机器学习可能是防止网络攻击的关键
研究人员表示,人工智能可以帮助互联网服务提供商在DDoS 攻击发生之前阻止它们。
新加坡国立大学和以色列内盖夫本古里安大学的研究结果在同行评审期刊《计算机与安全》中提出了一种新方法。
该方法使用机器学习来检测易受攻击的智能家居设备,这对于组装僵尸网络以发起DDoS攻击的黑客来说是一个有吸引力的目标。
机器学习检测器不会侵犯客户的隐私,即使它们没有受到损害,也可以查明易受攻击的设备。
检测 NAT 路由器后面的设备
“据我所知,电信公司监控流量,只有在执行后才能检测到 DDoS 攻击,这可能为时已晚,”Ben-Gurion 的博士生和研究团队负责人 Yair Meidan 告诉The Daily Swig。
“相比之下,我们的方法提出了在潜在易受攻击的物联网设备受到威胁并被用于执行此类攻击之前对其进行检测的方法。
“一旦检测到这些可能有害的设备,就可以采取降低风险的措施。”
智能安全摄像头、灯泡、冰箱和婴儿监视器等家庭物联网设备以安全性差而闻名,并且经常用于 DDoS 攻击。
与此同时,大多数客户没有技术知识和意识来保护他们的智能家居设备或监控他们的网络是否有被入侵的设备。这将检测易受攻击的物联网设备的负担推到了 ISP 的肩上。
Meidan 表示,该项目的想法源自一家电信公司(电信提供商),该公司因物联网相关的 DDoS 攻击而面临严重的基础设施风险,但他没有透露该公司的名字。
检测易受攻击的智能家居设备的主要挑战之一是它们隐藏在网络地址转换 (NAT) 路由器后面,并在家庭网络之外共享一个公共 IP 地址,这使得电信公司很难将它们区分开来。
一种解决方法是使用深度数据包检测(DPI)。但是 DPI 的计算成本很高,而且会使 ISP 客户的私人通信面临风险。
由于大多数互联网流量都被加密,除非电信公司采取更多侵犯隐私的方法,例如在客户的家庭网络中安装监控设备,否则 DPI 几乎不可能实现。
Ben-Gurion 和新加坡国立大学的研究人员没有进行数据包检查,而是使用受监督的机器学习,通过对路由器的出站流量进行统计分析来识别 NAT 设备。
训练和部署机器学习模型
所提出的方法使用 CVE 和 NVD 列表作为易受攻击的家庭物联网设备的来源。要创建探测器,电信公司必须建立一个实验室家庭网络,在其中安装各种物联网和非物联网设备。该网络还包括易受攻击的物联网设备实例。
机器学习检测器根据从路由器收集的 NetFlow 数据进行训练,以检测易受攻击的物联网设备的已知模式。
简而言之,检测器将查看路由器的传出流量,并让您知道其背后是否存在已知类型的易受攻击的物联网设备。
该模型是针对正常网络流量进行训练的,这意味着它可以检测到易受攻击的设备,即使这些设备没有受到威胁并且没有参与恶意活动。
建立实验室和训练机器学习模型将花费电信公司数千美元。但美丹指出,其成本远低于 DDoS 攻击的后果。
“此类攻击可能会导致互联网服务停机,这可能会转化为客户流失,并长期损害电信公司的声誉及其在日益重要的 QoE(体验质量)衡量标准方面与其他电信公司竞争的能力。”
Meidan 说,为了降低成本,电信公司可以“在一个小而有效的物联网模型子集上训练他们的检测器,即容易受到僵尸网络感染并拥有最大安装基数的特定物联网模型”,
经过训练的探测器模型可以在低成本计算机上运行,例如 Raspberry Pi,这允许分散部署模型,其中本地探测器安装在客户的家庭路由器和光网络终端之间。
一旦识别出易受攻击的设备,电信公司就可以重新路由流量、应用虚拟补丁或通知客户采取适当的措施。
“我们计划将评估范围扩大到来自不同制造商的更多种类的物联网模型,并评估该方法对对抗性攻击的弹性,”Meidan 说,并补充说研究人员正在考虑将他们的工作从智能家居设备扩展到其他领域。方法可能是可行和有益的。
