通過自治系統(tǒng)號(hào)(ASN)預(yù)判攻擊發(fā)生的可能性
在互聯(lián)網(wǎng)中,一個(gè)自治系統(tǒng)(AS)是一個(gè)有權(quán)自主地決定在本系統(tǒng)中應(yīng)采用何種路由協(xié)議的小型單位。這個(gè)網(wǎng)絡(luò)單位可以是一個(gè)簡單的網(wǎng)絡(luò)也可以是一個(gè)由一個(gè)或多個(gè)普通的網(wǎng)絡(luò)管理員來控制的網(wǎng)絡(luò)群體,它是一個(gè)單獨(dú)的可管理的網(wǎng)絡(luò)單元(例如一所大學(xué),一個(gè)企業(yè)或者一個(gè)公司個(gè)體)。一個(gè)自治系統(tǒng)有時(shí)也被稱為是一個(gè)路由選擇域(routingdomain)。一個(gè)自治系統(tǒng)將會(huì)分配一個(gè)全局的唯一的號(hào)碼,有時(shí)我們把這個(gè)號(hào)碼叫做自治系統(tǒng)號(hào)(ASN)。通過自治系統(tǒng)號(hào)(ASN)預(yù)判攻擊發(fā)生的可能性是出于以下7個(gè)方面的考慮:
1.利用Akamai(一家網(wǎng)路安全公司)對(duì)互聯(lián)網(wǎng)趨勢(shì)和活動(dòng)的廣泛了解,Akamai研究人員一直在分析自治系統(tǒng)號(hào)(ASN),以評(píng)估大量互聯(lián)網(wǎng)的風(fēng)險(xiǎn)。
2.ASN包含受管理的ISP、云計(jì)算公司、跨國集團(tuán)以及小型組織的IP地址池。
3.這些ASN的各種特征(包括其注冊(cè)位置、提供商類型以及管理ASN中IP使用的策略)可能會(huì)影響攻擊者被發(fā)現(xiàn)使用這些ASN中的IP的可能性。
4.了解ASN的惡意性可以讓安全從業(yè)人員對(duì)任何給定IP的風(fēng)險(xiǎn)做出更明智的預(yù)測(cè),即使它不是已知的威脅。
5.惡意ASN更有可能包含用于托管網(wǎng)絡(luò)釣魚網(wǎng)站、惡意文件、僵尸網(wǎng)絡(luò)和掃描程序的IP。“可能的惡意”ASN表示遇到惡意IP的概率為七分之一或更高。
6.對(duì)流量的分析表明,“可能的惡意”ASN占所有在線IPv4地址的不到2%,但它們接收的互聯(lián)網(wǎng)流量超過5%。
7.此外,“潛在惡意”類別中的ASN在互聯(lián)網(wǎng)上所有IPv4地址中的占比不到5%,但它們接收的互聯(lián)網(wǎng)流量卻超過18%,這表明惡意和合法流量可以由同一個(gè)ASN提供服務(wù)。
IP智能化有很多用途:例如,防火墻或DNS查詢后阻止。基于IP預(yù)先確定“通過/不通過”的能力是一項(xiàng)重要的防御措施。
Akamai安全研究人員利用Akamai對(duì)在線流量的廣泛可見性,創(chuàng)建了在線ASN的全面映射,以評(píng)估惡意地址出現(xiàn)在ASN中的可能性。在這篇文章中,我們將詳細(xì)介紹ASN,以及ASN對(duì)風(fēng)險(xiǎn)評(píng)估可能產(chǎn)生的影響。我們還將檢查惡意ASN等。
風(fēng)險(xiǎn)評(píng)估現(xiàn)狀
由于動(dòng)態(tài)IP、CDN和托管服務(wù)的存在,基于IP的阻止可能是非常危險(xiǎn)。個(gè)人和組織可能會(huì)受到不同程度的影響。例如,錯(cuò)誤地屏蔽一個(gè)社交媒體網(wǎng)站的IP可能只會(huì)讓一名員工感到無所適從,影響正常工作。
