面向企業(yè)用戶的域間路由安全監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)變得越來(lái)越復(fù)雜多變。近年來(lái)，尤其是針對(duì)互聯(lián)網(wǎng)企業(yè)應(yīng)用與服務(wù)的域間路由的安全事件越發(fā)凸顯，造成巨大經(jīng)濟(jì)損失和社會(huì)影響，域間路由安全面臨前所未有的挑戰(zhàn)。
　　目前，域間路由異常監(jiān)測(cè)系統(tǒng)不更改路由器現(xiàn)有BGP（Border Gateway Protocol）路由協(xié)議，而且便于部署，已成為實(shí)際應(yīng)用的域間路由安全解決方案。我們課題組研發(fā)的Rousseau系統(tǒng)側(cè)重于國(guó)家層面進(jìn)行路由異常監(jiān)測(cè)，目前在國(guó)家骨干網(wǎng)絡(luò)路由安

2、全監(jiān)測(cè)過(guò)程中發(fā)揮了重要作用。然而，面對(duì)日益受到域間路由安全威脅的互聯(lián)網(wǎng)企業(yè)來(lái)講，其較少或較小的網(wǎng)絡(luò)前綴卻難以得到保護(hù)。因此，本文在Rousseau系統(tǒng)研究成果的基礎(chǔ)上，站在互聯(lián)網(wǎng)企業(yè)用戶的角度，從特定AS（Autonomous System）和特定前綴兩個(gè)方面對(duì)路由更新進(jìn)行實(shí)時(shí)檢測(cè)和深度分析，及時(shí)發(fā)現(xiàn)路由異常和攻擊行為并預(yù)警。本文主要開展了以下工作：
　　1.面向企業(yè)用戶的域間路由安全監(jiān)測(cè)系統(tǒng)進(jìn)行了總體設(shè)計(jì)，包括監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)、系統(tǒng)

3、功能模塊和數(shù)據(jù)結(jié)構(gòu)的設(shè)計(jì)。其中，系統(tǒng)功能模塊主要對(duì)數(shù)據(jù)采集、知識(shí)庫(kù)構(gòu)建、異常檢測(cè)、異常驗(yàn)證和視圖展示等模塊進(jìn)行了設(shè)計(jì)，數(shù)據(jù)結(jié)構(gòu)主要包括知識(shí)庫(kù)、異常庫(kù)和企業(yè)用戶信息庫(kù)的設(shè)計(jì)。
　　2.提出了更加準(zhǔn)確的知識(shí)庫(kù)結(jié)構(gòu)設(shè)計(jì)和更加高效的知識(shí)庫(kù)構(gòu)建方法。域間路由安全監(jiān)測(cè)系統(tǒng)是基于先驗(yàn)知識(shí)進(jìn)行的路由異常檢測(cè)，因此知識(shí)庫(kù)的準(zhǔn)確性及構(gòu)建的效率直接影響著路由異常檢測(cè)的準(zhǔn)確性。本文改進(jìn)了AS基本信息、AS鄰接關(guān)系、AS層次關(guān)系、AS-IP對(duì)應(yīng)關(guān)系提取算法

4、，提出了一種基于時(shí)空可信度的AS商業(yè)關(guān)系推斷算法，增加了企業(yè)用戶信息庫(kù)，更新并構(gòu)建了知識(shí)庫(kù)。
　　3.提出了基于繞行路徑的異常檢測(cè)方法并進(jìn)行了聚類分析。路徑異常是一類針對(duì)AS-PTH屬性所進(jìn)行的惡意攻擊，不容易被發(fā)現(xiàn)。研究發(fā)現(xiàn)在路由表中存在大量路徑繞行的現(xiàn)象，因此本文對(duì)繞行路徑作了定義，并根據(jù)路徑繞行的行為方式將繞行路徑的表現(xiàn)形式分為連續(xù)重復(fù)AS、環(huán)路、繞鄰居AS、繞國(guó)、繞境、繞跨國(guó)企業(yè)；提出了基于繞行路徑的異常檢測(cè)方法及流程，該