机器学习分类器可以在串行劫机者罢工之前发现它们 | 智能技术

发布日期:2019-10-29 10:00
串行劫持者通常会窃取IP地址以窃取数据并发起攻击。 额外树分类器可以更快地识别出这些黑客。



如果每次必须将敏感信息发送到某个地方时,您依靠一群玩电话游戏的人将该信息传递到需要去的地方,您会感觉如何? 听起来像一个可怕的主意,对吧?因为这就是互联网的工作方式。

数据使用边界网关协议(BGP)通过Internet的各种隐喻管道进行路由。 互联网上传输的任何数据都需要网络和路由器的物理路径才能从A到B。BGP是一种通过这些路径移动信息的协议,尽管不利之处在于,就像电话游戏中的人一样,每个结点路上的人只知道他们的直系邻居告诉了他们什么。

由于路线中的特定路口仅知道其传输的数据来自何处以及下一步要去往何处,因此某人介入并转移数据相对容易。 在这些特定的结点,自治系统建立BGP连接。 就像一个聚会警察故意通过窃窃私语来破坏电话游戏,而这种窃听与告诉他们的完全不一样,黑客可以潜在地插入自己的自治系统来重新路由信息。 最严重的犯罪者是串行劫持者,他们反复将数据转移到掠夺信息或启用分布式拒绝服务(DDOS)攻击。 1998年,几位黑客向美国国会作证说,可以通过部署BGP黑客在30分钟内关闭专门的黑客的互联网。

从历史上看,连续的劫机者很难阻止。 最近的一个例子是葡萄牙网络托管公司Bitcanal,它花费了数年的时间来协助串行劫持者进行攻击。 合法服务提供商花费了多年的努力才能关闭Bitcanal,与此同时,许多其他串行劫持者仍在网上漫游。 更糟糕的是,顾名思义,连环劫机者必须发动多次攻击,才能清楚地表明自己是恶意行为者。

麻省理工学院计算机科学与人工智能实验室(CSAIL)的研究生塞西莉亚·特斯塔特(Cecilia Testart)说:“ BGP(黑客入侵)是一种嗅探流量或窃取流量的方法。” “鉴于Internet变得越来越重要,我们应该尝试防止这些攻击。”

他说:“我们一直非常关注产品的交付,而我认为Rethink过早地关注应用程序,他们给公司增加了一定程度的复杂性,使公司变得非常不专注。”

Testart是CSAIL和应用互联网数据分析中心(CAIDA)的一组研究人员今天发表的论文的主要作者[PDF]。 他们提出,可以使用机器学习来主动阻止串行劫持者发动自己的狂喜活动。 研究人员建议,串行劫机者表现出一些特征,使其与普通网络提供商相比脱颖而出。 他们表明,机器学习比仅在多次攻击后才识别出串行劫机者的标准方法更快地嗅出串行劫机者。

联合团队使用了一种机器学习技术,称为极端随机树(extra-trees)分类器。在使用分类器进行的测试中,分类器将19,103个自治系统中的934个标记为潜在的串行劫持者。

您可以将多余的树分类器想象成是在生长一棵树的森林,其中每棵树都代表基于可用信息的随机子集的信任票(例如,某人是否是串行劫持者)。

最终的森林代表了共识。如果大多数树已经根据可用的有限信息决定某人是串行劫持者,那么您很可能会手头劫持。

Testart说,额外的树分类器和其他森林分类器对一组训练数据的偏向与深度学习等机器学习技术可能不一样。由于已知串行劫持者的可用数据非常小,因此深度学习技术可能偏向于仅查找与已知攻击者最相似的那些,而忽略可能相差更大的那些。

当然,要让单个树木投票,他们需要知道他们想要的东西。研究小组确定了串行劫持者与通常路由Internet流量的真实网络提供商不同的几种方式。例如,真实的提供商在向实际客户提供Internet服务时,往往会更一致地在线。另一方面,串行劫持者只有在掠过数据时才会在线。

串行劫持者通常还具有更多不同的Internet协议(IP)块-基本上是Internet的街道地址。 Testart解释说,像MIT这样的机构通常会使用其连续的IP地址块。但是,劫机者往往会从其他用户那里取消使用小型IP地址字符串。因此,一个选择了IP块的用户很可能是串行劫持者。

这些规则并非一成不变。 Testart指出,有时合法的网络提供商可能会下线,例如,在地震或停电期间。错误的手指错误也可能导致错别字和配置错误,乍一看会使合法提供者看起来可疑。

Testart说,到目前为止,研究小组已发表的工作还有很多工作要做。她建议,像小组开发的树外分类器可以为网络运营商提供某种声誉评分,以便串行劫机者在从事违法行为时会发现其声誉迅速下降。

另一个选择是更新BGP,并将电话游戏转变为更安全的方式。但是Testart认为不可能。她说:“互联网是一个巨大的网络。” “它在许多年前建立的基础架构上运行。想象一下,试图让世界上的每个网络提供商都同意更改协议是一件令人头疼的事,仅是构建一个可以侦听串行劫持者的工具就容易得多。