MIT CSAIL的AI检测到可能的IP地址劫持

 
边界网关协议(BGP)是一种路由协议，用于在不同主机网关之间传输数据和信息，这是Internet设计的基础。不幸的是，它在两个方面都有缺陷：缺少路由身份验证和基本来源验证。这使得BGP易于在配置错误的情况下引起连接问题，并且令人担忧地为恶意垃圾邮件发送者，流量拦截器和加密货币小偷打开了大门。
因此，麻省理工学院计算机科学与人工智能实验室的研究人员最近对BGP活动进行了为期五年的研究，目的是确定劫机者的主要特征以及它们与合法系统的区别。这项工作提供了一组指标，该团队应用了AI算法来评估其识别劫机者模式的准确性。
该论文的共同作者详细描述了这项研究：“我们的初步结果表明，[某些]模式可以在自动化应用程序中加以利用，从而可能揭示未发现的行为或生成新颖的信誉得分类别。” “我们的发现因此对运营商社区具有重要意义，因为它们可以……潜在地[允许]进行预防性防御。我们的发现也与更广泛的研究界相关，因为它们为新的……劫持检测系统以及……信誉指标和评分系统的发展提供了可行的输入。”
在典型的BGP劫持期间，恶意行为者欺骗附近的网络，将它们通过受威胁的系统(或相互连接的系统)路由到特定IP地址(即识别设备并允许它们彼此交换信息的数字)路由数据。最近的一次攻击将近1300个地址重新路由到一个受欢迎的加密货币网站的一个传真，使协调员从客户那里窃取了大约15万美元的数字硬币。在另一起备受瞩目的事件中，Google失去了数百万个IP地址的控制权，使其搜索和其他服务无法使用一个小时以上。
研究人员在论文中解释说，很少有旨在检测非法BGP路由通告的自动系统。大多数网络运营商都依赖仅跟踪单个正在进行的劫持的邮件列表或基于事件的方案。相比之下，该小组的政策利用了BGP行为在一段时间内保持一致的事实，以推测潜在事件。 (实际上，某些恶意自治系统显示了多年的恶意活动。)
研究人员从过去几年的网络运营商邮件列表中提取数据，以及每隔五分钟从全局路由表中记录的BGP历史数据。由此，他们训练了一种机器学习模型，以识别关键特征，例如活动中的易变性和多个地址块。该模型发现，劫机者的阻止通常比合法网络的阻止消失得更快，并且恶意网络倾向于发布更多IP地址(或网络前缀)阻止。此外，该模型还确定，这些网络更有可能在国外和大洲注册。
编制模型的训练语料库并非完全是在公园散步。识别和丢弃误报构成了特殊的挑战。例如，网络运营商使用BGP通过修改路由来防御分布式拒绝服务攻击，该路由实际上与实际劫持相同。
该团队手动删除了这些误报和其他误报，约占模型发现的案例的20%。他们说，它设法识别出总共约800个可疑网络，其中包括一些已经劫持IP地址多年的网络。从2017年初开始，一个演员(被研究人员称为“ AS134190”)开始在很短的时间段(大约一天)内产生了不同的前缀，并且进行了多达11次攻击(其中一种被广泛使用已知的BGPmon劫持检测系统)在2018年11月至2019年初之间。
“网络运营商通常必须根据具体情况采取应对措施，使网络犯罪分子易于easy壮成长……这就像电话游戏一样，在这里您可以知道最近的邻居是谁，但您却不会这样做。 “不知道相隔5或10个节点的邻居。”麻省理工学院的研究生和主要作者塞西莉亚·德斯塔特(Cecilia Testart)说，他放弃了未来的工作模型，这些模型需要更少的人工监督，并且可以部署在生产环境中。 “这是能够阐明连环劫机者行为并主动防御其攻击的关键的第一步。”
Testart及其同事将在本月晚些时候在阿姆斯特丹举行的ACM Internet测量会议上介绍该论文。 包含由算法标记的可疑网络列表的数据集可在GitHub上公开获得。