Kapning av IP-adresser är en allt mer populär form av cyberattack. Detta görs av olika skäl, från att skicka skräppost och skadlig kod till att stjäla Bitcoin. Det beräknas att bara 2017 routingincidenter som IP -kapningar påverkade mer än 10 procent av världens alla routningsdomäner. Det har inträffat stora incidenter på Amazon och Google och till och med i nationalstater-en studie förra året föreslog att ett kinesiskt telekomföretag använde metoden för att samla in information om västländer genom att omdirigera sin internettrafik genom Kina.

Befintliga ansträngningar för att upptäcka IP -kapningar tenderar att titta på specifika fall när de redan är igång. Men tänk om vi kunde förutse dessa incidenter i förväg genom att spåra saker tillbaka till kaparna själva?

Det är tanken bakom ett nytt maskininlärningssystem som utvecklats av forskare vid MIT och University of California i San Diego (UCSD). Genom att belysa några av de vanliga egenskaperna hos vad de kallar "seriekapare, "laget utbildade sitt system för att kunna identifiera ungefär 800 misstänkta nätverk - och fann att några av dem hade kapat IP -adresser i åratal.

"Nätoperatörer måste normalt hantera sådana incidenter reaktivt och från fall till fall, gör det lätt för cyberbrottslingar att fortsätta att frodas, "säger huvudförfattaren Cecilia Testart, en doktorand vid MIT:s datavetenskap och artificiell intelligenslaboratorium (CSAIL) som kommer att presentera uppsatsen på ACM Internet Measurement Conference i Amsterdam den 23. oktober. "Detta är ett viktigt första steg för att kunna belysa seriekaprarnas beteende och proaktivt försvara sig mot sina attacker. "

Papperet är ett samarbete mellan CSAIL och Center for Applied Internet Data Analysis vid UCSD:s Supercomputer Center. Tidningen skrevs av Testart och David Clark, en senior forskare i MIT, tillsammans med MIT postdoc Philipp Richter och datavetenskaparen Alistair King samt forskare Alberto Dainotti från UCSD.

Typen av närliggande nätverk

IP -kapare utnyttjar en viktig brist i Border Gateway Protocol (BGP), en routingmekanism som i huvudsak tillåter olika delar av internet att prata med varandra. Genom BGP, nätverk utbyter routningsinformation så att datapaket hittar till rätt destination.

I en BGP -kapning, en skadlig aktör övertygar närliggande nätverk om att den bästa vägen för att nå en specifik IP -adress är genom deras nätverk. Det är tyvärr inte särskilt svårt att göra, eftersom BGP själv inte har några säkerhetsprocedurer för att verifiera att ett meddelande faktiskt kommer från den plats där det står att det kommer från.

"Det är som en omgång telefon, där du vet vem din närmaste granne är, men du känner inte grannarna fem eller tio noder bort, "säger Testart.

1998 presenterade den amerikanska senatens första cybersäkerhetsförhandling någonsin ett team av hackare som hävdade att de kunde använda IP-kapning för att ta ner Internet på under 30 minuter. Dainotti säger att mer än 20 år senare, bristen på användning av säkerhetsmekanismer i BGP är fortfarande ett allvarligt problem.

För att bättre identifiera serieattacker, gruppen först hämtade data från flera års värde av e -postlistor för nätoperatörer, samt historisk BGP -data som tas var femte minut från den globala routingtabellen. Från det, de observerade särskilda egenskaper hos onda aktörer och utbildade sedan en maskininlärningsmodell för att automatiskt identifiera sådana beteenden.

Systemet flaggade nätverk som hade flera viktiga egenskaper, särskilt med avseende på karaktären hos de specifika blocken av IP -adresser de använder:

• Flyktiga förändringar i aktivitet:Kapare adressblock verkar försvinna mycket snabbare än legitima nätverks. Den genomsnittliga varaktigheten för ett flaggat nätverks prefix var under 50 dagar, jämfört med nästan två år för legitima nätverk.
• Flera adressblock:Seriekapare tenderar att annonsera många fler block av IP -adresser, även känd som "nätverksprefix".
• IP -adresser i flera länder:De flesta nätverk har inga utländska IP -adresser. I kontrast, för de nätverk som seriekapare annonserade att de hade, de var mycket mer benägna att registreras i olika länder och kontinenter.

Identifiera falska positiva

Testart sa att en utmaning för att utveckla systemet var att händelser som ser ut som IP -kapningar ofta kan vara ett resultat av mänskliga misstag, eller på annat sätt legitimt. Till exempel, en nätoperatör kan använda BGP för att försvara sig mot distribuerade denial-of-service-attacker där det finns enorma mängder trafik som går till deras nätverk. Att ändra rutten är ett legitimt sätt att stänga av attacken, men det ser nästan identiskt ut med en egentlig kapning.

På grund av denna fråga, laget var ofta tvungen att manuellt hoppa in för att identifiera falska positiva, som stod för ungefär 20 procent av fallen som identifierades av deras klassificerare. Går vidare, forskarna hoppas att framtida iterationer kommer att kräva minimal mänsklig övervakning och så småningom kan användas i produktionsmiljöer.

"Författarnas resultat visar att tidigare beteenden uppenbarligen inte används för att begränsa dåligt beteende och förhindra efterföljande attacker, "säger David Plonka, en senior forskare vid Akamai Technologies som inte var inblandad i arbetet. "En konsekvens av detta arbete är att nätoperatörer kan ta ett steg tillbaka och undersöka global Internet -routing över år, snarare än att bara se myopiskt på enskilda incidenter. "

När människor alltmer förlitar sig på Internet för kritiska transaktioner, Testart säger att hon förväntar sig att IP -kapningens potential för skador bara kommer att bli värre. Men hon hoppas också att det kan försvåras av nya säkerhetsåtgärder. Särskilt, stora ryggradsnätverk som AT&T har nyligen tillkännagivit antagandet av infrastruktur för offentliga nycklar (RPKI), en mekanism som använder kryptografiska certifikat för att säkerställa att ett nätverk endast meddelar sina legitima IP -adresser.

"Detta projekt kan fint komplettera de befintliga bästa lösningarna för att förhindra sådant missbruk som inkluderar filtrering, antispoofing, samordning via kontaktdatabaser, och dela routingpolicyer så att andra nätverk kan validera det, "säger Plonka." Det återstår att se om missuppförande nätverk kommer att fortsätta kunna spela sig fram till ett gott rykte. Men det här arbetet är ett bra sätt att antingen validera eller omdirigera nätoperatörsgemenskapens ansträngningar att sätta stopp för dessa nuvarande faror. "

Denna artikel publiceras på nytt med tillstånd av MIT News (web.mit.edu/newsoffice/), en populär webbplats som täcker nyheter om MIT -forskning, innovation och undervisning.