Caracterização e Detecção de Sequestros de Prefixo na Internet

Adriano Bastos de Carvalho

Caracterização e Detecção de Sequestros de Prefixo na Internet

Detalhes bibliográficos
Ano de defesa:	2025
Autor(a) principal:	Adriano Bastos de Carvalho
Orientador(a):	Ronaldo Alves Ferreira
Banca de defesa:	Não Informado pela instituição
Tipo de documento:	Dissertação
Tipo de acesso:	Acesso aberto
Idioma:	por
Instituição de defesa:	Fundação Universidade Federal de Mato Grosso do Sul
Programa de Pós-Graduação:	Não Informado pela instituição
Departamento:	Não Informado pela instituição
País:	Brasil
Palavras-chave em Português:	Protocolo BGP, Segurança, Sequestro de prefixo, Inteligência Artificial Explicável
Link de acesso:	https://repositorio.ufms.br/handle/123456789/11447
Resumo:	The Border Gateway Protocol (BGP) lacks native security mechanisms, allowing malicious actors to manipulate route announcements or advertise prefixes they do not own. When an Autonomous System (AS) advertises a prefix it does not own, a prefix hijack occurs, which can render the legitimate AS unreachable, redirect traffic to steal information, or enable the misuse of the hijacked addresses (e.g., for sending spam). Some works propose solutions to this problem, such as RPKI, BGPSec, and ASPA, but these solutions have not yet been widely implemented to eliminate the issue. The first part of this work uses an extensive set of simulations with real data to characterize the vulnerability of 29 military networks to prefix hijacks, revealing that networks with higher connectivity and geographically distributed neighbors are less affected. The study also discusses possibilities for making the routing systems of these networks more robust. Recent research has employed machine learning to identify these hijacks, but the models are often black boxes and complex, making it challenging to determine whether they use the most appropriate features. The second part of this work applies eXplainable Artificial Intelligence (XAI) techniques to evaluate and improve a recently proposed prefix hijack detection model. From an analysis of the original model with 28 features, two reduced models were created with 11 and 5 features, respectively. These reduced models produce results with no statistical difference from the complete model but reduce processing time by over 31% (9 min per day) and total storage space required by more than 36% (970 MB in 160 days). When the results obtained by the reduced models using new links identified are evaluated, the 5-feature model proved to be 0.1152 more accurate than the original model, demonstrating the importance of proper feature selection. Evaluating the simulated hijacks of military networks, up to 77% of attacks may go undetected, even with the best available tool for detecting hijacks with forged origins. In addition to feature reduction, two approaches to improving the model are also presented: one assesses the impact on the model if it were possible to obtain new information to enhance the value of the bidirectionality feature, and the other examines the model’s results with a new training dataset. The first approach resulted in an increase in the F1-score for both classes, while the second improved the Matthews Correlation Coefficient (MCC) from -0.0530 to 0.3165.

