Utiliser l’apprentissage machine pour traquer les cybercriminels
Le détournement d’adresses IP est une forme de cyber-attaque de plus en plus populaire. Ceci est fait pour une série de raisons, allant de l’envoi courrier indésirable et maliciel jusqu’à Voler de l’héroïne. On estime qu’en 2017 seulement, les incidents de routage tels que les détournements d’IP ont affecté plus de 10 pour cent de tous les domaines de routage du monde. Il y a eu des incidents majeurs à Amazone et Google et même dans les États-nations. une étude l’année dernière a suggéré qu’une entreprise de télécommunications chinoise utilise cette approche pour recueillir des renseignements sur les pays occidentaux en réacheminant leur trafic Internet par la Chine.
Les efforts actuels visant à détecter les détournements de PI ont tendance à porter sur des cas précis lorsqu’ils sont déjà en cours de traitement. Mais que se passerait-il si nous pouvions prédire ces incidents à l’avance en remontant jusqu’aux pirates de l’air eux-mêmes ?
C’est l’idée d’un nouveau système d’apprentissage machine développé par des chercheurs du MIT et de l’Université de Californie à San Diego (UCSD). En mettant en lumière certaines des qualités communes de ce qu’ils appellent les « pirates de l’air en série », les membres de l’équipe ont formé leur système pour pouvoir identifier environ 800 réseaux suspects – et ont constaté que certains d’entre eux avaient piraté des adresses IP pendant des années.
« Les opérateurs de réseaux doivent normalement gérer de tels incidents de manière réactive et au cas par cas, ce qui permet aux cybercriminels de continuer à prospérer », explique Cecilia Testart, étudiante diplômée au laboratoire d’informatique et d’intelligence artificielle (CSAIL) du MIT qui présentera son article à la conférence ACM Internet Measurement à Amsterdam le 23 octobre. « C’est une première étape clé pour faire la lumière sur le comportement des pirates de l’air et se défendre de manière proactive contre leurs attaques. »
Le document est le fruit d’une collaboration entre CSAIL et le Centre d’analyse appliquée des données Internet au Supercomputer Center de l’UCSD. L’article a été rédigé par Testart et David Clark, un chercheur scientifique principal du MIT, aux côtés de Philipp Richter et Alistair King, chercheurs post-doctoraux du MIT, ainsi que d’Alberto Dainotti, chercheur scientifique de l’UCSD.
La nature des réseaux de proximité
Les pirates de l’IP exploitent une lacune importante du Border Gateway Protocol (BGP), un mécanisme de routage qui permet essentiellement à différentes parties de l’Internet de communiquer entre elles. Grâce à BGP, les réseaux échangent des informations de routage afin que les paquets de données trouvent leur chemin vers la bonne destination.
Dans un détournement BGP, un acteur malveillant convainc les réseaux voisins que le meilleur moyen d’atteindre une adresse IP spécifique est de passer par leur réseau. Ce n’est malheureusement pas très difficile à faire, puisque BGP lui-même n’a pas de procédures de sécurité pour valider qu’un message vient bien de l’endroit d’où il dit venir.
« C’est comme un jeu de téléphone, où vous savez qui est votre voisin le plus proche, mais vous ne connaissez pas les voisins à cinq ou dix nœuds de distance « , dit Testart.
En 1998, lors de la toute première audience du Sénat américain sur la cybersécurité, une équipe de pirates informatiques a affirmé qu’ils pouvaient utiliser le piratage de la propriété intellectuelle pour faire tomber Internet dans le chaos. moins de 30 minutes. Dainotti dit que, plus de 20 ans plus tard, le manque de déploiement des mécanismes de sécurité dans BGP est toujours une grave préoccupation.
