在互联网中,自治系统(AS)是一个小单元,有权自主决定系统中应该使用哪种路由协议。这个网络单元可以是一个简单的网络,也可以是一个或多个普通网络管理员控制的网络组。它是单个可管理的网络单元(如大学、企业或公司)个体)。一个自治系统有时被称为路由域(routingdomain)。一个自治系统会分配一个全球唯一的编号,有时我们称这个编号为自治系统编号(ASN)。通过自治系统编号(ASN)预测攻击的可能性基于以下七方面的考虑:1.利用Akamai(一家网络安全公司)对互联网趋势和活动的广泛了解,Akamai研究人员一直在分析自治系统编号(ASN))来评估大众互联网的风险。2.ASN包含ISP、云计算公司、跨国公司和小型组织的托管IP地址池。3.这些ASN的各种特征,包括它们的注册地点、提供商类型以及管理ASN中IP使用的政策,可能会影响发现攻击者使用这些ASN中的IP的可能性。4.了解ASN的恶意性可以让安全从业者对任何给定IP的风险做出更明智的预测,即使它不是已知威胁。5.恶意ASN更有可能包含用于托管钓鱼网站、恶意文件、僵尸网络和扫描程序的IP。“可能是恶意的”ASN表示遇到恶意IP的概率是七分之一或更高。6.流量分析表明,“可能是恶意的”ASN占所有在线IPv4地址的不到2%,但它们接收的互联网流量却超过5%。7.此外,“潜在恶意”类别的ASN占互联网上所有IPv4地址的比例不到5%,但它们接收的互联网流量却超过18%,这表明恶意和合法流量可以由同一个ASN提供服务服务。IP智能有很多用途:例如,在防火墙或DNS查找后进行阻止。基于IP预先确定通过/不通过的能力是一项重要的防御措施。Akamai安全研究人员利用Akamai对在线流量的广泛可见性来创建在线ASN的综合地图,以评估ASN中出现恶意地址的可能性。在本文中,我们将仔细研究ASN及其对风险评估的可能影响。我们还将检查恶意ASN等。风险评估状态由于动态IP、CDN和托管服务,基于IP的阻止可能非常危险。个人和组织可能会受到不同程度的影响。例如,错误地屏蔽社交媒体网站的IP可能只会让员工感到不知所措并干扰正常工作。在更大范围内,从CDN或托管服务中阻止单个IP可能会导致阻止数以千计的网站。我们以白名单的形式提供保护以避免这些边缘情况,但重要的是要注意某些用例可能会优先考虑更广泛的威胁保护而不是误报。综上所述,这种策略的弊端太大了。但是,Akamai可以通过海量数据输入来解决上述弊端,例如:AkamaiIntelligentEdgePlatform上基于IP的攻击;每天检测数十亿次DNS查询;每天数十亿次DNS查询的IP流行度;其他形式的内部和第三方情报;多个来源,包含来自数百万IP的正面(合法IP)和负面(恶意IP)证据。我们需要结合这些资源,为每个IP创建一个分数。为此,我们采用贝叶斯方法,其复杂性在于确定每个源的权重。这样做的目的是建立一个更全面的风险评估,同时考虑到不同的来源。分数越高,负面证据越多。分数越低,恶意证据越少,或者正负证据混合。根据应用的不同,可以选择一个阈值来实现误报和真实误报之间的理想平衡。这比典型的基于IP的风险评估更进了一步,在典型的基于IP的风险评估中,了解ASN的力量及其可能产生的影响势在必行。什么是自治系统?简而言之,自治系统是互联网的构建方式。每个AutonomousSystem都对应一个编号,所以我们通常说ASN(AutonomousSystemNumber)。每个ASN都有一个IP池,每个ASN负责在其网络内路由流量,并使用边界网关协议(BGP)通过Internet与其他ASN通信。在本文中,我们只关注IPv4,它包括大约70,000个自治系统。ASN可以用不同的方式分类,以了解它们在Internet上的位置。比如《DescribingtheInternethierarchyfrommultiplevantagepointshttps://ieeexplore.ieee.org/abstract/document/1019307》看BGP表,从业务角度对ASN的作用进行了分类。