理。

首先，各个AIS的参与机构（上图右侧灰色部分，包括各级地方政府、私营伙伴、联邦机构、ISAC和ISAO）通过TAXII协议将STIX格式的威胁情报信息送给DHS的TAXII服务器（上图中间黄色部分）。接着，所有提交的情报信息都会经过一个自动化的“数据增强过程”，进行信息修订、匿名化处理、隐私评估、数据增强。此外，DHS也会接收商业的情报信息源信息（上图上方绿色部分），并统一进行数据增强。然后，DHS的分析师会对增强后的数据进行核验【注：人工操作还是不可缺少，不可能完全自动化】，并最终进行发布。发布的途径包括放到TAXII服务器上供各参与方获取，或者可以供其它第三方订阅（上图上方蓝灰色部分）。

截至2018年底，已经有33个联邦机构，215家非联邦政府实体（其中包括18家可以对共享信息进行再分发的ISAC、ISAO和11家商业服务提供商）参与其中。

9、关键考核指标

为了从宏观层面衡量NCPS项目的效率和效果，在2020财年，DHS为NCPS设计了2个战略指标：

从最早检测出某个单位潜在的恶意行为到该单位接到告警通知的平均小时数

根据NCPS的工作流程，通过IOC比对检测到某个单位存在可疑恶意行为后，会产生告警送到后端，DHS分析师收到告警后，会进行初始研判，并进行告警分诊和调查。如果一条或者多条告警被确认为恶意行为，会产生一条事件工单，并送给受到影响的单位，以便采取进一步行动。这个指标的目标就是要在保持报警的正确率的情况下让这个时间尽可能地短。

根据DHS的设定，该指标在2019和2020财年的目标都是24小时之内。

爱因斯坦入侵检测和防御系统检测或者阻断的攻击中可以溯源到国家行为的比例

NCPS的目标不是去“捞小鱼小虾”，而重点是防御国家行为体的攻击。为此，NCPS的检测手段并不求全，而是重点针对那些复杂的攻击。

根据DHS的设定，该指标在2018财年是20%，2019财年是21%，2020财年是22%。2018财年的考核结果已经出炉，是29%，高于设定值。

小结

通过以上分析，笔者谈一谈个人的几点体会作为本文总结。

1. NCPS项目从一开始就是站在国家战略高度来推进的，采用法规先行（法案、总统行政令、NIST标准等）、制度开道、统一建设、持续投入的方式，从一个US-CERT下面的初级态势感知项目，在CNCI计划的推动下，逐步成为了一个规模庞大的国家战略级项目。
2. 从项目定位上，NCPS区别于各个联邦机构自己的安全防护。二者不是替代关系，而是叠加关系。并且NCPS更加注重针对高级威胁的监测与响应，更加重视跨部门/厂商的协调联动、群防群治。
3. 从建设过程来看，NCPS明显以合规为出发点进行建设，但强调以实战对抗为最终目标。
4. NCPS项目的投入时间很长，尤其是2009年CNCI计划出台之后，资金和人员投入逐年稳步提升，并维持在较高的水平线上。可见国家级态势感知系统的建设需要长期持续的投入。
5. 从资金分布上看，DHS越来越重视NCPS的运行维护，技术和产品采购的比重越来越低。要想实现NCPS常态化的运营，就必须有持续的、大量的运营投入，并且需要大量的安全分析师。
6. 从运营方式上看，NCPS被尽可能地封装为一系列托管服务和安全服务的形式，以服务的方法提供给各个联邦机构。
7. 尽管经过了十几年的持续建设，但NCPS仍然存在不少问题，拖延严重，正如GAO的报告所言，成效低于预期。但尽管如此，美国政府并没有停止这个项目，而是持续加大投入。因为这个方向是正确的，技术路线是正确的。
8. 从技术上看，过去人们大都认为NCPS主要是规模效应，技术含量并不高，譬如基本都是基于特征和签名的检测。事实上，NCPS还是比较注重新技术运用的。我们现在经常听到的所谓高级威胁检测、机器学习、行为画像和异常行为行为、编排自动化响应、威胁情报等，在NCPS中都有体现，并且都会经历一个先试点再铺开的过程。
9. 我们常把爱因斯坦计划指代美国政府的网络安全态势感知项目，其实这是不完整的。美国联邦政府的网络安全态势感知是由一系列国家级大项目共同支撑起来的，至少包括TIC（可信互联网接入）、NCPS（爱因斯坦计划）、CDM（持续诊断与缓解）计划，以及共享态势感知。