dingyahui 2020-08-12
研究人员说,人工智能可以帮助互联网服务提供商(IPS,internet service providers)提前防御DDoS攻击。
新加坡国立大学和以色列内盖夫本古里安大学的研究结果在同行评审的《计算机与安全》杂志上提出了一种新方法。该方法使用机器学习来检测易受攻击的智能家居设备,这些设备对于通过僵尸网络以发起DDoS攻击的黑客来说是一个有吸引力的目标。
机器学习检测器不会侵犯客户的隐私,并且即使没有受到攻击,也可以查明易受攻击的设备。
检测NAT路由器后面的设备
Ben-Gurion博士和研究小组负责人Yair Meidan对媒体表示:“据我所知,电信公司会监控流量,并且只能在DDoS攻击执行后才能检测到,这可能为时已晚。”
“相比之下,我们的方法提出了一种手段,可以在潜在的易受攻击的物联网设备受到威胁并用于执行此类攻击之前对其进行检测。
“一旦检测到这些潜在有害的设备,便可以采取减轻风险的措施。”
众所周知,智能监控摄像头、智能灯泡、智能冰箱和智能婴儿监视器等家用物联网设备因安全性差而著称,经常被用于DDoS攻击。
同时,大多数客户不具备保护其智能家居设备或监控其网络中是否存在受感染设备的技术知识和技能。这将检测易受攻击的物联网设备的负担放在了ISP的肩上。
Meidan说,该项目的想法源自一家电信公司,由于与物联网相关的DDoS攻击,该公司的基础设施面临严重风险,尽管他没有透露公司名称。
检测易受攻击的智能家居设备的主要挑战之一是,它们被隐藏在网络地址转换(NAT,network address translation)路由器后面,并在家庭网络外部共享公用IP地址,这使电信公司很难区分它们。
一种解决方法是使用深度数据包检查(DPI,deep packet inspection)。但是DPI在计算上既昂贵又使ISP客户的私人通信面临风险。
而且,由于大多数互联网流量已被加密,因此除非电信公司采取更多侵入隐私的方法,例如在客户的家庭网络内部安装监视设备,否则DPI几乎变得不可能。
Ben-Gurion和新加坡国立大学的研究人员没有使用包检查,而是使用有监督的机器学习,通过对路由器的出站流量进行统计分析来识别NAT设备。
训练和部署机器学习模型
所提出的方法使用CVE和NVD列表作为易受攻击的家庭IoT设备的来源。要创建检测器,电信公司必须建立一个实验室家庭网络,在其中安装各种IoT和非IoT设备。该网络还包括易受攻击的物联网设备的实例。
在从路由器收集的NetFlow数据上训练了机器学习检测器,以检测易受攻击的IoT设备的已知模式。
简而言之,检测器将查看路由器的传出流量,并让您知道其背后是否存在已知类型的易受攻击的IoT设备。
该模型针对正常的网络流量进行了训练,这意味着即使它们没有受到攻击并且没有进行恶意活动,它也可以检测到易受攻击的设备。
图-人工智能可用于帮助防御DDoS攻击
设置实验室和训练机器学习模型将使电信公司花费数千美元。 Meidan指出,但是成本大大低于DDoS攻击的后果。
“这种攻击很可能会导致互联网服务中断,这可能会导致客户流失,并从越来越重要的QoE(体验质量)衡量标准上对电信公司的声誉及其与其他电信公司竞争的能力造成长期损害。 。”
Meidan说,为削减成本,电信公司可以“在较小但有效的IoT模型子集上训练其检测器,即发现易受僵尸网络感染并具有最大安装基础的特定IoT模型”,
经过训练的检测器模型可以在Raspberry Pi等低成本计算机上运行,该计算机可以实现分散式部署模型,在该模型中,本地检测器将安装在客户的家庭路由器与光网络终端之间。
识别出易受攻击的设备后,电信公司可以重新路由流量,应用虚拟补丁或通知客户采取适当措施。