Làm thế nào các nhà nghiên cứu MIT sử dụng học máy để phát hiện các vụ tấn công IP trước khi nó xảy ra

0
4

        Mục tiêu là dự đoán trước các sự cố bằng cách truy tìm lại những kẻ không tặc thực sự.
    

        
                                                                                    
                        

                 ] ]
    

     Báo cáo: 23% VPN rò rỉ địa chỉ IP
     Để duyệt ẩn danh, người dùng phải vô hiệu hóa WebRTC, JavaScript và Canvas Rendering, theo Conner Forrest của TechRepublic.
    

    

Internet sử dụng các bảng định tuyến để xác định cách thức và nơi dữ liệu được gửi và nhận. Nếu không có các bảng chính xác và đáng tin cậy, internet sẽ giống như một hệ thống đường cao tốc không có biển báo hoặc tín hiệu để điều hướng giao thông đến đúng nơi. Tất nhiên, tội phạm mạng tìm ra cách để tham nhũng mọi thứ khiến internet hoạt động và định tuyến cũng không ngoại lệ.

Đánh cắp IP, hoặc chiếm quyền điều khiển BGP (Border Gateway Protocol), là một quá trình trong đó tin tặc và tội phạm mạng tiếp quản các nhóm địa chỉ IP bằng cách làm hỏng các bảng định tuyến sử dụng BGP. Mục đích là để chuyển hướng lưu lượng truy cập trên internet công cộng hoặc trên các mạng doanh nghiệp tư nhân đến các mạng riêng của kẻ không tặc, nơi chúng có thể chặn, xem và thậm chí sửa đổi các gói dữ liệu. Như vậy, việc đánh cắp IP đã được sử dụng để gửi thư rác và phần mềm độc hại và đánh cắp Bitcoin. Các nhà nghiên cứu cho biết, việc tấn công IP cũng đã nhắm vào các cá nhân trên mạng gia đình cũng như các tổ chức có mạng riêng và được các quốc gia như Trung Quốc hậu thuẫn,

Việc đánh cắp IP đã bị thách thức. cố gắng tập trung vào việc giải quyết nó trong khi nó đang được tiến hành. Giờ đây, một nhóm các nhà nghiên cứu từ Phòng thí nghiệm Khoa học Máy tính và Trí tuệ Nhân tạo (CSAIL) của MIT và Đại học California San Diego (UCSD) đang phát triển một cách để chống lại các vụ cướp IP trước khi nó xảy ra. Một bài báo nghiên cứu được viết bởi sinh viên tốt nghiệp MIT và tác giả chính của Cecilia Testart, và MIT và nhà khoa học nghiên cứu cao cấp David Clark, cùng với postdoc MIT, nhà khoa học dữ liệu Alistair King, và nhà khoa học nghiên cứu Alberto Dainotti của Trung tâm phân tích dữ liệu internet ứng dụng (CAIDA) của UCSD đã mô tả chi tiết dự án.

XEM: Chính sách ứng phó sự cố (TechRepublic Premium)

Cách ngăn chặn thủ phạm

Với việc chiếm quyền điều khiển IP, tội phạm mạng khai thác điểm yếu bảo mật trong BGP, một giao thức cho phép các mạng và các bộ phận khác nhau của internet liên lạc với nhau để dữ liệu đến đích chính xác. Trong một vụ tấn công IP, các tác nhân xấu có thể thuyết phục các mạng gần đó rằng đường dẫn tốt nhất đến một địa chỉ IP cụ thể là thông qua mạng riêng của họ.

Chìa khóa để ngăn chặn các vụ tấn công IP là theo dõi nó trở lại thủ phạm thực sự trước khi nó xảy ra thay vì khi nó đang diễn ra. Và để làm điều đó, nhóm đang sử dụng một hệ thống máy học mới. Bằng cách phát hiện một số đặc điểm chung của "kẻ tấn công nối tiếp", nhóm đã dạy hệ thống bắt được khoảng 800 mạng đáng ngờ, một số trong đó đã chiếm quyền điều khiển địa chỉ IP trong nhiều năm.

