麻省理工学院（MIT）的研究人员利用机器学习模型识别出800多个可疑网络，发现了长期存在的边界网关协议（BGP）劫持行为。研究团队通过向算法提供多年来的网络操作记录和互联网网关数据，训练出了一个能够识别可疑网络的模型。

黑客通过操控路由流量，可以从自己的网络中获取情报或窃取凭证。研究人员借助全局路由表中的数据，识别出了一些关键特征，这些特征表明黑客正在劫持流量。其中一个显著特征是IP地址来自多个国家。正常情况下，很少有网络会包含来自其他国家的IP地址，但黑客则经常使用来自不同地区的地址。

该机器学习模型专注于互联网基础设施中的重要组成部分——边界网关协议（BGP）。BGP负责连接互联网的不同部分，黑客常常利用这一协议的漏洞，欺骗附近的网络认为发送数据包的最佳路径是经过自己控制的网络，从而劫持流量。

研究人员发现，当黑客试图实施IP劫持时，他们往往会使用多个地址块（网络前缀）。如果检测到多个IP地址块归属于同一来源，这表明有黑客正在尝试劫持流量。此外，地址块持续在线的时间也是一个重要的指标。通常，合法网络上的地址块平均活跃时间约为两年，而恶意地址块的平均存活时间只有大约50天。

这项研究的主要参与者Cecilia Testart是MIT计算机科学与人工智能实验室（CSAIL）的研究生。她在博客中指出，网络运营商通常对这类事件采取被动处理的方式，并且往往是逐个案例解决，这使得网络犯罪分子得以持续作案。

她提到：“这是首次系统性地揭露并防范一系列劫持行为的重要步骤。”

尽管边界网关协议（BGP）劫持是一个严重的问题，但由于网络运营商和网络安全专家常用BGP来缓解攻击，因此该机器学习模型并不完美，仍需要人工监督。例如，当一家公司遭受分布式拒绝服务攻击时，一种常见的缓解措施是通过BGP将攻击流量引导到错误的路径上。然而，这种操作与黑客的行为极为相似，难以区分。因此，大约20%的可疑识别实际上是由误报引起的。研究人员希望能将人工监督降到最低，并期望该模型很快能在实际环境中发挥作用。

阿卡迈技术公司的高级研究科学家David Plonka对MIT的研究给予了独立评价。他认为，这项工作展示了网络运营商可以退一步，从更长远的角度审视全球互联网路由，而不仅仅是关注短期事件。这个项目为防止此类滥用提供了很好的补充手段，包括过滤、反欺诈、通过联系数据库协同以及共享路由策略供其他网络验证等。

他总结道：“恶意网络是否还能继续伪装成合法网络还有待观察，但这项研究确实有助于验证或重新定向网络运营商结束当前风险的努力。”

Cecilia Testart的博客链接：https://news.mit.edu/2019/using-machine-learning-hunt-down-cybercriminals-1009