在互聯(lián)網(wǎng)中，一個自治系統(tǒng)(AS)是一個有權(quán)自主地決定在本系統(tǒng)中應(yīng)采用何種路由協(xié)議的小型單位。這個網(wǎng)絡(luò)單位可以是一個簡單的網(wǎng)絡(luò)也可以是一個由一個或多個普通的網(wǎng)絡(luò)管理員來控制的網(wǎng)絡(luò)群體，它是一個單獨的可管理的網(wǎng)絡(luò)單元(例如一所大學(xué)，一個企業(yè)或者一個公司個體)。一個自治系統(tǒng)有時也被稱為是一個路由選擇域（routingdomain）。一個自治系統(tǒng)將會分配一個全局的唯一的號碼，有時我們把這個號碼叫做自治系統(tǒng)號（ASN）。通過自治系統(tǒng)號（ASN）預(yù)判攻擊發(fā)生的可能性是出于以下7個方面的考慮：

1.利用Akamai（一家網(wǎng)路安全公司）對互聯(lián)網(wǎng)趨勢和活動的廣泛了解，Akamai研究人員一直在分析自治系統(tǒng)號(ASN)，以評估大量互聯(lián)網(wǎng)的風(fēng)險。

2.ASN包含受管理的ISP、云計算公司、跨國集團以及小型組織的IP地址池。

3.這些ASN的各種特征（包括其注冊位置、提供商類型以及管理ASN中IP使用的策略）可能會影響攻擊者被發(fā)現(xiàn)使用這些ASN中的IP的可能性。

4.了解ASN的惡意性可以讓安全從業(yè)人員對任何給定IP的風(fēng)險做出更明智的預(yù)測，即使它不是已知的威脅。

5.惡意ASN更有可能包含用于托管網(wǎng)絡(luò)釣魚網(wǎng)站、惡意文件、僵尸網(wǎng)絡(luò)和掃描程序的IP?！翱赡艿膼阂狻盇SN表示遇到惡意IP的概率為七分之一或更高。

6.對流量的分析表明，“可能的惡意”ASN占所有在線IPv4地址的不到2%，但它們接收的互聯(lián)網(wǎng)流量超過5%。

7.此外，“潛在惡意”類別中的ASN在互聯(lián)網(wǎng)上所有IPv4地址中的占比不到5%，但它們接收的互聯(lián)網(wǎng)流量卻超過18%，這表明惡意和合法流量可以由同一個ASN提供服務(wù)。

IP智能化有很多用途：例如，防火墻或DNS查詢后阻止?；贗P預(yù)先確定“通過/不通過”的能力是一項重要的防御措施。

Akamai安全研究人員利用Akamai對在線流量的廣泛可見性，創(chuàng)建了在線ASN的全面映射，以評估惡意地址出現(xiàn)在ASN中的可能性。在這篇文章中，我們將詳細介紹ASN，以及ASN對風(fēng)險評估可能產(chǎn)生的影響。我們還將檢查惡意ASN等。

風(fēng)險評估現(xiàn)狀

由于動態(tài)IP、CDN和托管服務(wù)的存在，基于IP的阻止可能是非常危險。個人和組織可能會受到不同程度的影響。例如，錯誤地屏蔽一個社交媒體網(wǎng)站的IP可能只會讓一名員工感到無所適從，影響正常工作。

在更大的范圍內(nèi)，阻止來自CDN或托管服務(wù)的單個IP可能會導(dǎo)致阻止數(shù)千個網(wǎng)站。我們以白名單的形式提供保護以避免這些極端情況，但必須要注意，某些用例可能會優(yōu)先考慮更廣泛的威脅保護而不是誤報。綜上所述，此種策略的弊端太大。