Metadados do item

id	UFMS_6f3fb752c73a7f3464ceef7a8e224773
oai_identifier_str	oai:repositorio.ufms.br:123456789/11447
network_acronym_str	UFMS
network_name_str	Repositório Institucional da UFMS
repository_id_str
spelling	2025-02-20T22:03:27Z2025-02-20T22:03:27Z2025https://repositorio.ufms.br/handle/123456789/11447The Border Gateway Protocol (BGP) lacks native security mechanisms, allowing malicious actors to manipulate route announcements or advertise prefixes they do not own. When an Autonomous System (AS) advertises a prefix it does not own, a prefix hijack occurs, which can render the legitimate AS unreachable, redirect traffic to steal information, or enable the misuse of the hijacked addresses (e.g., for sending spam). Some works propose solutions to this problem, such as RPKI, BGPSec, and ASPA, but these solutions have not yet been widely implemented to eliminate the issue. The first part of this work uses an extensive set of simulations with real data to characterize the vulnerability of 29 military networks to prefix hijacks, revealing that networks with higher connectivity and geographically distributed neighbors are less affected. The study also discusses possibilities for making the routing systems of these networks more robust. Recent research has employed machine learning to identify these hijacks, but the models are often black boxes and complex, making it challenging to determine whether they use the most appropriate features. The second part of this work applies eXplainable Artificial Intelligence (XAI) techniques to evaluate and improve a recently proposed prefix hijack detection model. From an analysis of the original model with 28 features, two reduced models were created with 11 and 5 features, respectively. These reduced models produce results with no statistical difference from the complete model but reduce processing time by over 31% (9 min per day) and total storage space required by more than 36% (970 MB in 160 days). When the results obtained by the reduced models using new links identified are evaluated, the 5-feature model proved to be 0.1152 more accurate than the original model, demonstrating the importance of proper feature selection. Evaluating the simulated hijacks of military networks, up to 77% of attacks may go undetected, even with the best available tool for detecting hijacks with forged origins. In addition to feature reduction, two approaches to improving the model are also presented: one assesses the impact on the model if it were possible to obtain new information to enhance the value of the bidirectionality feature, and the other examines the model’s results with a new training dataset. The first approach resulted in an increase in the F1-score for both classes, while the second improved the Matthews Correlation Coefficient (MCC) from -0.0530 to 0.3165.O protocolo de roteamento BGP (Border Gateway Protocol) não possui mecanismos nativos de segurança, permitindo que atores maliciosos manipulem os anúncios de rota ou anunciem prefixos que não lhe pertencem. Quando um sistema autônomo (AS – Autonomous System) anuncia um prefixo que não lhe pertence, ocorre um sequestro de prefixo, o que pode deixar o AS legítimo inacessível, desviar o tráfego para roubo de informações ou permitir a utilização indevida dos endereços sequestrados (e.g., para envio de spam). Alguns trabalhos propõem soluções para esse problema, como RPKI, BGPSec e ASPA, mas essas soluções ainda não foram amplamente implementadas para eliminar o problema. A primeira parte deste trabalho utiliza um conjunto extensivo de simulações, com dados reais, para caracterizar a vulnerabilidade a sequestros de prefixo de 29 redes militares, revelando que redes mais conectadas e com vizinhos distribuídos geograficamente são menos afetadas. O estudo realizado também discute possibilidades para tornar os sistemas de roteamento dessas redes mais robusto. Trabalhos recentes utilizam aprendizado de máquina para identificar esses sequestros, mas os modelos são complexos e do tipo caixa-preta, tornando inviável determinar se utilizam as features mais adequadas. A segunda parte deste trabalho aplica técnicas de Inteligência Artificial Explicável (XAI) para avaliar e melhorar um modelo de detecção de sequestros de prefixo proposto recentemente. A partir de uma análise do modelo original com 28 features, foram criados dois modelos reduzidos com 11 e 5 features, que produzem resultados sem diferenças estatísticas do modelo completo, mas reduzem o tempo de processamento em mais de 31% (9 min por dia) e o espaço de armazenamento total necessário em mais de 36% (970 MB em 160 dias). Quando os resultados obtidos pelos modelos reduzidos com base em novos enlaces identificados são avaliados, o modelo de 5 features se mostrou mais preciso em 0,1152 em relação ao modelo original, demonstrando a importância da correta seleção de features. Analisando os sequestros simulados de redes militares, até 77% dos ataques podem passar despercebidos, mesmo com a melhor ferramenta disponível para detectar sequestros com origem forjada. Além da redução de features, duas abordagens que buscam melhorar o modelo também são apresentadas, uma verificando o impacto no modelo caso seja possível a obtenção de novas informações para incrementar os valores obtidos para uma das features de bidirecionalidade e outra verificando o resultado do modelo com uma nova amostragem para o treinamento. A primeira abordagem resultou em aumento no F1-score para ambas as classes e a segunda em aumento no MCC (Matthews Correlation Coefficient) do modelo de -0,0530 para 0,3165.Fundação Universidade Federal de Mato Grosso do SulUFMSBrasilProtocolo BGP, Segurança, Sequestro de prefixo, Inteligência Artificial ExplicávelCaracterização e Detecção de Sequestros de Prefixo na Internetinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisRonaldo Alves FerreiraAdriano Bastos de Carvalhoinfo:eu-repo/semantics/openAccessporreponame:Repositório Institucional da UFMSinstname:Universidade Federal de Mato Grosso do Sul (UFMS)instacron:UFMSORIGINALDissertação_Mestrado_Adriano_Bastos_final.pdfDissertação_Mestrado_Adriano_Bastos_final.pdfapplication/pdf1677457https://repositorio.ufms.br/bitstream/123456789/11447/-1/Disserta%c3%a7%c3%a3o_Mestrado_Adriano_Bastos_final.pdf5b29d6063ce4e1af21779038387224e1MD5-1123456789/114472025-02-20 18:03:27.791oai:repositorio.ufms.br:123456789/11447Repositório InstitucionalPUBhttps://repositorio.ufms.br/oai/requestri.prograd@ufms.bropendoar:21242025-02-20T22:03:27Repositório Institucional da UFMS - Universidade Federal de Mato Grosso do Sul (UFMS)false
