所有文章 > 正文

再也不用担心路由被劫持!机器学习将成为抓捕网络犯罪分子的得力帮手

作者: Jansfer

时间: 2019-10-12 10:30

麻省理工学院和加州大学圣地亚哥分校(UCSD)的研究人员开发了新机器学习系统,可以追溯劫机者提前预测IP劫持。

劫持IP地址是一种日益流行的网络攻击形式。从发送垃圾邮件和恶意软件到窃取比特币等等,许多网络攻击都看得到它的身影。据估计,仅在2017年,IP劫持等路由事件就影响了全球10%以上的路由域。亚马逊、谷歌甚至有一些国家都曾发生过重大事件——去年的一项研究表明,一家中国电信公司利用这种方式,通过改变在中国的互联网流量路线,收集西方国家的情报。现有的检测IP劫持的工作往往是在已经发生的特定案例中进行的。但如果我们能通过追溯劫机者提前预测这些事件又会怎样呢?这就是麻省理工学院和加州大学圣地亚哥分校(UCSD)的研究人员开发的新机器学习系统背后的想法。通过描述他们所说的“连环劫机者”的一些共同特征,研究小组训练的系统能够识别大约800个可疑网络,并发现其中一些网络已经劫持IP地址多年。论文的主要作者Cecilia Testart表示,网络运营商通常不得不对此类事件作出反应,并逐案处理,这使得网络犯罪分子很容易继续猖獗。

这是了解连环劫机者行为并主动防御其攻击的关键第一步。Cecilia Testart是麻省理工学院计算机科学与人工智能实验室(CSAIL)的一名研究生,她将于10月23日在阿姆斯特丹举行的ACM互联网测量会议上发表这篇论文。这篇论文是CSAIL和UCSD超级计算机中心的应用互联网数据分析中心的合作成果。它由Testart、麻省理工学院资深研究科学家David Clark、麻省理工学院博士后Philipp Richter、数据科学家Alistair King以及UCSD的研究科学家Alberto Dainotti共同撰写。

IP劫持者利用了边界网关协议(BGP)中的一个关键缺陷。这是一种路由机制,本质上允许Internet的不同部分相互通信。网络通过BGP交换路由信息,以便数据包找到正确的目的地。在BGP劫持中,恶意行为人需要使附近的网络认为到达特定IP地址的最佳路径需要通过其网络。不幸的是,这并不难做到,因为BGP本身没有任何安全机制来验证消息是否真的来自它所说的来自的地方。“这就像一个电话游戏,你知道谁是距离你最近的邻居,但你不知道距离你5个或10个节点之外的邻居。”Testart说。 1998年,美国参议院首次举行网络安全听证会,一群黑客声称他们可以利用IP劫持在30分钟内摧毁互联网。Dainotti说,即使是经过了20多年后的今天,BGP缺乏安全机制的部署仍然是一个令人严重关切的问题。为了更好地查明连环攻击,该团队首先从数年的网络运营商邮件列表中提取数据,并从全局路由表中提取每5分钟一次的历史BGP数据。从中,他们观察到了恶意行为的特点,然后训练了一个机器学习模型来自动识别此类行为。系统标记了具有几个关键特征的网络,特别是它们使用的特定IP地址块的性质:首先,恶意行为活动中存在着不稳定的变化:劫持者的地址块似乎比合法网络的地址块消失得快得多。标记的网络前缀的平均持续时间不到50天,而合法网络的平均持续时间几乎为两年。其次,恶意行为活动一般有多地址块:连环劫持者倾向于公布更多的IP地址块(也称为“网络前缀”)。此外,有些恶意行为活动还具有多个国家的IP地址:大多数网络没有外部IP地址。相比之下,连环劫机者拥有的网络更有可能在不同的国家和地区注册。

Testart说,开发该系统的一个关键问题是,看起来像IP劫持的事件通常是人为错误的结果,或者是合法的。例如,网络运营商可以使用BGP来防御分布式拒绝服务攻击,在这种攻击中,有大量的流量流向他们的网络。修改路由是阻挡攻击的合法方法,但它看起来与实际的劫持几乎相同。由于这个问题,团队经常不得不人工识别这些情况,这大约占了分类器识别出的案例的20%。在接下来的研究中,研究人员希望在未来的迭代中,人工监督的成分能够进一步减少甚至不再需要,并最终可以部署到生产环境中。作者的研究结果表明,过去的行为显然没有被用来限制不良行为和防止后续的攻击,因此这项工作的一个可能的影响是,网络运营商的视野可以再高一些,研究跨年的全球互联网路由,而不仅仅是目光短浅地关注个别事件。

随着人们越来越依赖互联网进行重要交易,Testart预计IP劫持的潜在危害只会越来越严重。但是她也希望,通过新的安全措施,IP劫持操作将会变得更加困难。特别是,美国电话电报公司(AT&T)等大型基础网络最近宣布采用资源公钥基础设施(RPKI),这是一种使用加密证书确保网络只公布其合法IP地址的机制。Plonka说,“这个项目可以为现有的最佳解决方案提供很好的补充,以防止包括过滤、反垃圾邮件、通过联系人数据库进行协调,以及共享路由策略在内的IP地址滥用,以便其他网络能够验证IP地址是否合法。行为不端的网络能否通过策略重新赢得良好声誉,还有待观察。但这项工作是验证或重新引导网络运营商社区努力结束这些目前存在的危险的一个好方法。” 该项目部分得到麻省理工学院互联网政策研究计划、威廉和弗洛拉·休利特基金会、国家科学基金会、国土安全部和空军研究实验室的支持。

参考:http://news.mit.edu/2019/using-machine-learning-hunt-down-cybercriminals-1009

[关于转载]:本文为“AMiner”官网文章。转载本文请联系原作者获取授权,转载仅限全文转载并保留文章标题及内容,不得删改、添加内容绕开原创保护,且文章开头必须注明:转自“AMiner”官网。谢谢您的合作。

二维码 扫码微信阅读
推荐阅读 更多