不過Akamai可以通過大量數(shù)據(jù)輸入來解決上述弊端，例如：

Akamai Intelligent Edge Platform上通過IP發(fā)起的攻擊；

每天來自數(shù)十億次DNS查詢的檢測；

IP流行度源自每天數(shù)十億的DNS查詢；

其他形式的內(nèi)部和第三方情報；

有多個來源，包含數(shù)百萬IP的正面(合法IP)和負面(惡意IP)證據(jù)。我們需要結(jié)合這些資源為每個IP創(chuàng)造一個分?jǐn)?shù)。為此，我們采用貝葉斯方法，其復(fù)雜性在于確定每個源的權(quán)重。這樣做的目的是建立一個更全面的風(fēng)險評估，考慮到不同的來源。分?jǐn)?shù)越高，負面證據(jù)就越多。分?jǐn)?shù)越低，惡意證據(jù)就越少，或者正面和負面證據(jù)混合在一起。根據(jù)應(yīng)用程序的不同，可以選擇一個閾值來實現(xiàn)誤報和真實所需的平衡。這比典型的基于IP的風(fēng)險評估更進了一步，在這種評估中，了解ASN的力量及其可能產(chǎn)生的影響勢在必行。

什么是自治系統(tǒng)？

簡而言之，自治系統(tǒng)就是互聯(lián)網(wǎng)的構(gòu)建方式。每個自治系統(tǒng)都映射到一個數(shù)字，因此我們通常說ASN（自治系統(tǒng)號）。每個ASN都有一個IP池，每個ASN負責(zé)使用邊界網(wǎng)關(guān)協(xié)議(BGP)在其網(wǎng)絡(luò)內(nèi)路由流量并通過Internet與其他ASN通信。

在這篇文章中，我們只聚焦IPv4，其中包括大約7萬個自主系統(tǒng)。

ASN可以以不同的方式進行分類，以了解它們在互聯(lián)網(wǎng)上的位置。例如，“從多個優(yōu)勢點描述互聯(lián)網(wǎng)層次結(jié)構(gòu)https://ieeexplore.ieee.org/abstract/document/1019307”查看BGP表，從商業(yè)角度對ASN的角色進行分類?！笆褂蒙疃葘W(xué)習(xí)揭示自治系統(tǒng)之間的關(guān)系類型https://ieeexplore.ieee.org/document/9110358”使用深度學(xué)習(xí)來理解ASN之間的關(guān)系類型。要了解ASN背后的組織，我們可以查看“揭示自治系統(tǒng)分類法：機器學(xué)習(xí)方法https://arxiv.org/abs/cs/0604015”，它試圖將ASN自動分類為大型ISP、小型ISP、大學(xué)、互聯(lián)網(wǎng)交換點和網(wǎng)絡(luò)信息中心。最近，在“BGP2Vec：揭示自治系統(tǒng)的潛在特征https://ieeexplore.ieee.org/abstract/document/9761992”中使用了word2Vec樣式的模型，將ASN分類到應(yīng)用互聯(lián)網(wǎng)數(shù)據(jù)分析中心的交通/訪問、內(nèi)容、教育/研究和企業(yè)類別中。

ASN大小

讓我們看看前10個最大的ASN的IPv4地址池大?。ū?）。最大的ASN歸美國國防部網(wǎng)絡(luò)信息中心所有。名單上的其他公司包括大型ISP、云計算公司和跨國企業(yè)集團。我們排除了ASN 0，因為它是用來識別不可路由網(wǎng)絡(luò)的。

按IPv4地址池大小排列的前10個最大的ASN

下圖進一步顯示了這10個ASN的影響。前10個ASN約占分配的IPv4地址空間的25%。相比之下，只有16%的IPv4地址空間分配給前1000個之外的69000個ASN，因此互聯(lián)網(wǎng)流量中存在類似于域或IP的ASN的長尾。這是分配給相對較小百分比的大量互聯(lián)網(wǎng)。這是我們在確定有效的ASN風(fēng)險評估時必須考慮多個數(shù)據(jù)輸入的部分原因。正如你將在本文后面了解到的那樣，并非所有ASN都是平等的。

ASN IPv4地址池大小占全部IPv4地址池的百分比

地理位置

位置在真正理解ASN方面也起著重要作用。為了詳細說明這一點，我們構(gòu)建了一個散點圖，其中包含與每個國家/地區(qū)關(guān)聯(lián)的ASN數(shù)量與這些ASN的IP池大小的關(guān)系。

