使用机器学习捕杀网络犯罪分子

劫持IP地址是一种越来越流行的网络攻击形式。这是一系列原因完成的 垃圾邮件 恶意软件 偷比特币 。据估计,在2017年,诸如IP劫持之类的路由事件受影响 超过10% 所有世界的路线域名。有主要事件 亚马逊 谷歌 甚至在国家 - 州 - 去年一项研究 建议,中国电信公司通过通过中国通过互联网交通来利用这种方法来聚集在西方国家的情报。

当他们已经进入过程时,检测IP劫持的现有努力往往会看待具体情况。但是,如果我们可以通过将事物追溯到劫机者自己提前预测这些事件,怎么办?

这是由MIT和加利福尼亚大学在圣地亚哥(UCSD)开发的新机器学习系统背后的想法。通过照亮他们称之为“串行劫机者”的一些共同品质,该团队培训了他们的系统,能够识别大约800个可疑网络 - 并发现其中一些人多年来一直劫持IP地址。

“网络运营商通常必须以反应性和逐案处理此类事件,使网络犯罪分子易于蓬勃发展,”麻省理工学院计算机科学和人工智能实验室的研究生:Cecilia Testart(Cecilia Testart)(CSail) )谁将在10月23日在阿姆斯特丹的ACM互联网测量会议上提出论文。“这是能够在串行劫机者行为上揭示光线的关键第一步,并积极捍卫他们的攻击。”

本文是一种合作 CSAIL. 应用互联网数据分析中心 在UCSD的超级计算机中心。本文是由Testart和David Clark,MIT Postdoc Philipp Richter和Data Scientist AliStair King以及UCSD的研究科学家Alberto Dainotti的MIT Postdoc Philival Contrark和David Clark撰写的。

附近网络的性质

IP劫持者利用边境网关协议(BGP)的关键缺点,一种路由机制,基本上允许互联网的不同部分彼此交谈。通过BGP,网络交换路由信息,以便数据包找到正确的目的地。

在一个BGP劫持中,恶意演员劝告附近的网络,即达到特定IP地址的最佳路径是通过他们的网络。不幸的是,不幸的是,由于BGP本身没有任何安全程序来验证,这是一条消息实际上来自所在地,它说它来自的地方。

“这就像一场电话比赛,你知道你最近的邻居是谁,但你不知道邻居五或十个节点,”Testart说。

1998年美国参议院’曾经是一个曾经的网络安全听到了一个黑客团队声称他们可以使用IP劫持来取得互联网 在30分钟内 。 Dainotti说,20多年后,BGP中缺乏安全机制部署仍然是一个严重的问题。

为了更好地确定串行攻击,该组首先从几年的网络运营商邮件列表中提取数据,以及从全球路由表每五分钟拍摄的历史BGP数据。从那时起,他们观察了恶意演员的特殊品质,然后训练了机器学习模型以自动识别这种行为。

系统标记的网络具有几个关键特性,特别是对于他们使用的特定IP地址块的性质:

  • 活动的挥发性变化: 劫持者的地址块似乎比合法网络的速度快得多。标记网络前缀的平均持续时间在50天内,而合法网络近两年。
  • 多个地址块: 串行劫持者倾向于宣传更多的IP地址块,也称为“网络前缀”。
  • 多个国家的IP地址:大多数网络没有外国IP地址。相比之下,对于串行劫机者所宣传的网络,他们更有可能在不同的国家和大陆注册。

识别误报

Testart表示,在开发系统方面的一个挑战是看起来像IP劫持的事件通常可以是人为错误的结果,或者以其他方式合法。例如,网络运营商可能会使用BGP来防御分布式拒绝服务攻击,其中有大量的流量进入其网络。修改路线是关闭攻击的合法方式,但它看起来几乎与实际的劫持相同。

由于这个问题,团队往往不得不手动跳到识别误报,这占分类器确定的大约20%的案件。向前迈进,研究人员希望未来的迭代需要最小的人类监督,最终可能在生产环境中部署。

“作者’结果表明,过去的行为显然不被用来限制不良行为并防止后续攻击,“Akamai技术高级研究科学家David Plonka说,他不参与工作。 “这项工作的一个含义是,网络运营商可以跨越多年的全球互联网路线措施,而不是仅仅关注个人事件。”

随着人们越来越依赖互联网进行关键交易,Testart表示,她预计IP劫持损害的潜力只会变得更糟。但她也希望通过新的安全措施可以更加困难。特别是大骨干网络,如在&T have 最近宣布了 通过资源公钥基础架构(RPKI),一种使用加密证书的机制,以确保网络仅宣布其合法的IP地址。

“这个项目可以很好地补充了现有的最佳解决方案,以防止包括过滤,取消擦干,通过联系数据库进行协调,并共享路由策略,以便其他网络可以验证它,”Plonka说。“ “仍有待观察到行为不端的网络是否会继续游戏良好的声誉。但这项工作是验证或重定向网络运营商社区的好方法’努力结束这些存在的危险。“

该项目得到了威廉互联网政策研究倡议,威廉和弗洛拉·惠普基金会,国家科学基金会,国土安全部和空军研究实验室。



本新闻稿中的材料来自于始发的研究组织。可以为样式和长度编辑内容。有一个问题? 让我们知道 .

订阅

每天早上有一封电子邮件,我们的最新帖子。从医学研究到空间新闻。环境的环境。技术物理学。

谢谢您的订阅。

出了些问题。