""

澳门太阳城网站-最新注册

  • 从左到右依次为:高级研究科学家大卫·克拉克,研究生塞西莉亚testart和博士后菲利普·里希特

    从左到右依次为:高级研究科学家大卫·克拉克,研究生塞西莉亚testart和博士后菲利普·里希特

    照片:贾森·多尔夫曼,澳门太阳城最新网站CSAIL

    全屏
  • 主要作者塞西莉亚testart,研究生在MIT CSAIL

    主要作者塞西莉亚testart,研究生在MIT CSAIL

    照片:贾森·多尔夫曼,澳门太阳城最新网站CSAIL

    全屏

使用机器学习追剿网络犯罪分子

从左到右依次为:高级研究科学家大卫·克拉克,研究生塞西莉亚testart和博士后菲利普·里希特

从计算机科学和人工智能实验室模型识别互联网的IP地址的“连环劫机者”。


记者联系

亚当·康纳 - 西蒙斯
电子邮件: aconner@csail.mit.edu
电话:617-324-9135
MIT Computer Science & Artificial Intelligence Lab

劫持IP地址是网络攻击的日益流行的形式。这是一系列的原因而作出的,从发送 垃圾邮件恶意软件偷比特币。据估计,仅在2017年,路由事件如IP劫持受影响 超过10% 全球所有的路由域。有过在重大事故 亚马逊谷歌 甚至在民族国家 - 研究去年 建议,中国的电信公司所使用的方法通过中国重新路由他们的互联网流量收集关于西方国家的情报。

现有的努力来检测IP劫持往往看具体的情况,当他们在过程中是已。但如果我们能够通过跟踪的东西回自己劫机者提前预测这些事件?  

这是由MIT的研究人员和加州大学圣地亚哥分校(UCSD)大学开发出一种新的机器学习系统背后的想法。通过照亮一些他们所谓的共同特质的“串行劫机者,”球队训练他们的系统能够识别约800可疑的网络 - 并发现其中一些多年来一直是劫持IP地址。 

“网络运营商通常不得不被动和处理的情况下,逐案这样的事件,很容易使网络犯罪分子将继续蓬勃发展,”主要作者塞西莉亚testart,研究生澳门太阳城最新网站计算机科学和人工智能实验室(CSAIL说)谁将会在阿姆斯特丹ACM互联网测量大会上展示月纸。 23.“这是能够在串行劫机者的行为阐明并主动抵御其攻击的关键的第一步。”

纸张之间的合作 CSAIL中心施加的互联网数据分析 加州大学圣地亚哥分校超级计算机中心。该文件是写的testart和大卫·克拉克,澳门太阳城最新网站的高级研究科学家,澳门太阳城最新网站旁边博士后菲利普·里希特和数据科学家Alistair成为国王以及研究科学家阿尔贝托dainotti加州大学圣地亚哥分校的。

附近的网络的性质

IP劫机者利用在边界网关协议(BGP)的主要缺点,路由机制,基本上可以让网络的不同部分互相交谈。通过BGP,网络交换路由信息,使数据包找到自己的正确的目的地的方式。 

在BGP劫持,恶意演员说服附近的网络,最好的路径到达一个特定的IP地址是通过他们的网络。这是不幸的是没有很难做到,因为BGP本身并没有用于验证的消息实际上是由它说,它来自的地方未来的任何安全程序。

“这就像电话,你知道你最近的邻居是谁的游戏,但你不知道邻居5年或10节点离开,说:” testart。

1998年美国参议院的第一次听证会的网络安全功能一队黑客谁声称,他们可以利用IP劫持取下来的网络中 在30分钟。 dainotti说,超过20年后,由于缺乏在BGP的安全机制的部署仍然是一个严重的问题。

更好地查明连续攻击,第一组从拉好几年的价值网络运营商的邮件列表,以及历史数据的BGP每五分钟从全球路由表中获取的数据。从,他们观察到恶意行动者的特殊性质,然后训练机器学习模型来自动地识别这样的行为。

系统标记的网络,有几个关键特性,特别是关于他们所使用的IP地址的特定块的性质:

  • 在活动的波动变化: 劫机者的地址块似乎消失比那些合法的网络快得多。已标记的网络的前缀的平均持续时间在50天,而近两年来为合法的网络。
  • 多个地址块: 串行劫持者往往做广告的IP地址,也被称为有更多的块“的网络前缀。”
  • 在多个国家的IP地址: 大多数网络没有对外的IP地址。与此相反,对于串行劫机者标榜他们有网络,他们更可能在不同的国家和大洲进行注册。

识别误报

testart说,在开发系统中的一个挑战是,看起来像IP劫持事件往往是人为错误或其他合法的结果。例如,网络运营商可以使用BGP来抵御分布式拒绝服务攻击中,有大量流量将他们的网络。修改路线是关闭攻击一个合法的方式,但它看起来几乎相同的实际劫持。

因为这个问题,球队经常不得不手动跳识别假阳性,占被他们分类标识的情况下,大约20%。前进中,研究人员希望,未来的迭代将需要最少的人力监管,最终可能会在生产环境中部署。

“作者的研究结果表明,过去的行为显然不是用来限制不良行为,防止后续的攻击,”大卫plonka,在谁没有参与工作Akamai Technologies公司的高级研究科学家。 “这项工作的一个含义是,网络运营商可以退一步,检查全球互联网路由跨越年,而不是只短视地专注于个别事件。”

As people increasingly rely on the 互联网 for critical transactions, Testart says that she expects IP hijacking’s potential for damage 至 only get worse. But she is also hopeful that it could be made more difficult by new security measures. In particular, large backbone netw要么ks such as AT&T have 最近公布 通过资源公钥基础设施(RPKI),它使用的加密证书,以确保网络只宣布其合法IP地址的机制。 

“这个项目可以很好地补充了现有的最佳解决方案,以防止这种虐待,其中包括过滤,反欺骗,通过接触数据库的协调和共享路由策略,使其他网络能够验证它,说:” plonka。 “这还有待观察是否行为不端的网络将继续能够把自己的游戏方式,以良好的口碑。但这项工作是为了验证或者重定向网络运营商社会努力制止目前这些危险的好方法。”

该项目得到了支持,部分由澳门太阳城最新网站的互联网政策研究倡议,威廉和弗洛拉·休利特基金会,美国国家科学基金会,美国国土安全部和空军研究实验室。


主题: 研究, 机器学习, 人工智能, 互联网, 工程学院, Electrical Engineering & Computer Science (eecs), 计算机科学与技术, 数据, 美国国家科学基金会(NSF), 网络安全

回到顶部