Система машинного обучения охотится на киберпреступников
Модель системы машинного обучения из Лаборатории информатики и искусственного интеллекта идентифицирует «серийных угонщиков» IP-адресов в интернете.
Перехват IP-адресов становится все более популярной формой кибератак. Это делается по ряду причин, начиная с рассылки спама и вредоносных программ до кражи биткойнов. По оценкам специалистов, только в 2017 году такие инциденты с маршрутизацией, (перехваты IP-адресов), затронули более 10% всех доменов маршрутизации в мире. В Amazon, Google и даже на уровне целых государств произошли крупные инциденты — исследование, проведенное в прошлом году, показало, что китайская телекоммуникационная компания использовала этот подход для сбора информации о западных странах, перенаправляя интернет-трафик через Китай.
Существующие усилия по выявлению хищений IP-адресов обычно направлены на рассмотрение конкретных случаев, когда они уже находятся в процессе кражи. Но что, если бы мы могли предсказать эти инциденты заранее, отследив подобного рода события до самих угонщиков?
Это и есть основная идея новой системы машинного обучения, разработанной исследователями из Массачусетского технологического института и Калифорнийского университета в Сан-Диего. Освещая некоторые из общих качеств того, что они называют «серийными угонщиками», команда обучила свою систему распознавать примерно 800 подозрительных сетей — и обнаружила, что некоторые из них перехватывали IP-адреса в течение многих лет.
Угонщики IP используют ключевой недостаток в BGP, механизме маршрутизации, который, по существу, позволяет различным частям интернета общаться друг с другом. Через BGP сети обмениваются информацией маршрутизации, так что пакеты данных находят свой путь к правильному месту назначения.
В случае взлома BGP злоумышленник убеждает близлежащие сети в том, что наилучший путь для достижения определенного IP-адреса — через их сеть. К сожалению, это не очень сложно сделать, так как сам BGP не имеет каких-либо процедур безопасности для проверки того, что сообщение на самом деле приходит из того места, о котором оно говорит.
В 1998 году на первом в истории слушании по кибербезопасности в Сенате США участвовала группа хакеров, которые утверждали, что могут провести IP-захват, чтобы отключить Интернет менее чем за 30 минут. Дайнотти говорит, что более 20 лет спустя серьезной проблемой остается отсутствие развертывания механизмов безопасности в BGP.
Чтобы лучше определять последовательные атаки, группа сначала извлекала данные из списков рассылки операторов сети за несколько лет, а также исторические данные BGP, которые каждые пять минут отбирались из глобальной таблицы маршрутизации. Исходя из этого, они наблюдали за отличительными чертами злоумышленников и затем обучали модели машинного обучения, чтобы автоматически идентифицировать такое поведение.
Система помечала сети, которые имели несколько ключевых характеристик, особенно в отношении характера конкретных блоков IP-адресов, которые они используют:
изменения в активности: адресные блоки угонщиков, похоже, исчезают гораздо быстрее, чем в легальных сетях. Средняя продолжительность префикса помеченной сети составляла менее 50 дней по сравнению с почти двумя годами для законных сетей.
IP-адреса злоумышленников были зарегестрированы в разных странах и континентах.
Разработчики рассказали, что одной из проблем при разработке системы было то, что события, которые выглядят как угон IP-адресов, часто могут быть результатом человеческих ошибок. Например, сетевой оператор может использовать BGP для защиты от распределенных атак типа «отказ в обслуживании», когда в их сеть поступает огромное количество трафика. Изменение маршрута — это законный способ остановить атаку, но он выглядит практически идентично фактическому угону.
Из-за этой проблемы команде часто приходилось вручную подключаться для выявления ложных срабатываний, что составляло примерно 20% случаев, определенных их классификатором. Двигаясь вперед, исследователи надеются, что будущие итерации потребуют минимального человеческого контроля и в конечном итоге могут быть внедрены в полноценную рабочую среду.
Стоит отметить, что этот проект системы машинного обучения был поддержан, в частности, Инициативой по исследованию интернет-политики Массачусетского технологического института, Фондом Уильяма и Флоры Хьюлетт, Национальным научным фондом, Департаментом внутренней безопасности и Исследовательской лабораторией ВВС.
Мы в Google+, Facebook
Пишите нам на we@tomorrowtoday.ru
Сайт разработан в Lea.BY