麻省理工学院 (MIT) 研究人员运用机器学习模型成功识别 800 个可疑网络，发现边界网关协议 (BGP) “系列” 劫持者，其中一些网络遭劫流量长达数年之久。

该团队向其算法馈送了数年间的信息，包括网络操作列表和历史互联网网关数据，训练出能够识别可疑网络的机器学习模型。

通过路由流量经过其自身网络，黑客可以收集情报或盗取凭证。研究人员正是运用出自全局路由表的数据，识别出标志黑客正在劫持流量的关键特征。其中一个标识就是 IP 地址来自多个国家。正常网络极少会含有外国 IP 地址，但黑客以无国界著称，常使用不同地区的地址。

该机器学习模型专注互联网软件基础设施关键部分——边界网关协议 (BGP)。

BGP 在互联网不同部分之间建立连接，黑客惯于利用此路由机制的漏洞，欺骗附近网络认为发送数据包的最佳路径是流经自己控制下的网络，从而劫持其中流量。

研究人员发现，当黑客试图执行 IP 劫持操作时，他们倾向于使用多个地址块（网络前缀），检测出多个 IP 地址块归属同一个源，就表示有黑客正在尝试劫持。

地址块保持在线的时长是可疑活动的关键指标，因为地址块在合法网络上活跃的平均时长是两年，而恶意地址块平均 50 天就消失不见了。

该研究主要完成人 Cecilia Testart 是 MIT 计算机科学与人工智能实验室 (CSAIL) 的研究生，她在博客中评论道：网络运营商通常都是被动处理此类事件，而且是当成个案逐渐处理的，这就让网络罪犯一直兴盛不衰。

这是曝光系列劫持者行为和主动防御其攻击的重要第一步。

边界网关协议劫持

由于网络运营商和网络安全专家常用 BGP 缓解攻击，该机器学习模型显然称不上完美，需要在人类监督下执行。

举个例子，如果某公司遭受分布式拒绝服务攻击，缓解方式之一就是操作 BGP 将入站攻击流量诱骗至错误的路径上。不幸的是，这种动作与黑客会采取的行为几乎毫无二致，无法区分。

因此，约 20% 的可疑识别都是浪费研究人员时间精力的误报。研究人员希望他们可以将人类监督减少到最低限度，并展望该模型能很快用于生产环境。

阿卡迈技术公司高级研究科学家 David Plonka 对 MIT 的工作给出了独立评价：该项工作表明网络运营商可以回退一步，检查多年来的全球互联网路由，而不仅仅是很短视地关注单个事件。该项目能很好地补充防止此类滥用的现有最佳解决方案，包括过滤、反欺骗、通过联系数据库协同，以及共享路由策略以供其他网络验证等。

恶意网络还能不能继续蒙混过关尚有待观察。但这项研究确实有利于验证或重新定向网络运营商终结当前危险的工作。

Cecilia Testart 博客评论：

https://news.mit.edu/2019/using-machine-learning-hunt-down-cybercriminals-1009