Wie MIT-Forscher maschinelles Lernen nutzen, um IP-Entführungen zu erkennen, bevor sie auftreten

Bericht: 23% der VPNs verlieren IP-Adressen Um anonym zu surfen, müssen Benutzer WebRTC, JavaScript und Canvas Rendering deaktivieren, sagt Conner Forrest von TechRepublic.

Das Internet verwendet Routing-Tabellen, um zu bestimmen, wie und wohin Daten gesendet und empfangen werden. Ohne genaue und zuverlässige Tabellen wäre das Internet wie ein Autobahnsystem ohne Schilder oder Signale, um den Verkehr an die richtigen Stellen zu lenken. Natürlich finden Cyberkriminelle einen Weg, fast alles zu korrumpieren, was das Internet zum Funktionieren bringt, und Routing ist keine Ausnahme.

IP-Hijacking oder BGP-Hijacking (Border Gateway Protocol) ist ein Prozess, bei dem Hacker und Cyberkriminelle Gruppen von IP-Adressen übernehmen, indem sie die Routing-Tabellen beschädigen, die BGP verwenden. Der Zweck besteht darin, den Datenverkehr im öffentlichen Internet oder in privaten Unternehmensnetzwerken auf die eigenen Netzwerke der Entführer umzuleiten, in denen sie die Datenpakete abfangen, anzeigen und sogar ändern können. Daher wurde IP-Hijacking verwendet, um Spam und Malware zu senden und Bitcoin zu stehlen. IP-Hijacking richtete sich auch an Einzelpersonen in Heimnetzwerken sowie an Organisationen mit privaten Netzwerken und wurde laut Forschern von Nationalstaaten wie China unterstützt.

Die Verhinderung von IP-Hijacking war eine Herausforderung, da sich die meisten Versuche darauf konzentrieren, das Problem zu lösen, während es läuft. Jetzt entwickelt ein Forscherteam des MIT-Labors für Informatik und künstliche Intelligenz (CSAIL) und der Universität von Kalifornien in San Diego (UCSD) einen Weg, um IP-Entführungen zu bekämpfen, bevor sie auftreten. Eine Forschungsarbeit, die von der MIT-Doktorandin und Hauptautorin Cecilia Testart und dem MIT und dem leitenden Forschungswissenschaftler David Clark zusammen mit dem MIT-Postdoc Philipp Richter, dem Datenwissenschaftler Alistair King und dem Forschungswissenschaftler Alberto Dainotti vom UCSD-Zentrum für angewandte Internetdatenanalyse (CAIDA) verfasst wurde. beschrieb das Projekt im Detail.

Wie man Täter aufhält

Beim IP-Hijacking nutzen Cyberkriminelle eine Sicherheitslücke in BGP aus, einem Protokoll, mit dem verschiedene Netzwerke und Teile des Internets miteinander kommunizieren können, damit die Daten das richtige Ziel erreichen. Bei einem IP-Hijack können die schlechten Akteure in der Nähe befindliche Netzwerke davon überzeugen, dass der beste Weg zu einer bestimmten IP-Adresse über ihr eigenes Netzwerk führt.

Der Schlüssel zum Stoppen eines IP-Hijacking besteht darin, ihn auf die tatsächlichen Täter zurückzuführen, bevor dies geschieht, und nicht, wenn er bereits ausgeführt wird. Dazu setzt das Team ein neues maschinelles Lernsystem ein. Durch das Erkennen einiger der häufigsten Merkmale von "seriellen Entführern" brachte das Team dem System bei, rund 800 verdächtige Netzwerke abzufangen, von denen einige jahrelang IP-Adressen entführt hatten.

"Netzbetreiber müssen solche Vorfälle normalerweise reaktiv und von Fall zu Fall behandeln, damit Cyberkriminelle weiterhin erfolgreich sein können", sagte Testart in einer Pressemitteilung. "Dies ist ein wichtiger erster Schritt, um das Verhalten von Serienentführern zu beleuchten und sich proaktiv gegen ihre Angriffe zu verteidigen."

Spezifische Merkmale von Entführern

Um serielle IP-Hijackings zu ermitteln, holte das Team Informationen aus Mailinglisten der Netzbetreibern und aus historischen BGP-Daten, die alle fünf Minuten aus der globalen Routing-Tabelle entnommen wurden. Durch die Analyse dieser Informationen konnten sie bestimmte Merkmale von Entführern erkennen und dann ihr System trainieren, um diese Merkmale automatisch zu identifizieren.

Insbesondere hat das maschinelle Lernsystem Netzwerke mit drei Schlüsselmerkmalen in Bezug auf die von ihnen verwendeten IP-Adressblöcke versehen:

  1. Flüchtige Aktivitätsänderungen . Die von Entführern verwendeten Adressblöcke scheinen schneller zu verschwinden als die von legitimen Netzwerken verwendeten. Im Durchschnitt verschwanden die von Entführern verwendeten Adressen nach 50 Tagen, verglichen mit zwei Jahren für legitime Adressen.
  2. Mehrere Adressblöcke . Serielle IP-Hijacker kündigen häufig mehr IP-Adressblöcke oder Netzwerkpräfixe an. Die mittlere Zahl betrug 41 im Vergleich zu 23 für legitime Netzwerke.
  3. IP-Adressen in mehreren Ländern . Die meisten Netzwerke haben keine ausländischen IP-Adressen, während serielle Hijacker eher Adressen in anderen Ländern und Kontinenten registrieren.

Eine Herausforderung besteht darin, dass einige IP-Entführungen eher auf menschliches Versagen als auf einen böswilligen Angriff zurückzuführen sind. Infolgedessen musste das Team manuell falsch positive Ergebnisse identifizieren, was rund 20% der Ergebnisse des Systems ausmachte. Um die manuelle Arbeit zu reduzieren, hofft das Team, dass zukünftige Versionen des Systems diese Art von Aktivität ohne so viel menschliches Eingreifen übernehmen können.

Ultimatives Ziel

Das ultimative Ziel ist, dass diese Art von maschinellem Lernsystem in tatsächlichen Produktionsumgebungen verwendet wird.

"Dieses Projekt könnte die bestehenden besten Lösungen zur Verhinderung eines solchen Missbrauchs, einschließlich Filterung, Anti-Spoofing, Koordination über Kontaktdatenbanken und gemeinsame Routing-Richtlinien, gut ergänzen, damit andere Netzwerke es validieren können", so David Plonka, Senior Research Scientist bei Akamai Technologies Wer nicht an der Arbeit beteiligt war, sagte in einer Pressemitteilung. "Es bleibt abzuwarten, ob sich schlecht benehmende Netzwerke weiterhin zu einem guten Ruf durchsetzen können. Diese Arbeit ist jedoch eine hervorragende Möglichkeit, die Bemühungen der Netzbetreibergemeinschaft, diese gegenwärtigen Gefahren zu beenden, entweder zu validieren oder umzuleiten."

Testart wird das Papier vom 21. bis 23. Oktober auf der ACM Internet Measurement Conference in Amsterdam vorstellen.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2020 | mobilegn.com