在更大的范圍內(nèi),阻止來自CDN或托管服務(wù)的單個(gè)IP可能會(huì)導(dǎo)致阻止數(shù)千個(gè)網(wǎng)站。我們以白名單的形式提供保護(hù)以避免這些極端情況,但必須要注意,某些用例可能會(huì)優(yōu)先考慮更廣泛的威脅保護(hù)而不是誤報(bào)。綜上所述,此種策略的弊端太大。
不過Akamai可以通過大量數(shù)據(jù)輸入來解決上述弊端,例如:
Akamai Intelligent Edge Platform上通過IP發(fā)起的攻擊;
每天來自數(shù)十億次DNS查詢的檢測(cè);
IP流行度源自每天數(shù)十億的DNS查詢;
其他形式的內(nèi)部和第三方情報(bào);
有多個(gè)來源,包含數(shù)百萬IP的正面(合法IP)和負(fù)面(惡意IP)證據(jù)。我們需要結(jié)合這些資源為每個(gè)IP創(chuàng)造一個(gè)分?jǐn)?shù)。為此,我們采用貝葉斯方法,其復(fù)雜性在于確定每個(gè)源的權(quán)重。這樣做的目的是建立一個(gè)更全面的風(fēng)險(xiǎn)評(píng)估,考慮到不同的來源。分?jǐn)?shù)越高,負(fù)面證據(jù)就越多。分?jǐn)?shù)越低,惡意證據(jù)就越少,或者正面和負(fù)面證據(jù)混合在一起。根據(jù)應(yīng)用程序的不同,可以選擇一個(gè)閾值來實(shí)現(xiàn)誤報(bào)和真實(shí)所需的平衡。這比典型的基于IP的風(fēng)險(xiǎn)評(píng)估更進(jìn)了一步,在這種評(píng)估中,了解ASN的力量及其可能產(chǎn)生的影響勢(shì)在必行。
什么是自治系統(tǒng)?
簡而言之,自治系統(tǒng)就是互聯(lián)網(wǎng)的構(gòu)建方式。每個(gè)自治系統(tǒng)都映射到一個(gè)數(shù)字,因此我們通常說ASN(自治系統(tǒng)號(hào))。每個(gè)ASN都有一個(gè)IP池,每個(gè)ASN負(fù)責(zé)使用邊界網(wǎng)關(guān)協(xié)議(BGP)在其網(wǎng)絡(luò)內(nèi)路由流量并通過Internet與其他ASN通信。
在這篇文章中,我們只聚焦IPv4,其中包括大約7萬個(gè)自主系統(tǒng)。
ASN可以以不同的方式進(jìn)行分類,以了解它們?cè)诨ヂ?lián)網(wǎng)上的位置。例如,“從多個(gè)優(yōu)勢(shì)點(diǎn)描述互聯(lián)網(wǎng)層次結(jié)構(gòu)https://ieeexplore.ieee.org/abstract/document/1019307”查看BGP表,從商業(yè)角度對(duì)ASN的角色進(jìn)行分類。“使用深度學(xué)習(xí)揭示自治系統(tǒng)之間的關(guān)系類型https://ieeexplore.ieee.org/document/9110358”使用深度學(xué)習(xí)來理解ASN之間的關(guān)系類型。要了解ASN背后的組織,我們可以查看“揭示自治系統(tǒng)分類法:機(jī)器學(xué)習(xí)方法https://arxiv.org/abs/cs/0604015”,它試圖將ASN自動(dòng)分類為大型ISP、小型ISP、大學(xué)、互聯(lián)網(wǎng)交換點(diǎn)和網(wǎng)絡(luò)信息中心。最近,在“BGP2Vec:揭示自治系統(tǒng)的潛在特征https://ieeexplore.ieee.org/abstract/document/9761992”中使用了word2Vec樣式的模型,將ASN分類到應(yīng)用互聯(lián)網(wǎng)數(shù)據(jù)分析中心的交通/訪問、內(nèi)容、教育/研究和企業(yè)類別中。
