互聯(lián)網(wǎng)域間路由監(jiān)測與異常分析技術(shù).pdf

1、隨著互聯(lián)網(wǎng)規(guī)模逐漸擴大，域間路由安全問題日益加劇。近年來國內(nèi)外已經(jīng)發(fā)生多起路由安全事件，對整個互聯(lián)網(wǎng)也造成很大影響。BGP作為互聯(lián)網(wǎng)的核心路由協(xié)議，其本身卻缺乏有效的安全機制，這使得互聯(lián)網(wǎng)域間路由安全面臨嚴峻挑戰(zhàn)。
　　現(xiàn)階段對路由安全問題的相關研究，主要包括路由安全協(xié)議拓展和域間路由監(jiān)測系統(tǒng)兩個方面。其中路由協(xié)議安全拓展目前難以得到有效部署，并且其實際應用價值有待評估，相對而言，域間路由監(jiān)測系統(tǒng)則是現(xiàn)階段域間路由安全問題的最有效

2、解決方法。本文在課題組原有RouSSeau路由監(jiān)測系統(tǒng)的基礎上，改進了路由檢測知識庫的構(gòu)建方法，基于MOAS產(chǎn)生的來源設計了新的前綴異常檢測方法，基于路徑異常的多種類型完善了路徑異常檢測算法。本文的主要工作及創(chuàng)新點如下：
　　1.提出更有效的路由檢測知識庫設計及構(gòu)建方法。IP-AS-ISP知識庫信息作為域間路由監(jiān)測系統(tǒng)的核心知識，其信息的準確性直接影響到監(jiān)測系統(tǒng)檢測結(jié)果的準確性。由于在分配IP地址和AS號時注冊信息不完整，以及在實

3、際使用中存在復雜的商業(yè)關系，導致IP-AS-ISP之間關系的建立比較復雜。本文提出了一種基于空間一致性和時間穩(wěn)定性的IP-AS匹配算法，并根據(jù)互聯(lián)網(wǎng)AS的職能和規(guī)模對整個域間路由網(wǎng)絡的層次結(jié)構(gòu)進行劃分，最后通過整合互聯(lián)網(wǎng)中的注冊信息、ISP提供的準確信息以及分析路由表得到的實際信息，分別構(gòu)建了AS基本信息、IP-AS映射關系知識庫以及AS鄰居關系知識庫。
　　2.前綴異常的檢測及分析。前綴異常的檢測包括對路由表中的非法網(wǎng)絡前綴的檢

4、測以及多源AS（MOAS）現(xiàn)象的檢測。路由表中存在大量的MOAS現(xiàn)象，我們認為由網(wǎng)絡結(jié)構(gòu)或者 ISP的流量工程等原因產(chǎn)生不會影響網(wǎng)絡的可用性的 MOAS為合法 MOAS；由錯誤配置及攻擊行為產(chǎn)生的 MOAS現(xiàn)象為非法 MOAS。非法MOAS混雜在大量的合法MOAS現(xiàn)象之中，難以被發(fā)現(xiàn)。本文對多種前綴異?，F(xiàn)象進行深入分析，提出了一種通過空間宣告關系來檢測MOAS異常的方法，并從MOAS現(xiàn)象產(chǎn)生的原因及其行為特征出發(fā)，將MOAS現(xiàn)象進行合法

5、性分類以發(fā)現(xiàn)由攻擊行為產(chǎn)生的異常，最終減少其對網(wǎng)絡造成的危害。
　　3.路徑異常的檢測及分析。路徑異常主要分為兩大類，一類是明顯不應該出現(xiàn)在路由表路徑中的異常，此類異常包括非法AS異常以及路由環(huán)路異常等；另一類則是由錯誤配置或路徑劫持（中間人攻擊）而產(chǎn)生的路徑異常，包括路徑偽造、流量外泄等。無論是哪一類的路徑異常，都是互聯(lián)網(wǎng)中的安全隱患。本文在RouSSeau系統(tǒng)的基礎上設計路徑異常檢測模塊，針對各種路徑異常分別設計了檢測算法，并