雖然黑客攻擊的形勢(shì)極變得極其其復(fù)雜和多樣化，但幾乎所有攻擊都在攻擊的某個(gè)階段涉及與互聯(lián)網(wǎng)的通信。這種通信可能包括攻擊者傳輸惡意載荷以進(jìn)行初始訪問(wèn)、勒索軟件與命令和控制通信以交換加密密鑰，或間諜工具將敏感信息泄露到共享站點(diǎn)。

這些通信要么以需要解析為 IP 地址的主機(jī)名開(kāi)頭，要么以 IP 地址直接開(kāi)頭，不管哪種情況，IP 地址最終都是通信的標(biāo)識(shí)符。簡(jiǎn)單地說(shuō)，IP地址是一個(gè)數(shù)字標(biāo)簽，分配給每一個(gè)連接到使用互聯(lián)網(wǎng)的網(wǎng)絡(luò)的設(shè)備。就像到你家的地址一樣，IP地址提供信息，幫助互聯(lián)網(wǎng)上的路由協(xié)議找到目的地。

顯然，并非所有與互聯(lián)網(wǎng)的交流都是惡意的，例如你最喜歡的社交媒體網(wǎng)站。社交媒體網(wǎng)站托管在 IP 地址上，你可以瀏覽不同的個(gè)人資料并與他們互動(dòng)。你從朋友的帖子中點(diǎn)擊的新聞文章會(huì)解析并重定向到從不同站點(diǎn)提供內(nèi)容的 IP。一些 IP 地址運(yùn)行多個(gè)并發(fā)服務(wù)，或者可以為來(lái)自完全不同的內(nèi)容所有者的多個(gè)不同站點(diǎn)提供內(nèi)容。一些相同的內(nèi)容可以從多個(gè)不同的 IP 地址獲得。這些動(dòng)態(tài)使得區(qū)分無(wú)用的 IP 地址與無(wú)害的 IP 地址成為所有安全供應(yīng)商都承擔(dān)的一項(xiàng)艱巨任務(wù)。

IP 解析

IP 地址的開(kāi)頭是目標(biāo)網(wǎng)絡(luò)的位置，稱(chēng)為網(wǎng)絡(luò)前綴，結(jié)尾是該網(wǎng)絡(luò)上設(shè)備的位置，稱(chēng)為主機(jī) ID。網(wǎng)絡(luò)前綴的格式是使用一個(gè)斜杠(“/”)字符后跟一個(gè)十進(jìn)制數(shù)字來(lái)表示引用網(wǎng)絡(luò)前綴的位數(shù)。例如:198.51.100.0/24有24位分配給網(wǎng)絡(luò)前綴，其余8位保留給主機(jī)地址，得到198.51.100.0 ~ 198.51.100.255屬于這個(gè)網(wǎng)絡(luò)的地址。子網(wǎng)是將較大的網(wǎng)絡(luò)劃分為較小的網(wǎng)絡(luò)。為了找到更小的網(wǎng)絡(luò)的目的地址，子網(wǎng)掩碼將IP地址分為網(wǎng)絡(luò)地址和主機(jī)地址。在圖1舉例中，子網(wǎng)掩碼表示報(bào)文首先路由到網(wǎng)絡(luò)地址172.16.2.0，然后路由到主機(jī)地址0.0.0.15。

IP 地址通常與其主機(jī)或提供商相關(guān)的物理基礎(chǔ)設(shè)施相關(guān)聯(lián)，更具體地說(shuō)是互聯(lián)網(wǎng)服務(wù)提供商 (ISP)。 ISP 是管理給定范圍的網(wǎng)絡(luò)前綴的組織。一些 ISP 可能會(huì)花費(fèi)大量精力來(lái)維護(hù)安全方面的高聲譽(yù)，而其他 ISP（例如“防彈托管”提供商）可能會(huì)公開(kāi)歡迎想要托管惡意內(nèi)容的客戶(hù)。了解 ISP 之間發(fā)生的各種攻擊級(jí)別經(jīng)常被忽視，但SophosAI已經(jīng)將這一領(lǐng)域應(yīng)用到他們的IP檢測(cè)框架中。

IP 安全檢測(cè)存在的風(fēng)險(xiǎn)

盡管這種技術(shù)很古老，也很簡(jiǎn)單，但 IP/域級(jí)別的阻止列表仍然是一種非常流行的防御惡意 互聯(lián)網(wǎng)流量的方法。但是由于IP空間非常大，而且非常活躍，所以維護(hù)難度大，容易被繞過(guò)。屏蔽列表規(guī)避的一個(gè)例子是，路由到惡意位置的 IP 可以臨時(shí)或有條件地路由到良性?xún)?nèi)容，而來(lái)自同一基礎(chǔ)設(shè)施的不同 IP 路由到原始惡意內(nèi)容。這種臨時(shí)變化稱(chēng)為“冷卻”期，這通常會(huì)導(dǎo)致安全供應(yīng)商將 IP 聲譽(yù)從惡意轉(zhuǎn)變?yōu)榱夹?#xff0c;允許它在未來(lái)再次用于惡意活動(dòng)。