ASN大小
讓我們看看前10個(gè)最大的ASN的IPv4地址池大小(表1)。最大的ASN歸美國國防部網(wǎng)絡(luò)信息中心所有。名單上的其他公司包括大型ISP、云計(jì)算公司和跨國企業(yè)集團(tuán)。我們排除了ASN 0,因?yàn)樗怯脕碜R(shí)別不可路由網(wǎng)絡(luò)的。
按IPv4地址池大小排列的前10個(gè)最大的ASN
下圖進(jìn)一步顯示了這10個(gè)ASN的影響。前10個(gè)ASN約占分配的IPv4地址空間的25%。相比之下,只有16%的IPv4地址空間分配給前1000個(gè)之外的69000個(gè)ASN,因此互聯(lián)網(wǎng)流量中存在類似于域或IP的ASN的長尾。這是分配給相對(duì)較小百分比的大量互聯(lián)網(wǎng)。這是我們?cè)诖_定有效的ASN風(fēng)險(xiǎn)評(píng)估時(shí)必須考慮多個(gè)數(shù)據(jù)輸入的部分原因。正如你將在本文后面了解到的那樣,并非所有ASN都是平等的。
ASN IPv4地址池大小占全部IPv4地址池的百分比
地理位置
位置在真正理解ASN方面也起著重要作用。為了詳細(xì)說明這一點(diǎn),我們構(gòu)建了一個(gè)散點(diǎn)圖,其中包含與每個(gè)國家/地區(qū)關(guān)聯(lián)的ASN數(shù)量與這些ASN的IP池大小的關(guān)系。
與每個(gè)ASN關(guān)聯(lián)的國家與這些ASN的IP池大小
在前10大ASN中,美國有6個(gè),在IP總數(shù)和ASN總數(shù)方面均領(lǐng)先。緊隨美國之后的是:巴西、英國、丹麥、印度和俄羅斯。繼續(xù)向左移動(dòng)一點(diǎn),我們可以看到中國、日本和韓國的ASN數(shù)量要少得多,但其數(shù)量比巴西和俄羅斯等國要多。考慮到我們所知道的前1000名ASN和其他69000名之間的差距,當(dāng)遇到某個(gè)國家的IP并為其創(chuàng)建風(fēng)險(xiǎn)評(píng)估時(shí),可能會(huì)面臨一些獨(dú)特的挑戰(zhàn)。
例如,對(duì)于ASN數(shù)量較少但I(xiàn)P較多的國家/地區(qū),惡意IP更有可能與合法IP在同一個(gè)ASN中,這意味著在僅基于ASN的阻止時(shí)可能更難以避免誤報(bào)。使用Akamai DNS數(shù)據(jù),我們看到與中國ASN相關(guān)的所有已解析IP均來自383個(gè)ASN,而俄羅斯則為2311個(gè)。因此,在中國和俄羅斯阻止ASN的影響,就不能采用同一種方法了。例如,在中國屏蔽整個(gè)ASN會(huì)占用整個(gè)互聯(lián)網(wǎng)部分,而在俄羅斯屏蔽整個(gè)ASN會(huì)占用更少的資源。這就是為什么我們不能完全避免僅僅基于IP的風(fēng)險(xiǎn)評(píng)估,以及為什么我們?cè)趧?chuàng)建接下來討論的ASN風(fēng)險(xiǎn)評(píng)估時(shí)必須考慮到了這一點(diǎn)。
ASN風(fēng)險(xiǎn)評(píng)估
我們對(duì)ASN信譽(yù)的定義很簡單:一個(gè)ASN的信譽(yù)衡量的是該ASN中任何給定的活躍IP被惡意攻擊的概率。
