大資料技術在民用領域已呈現迅猛發展之勢,其在軍事領域也蘊藏著巨大發展潛力和應用價值,已成為軍事領域競爭新的制高點。計算機網路空間是網電空間的重要組成部分,網路空間的安全問題越來越受到各軍事強國的重視。大資料技術在網電空間中的應用越來越普遍,國外相關的專案和基礎設施建設已經取得了一定的成績。
一、美國國防部BDP大資料平臺
美國防資訊系統局(DISA)開發了基於雲的大資料平臺BDP(Big Data Platform),可支援賽博態勢感知能力。
網路空間態勢感知
作為一個分散式的計算平臺,BDP提供了一個通用的計算解決方案,能夠從國防部資訊網路(DoDIN)獲取、儲存、處理、共享和視覺化pb級的資料,能夠數小時內完成數百臺伺服器的安裝部署。
BDP主要功能
BDP並非單純地為DISA服務,還可利用它處理其他服務,並由其他合作方將它安裝在本地環境中,而且安裝過程非常簡單,任何具有Linux與Hadoop經驗的使用者都能夠快速上手。
賽博態勢感知分析能力(Cyber Situational Awareness Analytic Capabilities,CSAAC)是部署在BDP上的一組分析工具,旨在對來自DoDIN的大規模資料進行收集,同時提供分析與視覺化工具以提取資料中包含的資訊。BDP可以驅動CSAAC的大部分功能套件,能夠將CSAAC中的資料、分析過程、視覺化結果共享至各個任務合作方,包括國防部網路運維人員、企業服務使用者、網路作戰部隊與網路保護團隊以及其他政府機構。
大資料網路態勢感知框架
CSAAC具有如下功能:
- DoDIN運營與態勢感知。以DoD企業郵件監控為例,CSAAC能夠為運營人員提供近實時態勢感知能力,從而快速掌握事故、具體配置狀態以及郵件閘道器過濾等相關情況。
- 防禦性網路操作。按指標作戰能夠幫助網路分析師利用自動化工作流審查網路威脅報告,提取潛在指標,面向未來程序提供警報,並在必要時自動執行DoD對策流程。
- 異常檢測。異常檢測套件專門負責檢測可能對敏感性DoD資料的完整性、機密性或者可用性造成威脅的已驗證使用者,還允許分析師在檢測到潛在內部威脅後向有關部門發出警告。
2016年8月,DISA釋出BDP升級版,大幅提升CSAAC快速開發、部署和使用分析工具的能力。
二、面向任務的彈性雲專案
新技術可以創造新功能,也可以創造新漏洞。在過去的十幾年中,隨著越來越多的敏感應用程式和資料轉移到雲端,即使在情報界,“遷移到雲”也是趨勢。雲計算是指使用計算機的分散式網路來執行各種型別的計算。我們所謂的“雲”實際上是由數百萬臺專用計算機組成的網路,使用者可以從這些伺服器叢集的所有者那裡購買一定數量的儲存空間或計算能力。但是,與傳統的遠端伺服器不同,沒有為雲使用者提供特定計算機的使用。而是,應用程式和程序經常在多個不同的機器之間執行。
隨著越來越多的政府系統(包括間諜衛星等超敏感應用程式)遷移到雲中,DARPA擔心由此帶來的安全風險,保護此類系統將變得越來越重要。他們聲稱,與傳統網路相比,雲上執行的應用程式的多樣性,伺服器場中運行雲應用程式的計算機的同質性以及雲網絡上的高度互連性可能會增加使網路攻擊極為嚴重的危險。這種設定使攻擊者有可能破壞安全性較差的應用程式,然後以極高的速度在整個雲中傳播攻擊。
DARPA的回應是MRC計劃,該計劃旨在資助研究以提高雲的安全性。DARPA在2011年開始了面向任務的彈性雲專案(Mission-oriented Resilient Cloud,MRC),研究和開發提高雲的安全性和可靠性的方法。該專案透過開發一系列用於檢測、診斷和應對駭客攻擊的技術以應對雲計算環境下的傳統安全問題,在遭受攻擊時仍然能夠保證大資料分析的可靠執行,以確保戰時敵方持續攻擊情況下美軍大資料系統的正常執行。
MRC旨在建立一個可以在遭受攻擊時保持執行、即使在某些資源損壞後仍繼續提供有用服務的系統。MRC的專案經理霍華德•施羅布(Howard Shrobe)稱,這項研究強調設計出能夠抵禦攻擊的、具有彈性的自適應系統。
