Меню

Система машинного обучения охотится на киберпреступников

15 октября 2019, вторник

Модель системы машинного обучения из Лаборатории информатики и искусственного интеллекта идентифицирует «серийных угонщиков» IP-адресов в интернете.


Перехват IP-адресов становится все более популярной формой кибератак. Это делается по ряду причин, начиная с рассылки спама и вредоносных программ до кражи биткойнов. По оценкам специалистов, только в 2017 году такие инциденты с маршрутизацией, (перехваты IP-адресов), затронули более 10% всех доменов маршрутизации в мире. В Amazon, Google и даже на уровне целых государств произошли крупные инциденты — исследование, проведенное в прошлом году, показало, что китайская телекоммуникационная компания использовала этот подход для сбора информации о западных странах, перенаправляя интернет-трафик через Китай.


Существующие усилия по выявлению хищений IP-адресов обычно направлены на рассмотрение конкретных случаев, когда они уже находятся в процессе кражи. Но что, если бы мы могли предсказать эти инциденты заранее, отследив подобного рода события до самих угонщиков?


Это и есть основная идея новой системы машинного обучения, разработанной исследователями из Массачусетского технологического института и Калифорнийского университета в Сан-Диего. Освещая некоторые из общих качеств того, что они называют «серийными угонщиками», команда обучила свою систему распознавать примерно 800 подозрительных сетей — и обнаружила, что некоторые из них перехватывали IP-адреса в течение многих лет.


Угонщики IP используют ключевой недостаток в BGP, механизме маршрутизации, который, по существу, позволяет различным частям интернета общаться друг с другом. Через BGP сети обмениваются информацией маршрутизации, так что пакеты данных находят свой путь к правильному месту назначения.


В случае взлома BGP злоумышленник убеждает близлежащие сети в том, что наилучший путь для достижения определенного IP-адреса — через их сеть. К сожалению, это не очень сложно сделать, так как сам BGP не имеет каких-либо процедур безопасности для проверки того, что сообщение на самом деле приходит из того места, о котором оно говорит.


В 1998 году на первом в истории слушании по кибербезопасности в Сенате США участвовала группа хакеров, которые утверждали, что могут провести IP-захват, чтобы отключить Интернет менее чем за 30 минут. Дайнотти говорит, что более 20 лет спустя серьезной проблемой остается отсутствие развертывания механизмов безопасности в BGP.


Чтобы лучше определять последовательные атаки, группа сначала извлекала данные из списков рассылки операторов сети за несколько лет, а также исторические данные BGP, которые каждые пять минут отбирались из глобальной таблицы маршрутизации. Исходя из этого, они наблюдали за отличительными чертами злоумышленников и затем обучали модели машинного обучения, чтобы автоматически идентифицировать такое поведение.


Система помечала сети, которые имели несколько ключевых характеристик, особенно в отношении характера конкретных блоков IP-адресов, которые они используют:


изменения в активности: адресные блоки угонщиков, похоже, исчезают гораздо быстрее, чем в легальных сетях. Средняя продолжительность префикса помеченной сети составляла менее 50 дней по сравнению с почти двумя годами для законных сетей.


IP-адреса злоумышленников были зарегестрированы в разных странах и континентах.


Разработчики рассказали, что одной из проблем при разработке системы было то, что события, которые выглядят как угон IP-адресов, часто могут быть результатом человеческих ошибок. Например, сетевой оператор может использовать BGP для защиты от распределенных атак типа «отказ в обслуживании», когда в их сеть поступает огромное количество трафика. Изменение маршрута — это законный способ остановить атаку, но он выглядит практически идентично фактическому угону.


Из-за этой проблемы команде часто приходилось вручную подключаться для выявления ложных срабатываний, что составляло примерно 20% случаев, определенных их классификатором. Двигаясь вперед, исследователи надеются, что будущие итерации потребуют минимального человеческого контроля и в конечном итоге могут быть внедрены в полноценную рабочую среду.


Стоит отметить, что этот проект системы машинного обучения был поддержан, в частности, Инициативой по исследованию интернет-политики Массачусетского технологического института, Фондом Уильяма и Флоры Хьюлетт, Национальным научным фондом, Департаментом внутренней безопасности и Исследовательской лабораторией ВВС.