dc.title.pt_BR.fl_str_mv	Caracterização e Detecção de Sequestros de Prefixo na Internet
title	Caracterização e Detecção de Sequestros de Prefixo na Internet
spellingShingle	Caracterização e Detecção de Sequestros de Prefixo na Internet Adriano Bastos de Carvalho Protocolo BGP, Segurança, Sequestro de prefixo, Inteligência Artificial Explicável
title_short	Caracterização e Detecção de Sequestros de Prefixo na Internet
title_full	Caracterização e Detecção de Sequestros de Prefixo na Internet
title_fullStr	Caracterização e Detecção de Sequestros de Prefixo na Internet
title_full_unstemmed	Caracterização e Detecção de Sequestros de Prefixo na Internet
title_sort	Caracterização e Detecção de Sequestros de Prefixo na Internet
author	Adriano Bastos de Carvalho
author_facet	Adriano Bastos de Carvalho
author_role	author
dc.contributor.advisor1.fl_str_mv	Ronaldo Alves Ferreira
dc.contributor.author.fl_str_mv	Adriano Bastos de Carvalho
contributor_str_mv	Ronaldo Alves Ferreira
dc.subject.por.fl_str_mv	Protocolo BGP, Segurança, Sequestro de prefixo, Inteligência Artificial Explicável
topic	Protocolo BGP, Segurança, Sequestro de prefixo, Inteligência Artificial Explicável
description	The Border Gateway Protocol (BGP) lacks native security mechanisms, allowing malicious actors to manipulate route announcements or advertise prefixes they do not own. When an Autonomous System (AS) advertises a prefix it does not own, a prefix hijack occurs, which can render the legitimate AS unreachable, redirect traffic to steal information, or enable the misuse of the hijacked addresses (e.g., for sending spam). Some works propose solutions to this problem, such as RPKI, BGPSec, and ASPA, but these solutions have not yet been widely implemented to eliminate the issue. The first part of this work uses an extensive set of simulations with real data to characterize the vulnerability of 29 military networks to prefix hijacks, revealing that networks with higher connectivity and geographically distributed neighbors are less affected. The study also discusses possibilities for making the routing systems of these networks more robust. Recent research has employed machine learning to identify these hijacks, but the models are often black boxes and complex, making it challenging to determine whether they use the most appropriate features. The second part of this work applies eXplainable Artificial Intelligence (XAI) techniques to evaluate and improve a recently proposed prefix hijack detection model. From an analysis of the original model with 28 features, two reduced models were created with 11 and 5 features, respectively. These reduced models produce results with no statistical difference from the complete model but reduce processing time by over 31% (9 min per day) and total storage space required by more than 36% (970 MB in 160 days). When the results obtained by the reduced models using new links identified are evaluated, the 5-feature model proved to be 0.1152 more accurate than the original model, demonstrating the importance of proper feature selection. Evaluating the simulated hijacks of military networks, up to 77% of attacks may go undetected, even with the best available tool for detecting hijacks with forged origins. In addition to feature reduction, two approaches to improving the model are also presented: one assesses the impact on the model if it were possible to obtain new information to enhance the value of the bidirectionality feature, and the other examines the model’s results with a new training dataset. The first approach resulted in an increase in the F1-score for both classes, while the second improved the Matthews Correlation Coefficient (MCC) from -0.0530 to 0.3165.
publishDate	2025
dc.date.accessioned.fl_str_mv	2025-02-20T22:03:27Z
dc.date.available.fl_str_mv	2025-02-20T22:03:27Z
dc.date.issued.fl_str_mv	2025
dc.type.status.fl_str_mv	info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv	info:eu-repo/semantics/masterThesis
format	masterThesis
status_str	publishedVersion
dc.identifier.uri.fl_str_mv	https://repositorio.ufms.br/handle/123456789/11447
url	https://repositorio.ufms.br/handle/123456789/11447
dc.language.iso.fl_str_mv	por
language	por
dc.rights.driver.fl_str_mv	info:eu-repo/semantics/openAccess
eu_rights_str_mv	openAccess
dc.publisher.none.fl_str_mv	Fundação Universidade Federal de Mato Grosso do Sul
dc.publisher.initials.fl_str_mv	UFMS
dc.publisher.country.fl_str_mv	Brasil
publisher.none.fl_str_mv	Fundação Universidade Federal de Mato Grosso do Sul
dc.source.none.fl_str_mv	reponame:Repositório Institucional da UFMS instname:Universidade Federal de Mato Grosso do Sul (UFMS) instacron:UFMS
instname_str	Universidade Federal de Mato Grosso do Sul (UFMS)
instacron_str	UFMS
institution	UFMS
reponame_str	Repositório Institucional da UFMS
collection	Repositório Institucional da UFMS
bitstream.url.fl_str_mv	https://repositorio.ufms.br/bitstream/123456789/11447/-1/Disserta%c3%a7%c3%a3o_Mestrado_Adriano_Bastos_final.pdf
bitstream.checksum.fl_str_mv	5b29d6063ce4e1af21779038387224e1
bitstream.checksumAlgorithm.fl_str_mv	MD5
repository.name.fl_str_mv	Repositório Institucional da UFMS - Universidade Federal de Mato Grosso do Sul (UFMS)
repository.mail.fl_str_mv	ri.prograd@ufms.br
_version_	1845882004296433664

Caracterização e Detecção de Sequestros de Prefixo na Internet

Registros relacionados