并非只是民用——详解大数据技术在网电空间作战中的应用
大数据技术在民用领域已呈现迅猛发展之势,其在军事领域也蕴藏着巨大发展潜力和应用价值,已成为军事领域竞争新的制高点。计算机网络空间是网电空间的重要组成部分,网络空间的安全问题越来越受到各军事强国的重视。大数据技术在网电空间中的应用越来越普遍,国外相关的项目和基础设施建设已经取得了一定的成绩。
一、美国国防部BDP大数据平台
美国防信息系统局(DISA)开发了基于云的大数据平台BDP(Big Data Platform),可支持赛博态势感知能力。
网络空间态势感知
作为一个分布式的计算平台,BDP提供了一个通用的计算解决方案,能够从国防部信息网络(DoDIN)获取、存储、处理、共享和可视化pb级的数据,能够数小时内完成数百台服务器的安装部署。
BDP主要功能
BDP并非单纯地为DISA服务,还可利用它处理其他服务,并由其他合作方将它安装在本地环境中,而且安装过程非常简单,任何具有Linux与Hadoop经验的用户都能够快速上手。
赛博态势感知分析能力(Cyber Situational Awareness Analytic Capabilities,CSAAC)是部署在BDP上的一组分析工具,旨在对来自DoDIN的大规模数据进行收集,同时提供分析与可视化工具以提取数据中包含的信息。BDP可以驱动CSAAC的大部分功能套件,能够将CSAAC中的数据、分析过程、可视化结果共享至各个任务合作方,包括国防部网络运维人员、企业服务用户、网络作战部队与网络保护团队以及其他政府机构。
大数据网络态势感知框架
CSAAC具有如下功能:
- DoDIN运营与态势感知。以DoD企业邮件监控为例,CSAAC能够为运营人员提供近实时态势感知能力,从而快速掌握事故、具体配置状态以及邮件网关过滤等相关情况。
- 防御性网络操作。按指标作战能够帮助网络分析师利用自动化工作流审查网络威胁报告,提取潜在指标,面向未来进程提供警报,并在必要时自动执行DoD对策流程。
- 异常检测。异常检测套件专门负责检测可能对敏感性DoD数据的完整性、机密性或者可用性造成威胁的已验证用户,还允许分析师在检测到潜在内部威胁后向有关部门发出警告。
2016年8月,DISA发布BDP升级版,大幅提升CSAAC快速开发、部署和使用分析工具的能力。
二、面向任务的弹性云项目
新技术可以创造新功能,也可以创造新漏洞。在过去的十几年中,随着越来越多的敏感应用程序和数据转移到云端,即使在情报界,“迁移到云”也是趋势。云计算是指使用计算机的分布式网络来执行各种类型的计算。我们所谓的“云”实际上是由数百万台专用计算机组成的网络,用户可以从这些服务器集群的所有者那里购买一定数量的存储空间或计算能力。但是,与传统的远程服务器不同,没有为云用户提供特定计算机的使用。而是,应用程序和进程经常在多个不同的机器之间运行。
随着越来越多的政府系统(包括间谍卫星等超敏感应用程序)迁移到云中,DARPA担心由此带来的安全风险,保护此类系统将变得越来越重要。他们声称,与传统网络相比,云上运行的应用程序的多样性,服务器场中运行云应用程序的计算机的同质性以及云网络上的高度互连性可能会增加使网络攻击极为严重的危险。这种设置使攻击者有可能破坏安全性较差的应用程序,然后以极高的速度在整个云中传播攻击。
DARPA的回应是MRC计划,该计划旨在资助研究以提高云的安全性。DARPA在2011年开始了面向任务的弹性云项目(Mission-oriented Resilient Cloud,MRC),研究和开发提高云的安全性和可靠性的方法。该项目通过开发一系列用于检测、诊断和应对黑客攻击的技术以应对云计算环境下的传统安全问题,在遭受攻击时仍然能够保证大数据分析的可靠运行,以确保战时敌方持续攻击情况下美军大数据系统的正常运行。
MRC旨在建立一个可以在遭受攻击时保持运行、即使在某些资源损坏后仍继续提供有用服务的系统。MRC的项目经理霍华德•施罗布(Howard Shrobe)称,这项研究强调设计出能够抵御攻击的、具有弹性的自适应系统。
