信息化觀察網(wǎng)

雖然黑客攻擊的形勢極變得極其其復(fù)雜和多樣化，但幾乎所有攻擊都在攻擊的某個階段涉及與互聯(lián)網(wǎng)的通信。這種通信可能包括攻擊者傳輸惡意載荷以進(jìn)行初始訪問、勒索軟件與命令和控制通信以交換加密密鑰，或間諜工具將敏感信息泄露到共享站點。

這些通信要么以需要解析為IP地址的主機(jī)名開頭，要么以IP地址直接開頭，不管哪種情況，IP地址最終都是通信的標(biāo)識符。簡單地說，IP地址是一個數(shù)字標(biāo)簽，分配給每一個連接到使用互聯(lián)網(wǎng)的網(wǎng)絡(luò)的設(shè)備。就像到你家的地址一樣，IP地址提供信息，幫助互聯(lián)網(wǎng)上的路由協(xié)議找到目的地。

顯然，并非所有與互聯(lián)網(wǎng)的交流都是惡意的，例如你最喜歡的社交媒體網(wǎng)站。社交媒體網(wǎng)站托管在IP地址上，你可以瀏覽不同的個人資料并與他們互動。你從朋友的帖子中點擊的新聞文章會解析并重定向到從不同站點提供內(nèi)容的IP。一些IP地址運(yùn)行多個并發(fā)服務(wù)，或者可以為來自完全不同的內(nèi)容所有者的多個不同站點提供內(nèi)容。一些相同的內(nèi)容可以從多個不同的IP地址獲得。這些動態(tài)使得區(qū)分無用的IP地址與無害的IP地址成為所有安全供應(yīng)商都承擔(dān)的一項艱巨任務(wù)。

IP解析

IP地址的開頭是目標(biāo)網(wǎng)絡(luò)的位置，稱為網(wǎng)絡(luò)前綴，結(jié)尾是該網(wǎng)絡(luò)上設(shè)備的位置，稱為主機(jī)ID。網(wǎng)絡(luò)前綴的格式是使用一個斜杠(“/”)字符后跟一個十進(jìn)制數(shù)字來表示引用網(wǎng)絡(luò)前綴的位數(shù)。例如:198.51.100.0/24有24位分配給網(wǎng)絡(luò)前綴，其余8位保留給主機(jī)地址，得到198.51.100.0~198.51.100.255屬于這個網(wǎng)絡(luò)的地址。子網(wǎng)是將較大的網(wǎng)絡(luò)劃分為較小的網(wǎng)絡(luò)。為了找到更小的網(wǎng)絡(luò)的目的地址，子網(wǎng)掩碼將IP地址分為網(wǎng)絡(luò)地址和主機(jī)地址。在圖1舉例中，子網(wǎng)掩碼表示報文首先路由到網(wǎng)絡(luò)地址172.16.2.0，然后路由到主機(jī)地址0.0.0.15。

IP地址細(xì)分

IP地址通常與其主機(jī)或提供商相關(guān)的物理基礎(chǔ)設(shè)施相關(guān)聯(lián)，更具體地說是互聯(lián)網(wǎng)服務(wù)提供商(ISP)。ISP是管理給定范圍的網(wǎng)絡(luò)前綴的組織。一些ISP可能會花費(fèi)大量精力來維護(hù)安全方面的高聲譽(yù)，而其他ISP（例如“防彈托管”提供商）可能會公開歡迎想要托管惡意內(nèi)容的客戶。了解ISP之間發(fā)生的各種攻擊級別經(jīng)常被忽視，但SophosAI已經(jīng)將這一領(lǐng)域應(yīng)用到他們的IP檢測框架中。

IP安全檢測存在的風(fēng)險

盡管這種技術(shù)很古老，也很簡單，但I(xiàn)P/域級別的阻止列表仍然是一種非常流行的防御惡意互聯(lián)網(wǎng)流量的方法。但是由于IP空間非常大，而且非常活躍，所以維護(hù)難度大，容易被繞過。屏蔽列表規(guī)避的一個例子是，路由到惡意位置的IP可以臨時或有條件地路由到良性內(nèi)容，而來自同一基礎(chǔ)設(shè)施的不同IP路由到原始惡意內(nèi)容。這種臨時變化稱為“冷卻”期，這通常會導(dǎo)致安全供應(yīng)商將IP聲譽(yù)從惡意轉(zhuǎn)變?yōu)榱夹?，允許它在未來再次用于惡意活動。

