楠木軒

並非只是民用——詳解大數據技術在網電空間作戰中的應用

由 問成風 發佈於 科技

大數據技術在民用領域已呈現迅猛發展之勢,其在軍事領域也藴藏着巨大發展潛力和應用價值,已成為軍事領域競爭新的制高點。計算機網絡空間是網電空間的重要組成部分,網絡空間的安全問題越來越受到各軍事強國的重視。大數據技術在網電空間中的應用越來越普遍,國外相關的項目和基礎設施建設已經取得了一定的成績。

一、美國國防部BDP大數據平台

美國防信息系統局(DISA)開發了基於雲的大數據平台BDP(Big Data Platform),可支持賽博態勢感知能力。

網絡空間態勢感知

作為一個分佈式的計算平台,BDP提供了一個通用的計算解決方案,能夠從國防部信息網絡(DoDIN)獲取、存儲、處理、共享和可視化pb級的數據,能夠數小時內完成數百台服務器的安裝部署。

BDP主要功能

BDP並非單純地為DISA服務,還可利用它處理其他服務,並由其他合作方將它安裝在本地環境中,而且安裝過程非常簡單,任何具有Linux與Hadoop經驗的用户都能夠快速上手。

賽博態勢感知分析能力(Cyber Situational Awareness Analytic Capabilities,CSAAC)是部署在BDP上的一組分析工具,旨在對來自DoDIN的大規模數據進行收集,同時提供分析與可視化工具以提取數據中包含的信息。BDP可以驅動CSAAC的大部分功能套件,能夠將CSAAC中的數據、分析過程、可視化結果共享至各個任務合作方,包括國防部網絡運維人員、企業服務用户、網絡作戰部隊與網絡保護團隊以及其他政府機構。

大數據網絡態勢感知框架

CSAAC具有如下功能:

  • DoDIN運營與態勢感知。以DoD企業郵件監控為例,CSAAC能夠為運營人員提供近實時態勢感知能力,從而快速掌握事故、具體配置狀態以及郵件網關過濾等相關情況。
  • 防禦性網絡操作。按指標作戰能夠幫助網絡分析師利用自動化工作流審查網絡威脅報告,提取潛在指標,面向未來進程提供警報,並在必要時自動執行DoD對策流程。
  • 異常檢測。異常檢測套件專門負責檢測可能對敏感性DoD數據的完整性、機密性或者可用性造成威脅的已驗證用户,還允許分析師在檢測到潛在內部威脅後向有關部門發出警告。

2016年8月,DISA發佈BDP升級版,大幅提升CSAAC快速開發、部署和使用分析工具的能力。

二、面向任務的彈性雲項目

新技術可以創造新功能,也可以創造新漏洞。在過去的十幾年中,隨着越來越多的敏感應用程序和數據轉移到雲端,即使在情報界,“遷移到雲”也是趨勢。雲計算是指使用計算機的分佈式網絡來執行各種類型的計算。我們所謂的“雲”實際上是由數百萬台專用計算機組成的網絡,用户可以從這些服務器集羣的所有者那裏購買一定數量的存儲空間或計算能力。但是,與傳統的遠程服務器不同,沒有為雲用户提供特定計算機的使用。而是,應用程序和進程經常在多個不同的機器之間運行。

隨着越來越多的政府系統(包括間諜衞星等超敏感應用程序)遷移到雲中,DARPA擔心由此帶來的安全風險,保護此類系統將變得越來越重要。他們聲稱,與傳統網絡相比,雲上運行的應用程序的多樣性,服務器場中運行雲應用程序的計算機的同質性以及雲網絡上的高度互連性可能會增加使網絡攻擊極為嚴重的危險。這種設置使攻擊者有可能破壞安全性較差的應用程序,然後以極高的速度在整個雲中傳播攻擊。

DARPA的回應是MRC計劃,該計劃旨在資助研究以提高雲的安全性。DARPA在2011年開始了面向任務的彈性雲項目(Mission-oriented Resilient Cloud,MRC),研究和開發提高雲的安全性和可靠性的方法。該項目通過開發一系列用於檢測、診斷和應對黑客攻擊的技術以應對雲計算環境下的傳統安全問題,在遭受攻擊時仍然能夠保證大數據分析的可靠運行,以確保戰時敵方持續攻擊情況下美軍大數據系統的正常運行。

MRC旨在建立一個可以在遭受攻擊時保持運行、即使在某些資源損壞後仍繼續提供有用服務的系統。MRC的項目經理霍華德•施羅布(Howard Shrobe)稱,這項研究強調設計出能夠抵禦攻擊的、具有彈性的自適應系統。

