Взлом IP-адресов — крайне популярная форма киберпреступлений. Это делается по нескольким причинам — от распространения спама и вирусов до кражи биткойнов. Только за 2017 год от таких инцидентов пострадали около 10% маршрутных доменов.
Защитные меры по предотвращению перехватов IP обычно предпринимаются, когда атака уже совершается. Но что если эти события можно было бы предсказать и отследить самих злоумышленников? Эта идея легла в основу разработанной специалистами MIT и Калифорнийского университета в Сан-Диего системы машинного обучения.
Проанализировав качества, присущие тем, кого они называли «серийными взломщиками», команда натренировала свою систему идентифицировать примерно 800 подозрительных сетей — и обнаружила, что в некоторых из них IP-адреса были взломаны несколько лет назад, пишет MIT News.
Для передачи данных между различными шлюзами используется динамический протокол маршрутизации (BGP). К несчастью, у него есть два главных недостатка: отсутствует аутентификация маршрутов и базовая верификация источника. Это делает BGP доступным для хакерских атак.
Предоставив алгоритму данные о прошлых атаках, разработчики обучили модель идентифицировать ключевые характеристики — например, быстрые изменения активности или множественные блокировки адресов.
Блокировки взломщиков обычно исчезают быстрее, чем у легитимных сетей, к тому же преступники намного чаще действуют через сети, зарегистрированные в других странах и континентах.
Работа команды MIT и их коллег — первый шаг в направлении автоматизации противодействия киберпреступлениям и профилактики хакерских атак. Она будет представлена на Международной конференции в Амстердаме в октябре. Список подозрительных сетей выложен на GitHub.
Вычислять преступника до совершения кражи учится и алгоритм стартапа Standard Cognition из Сан-Франциско. Магазинного вора можно узнать по положению тела, направлению взгляда и другим параметрам. Система оповещает охранника, и тот следит за подозрительным посетителем.