SophosAI希望脫離傳統(tǒng)的基于聲譽(yù)的系統(tǒng)，采用一種更容易維護(hù)、學(xué)習(xí)速度更快、不受任何“冷卻”期影響而對IP進(jìn)行分類的方法。為了做到這一點，開發(fā)者訓(xùn)練了一個模型，用新的IP地址表示，這些IP地址可以在公共注冊信息中找到，也可以從額外的AI方法中找到，這些人工智能方法使用IP的鄰域來填補(bǔ)空白。

新方法

SophosAI利用內(nèi)部的監(jiān)控工具收集了超過45萬個IP地址，這些IP地址托管使用內(nèi)部監(jiān)控工具標(biāo)記為惡意或良性的Web內(nèi)容。他們還從現(xiàn)有的反垃圾郵件列表中收集了超過40萬個與電子郵件活動相關(guān)的IP。SophosAI的數(shù)據(jù)科學(xué)家使用現(xiàn)有的關(guān)于IP地址空間如何分配給互聯(lián)網(wǎng)服務(wù)提供商(ISP)的知識來生成熱圖，將Web和垃圾郵件活動可視化，其中藍(lán)點代表良性活動，紅色代表惡意活動。有關(guān)如何生成這些圖的更多詳細(xì)信息，請閱讀更深入的SophosAI博客文章。

由ISP定義的塊組織的基于web的IP地址。藍(lán)點表示良性活動的IP地址，紅點表示惡意活動

由ISP定義的塊組織的基于垃圾郵件的IP地址。藍(lán)點表示參與良性活動的IP地址，而紅點表示惡意活動

科學(xué)家觀察到，存在明顯的惡意活動集群，并且一些ISP對惡意環(huán)境的貢獻(xiàn)與其擁有的IP空間的大小不成比例。

下一個挑戰(zhàn)便是以AI模型能夠理解的方式使用這些信息，考慮到這一挑戰(zhàn)，SophosAI開發(fā)了一種新的IP表示，它允許模型有效地評估IP地址本身以及可能從該IP地址生成的所有子網(wǎng)。這些子網(wǎng)可以映射到互聯(lián)網(wǎng)的高級結(jié)構(gòu)，表明哪些相關(guān)的IP地址集合是由單個組織控制的。為了進(jìn)一步使用與IP地址相關(guān)的物理基礎(chǔ)設(shè)施，將有關(guān)互聯(lián)網(wǎng)服務(wù)提供商(ISP)的信息添加到提供給檢測模型的特性集中。通過觀察IP空間的一個網(wǎng)段中的大量惡意活動，模型可以學(xué)習(xí)如何確定同一ISP擁有的不同網(wǎng)段是否也是惡意的。然而，使用ISP完成這項任務(wù)的一個挑戰(zhàn)是，用戶在檢測時并不總是能得到這些信息。為了解決這個問題，開發(fā)者訓(xùn)練了一個模型來將IP映射到ISP，并且使用輸出的附加功能來訓(xùn)練IP檢測模型，與單獨使用IP地址相比，改進(jìn)了結(jié)果。圖2顯示了模型對IP空間的理解，其中每個IP地址根據(jù)其各自的ISP進(jìn)行著色。在訓(xùn)練之前，該模型無法很好地區(qū)分來自一個ISP和另一個ISP的IP，但在訓(xùn)練之后，你會看到更明顯的分離。

一個可視化的ip和他們各自的isp經(jīng)過模型訓(xùn)練，每個點代表一個IP地址，點的顏色表示IP屬于哪個ISP。在培訓(xùn)之前，模型在IP方面對ISP空間的理解并沒有真正的區(qū)別。但是，經(jīng)過培訓(xùn)后，基于它們所屬的ISP，會有不同的IP地址集群

使用這些模型，可以更清晰地可視化IP空間并發(fā)現(xiàn)惡意IP組，不會隨著時間的推移有任何“冷卻”期。使用數(shù)據(jù)驅(qū)動的AI模型將這些IP分配給一組良性或惡意活動，可以更好地檢測前所未見的IP。

IP地址的模型檢測，分?jǐn)?shù)基于IP為惡意的可能性