雲的最大優勢在於,單個用户可以在需要時從中央服務器借用資源,包括存儲、算力,甚至整個應用程序。集中化可以提高效率,但同時也會造成單點故障。在雲端,所有節點/服務器都是相同的,並且共享相同的漏洞。因此,任何可以接管單個節點的攻擊都可以接管整個雲。依賴中央服務器的多個用户可能導致Shrobe所謂的“共同命運”:當完全不相關的任務最終在共享環境中運行時,一個應用程序的漏洞可能會影響完全不相關的應用程序。同樣,當不同的“虛擬機”在單個微芯片上並排運行時,一個虛擬機上的惡意代碼可以竊取運行在不同虛擬機上不同應用程序上的加密密鑰。

MRC項目使用“社區衞生系統”方法來保護雲計算網絡免受這些威脅的侵害。這個想法是,將有關潛在攻擊的信息在整個雲中共享,在遭受攻擊的情況下將資源轉移到受損節點周圍,同時動員防禦系統來控制破壞。雲中將有幾種監視機制來監視應用程序的行為。首先,每個節點監視自己的應用程序,並關注其他節點。(這種自我評估可能會使用另一個DARPA網絡安全程序CRASH中的自衞程序)。

當檢測到妥協或任何形式的偏差時,MRC的診斷和自我修復功能將發揮作用,以開發可識別和抵制特定攻擊的過濾器;可以實現相同系統操作目標但又不暴露漏洞的變通辦法;並徹底修復該漏洞的補丁。

Shrobe説,這些功能然後以類似於人類公共衞生系統的免疫程序。就像公共衞生系統一樣,收集並分析可能發生的攻擊的報告,以瞭解趨勢和模式,例如特定類型系統故障的“流行病”。然後,系統可能會隔離受影響的節點,以阻止它們成為攻擊的途徑,或者為訪問雲節點設置新的障礙,以防止多階段攻擊繼續進行。

MRC計劃關注的另一個領域是雲計算中的資源分配。研究背後的想法是,雲被用於支持多個任務,因此應該分配資源以最大化任務效率。這些資源如何有效地執行任務將通過“預期淨效用”的概念來衡量。

Shrobe説,實現任務的目標可能有許多種方法,每種方法都需要一套獨特的資源。複雜之處在於,特定方法所需的任何資源都可能以導致任務失敗的方式被破壞。Shrobe解釋説,信任模型旨在測量損壞的可能性。DARPA研究人員正在開發將資源分配給任務的方法,以最大化整個任務的淨預期效用。Shrobe強調,“這意味着我們將嘗試增加潛在的被盜資源,但是當收益遠大於風險時,我們將使用它們。”

三、加密數據的編程運算項目

雲計算帶來了一些潛在的重大安全問題。特別是,漏洞可能包括數據安全性受損和關鍵信息丟失。連接到Internet的任何計算機或對Web友好的設備都可以未經授權訪問計算資源、應用程序或文件池,從而損害了雲計算環境中的信息安全性。

對此,DARPA部署了另一項應對雲計算安全性的項目——加密數據的編程運算項目(Programming Computation on Encrypted Data,PROCEED),以應對雲計算環境下大數據分析面臨的數據泄密問題。PROCEED計劃的特點是能夠對加密的數據進行大數據分析,即在數據分析的全過程中數據一直處於加密狀態以最大程度減少明文數據被竊取的可能性。為實現以上目標,PROCEED開發了專門的程序設計語言和計算機算法。

PROCEED項目旨在開發無需先解密即可對加密數據進行計算的方法,這使得惡意軟件程序員更難編寫病毒。全同態加密策略(FHE)試圖通過要求客户端在將數據發送到雲之前對其進行加密來解決此問題。然後,該客户端將向雲提供可執行代碼,以使其能夠在不解密數據的情況下處理該數據。結果返回給仍加密的客户端。

由於只有客户端控制解密密鑰,因此其他任何人都不能解密數據或結果,從而確保了該信息的安全性。研究表明,儘管從理論上講可以對加密數據進行計算,但計算速度卻降低了近10個數量級,因此不可行。一個相關的研究領域是安全多方計算(SMC),其中多個實體可以聯合執行計算,同時保持每個實體數據的私密性。

PROCEED程序試圖使對加密數據的計算變得實用。它計劃支持對FHE的數學基礎、安全的多方計算、優化的硬件和軟件實現以及編程語言、算法和數據類型的研究。如果成功,PROCEED可以從根本上改變在不受信任的環境中進行計算的方式。雲計算架構安全性的潛在意義是重大的。