雲的最大優勢在於,單個使用者可以在需要時從中央伺服器借用資源,包括儲存、算力,甚至整個應用程式。集中化可以提高效率,但同時也會造成單點故障。在雲端,所有節點/伺服器都是相同的,並且共享相同的漏洞。因此,任何可以接管單個節點的攻擊都可以接管整個雲。依賴中央伺服器的多個使用者可能導致Shrobe所謂的“共同命運”:當完全不相關的任務最終在共享環境中執行時,一個應用程式的漏洞可能會影響完全不相關的應用程式。同樣,當不同的“虛擬機器”在單個微晶片上並排執行時,一個虛擬機器上的惡意程式碼可以竊取執行在不同虛擬機器上不同應用程式上的加密金鑰。
MRC專案使用“社群衛生系統”方法來保護雲計算網路免受這些威脅的侵害。這個想法是,將有關潛在攻擊的資訊在整個雲中共享,在遭受攻擊的情況下將資源轉移到受損節點周圍,同時動員防禦系統來控制破壞。雲中將有幾種監視機制來監視應用程式的行為。首先,每個節點監視自己的應用程式,並關注其他節點。(這種自我評估可能會使用另一個DARPA網路安全程式CRASH中的自衛程式)。
當檢測到妥協或任何形式的偏差時,MRC的診斷和自我修復功能將發揮作用,以開發可識別和抵制特定攻擊的過濾器;可以實現相同系統操作目標但又不暴露漏洞的變通辦法;並徹底修復該漏洞的補丁。
Shrobe說,這些功能然後以類似於人類公共衛生系統的免疫程式。就像公共衛生系統一樣,收集並分析可能發生的攻擊的報告,以瞭解趨勢和模式,例如特定型別系統故障的“流行病”。然後,系統可能會隔離受影響的節點,以阻止它們成為攻擊的途徑,或者為訪問雲節點設定新的障礙,以防止多階段攻擊繼續進行。
MRC計劃關注的另一個領域是雲計算中的資源分配。研究背後的想法是,雲被用於支援多個任務,因此應該分配資源以最大化任務效率。這些資源如何有效地執行任務將透過“預期淨效用”的概念來衡量。
Shrobe說,實現任務的目標可能有許多種方法,每種方法都需要一套獨特的資源。複雜之處在於,特定方法所需的任何資源都可能以導致任務失敗的方式被破壞。Shrobe解釋說,信任模型旨在測量損壞的可能性。DARPA研究人員正在開發將資源分配給任務的方法,以最大化整個任務的淨預期效用。Shrobe強調,“這意味著我們將嘗試增加潛在的被盜資源,但是當收益遠大於風險時,我們將使用它們。”
三、加密資料的程式設計運算專案
雲計算帶來了一些潛在的重大安全問題。特別是,漏洞可能包括資料安全性受損和關鍵資訊丟失。連線到Internet的任何計算機或對Web友好的裝置都可以未經授權訪問計算資源、應用程式或檔案池,從而損害了雲計算環境中的資訊保安性。
對此,DARPA部署了另一項應對雲計算安全性的專案——加密資料的程式設計運算專案(Programming Computation on Encrypted Data,PROCEED),以應對雲計算環境下大資料分析面臨的資料洩密問題。PROCEED計劃的特點是能夠對加密的資料進行大資料分析,即在資料分析的全過程中資料一直處於加密狀態以最大程度減少明文資料被竊取的可能性。為實現以上目標,PROCEED開發了專門的程式設計語言和計算機演算法。
PROCEED專案旨在開發無需先解密即可對加密資料進行計算的方法,這使得惡意軟體程式設計師更難編寫病毒。全同態加密策略(FHE)試圖透過要求客戶端在將資料傳送到雲之前對其進行加密來解決此問題。然後,該客戶端將向雲提供可執行程式碼,以使其能夠在不解密資料的情況下處理該資料。結果返回給仍加密的客戶端。
由於只有客戶端控制解密金鑰,因此其他任何人都不能解密資料或結果,從而確保了該資訊的安全性。研究表明,儘管從理論上講可以對加密資料進行計算,但計算速度卻降低了近10個數量級,因此不可行。一個相關的研究領域是安全多方計算(SMC),其中多個實體可以聯合執行計算,同時保持每個實體資料的私密性。
PROCEED程式試圖使對加密資料的計算變得實用。它計劃支援對FHE的數學基礎、安全的多方計算、最佳化的硬體和軟體實現以及程式語言、演算法和資料型別的研究。如果成功,PROCEED可以從根本上改變在不受信任的環境中進行計算的方式。雲計算架構安全性的潛在意義是重大的。
四、網路空間威脅專案
