研究人员表示,人工智能可以帮助互联网服务提供商(IPS,internetserviceproviders)提前防御DDoS攻击。新加坡国立大学和以色列内盖夫本古里安大学的研究结果在同行评审期刊《计算机与安全》中提出了一种新方法。该方法使用机器学习来检测易受攻击的智能家居设备,这些设备是黑客通过僵尸网络发起DDoS攻击的诱人目标。机器学习检测器不会侵犯客户的隐私,并且可以查明易受攻击的设备,即使它们没有。检测NAT路由器背后的设备Ben-Gurion博士和研究小组负责人YairMeidan告诉媒体:“据我所知,电信公司监控流量,只能在DDoS攻击执行后检测到,这可能为时已晚。”“相比之下,我们的方法提供了一种方法,可以在潜在易受攻击的物联网设备遭到破坏并用于执行此类攻击之前对其进行检测。”一旦检测到这些潜在的有害设备,就可以采取风险缓解措施。“众所周知,智能监控摄像头、智能灯泡、智能冰箱和智能婴儿监视器等家庭物联网设备的安全性很差,经常被用于DDoS攻击。同时,大多数客户不具备保护其智能家居设备或监控其网络中受感染设备的技术知识和技能存在与否的能力。这将检测易受攻击的物联网设备的负担放在了ISP的肩上。梅丹表示,该项目的想法源于一家电信公司,由于其与物联网相关的DDoS攻击的关系,该公司的基础设施面临严重风险,但他没有透露该公司的名称。检测易受攻击的智能家居设备的主要挑战之一是它们隐藏在路由器后面的网络地址转换(NAT,网络地址转换)之后,并在家庭网络之外共享一个公共IP地址,这使得电信公司很难区分它们他们。一种解决方案是使用深度包检测(DPI)。但DPI的计算成本很高,并使ISP客户的私人通信面临风险。而且,由于大多数互联网流量已经加密,除非电信公司采取更多侵犯隐私的措施,例如在客户的家庭网络中安装监控设备,否则DPI几乎是不可能的。Ben-Gurion和新加坡国立大学的研究人员没有使用数据包检查,而是使用监督机器学习通过对路由器的出站流量进行统计分析来识别NAT设备。所提出的训练和部署机器学习模型的方法使用CVE和NVD列表作为易受攻击的家庭物联网设备的来源。为了创建检测器,电信公司必须建立一个实验室家庭网络,在其中安装各种物联网和非物联网设备。该网络还包括易受攻击的物联网设备实例。机器学习检测器根据从路由器收集的NetFlow数据进行训练,以检测易受攻击的物联网设备的已知模式。简而言之,检测器会查看路由器的传出流量,并让您知道其背后是否存在已知类型的易受攻击的物联网设备。该模型是在正常网络流量上训练的,这意味着它可以检测易受攻击的设备,即使它们没有受到攻击并且没有参与恶意活动。图-AI可用于帮助抵御DDoS攻击建立实验室和训练机器学习模型将花费电信公司数千美元。但成本远低于DDoS攻击的后果,Meidan指出。“这样的攻击可能会导致互联网服务中断,这可能会导致客户流失,并长期损害电信公司的声誉及其在日益重要的QoE(体验质量)衡量标准方面与其他电信公司竞争的能力)损坏..”Meidan说,为了降低成本,电信公司可以“在一小部分但有效的物联网模型子集上训练他们的检测器,即易受僵尸网络感染并拥有最大安装基础的特定物联网模型,”经过培训后检测器模型可以在低成本计算机(例如RaspberryPi)上运行,从而实现分散部署模型,其中本地检测器安装在客户的家庭路由器和光网络终端之间。在识别易受攻击的设备后,电信公司可以重新路由流量,应用虚拟补丁或通知客户采取适当的行动。图-低成本选项可用于帮助识别易受攻击的家庭设备“我们计划扩大评估来自不同制造商的各种物联网模型,并评估该方法对对抗性攻击的适应性,”Meidan说。研究人员正在考虑将他们的工作从智能家居设备扩展到其他领域。这种方法可能是可行和有益的。
