域间路由异常检测技术研究

摘要

cqvip:由于BGP协议设计的缺陷,互联网域间路由系统面临着前缀劫持、路径篡改和路由泄露等严重安全问题。目前相关路由异常检测系统通常利用路由消息和数据流量的异常特征进行检测。但是由于网络环境瞬息变化,路由攻击形式变化多样,高效精确定位异常事件成为难点。文章通过对海量真实域间路由数据的分析可知,路由变化呈现幂律性,即绝大多数的源目对之间的路由是稳定的,极少部分源目对之间的路由是会频繁变化的。基于该观测结果,文章提出一种通过对比路由行为与正常模型的偏差检测异常路由行为的检测方法,并对互联网上真实发生的Google意外劫持日本网络前缀事件进行了检测验证。该方法可对路由异常事件检测、分析提供有力支撑,对提高异常事件的快速反应具有重要意义。