“UsingDeepLearningtoUncoverRelationshipTypesBetweenAutonomousSystemshttps://ieeexplore.ieee.org/document/9110358”使用深度学习来理解ASN之间的关系类型。要了解ASN背后的组织,我们可以看看“UncoveringtheAutonomousSystemTaxonomy:AMachineLearningApproachhttps://arxiv.org/abs/cs/0604015”,它试图将ASN自动分类为大型ISP、小型ISP、大学、互联网交换点和网络信息中心。最近,在“BGP2Vec:揭示自治系统的潜在特征”https://ieeexplore.ieee.org/abstract/document/9761992中使用了word2Vec样式模型,将ASN分类为应用互联网数据分析中心流量/访问,在内容、教育/研究和企业类别。ASN大小让我们看一下前10个最大ASN的IPv4地址池大小(表1)。最大的ASN归美国国防部网络信息中心所有。名单上的其他公司包括大型ISP、云计算公司和跨国集团。我们排除了ASN0,因为它用于识别不可路由的网络。按IPv4地址池大小划分的前10个最大ASN下图进一步显示了这10个ASN的影响。前10个ASN约占已分配IPv4地址空间的25%。相比之下,只有16%的IPv4地址空间分配给了前1,000个之外的69,000个ASN,因此互联网流量中存在域或IP等ASN的长尾。这是分配给相对较小比例的大量互联网。这是我们在确定有效的ASN风险评估时必须考虑多个数据输入的部分原因。正如您将在本文后面了解到的那样,并非所有ASN生而平等。ASNIPv4地址池大小占总IPv4地址池的百分比地理位置在真正理解ASN方面也起着重要作用。为了详细说明这一点,我们构建了与每个??国家相关的ASN数量与这些ASN的IP池大小的散点图。每个ASN关联的国家和这些ASN的IP池大小在前10个ASN中,美国有6个,在IP总数和ASN总数方面均处于领先地位。紧随美国之后的是:巴西、英国、丹麦、印度和俄罗斯。再向左移动一点,我们可以看到中国、日本和韩国的ASN数量要少得多,但比巴西和俄罗斯等国家要多。鉴于我们所知的前1,000个ASN与其他69,000个之间的差距,在遇到特定国家/地区的IP并为其创建风险评估时可能会遇到一些独特的挑战。例如,对于ASN较少但IP较多的国家/地区,恶意IP更有可能与合法IP在同一ASN中,这意味着仅基于ASN进行阻止时可能更难避免误报。使用AkamaiDNS数据,我们看到所有与中国ASN相关的已解析IP来自383个ASN,而俄罗斯为2311个。因此,阻止ASN对中国和俄罗斯的影响不能以同样的方式进行。例如,在中国屏蔽整个ASN将占用整个互联网部分,而在俄罗斯屏蔽整个ASN将占用更少的资源。这就是为什么我们不能完全避免仅IP风险评估,以及为什么我们在创建接下来讨论的ASN风险评估时必须考虑到这一点。ASN风险评估我们对ASN信誉的定义很简单:ASN的信誉衡量的是该ASN中任何给定的活动IP受到恶意攻击的可能性。为了计算这个概率,我们扩展了贝叶斯方法,如前所述,将每个IP的分数和权重提供给它们所属的ASN。Akamai数据用于估计ASN中活跃IP的数量。当我们为每个ASN聚合多个IP时,我们希望我们的ASN信誉计算能够受益于大数法则,从而计算出最准确的风险评估。例如,如果一个ASN有两个IP,有30%的可能性是恶意的,那么两个IP都是恶意的可能性很大,因此ASN本身可以被评估为不是恶意的。这与具有1000个IP的ASN形成鲜明对比,所有IP都有30%的可能性是恶意的。在这种情况下,可以推断出这个ASN中30%的IP实际上是恶意的,这使得它们比第一个例子中的危险得多。跟踪我们不知道的内容和数据中存在的偏差非常重要。将有我们拥有大量数据的ASN和我们拥有非常少数据的ASN。为了尽可能最好地解决这个问题,我们需要记录证据量,这反映了我们拥有的数据量,也可以用来计算可能的ASN风险评估值的分布。