Pour mieux identifier les attaques en série, le groupe a d’abord extrait les données de plusieurs années de listes de diffusion des opérateurs réseau, ainsi que les données BGP historiques prises toutes les cinq minutes depuis la table de routage globale. A partir de là, ils ont observé les qualités particulières des acteurs malveillants et ont ensuite formé un modèle d’apprentissage machine pour identifier automatiquement de tels comportements.
Le système signalait les réseaux qui présentaient plusieurs caractéristiques clés, notamment en ce qui concerne la nature des blocs spécifiques d’adresses IP qu’ils utilisent :
- Changements volatils dans l’activité: Les blocs d’adresses des pirates de l’air semblent disparaître beaucoup plus rapidement que ceux des réseaux légitimes. La durée moyenne du préfixe d’un réseau sous pavillon était inférieure à 50 jours, contre près de deux ans pour les réseaux légitimes.
- Blocs d’adresses multiples: Les pirates de l’air en série ont tendance à annoncer beaucoup plus de blocs d’adresses IP, également connus sous le nom de « préfixes de réseau ».
- Adresses IP dans plusieurs pays : La plupart des réseaux n’ont pas d’adresses IP étrangères. En revanche, pour les réseaux dont les pirates de l’air en série ont fait la publicité, ils étaient beaucoup plus susceptibles d’être enregistrés dans différents pays et continents.
Identifier les faux positifs
Selon M. Testart, l’un des défis que pose le développement du système est que les événements qui ressemblent à des détournements de propriété intellectuelle peuvent souvent être le résultat d’une erreur humaine ou être autrement légitimes. Par exemple, un opérateur de réseau peut utiliser BGP pour se défendre contre les attaques par déni de service distribué dans lesquelles il y a d’énormes quantités de trafic vers son réseau. Modifier l’itinéraire est un moyen légitime d’arrêter l’attaque, mais il semble pratiquement identique à un détournement réel.
En raison de ce problème, l’équipe a souvent dû intervenir manuellement pour identifier les faux positifs, qui représentaient environ 20 % des cas identifiés par son classificateur. À l’avenir, les chercheurs espèrent que les futures itérations nécessiteront un minimum de supervision humaine et pourraient éventuellement être déployées dans des environnements de production.
« Les résultats des auteurs montrent que les comportements passés ne sont manifestement pas utilisés pour limiter les mauvais comportements et prévenir les attaques ultérieures « , explique David Plonka, chercheur scientifique senior chez Akamai Technologies qui n’a pas participé aux travaux. « L’une des implications de ce travail est que les opérateurs de réseaux peuvent prendre du recul et examiner le routage global de l’Internet au fil des ans, plutôt que de se concentrer uniquement sur les incidents individuels de manière myope.
Comme les gens dépendent de plus en plus d’Internet pour leurs transactions critiques, Mme Testart s’attend à ce que les risques de détournement de propriété intellectuelle ne fassent qu’empirer. Mais elle espère aussi que de nouvelles mesures de sécurité pourraient rendre les choses plus difficiles. En particulier, les grands réseaux fédérateurs tels que AT&T possèdent a récemment annoncé l’adoption d’une infrastructure à clé publique de ressources (RPKI), un mécanisme qui utilise des certificats cryptographiques pour s’assurer qu’un réseau annonce uniquement ses adresses IP légitimes.
« Ce projet pourrait bien compléter les meilleures solutions existantes pour prévenir de tels abus, notamment le filtrage, l’anti-spoofing, la coordination via des bases de données de contacts et le partage des politiques de routage afin que d’autres réseaux puissent le valider « , explique M. Plonka. « Il reste à voir si les réseaux qui se conduisent mal continueront à se tailler une bonne réputation. Mais ce travail est un excellent moyen de valider ou de réorienter les efforts de la communauté des opérateurs de réseaux pour mettre un terme à ces dangers actuels. »
Le projet a été appuyé, en partie, par le MIT Internet Policy Research Initiative, la William and Flora Hewlett Foundation, la National Science Foundation, le Department of Homeland Security et le Air Force Research Laboratory.