為了計(jì)算這個(gè)概率,我們擴(kuò)展了貝葉斯方法,如前所述,將每個(gè)IP的分?jǐn)?shù)和權(quán)重向上輸入到它們所屬的ASN。Akamai數(shù)據(jù)用于估計(jì)ASN中活躍IP的數(shù)量。當(dāng)我們對(duì)每個(gè)ASN的多個(gè)IP進(jìn)行聚合時(shí),我們希望我們的ASN信譽(yù)計(jì)算能夠受益于大數(shù)定律,從而計(jì)算出最準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估。例如,如果一個(gè)ASN有兩個(gè)IP,有30%的幾率是惡意的,那么兩個(gè)IP都是惡意的幾率都很高,因此可以評(píng)估ASN本身是沒有惡意的。這與擁有1000個(gè)IP的ASN形成了鮮明的對(duì)比,所有的惡意可能性為30%。在這種情況下,可以推斷出該ASN中30%的IP實(shí)際上是惡意的,這使得它們比第一個(gè)示例中明顯更危險(xiǎn)。
跟蹤我們不知道的內(nèi)容以及我們數(shù)據(jù)中存在的偏差非常重要。將會(huì)有我們擁有大量數(shù)據(jù)的ASN,以及數(shù)據(jù)很少的ASN。為了盡可能地解決這個(gè)問題,我們需要記錄證據(jù)數(shù)量,它反映了我們擁有的數(shù)據(jù)量,也可用于計(jì)算可能的ASN風(fēng)險(xiǎn)評(píng)估值的分布。從本質(zhì)上講,我們認(rèn)為是良性的IP與我們知道是良性的IP(甚至是我們知道是惡意的IP)之間存在顯著差異。當(dāng)我們擁有較少的數(shù)據(jù)時(shí),我們可能會(huì)假設(shè)風(fēng)險(xiǎn)評(píng)估較低,但在這種情況下,我們也會(huì)記錄較低的證據(jù)數(shù)量以將結(jié)果置于上下文中。在做出有關(guān)ASN的決定時(shí),應(yīng)使用這兩個(gè)數(shù)字。
ASN風(fēng)險(xiǎn)評(píng)估情況
下圖顯示了根據(jù)池大小的日志繪制的每個(gè)ASN的風(fēng)險(xiǎn)評(píng)估。我們看到,隨著風(fēng)險(xiǎn)評(píng)估越來越差,ASN的池規(guī)模不太可能大。為了更容易理解這些信息,我們將ASN信譽(yù)分為四組:
良性:ASN內(nèi)部發(fā)生惡意活動(dòng)的幾率極低;
可能是良性的:主要是良性的,ASN內(nèi)發(fā)生惡意活動(dòng)的可能性相對(duì)較低;
潛在惡意:應(yīng)謹(jǐn)慎行事,大部分是良性的,但可以檢測(cè)到一些惡意活動(dòng);
可能惡意:應(yīng)謹(jǐn)慎或避免,惡意活動(dòng)與良性的比率表明ASN主要是惡意的或?qū)阂饣顒?dòng)缺乏足夠的控制。
針對(duì)IP地址池大小繪制的每個(gè)ASN的風(fēng)險(xiǎn)評(píng)估
IPv4地址空間排名前10位的ASN都位于上圖右下角。這意味著他們大多數(shù)都有良好的信譽(yù),只有少數(shù)例外。圖中突出顯示了異常值的ISP、移動(dòng)網(wǎng)絡(luò)運(yùn)營商(MNO)和托管服務(wù)提供商。與類似的大型ASN相比,它們具有更高的風(fēng)險(xiǎn)評(píng)估。數(shù)據(jù)顯示,這是由各種威脅類型驅(qū)動(dòng)的。似乎有一些潛在的因素使這些ASN的風(fēng)險(xiǎn)更高。我們還必須記住,與這些非常大的ASN相比,惡意活動(dòng)的相對(duì)數(shù)量很小,較小的ASN風(fēng)險(xiǎn)更大。
上圖出現(xiàn)的Akamai ASN都具有“良性”風(fēng)險(xiǎn)評(píng)估。但是,是什么讓一個(gè)CDN比另一個(gè)更具風(fēng)險(xiǎn)呢?這可能是因?yàn)楣粽叩倪M(jìn)入門檻較低,例如監(jiān)控效果較差或控制較少。