从本质上讲,我们认为良性的IP和我们知道的良性IP(甚至是恶意的IP)之间存在显着差异。当我们的数据较少时,我们可能会假设较低的风险评估,但在这种情况下,我们也会记录较少量的证据来将结果放在背景中。在做出有关ASN的决定时,应使用这两个数字。ASN风险评估案例图显示了针对池大小的日志绘制的每个ASN的风险评估。我们看到,随着风险评估变得更糟,ASN的池大小不太可能变大。为了使这些信息更容易理解,我们将ASN信誉分为四组:良性:ASN内恶意活动的可能性极低;可能是良性的:大部分是良性的,ASN内恶意活动的可能性相对较低;Potentiallymalicious:应谨慎,大多是良性的,但可以检测到一些恶意活动;可能是恶意的:应该谨慎或避免,恶意活动与良性活动的比率表明ASN主要是恶意的或对恶意活动缺乏足够的控制。根据IP地址池大小绘制的每个ASN的风险评估IPv4地址空间中排名前10位的ASN都位于上图的右下角。这意味着他们中的大多数都信誉良好,只有少数例外。离群的ISP、移动网络运营商(MNO)和托管服务提供商在图中突出显示。他们的风险评估高于类似的大型ASN。数据表明,这是由多种威胁类型驱动的。似乎有一些潜在因素使这些ASN更具风险。我们还必须记住,与这些非常大的ASN相比,恶意活动的相对数量较小,而较小的ASN风险更大。上面显示的AkamaiASN都具有“良性”风险评估。但是,是什么让一个CDN比另一个风险更大?这可能是由于攻击者进入的门槛较低,例如较少的监控或较少的控制。我们还在上图中突出显示了两组,共13个ISP/MNOASN,可以看出它们具有明显更高的风险评估。当我们深入观察时,我们主要看到来自这些ASN的僵尸网络和扫描活动的混合。我们可以推测这些ASN更容易受到恶意软件感染。随着我们继续向图表的左上角移动,我们看到ASN长尾的风险部分具有各种威胁类型。通常,我们会看到IP地址被用于托管恶意活动,例如网络钓鱼站点、恶意文件或扫描程序。在某些情况下,我们能够看到TOR网络出口节点,这些节点可能是恶意活动的代理。在线流量中的风险ASN到目前为止,我们已经从IP空间的角度审视了ASN风险评估,但是从在线流量的角度来看风险ASN的频率是多少?下图显示了一天中AkamaiDNS流量的变化,其中包含大约600亿次查询。共有76.6%的查询来自“良性”和“可能良性”类别的ASN,18.1%来自“潜在恶意”类别,进一步强调合法和非法服务可以从同一个ASN运行。这些DNS查询中总共有5.3%解析为来自ASN的IP,风险评估属于“可能恶意”类别,这表明在高度锁定的用例中,基于ASN的阻止的潜力在于识别真正的风险,而不是而不是避免误报。AkamaiDNS流量一天的变化采用IP预测攻击风险是为了精确控制,即准确度是最大的问题,希望尽可能减少合法服务被拦截的次数。在其他情况下,例如,在高度受控的环境中,降低误报率很重要。在没有ASN声誉背书的情况下,我们在查看证据之前的假设是所有IP都是合法的。ASN信誉解锁了对这些先前假设采取分层方法的能力。如果该IP的ASN非常糟糕,这可以作为我们预测攻击发生风险的起点,并且我们可以在收集更多证据时更新我们的数据。ASN中其他IP的评分会影响该IP的最终评分,并可能影响是否封禁。阻止整个ASN在高度锁定的环境中,可能有必要根据其声誉阻止整个ASN。由于不断评估ASN的声誉,因此该列表不需要是静态的。当信誉下降时,将自动添加新的ASN。同样,当我们看到ASN威胁较小的证据时,可以放松阻止。总结在讨论风险评估时,总会有细微差别,但ASN风险评估有可能彻底改变安全行业。与安全的所有其他方面一样,没有灵丹妙药,每个组织都必须做出最适合其环境的决定。然而,超越仅IP方法进行风险评估的能力允许在您的允许和阻止列表中使用更主动的防御模型。本文翻译自:https://www.akamai.com/blog/security/determining-malicious-probabilities-through-asns如有转载请注明出处
