The present invention provides a system and method for real-time detection of malicious hijacking events. The method may include receiving routing data associated with boundary gateway protocol (BGP) events from at least one BGP router. The method may also include processing the routing data to generate a feature list representing ownership and various other details related to the source and upstream devices. The method may also include generating a hijacking detection model using the routing data and the feature list, wherein machine learning techniques such as positive sample unlabeled learning techniques are employed. The machine learning technique may include at least one data input and a probability output, wherein the data input is coupled to receive a historically confirmed BGP hijacking data set and the routing data, and the probability output transmits a probability value of the malicious event, the probability value may be calculated based on the data input. Finally, the method may include classifying the BGP events as malicious or benign events using the BGP hijacking model. The classification may be implemented by using a threshold cut-off value and comparing the threshold with the probability generated by the machine learning technique.
【技术实现步骤摘要】
【国外来华专利技术】恶意BGP劫持的精确实时识别
技术介绍
网络罪犯通过边界网关协议(BGP)劫持可暂时窃取与可信自治系统(AS)相关联的互联网协议地址块(IP地址)以执行其他恶意活动,诸如,发送垃圾邮件、网络钓鱼、恶意软件托管等。由于IP地址是分配给参与使用互联网协议进行通信的计算机网络的每个设备(例如,计算机、打印机)的数字标签,因此IP地址的窃贼表示身份信息窃贼的形式,由此不能追查罪犯的踪迹。可将这些单独的IP地址一起组合成前缀,这可由AS(诸如Sprint、Verizon、AT&T等)发起或拥有。每个AS可包括具有路由表的一个或多个路由器,使用BGP作为用于在AS之间交换关于IP路由的信息的标准路由协议来维护所述路由表。因此,从被劫持的网络发起攻击,网络罪犯可以基于先前的IP信誉阻碍可追溯性并规避安全系统,这通常可以用作网络的第一层防御。尽管BGP劫持监视器有助于检测被劫持的网络IP前缀,但现有的劫持检测技术主要受制于四个方面。首先,传统的劫持检测系统呈现包含正样本和负样本示例两者的标记集合,其中正样本表示恶意BGP通告(路由数据),而负样本表示良性BGP通告。然而,现实世界实现的正样本只能由能够自信地识别BGP劫持事件的安全专家检测到,而负样本(良性BGP通告)太多样化而无法标记。由于使检测到的劫持无效的具有挑战性的任务,其他当前劫持监视器遭受了许多正误识。其次,一些当前劫持监视器仅帮助网络运营商监视他们自己的网络,在这种情况下,网络运营商手动提供对检测到的劫持事件的生效或失效。第三,这些检测机制中的一些仅在互联网路由基础结构中查找异常以检测网络IP前缀的劫持而不 ...
【技术保护点】
1.一种检测路由器劫持事件的方法,所述方法包括:通过数据收集模块接收来自至少一个BGP路由器的与边界网关协议(BGP)事件相关联的路由数据;通过数据处理器处理所述路由数据以生成与源、前缀或上游装置相关联的特征列表;使用所述路由数据和所述特征列表生成劫持检测模型;以及使用所述BGP劫持模型将所述BGP事件分类为恶意事件或良性事件。
【技术特征摘要】
【国外来华专利技术】2015.12.21 US 14/9772611.一种检测路由器劫持事件的方法,所述方法包括:通过数据收集模块接收来自至少一个BGP路由器的与边界网关协议(BGP)事件相关联的路由数据;通过数据处理器处理所述路由数据以生成与源、前缀或上游装置相关联的特征列表;使用所述路由数据和所述特征列表生成劫持检测模型;以及使用所述BGP劫持模型将所述BGP事件分类为恶意事件或良性事件。2.根据权利要求1所述方法,其中所述生成所述劫持检测模型包括:检索历史确认的BGP劫持数据集;使用所述路由数据的保持数据子集生成阈值截止值;以及通过采用具有数据输入和概率输出的机器学习技术来计算所述恶意事件的概率,其中所述数据输入耦接以接收所述历史确认的BGP劫持数据集和所述路由数据;其中当所述概率大于所述阈值截止值时,所述BGP事件被分类为所述恶意事件。3.根据权利要求2所述的方法,其中所述机器学习技术为具有正数据输入、未标记数据输入以及概率输出的正样本未标记(PU)学习算法,其中所述正数据输入被耦接以接收所述历史确认的BGP劫持数据集,并且所述未标记数据输入被耦接以接收所述路由数据。4.根据权利要求1所述方法,其中所述分类所述BGP事件包括:接收来自所述劫持检测模型的劫持事件的概率;确定所述概率是否大于预定值;以及响应于所述概率大于所述预定值,将所述BGP事件分类为所述恶意事件。5.根据权利要求1所述的方法,还包括:检测每个事件是否是负误识或正误识;响应于检测到负误识或正误识,校正所述历史确认的BGP劫持数据集;以及使用所述校正的历史确认的BGP劫持数据集来重新训练所述BGP劫持模型。6.根据权利要求1所述的方法,还包括:响应于恶意事件,生成IP地址块的信誉评分;以及将所述信誉评分传输到至少一个耦接的自治系统(AS)。7.根据权利要求1所述的方法,还包括:响应于恶意事件,确定与所述恶意事件相关联的IP地址块;访问路由表以识别至少一个损坏的路径;使用所述路由表生成校正的路径;以及利用所述校正的路径更新所述路由表。8.一种路由器劫持检测系统,所述路由器劫持检测系统包括:数据收集模块,所述数据收集模块被耦接以接收来自至少一个BGP路由器的与BGP事件相关联的路由数据;存储器,所述存储器耦接到所述数据收集模块;和处理器,所述处理器耦接到存储器和所述数据收集模块,所述处理器包括:数据处理模块,所述数据处理模块耦接到所述数据收集模块以生成与所述路由数据相关联的特征列表;模型生成模块,所述模型生成模块耦接到数据收集模块和所述数据处理模块,以基于所述路由数据和所述特征列表生成劫持检测模型;和检测单元,所述检测单元耦接到所述模型生成模块,以使用所述BGP劫持模型和所述劫持检测模型将所述BGP事件分类为恶意事件或良性事件。9.根据权利要求8所述的路由器劫持检测系统,其中所述模型生成模块包括:接收器,所述接收器被耦接以接收历史确认的BGP劫持数据集;阈值模块,所述阈值模块耦接到所述数据收集模块,以使用所述路由数据的保持数据子集生成阈值截止值;处理单元,所述处理单元耦接到所述阈值模块和所述数据收集模块;其中所述处理单元被配置为采用具有数据输入和概率输出的机器学习技术来计算所述恶意事件的概率,其中所述数据输入被耦接以接收所述历史确认的BGP劫持数据集和所述BGP路由数据;其中当所述概率大于所述阈值截止值时,所述BGP事件被分类为所述恶意事件。10.根据权利要求9所述的路由器劫持检测系统,其中所述处理单元的所述机器学习技术为具有...
【专利技术属性】
技术研发人员:Y·沈,韩宇飞,PA·沃韦尔,
申请(专利权)人:赛门铁克公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。