AIはIoTベースのDDoS攻撃を阻止できる

研究者らによると、人工知能はインターネットサービスプロバイダー（IPS）がDDoS攻撃に先手を打つのに役立つ可能性があるという。

[[337427]]

シンガポール国立大学とイスラエルのネゲブ・ベングリオン大学による研究結果は、査読付き学術誌「コンピューターとセキュリティ」で新たなアプローチを示唆している。このアプローチでは、機械学習を使用して、ボットネットを使用して DDoS 攻撃を仕掛けるハッカーにとって魅力的なターゲットとなる脆弱なスマートホーム デバイスを検出します。

機械学習検出器は顧客のプライバシーを侵害せず、侵害されていない場合でも脆弱なデバイスを正確に特定できます。

NATルーターの背後にあるデバイスを検出する

ベングリオン博士と研究チームリーダーのヤイル・メイダン氏はメディアに対し、「私の知る限り、通信会社はトラフィックを監視しており、DDoS攻撃は実行された後にしか検知できないため、手遅れになる可能性がある」と語った。

「対照的に、私たちのアプローチは、IoTデバイスが侵害され、そのような攻撃に使用される前に、潜在的に脆弱なデバイスを検出する手段を提案しています。

「これらの潜在的に有害なデバイスが検出されると、リスクを軽減するための措置を講じることができます。」

スマート監視カメラ、スマート電球、スマート冷蔵庫、スマートベビーモニターなどの家庭用 IoT デバイスはセキュリティ面での評判が悪く、DDoS 攻撃によく利用されることはよく知られています。

同時に、ほとんどの顧客は、スマートホームデバイスを保護したり、感染したデバイスがないかネットワークを監視したりするための技術的な知識やスキルを持っていません。これにより、脆弱な IoT デバイスを検出する負担が ISP の肩にかかることになります。

メイダン氏は、このプロジェクトのアイデアは、IoT関連のDDoS攻撃によりインフラが深刻な危険にさらされていた通信会社から生まれたものだと述べたが、その会社の名前は明かさなかった。

脆弱なスマートホームデバイスを検出する際の主な課題の 1 つは、これらのデバイスがネットワーク アドレス変換 (NAT) ルーターの背後に隠れており、ホーム ネットワークの外部でパブリック IP アドレスを共有しているため、通信会社がそれらを区別することが難しいことです。

解決策の 1 つは、ディープ パケット インスペクション (DPI) を使用することです。しかし、DPI は計算コストが高く、ISP の顧客のプライベートな通信を危険にさらします。

また、インターネット トラフィックのほとんどはすでに暗号化されているため、通信会社が顧客のホーム ネットワーク内に監視装置を設置するなど、よりプライバシーを侵害するアプローチを取らない限り、DPI はほぼ不可能になります。

ベングリオン氏とNUSの研究者は、パケット検査の代わりに、ルータの送信トラフィックの統計分析を実行することでNATデバイスを識別するために教師あり機械学習を使用しました。

機械学習モデルのトレーニングと展開

提案された方法では、脆弱な家庭用 IoT デバイスのソースとして CVE および NVD リストを使用します。検出器を作成するために、通信会社はラボのホームネットワークをセットアップし、そこにさまざまな IoT デバイスと非 IoT デバイスをインストールする必要がありました。ネットワークには脆弱な IoT デバイスのインスタンスも含まれています。

機械学習検出器は、ルーターから収集された NetFlow データに基づいてトレーニングされ、脆弱な IoT デバイスの既知のパターンを検出します。

つまり、検出器はルーターの送信トラフィックを監視し、その背後に既知の種類の脆弱な IoT デバイスがあるかどうかを通知します。

このモデルは通常のネットワーク トラフィックでトレーニングされているため、侵害されておらず、悪意のあるアクティビティを行っていない場合でも、脆弱なデバイスを検出できます。

図 - 人工知能はDDoS攻撃の防御に活用できる

ラボを設置し、機械学習モデルをトレーニングするには、通信会社に数千ドルの費用がかかります。しかし、そのコストはDDoS攻撃による影響に比べれば大幅に低いとメイダン氏は指摘した。

「このような攻撃はインターネットサービスの中断を引き起こす可能性が高く、顧客喪失につながり、通信会社の評判や、ますます重要になっているQoE（体感品質）指標で他の通信会社と競争する能力に長期的な損害を与える可能性がある。」

コストを削減するために、通信会社は「IoT モデルの小規模だが効果的なサブセット、つまりボットネット感染の影響を受けやすく、インストールベースが最も大きい特定の IoT モデルで検出器をトレーニングできる」とメイダン氏は述べた。

トレーニング済みの検出器モデルは、Raspberry Pi などの低コストのコンピューターで実行できるため、顧客のホームルーターと光ネットワーク端末の間にローカル検出器をインストールする分散展開モデルが可能になります。

脆弱なデバイスが特定されると、通信会社はトラフィックのルートを変更したり、仮想パッチを適用したり、顧客に適切な措置を取るよう通知したりすることができます。

図2: 脆弱な家庭用機器の特定に役立つ低コストのオプション

「さまざまなメーカーのさまざまな IoT モデルに評価範囲を広げ、この手法の敵対的攻撃に対する耐性を評価する予定です」とメイダン氏は述べた。研究者らは、スマート ホーム デバイスだけでなく他の領域にも研究範囲を広げることを検討している。このアプローチは実行可能かつ有益である可能性があります。