机器学习追捕网络罪犯

大家好，今日小科来聊聊一篇关于利用机器学习追捕网络罪犯的文章，现在让我们往下看看吧！

现有的检测IP劫持的工作倾向于关注特定的情况，例如，它们已经在被处理。但是如果我们能通过追踪劫机者自己来提前预测这些事件呢？

这是麻省理工学院和加州大学圣地亚哥分校(UCSD)的研究人员开发的新机器学习系统的想法。通过澄清他们所谓的“连环劫机者”的一些共同特征，该团队训练他们的系统识别大约800个可疑网络，并发现其中一些网络多年来一直劫持IP地址。

麻省理工学院计算机科学与人工智能实验室(CSAIL)的主要作者塞西莉亚泰斯特(Cecilia Testart)说：“网络运营商通常要根据具体情况采取应对措施，这样网络犯罪分子才能轻松地继续并蓬勃发展。”)，他将于10月23日在阿姆斯特丹举行的ACM互联网测量会议上提交论文。“这是澄清连环劫持者行为、积极防御其攻击的关键第一步。”

附近网络的性质。

IP劫持者利用了边界网关协议(BGP)中的一个关键缺陷，BGP本质上是一种路由机制，允许互联网的不同部分相互通信。路由信息通过BGP交换，因此数据包可以找到正确的目的地。

在BGP劫持中，恶意行为者说服附近的网络，到达特定IP地址的最佳路径是通过他们的网络。不幸的是，这并不困难，因为BGP本身没有任何安全程序来验证消息实际上来自其声称的来源。

泰斯特说：“这就像一个电话游戏。你可以知道最近的邻居是谁，但你不知道相隔5或10个节点的邻居。”

1998年，在美国参议院首次网络安全听证会上，一群黑客声称他们可以利用知识产权劫持在30分钟内关闭互联网。戴诺蒂说，20多年来，BGP中缺乏安全机制的问题依然严重。

为了更好地找出串行攻击，团队首先从价值数年的网络运营商邮件列表中提取数据，每五分钟从全局路由表中获取历史BGP数据。因此，他们观察了恶意行为者的特殊品质，然后训练机器学习模型来自动识别这种行为。

系统标记的网络有几个关键特征，特别是它们使用的特定IP地址块的性质：

活动发生了很大变化：劫机者的地址块似乎消失得比合法网络快得多。标记网络前缀的平均持续时间在50天以内，而合法网络的平均持续时间接近两年。

多个地址块：串行劫持者倾向于发布更多的IP地址块，也称为“网络前缀”。

多个国家的IP地址：大多数网络没有外部IP地址。相反，对于连环劫持者推广的网络，更容易在不同的国家和地区注册。

识别假阳性。

Testart说，开发该系统的挑战之一是，看起来像IP劫持的事件通常可能是人为错误或其他法律原因的结果。例如，网络运营商可能使用BGP来防御分布式拒绝服务攻击，在这种攻击中，大量流量流向他们的网络。修改路线是关闭攻击的合法方式，但实际上与实际劫持是一样的。

由于这个问题，团队通常不得不手动跳转来识别假阳性，这大约占他们的分类器识别的案例的20%。展望未来，研究人员希望未来的迭代将需要最少的人工监督，并且可以部署在生产环境中。

Akamai Technologies的高级研究科学家大卫普隆卡(David Plonka)说：“作者的研究结果表明，过去的行为显然没有被用来限制不良行为和防止后续的攻击。“这项工作的一个含义是，网络运营商可以退后一步，检查全球互联网路由多年，而不仅仅是密切关注单个事件。”

随着人们越来越依赖互联网进行关键交易，Testart表示，她预测IP劫持的破坏性潜力只会越来越严重。但是她也希望通过新的安全措施来增加难度。特别是，像ATT这样的大型骨干网络最近宣布采用资源公钥基础设施(RPKI)，该基础设施使用加密证书来确保网络仅公布其合法的IP地址。

“该项目可以很好地补充现有的最佳解决方案，以防止此类滥用，包括过滤、反作弊、通过联系人数据库进行协调以及共享路由策略，以便其他网络可以验证它，”Plonka说。“行为不端的网络是否会继续发挥作用，赢得良好声誉，还有待观察。然而，这项工作是验证或改变网络运营商社区消除这些当前危险的努力的好方法。”

这篇好文章是转载于：知行礼动