Visual Analytics Tool zur Untersuchung von Routing-Anomalien in Traceroutes

Das Routing im Internet ist aufgrund des unsicheren Designs des Border Gateway Protocol (BGP) anfällig für Angriffe. Eine mögliche Ausnutzung dieses unsicheren Designs ist das Hijacking von IP-Blöcken. Solche entführten IP-Blöcke können anschließend genutzt werden, um bösartige Aktivitäten von scheinbar legitimen IP-Adressen aus durchzuführen. In dieser Studie verfolgen und überwachen wir aktiv die Routen zu Spam-Quellen über mehrere aufeinanderfolgende Tage, nachdem wir eine Spam-Nachricht von einer solchen Quelle erhalten haben. Die eigentliche Herausforderung besteht jedoch darin, zwischen legitimen Routing-Änderungen und solchen zu unterscheiden, die mit systematischem Missbrauch in sogenannten Spam-Kampagnen zusammenhängen.

Um die Stärken menschlicher Urteilskraft und rechnerischer Effizienz zu kombinieren, präsentieren wir 2012 ein neuartiges Visual-Analytics-Werkzeug namens VisTracer. Dieses Werkzeug stellt die Analyseergebnisse unserer Anomalieerkennungsalgorithmen auf großen Traceroute-Datensätzen mithilfe mehrerer skalierbarer Darstellungen dar, um den Analysten dabei zu unterstützen, verdächtige Ereignisse und deren Beziehungen zu bösartigen Aktivitäten zu erkunden, zu identifizieren und zu analysieren. Insbesondere kommen pixelbasierte Visualisierungstechniken, neuartige glyphenbasierte Zusammenfassungsdarstellungen und eine Kombination temporaler Glyphen in einer Graphdarstellung zum Einsatz, um einen Überblick über Routenänderungen zu bestimmten Zielen im Zeitverlauf zu geben. Zur Evaluierung unseres Werkzeugs demonstrieren reale Fallstudien den Einsatz von VisTracer in der Praxis auf großskaligen Datensätzen.

Weitere Informationen zu dieser und verwandten Arbeiten finden sich in den folgenden Publikationen.