Sophos將AI技術用于預防惡意IP的安全解決方案中
雖然黑客攻擊的形勢極變得極其其復雜和多樣化,但幾乎所有攻擊都在攻擊的某個階段涉及與互聯網的通信。這種通信可能包括攻擊者傳輸惡意載荷以進行初始訪問、勒索軟件與命令和控制通信以交換加密密鑰,或間諜工具將敏感信息泄露到共享站點。
這些通信要么以需要解析為 IP 地址的主機名開頭,要么以 IP 地址直接開頭,不管哪種情況,IP 地址最終都是通信的標識符。簡單地說,IP地址是一個數字標簽,分配給每一個連接到使用互聯網的網絡的設備。就像到你家的地址一樣,IP地址提供信息,幫助互聯網上的路由協議找到目的地。
顯然,并非所有與互聯網的交流都是惡意的,例如你最喜歡的社交媒體網站。社交媒體網站托管在 IP 地址上,你可以瀏覽不同的個人資料并與他們互動。你從朋友的帖子中點擊的新聞文章會解析并重定向到從不同站點提供內容的 IP。一些 IP 地址運行多個并發服務,或者可以為來自完全不同的內容所有者的多個不同站點提供內容。一些相同的內容可以從多個不同的 IP 地址獲得。這些動態使得區分無用的 IP 地址與無害的 IP 地址成為所有安全供應商都承擔的一項艱巨任務。
IP 解析
IP 地址的開頭是目標網絡的位置,稱為網絡前綴,結尾是該網絡上設備的位置,稱為主機 ID。網絡前綴的格式是使用一個斜杠(“/”)字符后跟一個十進制數字來表示引用網絡前綴的位數。例如:198.51.100.0/24有24位分配給網絡前綴,其余8位保留給主機地址,得到198.51.100.0 ~ 198.51.100.255屬于這個網絡的地址。子網是將較大的網絡劃分為較小的網絡。為了找到更小的網絡的目的地址,子網掩碼將IP地址分為網絡地址和主機地址。在圖1舉例中,子網掩碼表示報文首先路由到網絡地址172.16.2.0,然后路由到主機地址0.0.0.15。
IP 地址細分
IP 地址通常與其主機或提供商相關的物理基礎設施相關聯,更具體地說是互聯網服務提供商 (ISP)。ISP 是管理給定范圍的網絡前綴的組織。一些 ISP 可能會花費大量精力來維護安全方面的高聲譽,而其他 ISP(例如“防彈托管”提供商)可能會公開歡迎想要托管惡意內容的客戶。了解 ISP 之間發生的各種攻擊級別經常被忽視,但SophosAI已經將這一領域應用到他們的IP檢測框架中。
IP 安全檢測存在的風險
盡管這種技術很古老,也很簡單,但 IP/域級別的阻止列表仍然是一種非常流行的防御惡意 互聯網流量的方法。但是由于IP空間非常大,而且非常活躍,所以維護難度大,容易被繞過。屏蔽列表規避的一個例子是,路由到惡意位置的 IP 可以臨時或有條件地路由到良性內容,而來自同一基礎設施的不同 IP 路由到原始惡意內容。這種臨時變化稱為“冷卻”期,這通常會導致安全供應商將 IP 聲譽從惡意轉變為良性,允許它在未來再次用于惡意活動。
SophosAI希望脫離傳統的基于聲譽的系統,采用一種更容易維護、學習速度更快、不受任何“冷卻”期影響而對IP進行分類的方法。為了做到這一點,開發者訓練了一個模型,用新的IP地址表示,這些IP地址可以在公共注冊信息中找到,也可以從額外的AI方法中找到,這些人工智能方法使用IP的鄰域來填補空白。
新方法
SophosAI利用內部的監控工具收集了超過45萬個IP地址,這些 IP 地址托管使用內部監控工具標記為惡意或良性的 Web 內容。他們還從現有的反垃圾郵件列表中收集了超過 40萬個與電子郵件活動相關的 IP。SophosAI 的數據科學家使用現有的關于 IP 地址空間如何分配給互聯網服務提供商 (ISP) 的知識來生成熱圖,將 Web 和垃圾郵件活動可視化,其中藍點代表良性活動,紅色代表惡意活動。有關如何生成這些圖的更多詳細信息,請閱讀更深入的 SophosAI 博客文章。
由ISP定義的塊組織的基于web的IP地址。藍點表示良性活動的IP地址,紅點表示惡意活動
由 ISP 定義的塊組織的基于垃圾郵件的 IP 地址。藍點表示參與良性活動的 IP 地址,而紅點表示惡意活動
科學家觀察到,存在明顯的惡意活動集群,并且一些 ISP 對惡意環境的貢獻與其擁有的 IP 空間的大小不成比例。
下一個挑戰便是以AI模型能夠理解的方式使用這些信息,考慮到這一挑戰,SophosAI開發了一種新的IP表示,它允許模型有效地評估IP地址本身以及可能從該IP地址生成的所有子網。這些子網可以映射到互聯網的高級結構,表明哪些相關的IP地址集合是由單個組織控制的。為了進一步使用與IP地址相關的物理基礎設施,將有關互聯網服務提供商(ISP)的信息添加到提供給檢測模型的特性集中。通過觀察IP 空間的一個網段中的大量惡意活動,模型可以學習如何確定同一 ISP 擁有的不同網段是否也是惡意的。然而,使用 ISP 完成這項任務的一個挑戰是,用戶在檢測時并不總是能得到這些信息。為了解決這個問題,開發者訓練了一個模型來將 IP 映射到 ISP,并且使用輸出的附加功能來訓練 IP 檢測模型,與單獨使用 IP 地址相比,改進了結果。圖 2 顯示了模型對 IP 空間的理解,其中每個 IP 地址根據其各自的 ISP 進行著色。在訓練之前,該模型無法很好地區分來自一個 ISP 和另一個 ISP 的 IP,但在訓練之后,你會看到更明顯的分離。
一個可視化的ip和他們各自的isp經過模型訓練,每個點代表一個IP地址,點的顏色表示IP屬于哪個ISP。在培訓之前,模型在IP方面對ISP空間的理解并沒有真正的區別。但是,經過培訓后,基于它們所屬的ISP,會有不同的IP地址集群
使用這些模型,可以更清晰地可視化 IP 空間并發現惡意 IP 組,不會隨著時間的推移有任何“冷卻”期。使用數據驅動的 AI 模型將這些 IP 分配給一組良性或惡意活動,可以更好地檢測前所未見的 IP。
IP 地址的模型檢測,分數基于 IP 為惡意的可能性
