Internet è una rete composta dall'interconnessione di circa 70 mila reti più piccole, chiamate Autonomous System (AS), che possono essere aziende, università o provider di servizi Internet.
Per fare in modo che queste entità siano connesse, viene utilizzato il protocollo Border Gateway Protocol (BGP).
Gli AS sono identificati in BGP mediante un numero identificativo, chiamato AS Number (ASN), che viene assegnato dai Regional Internet Registries (RIR), organizzazioni che sovrintendono all'assegnamento delle risorse di Internet (IP e ASN) in una specifica area geografica.
La vita di un AS si manifesta quindi in due dimensioni distinte, quella amministrativa, gestita dai RIR, e quella operazionale, dettata dall'utilizzo effettivo dell'ASN in BGP.
Nonostante BGP sia da almeno 20 anni lo standard de facto per il routing globale, sia attacchi recenti a giganti dell'informatica, come Google o Amazon, sia studi accademici, hanno mostrato come il protocollo sia vulnerabile a diversi tipi di attività malevole.
L'obiettivo di questo progetto è di creare ASFocus, un nuovo sistema basato sull'intelligenza artificiale per rilevazione di eventi malevoli in BGP.
Rispetto ai sistemi attuali, ASFocus si distingue per l'utilizzo dell'intelligenza artificiale e nello sfruttamento di informazioni sia operazionali che amministrative.
Infatti, sebbene l'aspetto operazionale di BGP sia oggetto di diversi studi, l'aspetto amministrativo è rimasto largamente inesplorato.
Uno degli obiettivi principali del progetto consiste quindi nel costruire due nuovi dataset che consentano lo studio combinato delle vite amministrative e vite operazionali degli AS.
I due dataset saranno pubblici e aggiornati, fornendo uno strumento alla comunità per supportare studi più ampi che riguardano la sicurezza, le politiche e la gestione della rete.
Sebbene gli Autonomous Systems siano una risorsa infrastrutturale fondamentale di Internet, la loro dimensione amministrativa ha ricevuto scarso interesse nella comunità scientifica. L'unico studio che utilizza un approccio simile a questo progetto è stato condotto dal Reseaux IP Europeens (RIPE) nel 2005 [2]. In questo studio, gli autori correlano i dati amministrativi dei RIR contenuti nei file di delegazione con quelli BGP. Tuttavia, nel 2005 i file di delegazione erano stati introdotti da soltanto due anni, quindi i dati utilizzati per l'analisi sono molto limitati. ASFocus è il primo progetto che si pone come obiettivo un'analisi completa delle dimensioni amministrative e operazionali, utilizzando più di 17 anni di dati. Tramite questi dati sarà possibile creare la prima una tassonomia completa dei comportamenti che nascono dall'interazione tra BGP e le allocazioni. Inoltre, è l'unico progetto che renderà disponibili e aggiornati quotidianamente i due dataset creati. Come illustrato nel paragrafo precedente, alcuni studi come Testart et al [4] e Shapira et al [3] hanno utilizzato il machine learning per rilevare gli Autonomous Systems che portano avanti attacchi in BGP. Tuttavia, utilizzano feature che si basano soltanto sull'aspetto operativo di BGP, ignorando quello amministrativo.
L'inserimento di questa dimensione innovativa all'interno dell'analisi consente di fare un passo avanti importante rispetto allo stato dell'arte. Uno dei limiti dei progetti precedenti consiste nell'avere una visione olistica della vita dell'AS. Un AS viene infatti considerato malevolo anche se ha svolto attività illecite soltanto per una piccola parte della sua vita. In realtà, un singolo ASN può essere assegnato nel corso della sua vita a diverse organizzazioni, alcune delle quali possono sfruttarlo in maniera legittima altre invece per scopi malevoli. Prendendo in analisi la dimensione amministrativa, è possibile invece tracciare i cambi di organizzazione di ogni AS, e concentrarsi sulla rilevazione di specifiche organizzazioni malevole più che sulla rilevazione di AS malevoli.
Un'altra possibilità è quella di estrarre feature preziose, e finora mai utilizzate in lavori precedenti, che si estraggono dal paragone tra le due vite. Ad esempio, è possibile considerare se durante un attacco un AS è utilizzato in BGP senza essere allocato presso un RIR, oppure per quanto tempo un AS è stato utilizzato in BGP rispetto al suo tempo di allocazione.
Rispetto agli osservatori BGP già presenti, come Cisco BGPmon BGP Monitoring System (BGPmon) [5] e GRIP [1] del Center for Applied Internet Data Analysis della University of California San Diego (UCSD), il progetto ASFocus si propone di inserire due elementi innovativi: l'integrazione dei dati amministrativi con quelli operazionali e l'utilizzo di intelligenza artificiale invece di euristiche. Infatti, nessuno di questi progetti ha ancora inserito meccanismi di intelligenza artificiale al suo interno, e crediamo che questo progetto possa dare un'idea delle potenzialità dell'intelligenza artificiale in questa area.
Una volta terminato il lavoro, verrà scritto un paper che verrà inviato a una conferenza top-notch nel campo delle reti e sicurezza. Due possibili conferenze adatte a questo lavoro sono la ACM Internet Measurement Conference o la conferenza USENIX Security Symposium.
[1] Alberto Dainotti.Caida's bgp (hijacking) observatory, 2020. URL:https://www.caida.org/catalog/media/2020_caidas_bgp_hijacking_observator....
[2] Henk Uijterwaal Rene Wilhelm. Asn missing in action, Oct. 2005. URL:https://www.ripe.net/publications/docs/ripe-353.
[3] Tal Shapira and Yuval Shavitt. A deep learning approach for ip hijack detec-tion based on asn embedding. In Proceedings of the Workshop on NetworkMeets AI & ML, pages 35-41, 2020.
[4] Cecilia Testart, Philipp Richter, Alistair King, Alberto Dainotti, and DavidClark. Profiling bgp serial hijackers: capturing persistent misbehavior in the global routing table. In Proceedings of the Internet Measurement Conference, pages 420-434, 2019.
[5] He Yan, Ricardo Oliveira, Kevin Burnett, Dave Matthews, Lixia Zhang, andDan Massey. Bgpmon: A real-time, scalable, extensible monitoring system. In 2009 Cybersecurity Applications & Technology Conference for Homeland Security, pages 212-223. IEEE, 2009.