與每個ASN關(guān)聯(lián)的國家與這些ASN的IP池大小

在前10大ASN中，美國有6個，在IP總數(shù)和ASN總數(shù)方面均領(lǐng)先。緊隨美國之后的是：巴西、英國、丹麥、印度和俄羅斯。繼續(xù)向左移動一點，我們可以看到中國、日本和韓國的ASN數(shù)量要少得多，但其數(shù)量比巴西和俄羅斯等國要多。考慮到我們所知道的前1000名ASN和其他69000名之間的差距，當(dāng)遇到某個國家的IP并為其創(chuàng)建風(fēng)險評估時，可能會面臨一些獨特的挑戰(zhàn)。

例如，對于ASN數(shù)量較少但IP較多的國家/地區(qū)，惡意IP更有可能與合法IP在同一個ASN中，這意味著在僅基于ASN的阻止時可能更難以避免誤報。使用Akamai DNS數(shù)據(jù)，我們看到與中國ASN相關(guān)的所有已解析IP均來自383個ASN，而俄羅斯則為2311個。因此，在中國和俄羅斯阻止ASN的影響，就不能采用同一種方法了。例如，在中國屏蔽整個ASN會占用整個互聯(lián)網(wǎng)部分，而在俄羅斯屏蔽整個ASN會占用更少的資源。這就是為什么我們不能完全避免僅僅基于IP的風(fēng)險評估，以及為什么我們在創(chuàng)建接下來討論的ASN風(fēng)險評估時必須考慮到了這一點。

ASN風(fēng)險評估

我們對ASN信譽的定義很簡單：一個ASN的信譽衡量的是該ASN中任何給定的活躍IP被惡意攻擊的概率。

為了計算這個概率，我們擴展了貝葉斯方法，如前所述，將每個IP的分?jǐn)?shù)和權(quán)重向上輸入到它們所屬的ASN。Akamai數(shù)據(jù)用于估計ASN中活躍IP的數(shù)量。當(dāng)我們對每個ASN的多個IP進行聚合時，我們希望我們的ASN信譽計算能夠受益于大數(shù)定律，從而計算出最準(zhǔn)確的風(fēng)險評估。例如，如果一個ASN有兩個IP，有30%的幾率是惡意的，那么兩個IP都是惡意的幾率都很高，因此可以評估ASN本身是沒有惡意的。這與擁有1000個IP的ASN形成了鮮明的對比，所有的惡意可能性為30%。在這種情況下，可以推斷出該ASN中30%的IP實際上是惡意的，這使得它們比第一個示例中明顯更危險。

跟蹤我們不知道的內(nèi)容以及我們數(shù)據(jù)中存在的偏差非常重要。將會有我們擁有大量數(shù)據(jù)的ASN，以及數(shù)據(jù)很少的ASN。為了盡可能地解決這個問題，我們需要記錄證據(jù)數(shù)量，它反映了我們擁有的數(shù)據(jù)量，也可用于計算可能的ASN風(fēng)險評估值的分布。從本質(zhì)上講，我們認為是良性的IP與我們知道是良性的IP（甚至是我們知道是惡意的IP）之間存在顯著差異。當(dāng)我們擁有較少的數(shù)據(jù)時，我們可能會假設(shè)風(fēng)險評估較低，但在這種情況下，我們也會記錄較低的證據(jù)數(shù)量以將結(jié)果置于上下文中。在做出有關(guān)ASN的決定時，應(yīng)使用這兩個數(shù)字。

ASN風(fēng)險評估情況

下圖顯示了根據(jù)池大小的日志繪制的每個ASN的風(fēng)險評估。我們看到，隨著風(fēng)險評估越來越差，ASN的池規(guī)模不太可能大。為了更容易理解這些信息，我們將ASN信譽分為四組：