我們還在上圖中突出了兩組總共13個(gè)ISP/MNOASN,可以看出它們的風(fēng)險(xiǎn)評(píng)估明顯更高。當(dāng)我們更深入地觀察時(shí),我們大多會(huì)看到來自這些ASN的僵尸網(wǎng)絡(luò)和掃描活動(dòng)的混合。我們可以推測(cè)這些ASN更容易受到惡意軟件感染。
當(dāng)我們繼續(xù)向圖的左上角移動(dòng)時(shí),我們會(huì)看到ASN長尾中具有各種威脅類型的風(fēng)險(xiǎn)部分。通常,我們會(huì)看到IP地址被用于托管惡意活動(dòng),如釣魚網(wǎng)站、惡意文件或掃描程序。在某些情況下,我們能夠看到TOR網(wǎng)絡(luò)出口節(jié)點(diǎn),這可能是惡意活動(dòng)的代理。
在線流量中的風(fēng)險(xiǎn)ASN
到目前為止,我們已經(jīng)從IP空間的角度查看了ASN風(fēng)險(xiǎn)評(píng)估,但是從在線流量角度來看,有風(fēng)險(xiǎn)的ASN出現(xiàn)的頻率是多少?下圖中顯示了一天中Akamai DNS流量的變化,其中包含大約600億次查詢。總共76.6%的查詢來自“良性”和“可能良性”類別的ASN,18.1%來自“潛在惡意”類別,進(jìn)一步強(qiáng)調(diào)合法和非法服務(wù)可以從同一個(gè)ASN運(yùn)行。這些DNS查詢中共有5.3%解析為來自ASN的IP,其風(fēng)險(xiǎn)評(píng)估屬于“可能惡意”類別,這表明在高度鎖定的用例中,基于ASN的阻止的潛力在于識(shí)別真正的風(fēng)險(xiǎn)而不是避免誤報(bào)。
一天中Akamai DNS流量的變化
采取IP來預(yù)測(cè)攻擊風(fēng)險(xiǎn)就是要精準(zhǔn)控制,即精度是最大的問題,希望盡量減少被阻止的合法服務(wù)的數(shù)量。在其他情況下,例如,在高度控制的環(huán)境中,減少誤報(bào)的比率很重要。
在沒有ASN信譽(yù)背書的情況下,我們?cè)诓榭醋C據(jù)之前的假設(shè)是,所有IP都是合法的。ASN信譽(yù)解鎖了對(duì)這些先前假設(shè)采取分層方法的能力。如果該IP的ASN非常糟糕,這可以作為我們預(yù)測(cè)攻擊風(fēng)險(xiǎn)發(fā)生的起點(diǎn),我們可以在收集更多證據(jù)時(shí)更新我們的數(shù)據(jù)。ASN中其他IP的得分會(huì)影響該IP的最終得分,并可能影響其是否被阻止。
阻止整個(gè)ASN
在高度鎖定的環(huán)境中,可能需要根據(jù)其信譽(yù)來阻止整個(gè)ASN。由于ASN的信譽(yù)是不斷評(píng)估的,這個(gè)列表不需要是靜態(tài)的。隨著信譽(yù)的下降,新的ASN將被自動(dòng)添加。同樣,當(dāng)我們看到ASN威脅較小的證據(jù)時(shí),可以放寬阻止。
總結(jié)
在討論風(fēng)險(xiǎn)評(píng)估時(shí),總會(huì)存在細(xì)微差別,但ASN風(fēng)險(xiǎn)評(píng)估有可能徹底改變安全行業(yè)。就像安全的所有其他方面一樣,沒有靈丹妙藥,每個(gè)組織都必須做出最適合其環(huán)境的決策。但是,超越僅基于IP的風(fēng)險(xiǎn)評(píng)估方法的能力允許在你的允許列表和阻止列表中采用更主動(dòng)的防御模型。
本文翻譯自:https://www.akamai.com/blog/security/determining-malicious-probabilities-through-asns如若轉(zhuǎn)載,請(qǐng)注明原文地址