儘管諸如2009年末的Titan Rain和所謂的Aurora攻擊等網路間諜事件很常見,但由於內部人士可以合法訪問敏感資訊而造成的麻煩也很常見。相對於來自外部的威脅,美軍對內部人員潛在安全威脅也非常重視,尤其在斯諾登洩露國家安全域性內部檔案事件發生後,美軍著手研究利用大資料技術評估內部威脅。根據2015年大資料白皮書的披露,國防部已經開始試點對包括陸軍服役人員、文職僱員以及承包商在內的3370名僱員進行基於大資料的威脅評估調查,成功發現99名人員已經陷入嚴重的經濟危機、家庭暴力、吸毒或賣淫等指控。這些人員最終可能被臨時或永久性撤職,以消除內部人員帶來的潛在安全威脅。
針對外部駭客不斷對美軍網路空間頻繁實施駭客活動以及內部惡意人員的安全挑戰,美軍開發了網路空間威脅(Cyber-Insider Threat,CINDER)專案,目標是監控、排查和檢測美軍虛擬網路中的間諜行為。
在CINDER計劃下,DARPA將探索提高內部威脅檢測速度和準確性的新方法。在可以被認為是對軍事和政府網路中當前安全狀況的坦率評估中,CINDER計劃首先以“大多數系統和網路已經受到各種型別和類別的對手的危害”為前提。對手已經從事了看似合法的活動,同時實際上在支援對手的任務。”
五、多尺度異常檢測專案
針對內部人員誤操作帶來的風險,美軍的另一個專案是多尺度異常檢測專案(Anomaly Detection at Multiple Scales,ADAMS),該專案主要是防止由於內部人員誤操作等無意識行為引發的潛在威脅。其基本原理是從內部大資料中挖掘出異常模式,對可能帶來安全問題的潛在威脅發出警告並採取防範措施。
ADAMS程式可建立、調整技術並將其應用於海量資料集中的異常表徵和檢測。資料異常會提示在各種現實環境中收集其他可操作資訊。最初的應用程式域是內部威脅檢測,其中在日常網路活動的背景下檢測受信任的個人的惡意(或可能是無意)行為。
ADAMS元件架構
六、X計劃
X計劃是大資料技術在網電空間的典型應用。大資料技術為集中管理海量資訊資源提供高效的分析、融合手段。沒有大資料技術的支撐,要實時測量和視覺化總結資料巨大、結構複雜的網電空間是不可能完成的任務。X計劃亦稱“基礎賽博戰”,旨在對網電作戰的本質特性進行創新研究,支援主導網電戰場空間所需的基礎性戰略的發展。
X計劃從2013年開始,為期4年、總投資11億美元。2013年5月到7月,DARPA和6家公司簽署了總價值近7400萬美元的X計劃專案合同,標誌著全新的X計劃真正進入了實施階段。2016年,DARPA完成了該專案的基礎工作,併發布了“X計劃”產品,美國網路司令部的作戰人員還首次在年度背靠背“網路空間防護”和“網旗”聯合演習中使用該產品生成網路空間作戰態勢圖、制定作戰方案、實施網路作戰行動等等。2017年9月,X計劃專案由DARPA轉交美陸軍企業資訊系統計劃執行辦公室安裝資訊基礎設施——通訊與能力(I3C2)。
X計劃開展5個技術領域的研究以構建一個能夠實時建立、模擬、評估和控制網電戰場空間的原型系統,這5個技術領域包括:
- 技術領域1(TA1):系統體系結構。構建X計劃的系統基礎設施並完成整體系統的設計和開發;
- 技術領域2(TA2):網路作戰空間分析。開發自動分析技術,幫助使用者瞭解網路作戰空間,支援網路戰戰略的開發,建立戰鬥毀傷評估模型並進行測量;
- 技術領域3(TA3):任務構建。開發構建任務計劃並自動將任務計劃合成為一個可執行任務指令碼的技術,開發作戰計劃形式驗證以及預期效果和最終結果量化技術;
- 技術領域4(TA4):任務執行。研究和開發任務指令碼執行時環境(Runtime Environment,RTE)及支援平臺;
- 技術領域5(TA5):直觀介面。設計整個X計劃的總體使用者體驗。
小結
新技術的發展網路空間帶來了新的安全威脅,也為安全技術發展提供了創新動力,整合大資料等技術成為當前網路攻防發展的主要趨勢。大資料技術在各國網電空間作戰中的應用都在穩步開展。2019年,美軍網路司令部統一平臺計劃正在穩步推行,統一平臺將整合網路司令部及其下屬組織使用的各種大資料工具並實現標準化。