機器學習模型幫助識別 800 例 BGP 劫持
責編:gltian |2019-10-17 15:37:03麻省理工學院 (MIT) 研究人員運用機器學習模型成功識別 800 個可疑網絡,發現邊界網關協議 (BGP) “系列” 劫持者,其中一些網絡遭劫流量長達數年之久。
該團隊向其算法饋送了數年間的信息,包括網絡操作列表和歷史互聯網網關數據,訓練出能夠識別可疑網絡的機器學習模型。
通過路由流量經過其自身網絡,黑客可以收集情報或盜取憑證。研究人員正是運用出自全局路由表的數據,識別出標志黑客正在劫持流量的關鍵特征。其中一個標識就是 IP 地址來自多個國家。正常網絡極少會含有外國 IP 地址,但黑客以無國界著稱,常使用不同地區的地址。
該機器學習模型專注互聯網軟件基礎設施關鍵部分——邊界網關協議 (BGP)。
BGP 在互聯網不同部分之間建立連接,黑客慣于利用此路由機制的漏洞,欺騙附近網絡認為發送數據包的最佳路徑是流經自己控制下的網絡,從而劫持其中流量。
研究人員發現,當黑客試圖執行 IP 劫持操作時,他們傾向于使用多個地址塊(網絡前綴),檢測出多個 IP 地址塊歸屬同一個源,就表示有黑客正在嘗試劫持。
地址塊保持在線的時長是可疑活動的關鍵指標,因為地址塊在合法網絡上活躍的平均時長是兩年,而惡意地址塊平均 50 天就消失不見了。
該研究主要完成人 Cecilia Testart 是 MIT 計算機科學與人工智能實驗室 (CSAIL) 的研究生,她在博客中評論道:網絡運營商通常都是被動處理此類事件,而且是當成個案逐漸處理的,這就讓網絡罪犯一直興盛不衰。
這是曝光系列劫持者行為和主動防御其攻擊的重要第一步。
邊界網關協議劫持
由于網絡運營商和網絡安全專家常用 BGP 緩解攻擊,該機器學習模型顯然稱不上完美,需要在人類監督下執行。
舉個例子,如果某公司遭受分布式拒絕服務攻擊,緩解方式之一就是操作 BGP 將入站攻擊流量誘騙至錯誤的路徑上。不幸的是,這種動作與黑客會采取的行為幾乎毫無二致,無法區分。
因此,約 20% 的可疑識別都是浪費研究人員時間精力的誤報。研究人員希望他們可以將人類監督減少到最低限度,并展望該模型能很快用于生產環境。
阿卡邁技術公司高級研究科學家 David Plonka 對 MIT 的工作給出了獨立評價:該項工作表明網絡運營商可以回退一步,檢查多年來的全球互聯網路由,而不僅僅是很短視地關注單個事件。該項目能很好地補充防止此類濫用的現有最佳解決方案,包括過濾、反欺騙、通過聯系數據庫協同,以及共享路由策略以供其他網絡驗證等。
惡意網絡還能不能繼續蒙混過關尚有待觀察。但這項研究確實有利于驗證或重新定向網絡運營商終結當前危險的工作。
Cecilia Testart 博客評論:
https://news.mit.edu/2019/using-machine-learning-hunt-down-cybercriminals-1009