云的最大优势在于,单个用户可以在需要时从中央服务器借用资源,包括存储、算力,甚至整个应用程序。集中化可以提高效率,但同时也会造成单点故障。在云端,所有节点/服务器都是相同的,并且共享相同的漏洞。因此,任何可以接管单个节点的攻击都可以接管整个云。依赖中央服务器的多个用户可能导致Shrobe所谓的“共同命运”:当完全不相关的任务最终在共享环境中运行时,一个应用程序的漏洞可能会影响完全不相关的应用程序。同样,当不同的“虚拟机”在单个微芯片上并排运行时,一个虚拟机上的恶意代码可以窃取运行在不同虚拟机上不同应用程序上的加密密钥。
MRC项目使用“社区卫生系统”方法来保护云计算网络免受这些威胁的侵害。这个想法是,将有关潜在攻击的信息在整个云中共享,在遭受攻击的情况下将资源转移到受损节点周围,同时动员防御系统来控制破坏。云中将有几种监视机制来监视应用程序的行为。首先,每个节点监视自己的应用程序,并关注其他节点。(这种自我评估可能会使用另一个DARPA网络安全程序CRASH中的自卫程序)。
当检测到妥协或任何形式的偏差时,MRC的诊断和自我修复功能将发挥作用,以开发可识别和抵制特定攻击的过滤器;可以实现相同系统操作目标但又不暴露漏洞的变通办法;并彻底修复该漏洞的补丁。
Shrobe说,这些功能然后以类似于人类公共卫生系统的免疫程序。就像公共卫生系统一样,收集并分析可能发生的攻击的报告,以了解趋势和模式,例如特定类型系统故障的“流行病”。然后,系统可能会隔离受影响的节点,以阻止它们成为攻击的途径,或者为访问云节点设置新的障碍,以防止多阶段攻击继续进行。
MRC计划关注的另一个领域是云计算中的资源分配。研究背后的想法是,云被用于支持多个任务,因此应该分配资源以最大化任务效率。这些资源如何有效地执行任务将通过“预期净效用”的概念来衡量。
Shrobe说,实现任务的目标可能有许多种方法,每种方法都需要一套独特的资源。复杂之处在于,特定方法所需的任何资源都可能以导致任务失败的方式被破坏。Shrobe解释说,信任模型旨在测量损坏的可能性。DARPA研究人员正在开发将资源分配给任务的方法,以最大化整个任务的净预期效用。Shrobe强调,“这意味着我们将尝试增加潜在的被盗资源,但是当收益远大于风险时,我们将使用它们。”
三、加密数据的编程运算项目
云计算带来了一些潜在的重大安全问题。特别是,漏洞可能包括数据安全性受损和关键信息丢失。连接到Internet的任何计算机或对Web友好的设备都可以未经授权访问计算资源、应用程序或文件池,从而损害了云计算环境中的信息安全性。
对此,DARPA部署了另一项应对云计算安全性的项目——加密数据的编程运算项目(Programming Computation on Encrypted Data,PROCEED),以应对云计算环境下大数据分析面临的数据泄密问题。PROCEED计划的特点是能够对加密的数据进行大数据分析,即在数据分析的全过程中数据一直处于加密状态以最大程度减少明文数据被窃取的可能性。为实现以上目标,PROCEED开发了专门的程序设计语言和计算机算法。
PROCEED项目旨在开发无需先解密即可对加密数据进行计算的方法,这使得恶意软件程序员更难编写病毒。全同态加密策略(FHE)试图通过要求客户端在将数据发送到云之前对其进行加密来解决此问题。然后,该客户端将向云提供可执行代码,以使其能够在不解密数据的情况下处理该数据。结果返回给仍加密的客户端。
由于只有客户端控制解密密钥,因此其他任何人都不能解密数据或结果,从而确保了该信息的安全性。研究表明,尽管从理论上讲可以对加密数据进行计算,但计算速度却降低了近10个数量级,因此不可行。一个相关的研究领域是安全多方计算(SMC),其中多个实体可以联合执行计算,同时保持每个实体数据的私密性。
PROCEED程序试图使对加密数据的计算变得实用。它计划支持对FHE的数学基础、安全的多方计算、优化的硬件和软件实现以及编程语言、算法和数据类型的研究。如果成功,PROCEED可以从根本上改变在不受信任的环境中进行计算的方式。云计算架构安全性的潜在意义是重大的。
四、网络空间威胁项目
