首页 » 新闻动态 >

用新的机器学习系统狩猎网络犯罪分子

2021-09-17 08:50:03来源:

计算机科学和人工智能实验室的模型标识了互联网IP地址的“串行劫机者”。

劫持IP地址是一种越来越流行的网络攻击形式。这是一系列原因完成的,从发送垃圾邮件和恶意软件到窃取比特币。据估计,仅在2017年,IP劫机等路由事件影响了世界上所有世界路由领域的10%以上。亚马逊和谷歌的主要事件甚至在国家 - 州 - 去年的一项研究表明,中国电信公司通过通过互联网交通通过中国进行互联网交通来利用这些方法来聚集智力。

当他们已经进入过程时,检测IP劫持的现有努力往往会看待具体情况。但是,如果我们可以通过将事物追溯到劫机者自己提前预测这些事件,怎么办?

这是由MIT和加利福尼亚大学在圣地亚哥(UCSD)开发的新机器学习系统背后的想法。通过照亮他们称之为“串行劫机者”的一些共同品质,该团队培训了他们的系统,能够识别大约800个可疑网络 - 并发现其中一些人多年来一直劫持IP地址。

“网络运营商通常必须以反应性和逐案处理此类事件,使网络犯罪分子易于蓬勃发展,”麻省理工学院计算机科学和人工智能实验室的研究生:Cecilia Testart(Cecilia Testart)(CSail) 2019年10月23日,谁将在阿姆斯特丹的ACM互联网衡量会议上提出本文。“这是能够在串行劫机者的行为上阐明并积极抵御他们的攻击的关键第一步。”

本文是CSAIL和UCSD超级计算机中心应用互联网数据分析中心之间的合作。本文是由Testart和David Clark,MIT Postdoc Philipp Richter和Data Scientist AliStair King以及UCSD的研究科学家Alberto Dainotti的MIT Postdoc Philival Contrark和David Clark撰写的。

附近网络的性质

IP劫持者利用边境网关协议(BGP)的关键缺点,一种路由机制,基本上允许互联网的不同部分彼此交谈。通过BGP,网络交换路由信息,以便数据包找到正确的目的地。

在一个BGP劫持中,恶意演员劝告附近的网络,即达到特定IP地址的最佳路径是通过他们的网络。不幸的是,不幸的是,由于BGP本身没有任何安全程序来验证,这是一条消息实际上来自所在地,它说它来自的地方。

“这就像一场电话比赛,你知道你最近的邻居是谁,但你不知道邻居五或十个节点,”Testart说。

1998年,美国参议院的首次网络安全听证会举行了一支黑客团队,他声称他们可以使用IP劫持在30分钟内取下互联网。Dainotti说,20多年后,BGP中缺乏安全机制部署仍然是一个严重的问题。

为了更好地确定串行攻击,该组首先从几年的网络运营商邮件列表中提取数据,以及从全球路由表每五分钟拍摄的历史BGP数据。从那时起,他们观察了恶意演员的特殊品质,然后训练了机器学习模型以自动识别这种行为。

系统标记的网络具有几个关键特性,特别是对于他们使用的特定IP地址块的性质:

活动的挥发性变化:劫持者的地址块似乎比合法网络的速度快得多。标记的网络前缀的平均持续时间在50天内,而合法网络的近两年相比。近两年来。多地址块:串行劫持者倾向于宣传更多的IP地址块,也称为“网络前缀”。多个国家/地区的IP地址:大多数网络没有外国IP地址。相比之下,对于串行劫机者所宣传的网络,他们更有可能在不同的国家和大陆注册。

识别误报

Testart表示,在开发系统方面的一个挑战是看起来像IP劫持的事件通常可以是人为错误的结果,或者以其他方式合法。例如,网络运营商可能会使用BGP来防御分布式拒绝服务攻击,其中有大量的流量进入其网络。修改路线是关闭攻击的合法方式,但它看起来几乎与实际的劫持相同。

由于这个问题,团队往往不得不手动跳到识别误报,这占分类器确定的大约20%的案件。向前迈进,研究人员希望未来的迭代需要最小的人类监督,最终可能在生产环境中部署。

“作者的结果表明,过去的行为显然不被用来限制不良行为并防止后续攻击,”Akamai技术高级研究科学家David Plonka说,他不参与工作。“这项工作的一个含义是,网络运营商可以跨越跨越年来返回并检查全球互联网路线,而不是仅仅专门关注史式事件。”

随着人们越来越依赖互联网进行关键交易,Testart表示,她预计IP劫持损害的潜力只会变得更糟。但她也希望通过新的安全措施可以更加困难。特别是,诸如AT&T的大型骨干网络最近宣布采用资源公钥基础架构(RPKI),这是一种使用加密证书的机制,以确保网络仅宣布其合法的IP地址。

“这个项目可以很好地补充了现有的最佳解决方案,以防止包括过滤,取消擦干,通过联系数据库进行协调,并共享路由策略,以便其他网络可以验证它,”Plonka说。““仍有待观察到行为不端的网络是否会继续游戏良好的声誉。但这项工作是验证或重定向网络运营商社区的努力,以结束这些危险的重要方法。“

该项目得到了威廉互联网政策研究倡议,威廉和弗洛拉·惠普基金会,国家科学基金会,国土安全部和空军研究实验室。

参考:“分析BGP串行劫持者:在全球路由表中捕获持有的持久性Misbehavior“由Cecilia Testart,Philipp Richter,Alistair King,Alberto Dainotti和David Clark。(PDF)