劫持IP地址是一种越来越流行的网络攻击形式。这样做的原因有很多，从发送垃圾邮件和恶意软件到窃取比特币。据估计，仅在2017年，IP劫持之类的路由事件就影响了全球所有路由域的10%以上。亚马逊和谷歌甚至在民族国家都发生了重大事件-去年的一项研究表明，一家中国电信公司通过重新路由其在中国的互联网流量，使用该方法收集有关西方国家的情报。

现有的检测IP劫持的工作往往会着眼于特定情况，例如它们已经处于处理之中。但是，如果我们可以通过追溯劫机者本身来提前预测这些事件呢?

这就是由麻省理工学院和加利福尼亚大学圣地亚哥分校(UCSD)的研究人员开发的新型机器学习系统的思想。通过阐明他们所谓的“串行劫持者”的一些常见特征，该团队对他们的系统进行了培训，使其能够识别大约800个可疑网络，并发现其中一些已经劫持了IP地址多年。

麻省理工学院计算机科学与人工智能实验室(CSAIL)的主要作者塞西莉亚·泰特(Cecilia Testart)说：“网络运营商通常必须根据具体情况采取应对措施，使网络犯罪分子容易继续continue壮成长。” )，他将在10月23日在阿姆斯特丹举行的ACM Internet测量会议上介绍该论文。“这是能够阐明串行劫机者行为并主动防御其攻击的关键的第一步。”

该文件是CSAIL与UCSD超级计算机中心应用互联网数据分析中心的合作。该论文由Testart和MIT高级研究科学家David Clark以及MIT博士后Philipp Richter和数据科学家Alistair King以及UCSD的研究科学家Alberto Dainotti共同撰写。

附近网络的性质

IP劫持者利用了边界网关协议(BGP)中的一个关键缺陷，该协议实质上是一种允许Internet的不同部分相互通信的路由机制。网络通过BGP交换路由信息，以便数据包找到到达正确目的地的方式。

在BGP劫持中，恶意行为者说服附近的网络，到达特定IP地址的最佳路径是通过其网络。不幸的是，这并不是很难做到的，因为BGP本身没有任何安全程序来验证消息实际上是来自其声称的来源。

Testart说：“这就像电话游戏，您可以知道最近的邻居是谁，但您不知道相隔5或10个节点的邻居。”

1998年，美国参议院有史以来第一次网络安全听证会上，有一群黑客声称他们可以使用IP劫持在30分钟内关闭互联网。Dainotti说，二十多年来，BGP中缺乏安全机制的部署仍然是一个严重的问题。

为了更好地查明串行攻击，该小组首先从价值数年的网络运营商邮件列表中提取了数据，以及每隔五分钟从全局路由表中获取的历史BGP数据。由此，他们观察到了恶意行为者的特殊素质，然后训练了机器学习模型来自动识别此类行为。

系统标记的网络具有几个关键特征，特别是在它们使用的IP地址特定块的性质方面：

活动中的变化很大：劫机者的地址块似乎比合法网络的消失快得多。被标记的网络前缀的平均持续时间在50天以内，而合法网络的平均持续时间则为近两年。

多个地址块：串行劫持者倾向于发布更多IP地址块，也称为“网络前缀”。

多个国家/地区的IP地址：大多数网络没有外部IP地址。相反，对于串行劫机者宣传的网络而言，它们更有可能在不同的国家和地区注册。

识别误报

Testart说，开发系统的一个挑战是看起来像IP劫持的事件通常可能是人为错误或其他合法原因的结果。例如，网络运营商可能使用BGP来防御分布式拒绝服务攻击，在这种攻击中，有大量流量流向其网络。修改路由是关闭攻击的合法方法，但它实际上与实际劫持相同。

由于这个问题，团队通常不得不手动跳进去识别误报，这大约占他们分类器识别出的案例的20%。展望未来，研究人员希望未来的迭代将需要最少的人工监督，并最终可以部署在生产环境中。

“作者的结果表明，过去的行为显然没有被用来限制不良行为并防止随后的攻击，” Akamai Technologies的资深研究科学家戴维·庞卡(David Plonka)说。“这项工作的一个含义是，网络运营商可以退后一步，检查多年来的全球Internet路由，而不仅仅是近距离地关注个别事件。”

随着人们越来越依赖Internet进行关键交易，Testart表示，她预计IP劫持的破坏潜力只会越来越严重。但是她也希望通过新的安全措施使其变得更加困难。特别是，像AT&T这样的大型骨干网络最近宣布采用资源公钥基础结构(RPKI)，该机制使用加密证书来确保网络仅宣布其合法IP地址。

“该项目可以很好地补充现有的最佳解决方案，以防止此类滥用，包括过滤，反欺骗，通过联系人数据库进行协调以及共享路由策略，以便其他网络可以对其进行验证，” Plonka说。“行为不端的网络是否将继续发挥作用，以赢得良好声誉还有待观察。但是，这项工作是验证或改变网络运营商社区为杜绝这些当前危险所做的努力的一种好方法。”