尽管诸如2009年末的Titan Rain和所谓的Aurora攻击等网络间谍事件很常见,但由于内部人士可以合法访问敏感信息而造成的麻烦也很常见。相对于来自外部的威胁,美军对内部人员潜在安全威胁也非常重视,尤其在斯诺登泄露国家安全局内部文件事件发生后,美军着手研究利用大数据技术评估内部威胁。根据2015年大数据白皮书的披露,国防部已经开始试点对包括陆军服役人员、文职雇员以及承包商在内的3370名雇员进行基于大数据的威胁评估调查,成功发现99名人员已经陷入严重的经济危机、家庭暴力、吸毒或卖淫等指控。这些人员最终可能被临时或永久性撤职,以消除内部人员带来的潜在安全威胁。
针对外部黑客不断对美军网络空间频繁实施黑客活动以及内部恶意人员的安全挑战,美军开发了网络空间威胁(Cyber-Insider Threat,CINDER)项目,目标是监控、排查和检测美军虚拟网络中的间谍行为。
在CINDER计划下,DARPA将探索提高内部威胁检测速度和准确性的新方法。在可以被认为是对军事和政府网络中当前安全状况的坦率评估中,CINDER计划首先以“大多数系统和网络已经受到各种类型和类别的对手的危害”为前提。对手已经从事了看似合法的活动,同时实际上在支持对手的任务。”
五、多尺度异常检测项目
针对内部人员误操作带来的风险,美军的另一个项目是多尺度异常检测项目(Anomaly Detection at Multiple Scales,ADAMS),该项目主要是防止由于内部人员误操作等无意识行为引发的潜在威胁。其基本原理是从内部大数据中挖掘出异常模式,对可能带来安全问题的潜在威胁发出警告并采取防范措施。
ADAMS程序可创建、调整技术并将其应用于海量数据集中的异常表征和检测。数据异常会提示在各种现实环境中收集其他可操作信息。最初的应用程序域是内部威胁检测,其中在日常网络活动的背景下检测受信任的个人的恶意(或可能是无意)行为。
ADAMS组件架构
六、X计划
X计划是大数据技术在网电空间的典型应用。大数据技术为集中管理海量信息资源提供高效的分析、融合手段。没有大数据技术的支撑,要实时测量和可视化总结数据巨大、结构复杂的网电空间是不可能完成的任务。X计划亦称“基础赛博战”,旨在对网电作战的本质特性进行创新研究,支持主导网电战场空间所需的基础性战略的发展。
X计划从2013年开始,为期4年、总投资11亿美元。2013年5月到7月,DARPA和6家公司签署了总价值近7400万美元的X计划项目合同,标志着全新的X计划真正进入了实施阶段。2016年,DARPA完成了该项目的基础工作,并发布了“X计划”产品,美国网络司令部的作战人员还首次在年度背靠背“网络空间防护”和“网旗”联合演习中使用该产品生成网络空间作战态势图、制定作战方案、实施网络作战行动等等。2017年9月,X计划项目由DARPA转交美陆军企业信息系统计划执行办公室安装信息基础设施——通信与能力(I3C2)。
X计划开展5个技术领域的研究以构建一个能够实时创建、模拟、评估和控制网电战场空间的原型系统,这5个技术领域包括:
- 技术领域1(TA1):系统体系结构。构建X计划的系统基础设施并完成整体系统的设计和开发;
- 技术领域2(TA2):网络作战空间分析。开发自动分析技术,帮助用户了解网络作战空间,支持网络战战略的开发,建立战斗毁伤评估模型并进行测量;
- 技术领域3(TA3):任务构建。开发构建任务计划并自动将任务计划合成为一个可执行任务脚本的技术,开发作战计划形式验证以及预期效果和最终结果量化技术;
- 技术领域4(TA4):任务执行。研究和开发任务脚本运行时环境(Runtime Environment,RTE)及支持平台;
- 技术领域5(TA5):直观界面。设计整个X计划的总体用户体验。
小结
新技术的发展网络空间带来了新的安全威胁,也为安全技术发展提供了创新动力,集成大数据等技术成为当前网络攻防发展的主要趋势。大数据技术在各国网电空间作战中的应用都在稳步开展。2019年,美军网络司令部统一平台计划正在稳步推行,统一平台将整合网络司令部及其下属组织使用的各种大数据工具并实现标准化。