SophosAI希望脫離傳統(tǒng)的基于聲譽(yù)的系統(tǒng)，采用一種更容易維護(hù)、學(xué)習(xí)速度更快、不受任何“冷卻”期影響而對(duì)IP進(jìn)行分類(lèi)的方法。為了做到這一點(diǎn)，開(kāi)發(fā)者訓(xùn)練了一個(gè)模型，用新的IP地址表示，這些IP地址可以在公共注冊(cè)信息中找到，也可以從額外的AI方法中找到，這些人工智能方法使用IP的鄰域來(lái)填補(bǔ)空白。

新方法

SophosAI利用內(nèi)部的監(jiān)控工具收集了超過(guò)45萬(wàn)個(gè)IP地址，這些 IP 地址托管使用內(nèi)部監(jiān)控工具標(biāo)記為惡意或良性的 Web 內(nèi)容。他們還從現(xiàn)有的反垃圾郵件列表中收集了超過(guò) 40萬(wàn)個(gè)與電子郵件活動(dòng)相關(guān)的 IP。 SophosAI 的數(shù)據(jù)科學(xué)家使用現(xiàn)有的關(guān)于 IP 地址空間如何分配給互聯(lián)網(wǎng)服務(wù)提供商 (ISP) 的知識(shí)來(lái)生成熱圖，將 Web 和垃圾郵件活動(dòng)可視化，其中藍(lán)點(diǎn)代表良性活動(dòng)，紅色代表惡意活動(dòng)。有關(guān)如何生成這些圖的更多詳細(xì)信息，請(qǐng)閱讀更深入的 SophosAI 博客文章。

由ISP定義的塊組織的基于web的IP地址。藍(lán)點(diǎn)表示良性活動(dòng)的IP地址，紅點(diǎn)表示惡意活動(dòng)

由 ISP 定義的塊組織的基于垃圾郵件的 IP 地址。藍(lán)點(diǎn)表示參與良性活動(dòng)的 IP 地址，而紅點(diǎn)表示惡意活動(dòng)

科學(xué)家觀察到，存在明顯的惡意活動(dòng)集群，并且一些 ISP 對(duì)惡意環(huán)境的貢獻(xiàn)與其擁有的 IP 空間的大小不成比例。

下一個(gè)挑戰(zhàn)便是以AI模型能夠理解的方式使用這些信息，考慮到這一挑戰(zhàn)，SophosAI開(kāi)發(fā)了一種新的IP表示，它允許模型有效地評(píng)估IP地址本身以及可能從該IP地址生成的所有子網(wǎng)。這些子網(wǎng)可以映射到互聯(lián)網(wǎng)的高級(jí)結(jié)構(gòu)，表明哪些相關(guān)的IP地址集合是由單個(gè)組織控制的。為了進(jìn)一步使用與IP地址相關(guān)的物理基礎(chǔ)設(shè)施，將有關(guān)互聯(lián)網(wǎng)服務(wù)提供商(ISP)的信息添加到提供給檢測(cè)模型的特性集中。通過(guò)觀察IP 空間的一個(gè)網(wǎng)段中的大量惡意活動(dòng)，模型可以學(xué)習(xí)如何確定同一 ISP 擁有的不同網(wǎng)段是否也是惡意的。然而，使用 ISP 完成這項(xiàng)任務(wù)的一個(gè)挑戰(zhàn)是，用戶(hù)在檢測(cè)時(shí)并不總是能得到這些信息。為了解決這個(gè)問(wèn)題，開(kāi)發(fā)者訓(xùn)練了一個(gè)模型來(lái)將 IP 映射到 ISP，并且使用輸出的附加功能來(lái)訓(xùn)練 IP 檢測(cè)模型，與單獨(dú)使用 IP 地址相比，改進(jìn)了結(jié)果。圖 2 顯示了模型對(duì) IP 空間的理解，其中每個(gè) IP 地址根據(jù)其各自的 ISP 進(jìn)行著色。在訓(xùn)練之前，該模型無(wú)法很好地區(qū)分來(lái)自一個(gè) ISP 和另一個(gè) ISP 的 IP，但在訓(xùn)練之后，你會(huì)看到更明顯的分離。

一個(gè)可視化的ip和他們各自的isp經(jīng)過(guò)模型訓(xùn)練，每個(gè)點(diǎn)代表一個(gè)IP地址，點(diǎn)的顏色表示IP屬于哪個(gè)ISP。在培訓(xùn)之前，模型在IP方面對(duì)ISP空間的理解并沒(méi)有真正的區(qū)別。但是，經(jīng)過(guò)培訓(xùn)后，基于它們所屬的ISP，會(huì)有不同的IP地址集群

使用這些模型，可以更清晰地可視化 IP 空間并發(fā)現(xiàn)惡意 IP 組，不會(huì)隨著時(shí)間的推移有任何“冷卻”期。使用數(shù)據(jù)驅(qū)動(dòng)的 AI 模型將這些 IP 分配給一組良性或惡意活動(dòng)，可以更好地檢測(cè)前所未見(jiàn)的 IP。

IP 地址的模型檢測(cè)，分?jǐn)?shù)基于 IP 為惡意的可能性

【來(lái)來(lái)來(lái)，領(lǐng)取網(wǎng)絡(luò)安全學(xué)習(xí)資料啦！！！】

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專(zhuān)家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的Sophos将AI技术用于预防恶意IP的安全解决方案中的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。