四、網絡空間威脅項目

儘管諸如2009年末的Titan Rain和所謂的Aurora攻擊等網絡間諜事件很常見,但由於內部人士可以合法訪問敏感信息而造成的麻煩也很常見。相對於來自外部的威脅,美軍對內部人員潛在安全威脅也非常重視,尤其在斯諾登泄露國家安全局內部文件事件發生後,美軍着手研究利用大數據技術評估內部威脅。根據2015年大數據白皮書的披露,國防部已經開始試點對包括陸軍服役人員、文職僱員以及承包商在內的3370名僱員進行基於大數據的威脅評估調查,成功發現99名人員已經陷入嚴重的經濟危機、家庭暴力、吸毒或賣淫等指控。這些人員最終可能被臨時或永久性撤職,以消除內部人員帶來的潛在安全威脅。

針對外部黑客不斷對美軍網絡空間頻繁實施黑客活動以及內部惡意人員的安全挑戰,美軍開發了網絡空間威脅(Cyber-Insider Threat,CINDER)項目,目標是監控、排查和檢測美軍虛擬網絡中的間諜行為。

在CINDER計劃下,DARPA將探索提高內部威脅檢測速度和準確性的新方法。在可以被認為是對軍事和政府網絡中當前安全狀況的坦率評估中,CINDER計劃首先以“大多數系統和網絡已經受到各種類型和類別的對手的危害”為前提。對手已經從事了看似合法的活動,同時實際上在支持對手的任務。”

五、多尺度異常檢測項目

針對內部人員誤操作帶來的風險,美軍的另一個項目是多尺度異常檢測項目(Anomaly Detection at Multiple Scales,ADAMS),該項目主要是防止由於內部人員誤操作等無意識行為引發的潛在威脅。其基本原理是從內部大數據中挖掘出異常模式,對可能帶來安全問題的潛在威脅發出警告並採取防範措施。

ADAMS程序可創建、調整技術並將其應用於海量數據集中的異常表徵和檢測。數據異常會提示在各種現實環境中收集其他可操作信息。最初的應用程序域是內部威脅檢測,其中在日常網絡活動的背景下檢測受信任的個人的惡意(或可能是無意)行為。

ADAMS組件架構

六、X計劃

X計劃是大數據技術在網電空間的典型應用。大數據技術為集中管理海量信息資源提供高效的分析、融合手段。沒有大數據技術的支撐,要實時測量和可視化總結數據巨大、結構複雜的網電空間是不可能完成的任務。X計劃亦稱“基礎賽博戰”,旨在對網電作戰的本質特性進行創新研究,支持主導網電戰場空間所需的基礎性戰略的發展。

X計劃從2013年開始,為期4年、總投資11億美元。2013年5月到7月,DARPA和6家公司簽署了總價值近7400萬美元的X計劃項目合同,標誌着全新的X計劃真正進入了實施階段。2016年,DARPA完成了該項目的基礎工作,併發布了“X計劃”產品,美國網絡司令部的作戰人員還首次在年度背靠背“網絡空間防護”和“網旗”聯合演習中使用該產品生成網絡空間作戰態勢圖、制定作戰方案、實施網絡作戰行動等等。2017年9月,X計劃項目由DARPA轉交美陸軍企業信息系統計劃執行辦公室安裝信息基礎設施——通信與能力(I3C2)。

X計劃開展5個技術領域的研究以構建一個能夠實時創建、模擬、評估和控制網電戰場空間的原型系統,這5個技術領域包括:

  • 技術領域1(TA1):系統體系結構。構建X計劃的系統基礎設施並完成整體系統的設計和開發;
  • 技術領域2(TA2):網絡作戰空間分析。開發自動分析技術,幫助用户瞭解網絡作戰空間,支持網絡戰戰略的開發,建立戰鬥毀傷評估模型並進行測量;
  • 技術領域3(TA3):任務構建。開發構建任務計劃並自動將任務計劃合成為一個可執行任務腳本的技術,開發作戰計劃形式驗證以及預期效果和最終結果量化技術;
  • 技術領域4(TA4):任務執行。研究和開發任務腳本運行時環境(Runtime Environment,RTE)及支持平台;
  • 技術領域5(TA5):直觀界面。設計整個X計劃的總體用户體驗。

小結

新技術的發展網絡空間帶來了新的安全威脅,也為安全技術發展提供了創新動力,集成大數據等技術成為當前網絡攻防發展的主要趨勢。大數據技術在各國網電空間作戰中的應用都在穩步開展。2019年,美軍網絡司令部統一平台計劃正在穩步推行,統一平台將整合網絡司令部及其下屬組織使用的各種大數據工具並實現標準化。