良性：ASN內(nèi)部發(fā)生惡意活動的幾率極低；

可能是良性的：主要是良性的，ASN內(nèi)發(fā)生惡意活動的可能性相對較低；

潛在惡意：應(yīng)謹(jǐn)慎行事，大部分是良性的，但可以檢測到一些惡意活動；

可能惡意：應(yīng)謹(jǐn)慎或避免，惡意活動與良性的比率表明ASN主要是惡意的或?qū)阂饣顒尤狈ψ銐虻目刂啤?/p>

針對IP地址池大小繪制的每個ASN的風(fēng)險評估

IPv4地址空間排名前10位的ASN都位于上圖右下角。這意味著他們大多數(shù)都有良好的信譽，只有少數(shù)例外。圖中突出顯示了異常值的ISP、移動網(wǎng)絡(luò)運營商(MNO)和托管服務(wù)提供商。與類似的大型ASN相比，它們具有更高的風(fēng)險評估。數(shù)據(jù)顯示，這是由各種威脅類型驅(qū)動的。似乎有一些潛在的因素使這些ASN的風(fēng)險更高。我們還必須記住，與這些非常大的ASN相比，惡意活動的相對數(shù)量很小，較小的ASN風(fēng)險更大。

上圖出現(xiàn)的Akamai ASN都具有“良性”風(fēng)險評估。但是，是什么讓一個CDN比另一個更具風(fēng)險呢？這可能是因為攻擊者的進入門檻較低，例如監(jiān)控效果較差或控制較少。

我們還在上圖中突出了兩組總共13個ISP/MNOASN，可以看出它們的風(fēng)險評估明顯更高。當(dāng)我們更深入地觀察時，我們大多會看到來自這些ASN的僵尸網(wǎng)絡(luò)和掃描活動的混合。我們可以推測這些ASN更容易受到惡意軟件感染。

當(dāng)我們繼續(xù)向圖的左上角移動時，我們會看到ASN長尾中具有各種威脅類型的風(fēng)險部分。通常，我們會看到IP地址被用于托管惡意活動，如釣魚網(wǎng)站、惡意文件或掃描程序。在某些情況下，我們能夠看到TOR網(wǎng)絡(luò)出口節(jié)點，這可能是惡意活動的代理。

在線流量中的風(fēng)險ASN

到目前為止，我們已經(jīng)從IP空間的角度查看了ASN風(fēng)險評估，但是從在線流量角度來看，有風(fēng)險的ASN出現(xiàn)的頻率是多少？下圖中顯示了一天中Akamai DNS流量的變化，其中包含大約600億次查詢?？偣?6.6%的查詢來自“良性”和“可能良性”類別的ASN，18.1%來自“潛在惡意”類別，進一步強調(diào)合法和非法服務(wù)可以從同一個ASN運行。這些DNS查詢中共有5.3%解析為來自ASN的IP，其風(fēng)險評估屬于“可能惡意”類別，這表明在高度鎖定的用例中，基于ASN的阻止的潛力在于識別真正的風(fēng)險而不是避免誤報。

一天中Akamai DNS流量的變化

采取IP來預(yù)測攻擊風(fēng)險就是要精準(zhǔn)控制，即精度是最大的問題，希望盡量減少被阻止的合法服務(wù)的數(shù)量。在其他情況下，例如，在高度控制的環(huán)境中，減少誤報的比率很重要。

在沒有ASN信譽背書的情況下，我們在查看證據(jù)之前的假設(shè)是，所有IP都是合法的。ASN信譽解鎖了對這些先前假設(shè)采取分層方法的能力。如果該IP的ASN非常糟糕，這可以作為我們預(yù)測攻擊風(fēng)險發(fā)生的起點，我們可以在收集更多證據(jù)時更新我們的數(shù)據(jù)。ASN中其他IP的得分會影響該IP的最終得分，并可能影響其是否被阻止。

阻止整個ASN

在高度鎖定的環(huán)境中，可能需要根據(jù)其信譽來阻止整個ASN。由于ASN的信譽是不斷評估的，這個列表不需要是靜態(tài)的。隨著信譽的下降，新的ASN將被自動添加。同樣，當(dāng)我們看到ASN威脅較小的證據(jù)時，可以放寬阻止。

總結(jié)

在討論風(fēng)險評估時，總會存在細微差別，但ASN風(fēng)險評估有可能徹底改變安全行業(yè)。就像安全的所有其他方面一樣，沒有靈丹妙藥，每個組織都必須做出最適合其環(huán)境的決策。但是，超越僅基于IP的風(fēng)險評估方法的能力允許在你的允許列表和阻止列表中采用更主動的防御模型。

本文翻譯自：https://www.akamai.com/blog/security/determining-malicious-probabilities-through-asns如若轉(zhuǎn)載，請注明原文地址