"Các nhà khai thác mạng thường phải xử lý như vậy sự cố phản ứng và trên cơ sở từng trường hợp cụ thể, giúp tội phạm mạng dễ dàng tiếp tục phát triển mạnh, "Testart nói trong một thông cáo báo chí. "Đây là bước đầu tiên quan trọng để có thể làm sáng tỏ hành vi của những kẻ không tặc hàng loạt và chủ động bảo vệ chống lại các cuộc tấn công của chúng."

Những đặc điểm cụ thể của những kẻ không tặc

nhóm đã lấy thông tin từ danh sách gửi thư của nhà điều hành mạng và từ dữ liệu BGP lịch sử được lấy cứ năm phút từ bảng định tuyến toàn cầu. Bằng cách phân tích thông tin đó, họ có thể phát hiện các đặc điểm cụ thể của những kẻ không tặc và sau đó huấn luyện hệ thống của chúng để tự động xác định các đặc điểm đó.

Cụ thể, hệ thống máy học đã gắn thẻ các mạng với ba đặc điểm chính về các khối IP địa chỉ họ sử dụng:

  1. Những thay đổi dễ bay hơi trong hoạt động . Các khối địa chỉ được sử dụng bởi những kẻ không tặc dường như biến mất nhanh hơn so với những địa chỉ được sử dụng bởi các mạng hợp pháp. Trung bình, các địa chỉ được sử dụng bởi những tên không tặc đã biến mất sau 50 ngày, so với hai năm đối với các địa chỉ hợp pháp.
  2. Nhiều khối địa chỉ . Những kẻ tấn công IP nối tiếp thường quảng cáo nhiều khối địa chỉ IP hoặc tiền tố mạng. Số trung vị là 41 so với 23 đối với các mạng hợp pháp.
  3. Địa chỉ IP ở nhiều quốc gia . Hầu hết các mạng không có địa chỉ IP nước ngoài, trong khi những kẻ tấn công nối tiếp có nhiều khả năng đăng ký địa chỉ ở các quốc gia và lục địa khác.

Một thách thức là một số vụ cướp IP có thể là do lỗi của con người thay vì một cuộc tấn công độc hại. Do đó, nhóm phải xác định thủ công dương tính giả, chiếm khoảng 20% ​​kết quả từ hệ thống. Để cắt giảm công việc thủ công, nhóm nghiên cứu cho biết họ hy vọng rằng các phiên bản tương lai của hệ thống sẽ có thể thực hiện loại hoạt động này mà không cần nhiều sự can thiệp của con người.

Mục tiêu cuối cùng

Mục tiêu cuối cùng là để loại hệ thống máy học này được sử dụng trong môi trường sản xuất thực tế.

"Dự án này có thể bổ sung tốt cho các giải pháp tốt nhất hiện có để ngăn chặn sự lạm dụng đó bao gồm lọc, chống giả mạo, phối hợp thông qua cơ sở dữ liệu liên hệ và chia sẻ các chính sách định tuyến để các mạng khác có thể xác thực nó, "David Plonka, một nhà khoa học nghiên cứu cao cấp tại Akamai Technologies, người không tham gia vào công việc, cho biết trong một thông cáo báo chí. "Vẫn còn phải xem liệu các mạng lưới hoạt động sai sẽ tiếp tục có thể tạo ra một danh tiếng tốt hay không. Nhưng công việc này là một cách tuyệt vời để xác nhận hoặc chuyển hướng những nỗ lực của cộng đồng mạng để chấm dứt những nguy cơ hiện tại."

Testart sẽ trình bày bài báo tại Hội nghị Đo lường Internet ACM ở Amsterdam trong thời gian từ 21 đến 23 tháng 10.

                                                                                

                                                

Cũng xem

 istock-860611418-1.jpg "width =" 770 "/> </span><figcaption>
<p>
                                            Hình ảnh: stevanovicigor, Hình ảnh Getty / iStockphoto<br />
                                        </p>
</figcaption></figure>
</p></div>
</pre>
<div class=