新加坡國立大學(xué)和以色列內(nèi)蓋夫本古里安大學(xué)的研究結(jié)果在同行評審的《計算機與安全》雜志上提出了一種新方法。該方法使用機器學(xué)習(xí)來檢測易受攻擊的智能家居設(shè)備，這些設(shè)備對于通過僵尸網(wǎng)絡(luò)以發(fā)起DDoS攻擊的黑客來說是一個有吸引力的目標(biāo)。

機器學(xué)習(xí)檢測器不會侵犯客戶的隱私，并且即使沒有受到攻擊，也可以查明易受攻擊的設(shè)備。

檢測NAT路由器后面的設(shè)備

Ben-Gurion博士和研究小組負(fù)責(zé)人Yair Meidan對媒體表示：“據(jù)我所知，電信公司會監(jiān)控流量，并且只能在DDoS攻擊執(zhí)行后才能檢測到，這可能為時已晚。”

“相比之下，我們的方法提出了一種手段，可以在潛在的易受攻擊的物聯(lián)網(wǎng)設(shè)備受到威脅并用于執(zhí)行此類攻擊之前對其進(jìn)行檢測。

“一旦檢測到這些潛在有害的設(shè)備，便可以采取減輕風(fēng)險的措施。”

眾所周知，智能監(jiān)控攝像頭、智能燈泡、智能冰箱和智能嬰兒監(jiān)視器等家用物聯(lián)網(wǎng)設(shè)備因安全性差而著稱，經(jīng)常被用于DDoS攻擊。

同時，大多數(shù)客戶不具備保護(hù)其智能家居設(shè)備或監(jiān)控其網(wǎng)絡(luò)中是否存在受感染設(shè)備的技術(shù)知識和技能。這將檢測易受攻擊的物聯(lián)網(wǎng)設(shè)備的負(fù)擔(dān)放在了ISP的肩上。

Meidan說，該項目的想法源自一家電信公司，由于與物聯(lián)網(wǎng)相關(guān)的DDoS攻擊，該公司的基礎(chǔ)設(shè)施面臨嚴(yán)重風(fēng)險，盡管他沒有透露公司名稱。

檢測易受攻擊的智能家居設(shè)備的主要挑戰(zhàn)之一是，它們被隱藏在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，network address translation)路由器后面，并在家庭網(wǎng)絡(luò)外部共享公用IP地址，這使電信公司很難區(qū)分它們。

一種解決方法是使用深度數(shù)據(jù)包檢查(DPI，deep packet inspection)。但是DPI在計算上既昂貴又使ISP客戶的私人通信面臨風(fēng)險。

而且，由于大多數(shù)互聯(lián)網(wǎng)流量已被加密，因此除非電信公司采取更多侵入隱私的方法，例如在客戶的家庭網(wǎng)絡(luò)內(nèi)部安裝監(jiān)視設(shè)備，否則DPI幾乎變得不可能。

Ben-Gurion和新加坡國立大學(xué)的研究人員沒有使用包檢查，而是使用有監(jiān)督的機器學(xué)習(xí)，通過對路由器的出站流量進(jìn)行統(tǒng)計分析來識別NAT設(shè)備。

訓(xùn)練和部署機器學(xué)習(xí)模型

所提出的方法使用CVE和NVD列表作為易受攻擊的家庭IoT設(shè)備的來源。要創(chuàng)建檢測器，電信公司必須建立一個實驗室家庭網(wǎng)絡(luò)，在其中安裝各種IoT和非IoT設(shè)備。該網(wǎng)絡(luò)還包括易受攻擊的物聯(lián)網(wǎng)設(shè)備的實例。

在從路由器收集的NetFlow數(shù)據(jù)上訓(xùn)練了機器學(xué)習(xí)檢測器，以檢測易受攻擊的IoT設(shè)備的已知模式。

簡而言之，檢測器將查看路由器的傳出流量，并讓您知道其背后是否存在已知類型的易受攻擊的IoT設(shè)備。

該模型針對正常的網(wǎng)絡(luò)流量進(jìn)行了訓(xùn)練，這意味著即使它們沒有受到攻擊并且沒有進(jìn)行惡意活動，它也可以檢測到易受攻擊的設(shè)備。

圖-人工智能可用于幫助防御DDoS攻擊

設(shè)置實驗室和訓(xùn)練機器學(xué)習(xí)模型將使電信公司花費數(shù)千美元。 Meidan指出，但是成本大大低于DDoS攻擊的后果。

“這種攻擊很可能會導(dǎo)致互聯(lián)網(wǎng)服務(wù)中斷，這可能會導(dǎo)致客戶流失，并從越來越重要的QoE(體驗質(zhì)量)衡量標(biāo)準(zhǔn)上對電信公司的聲譽及其與其他電信公司競爭的能力造成長期損害。 。”

Meidan說，為削減成本，電信公司可以“在較小但有效的IoT模型子集上訓(xùn)練其檢測器，即發(fā)現(xiàn)易受僵尸網(wǎng)絡(luò)感染并具有最大安裝基礎(chǔ)的特定IoT模型”，

經(jīng)過訓(xùn)練的檢測器模型可以在Raspberry Pi等低成本計算機上運行，該計算機可以實現(xiàn)分散式部署模型，在該模型中，本地檢測器將安裝在客戶的家庭路由器與光網(wǎng)絡(luò)終端之間。

識別出易受攻擊的設(shè)備后，電信公司可以重新路由流量，應(yīng)用虛擬補丁或通知客戶采取適當(dāng)措施。

圖-低成本選項可用于幫助識別易受攻擊的家庭設(shè)備

Meidan說：“我們計劃將評估范圍擴大到來自各個制造商的各種物聯(lián)網(wǎng)模型，并評估該方法對對抗性攻擊的適應(yīng)性。”研究人員正在考慮將他們的工作范圍從智能家居設(shè)備擴展到其他領(lǐng)域。該方法可能是可行和有益的。