互联网域间路由监测与异常分析技术

摘要

随着互联网规模逐渐扩大，域间路由安全问题日益加剧。近年来国内外已经发生多起路由安全事件，对整个互联网也造成很大影响。BGP作为互联网的核心路由协议，其本身却缺乏有效的安全机制，这使得互联网域间路由安全面临严峻挑战。
　　现阶段对路由安全问题的相关研究，主要包括路由安全协议拓展和域间路由监测系统两个方面。其中路由协议安全拓展目前难以得到有效部署，并且其实际应用价值有待评估，相对而言，域间路由监测系统则是现阶段域间路由安全问题的最有效解决方法。本文在课题组原有RouSSeau路由监测系统的基础上，改进了路由检测知识库的构建方法，基于MOAS产生的来源设计了新的前缀异常检测方法，基于路径异常的多种类型完善了路径异常检测算法。本文的主要工作及创新点如下：
　　1.提出更有效的路由检测知识库设计及构建方法。IP-AS-ISP知识库信息作为域间路由监测系统的核心知识，其信息的准确性直接影响到监测系统检测结果的准确性。由于在分配IP地址和AS号时注册信息不完整，以及在实际使用中存在复杂的商业关系，导致IP-AS-ISP之间关系的建立比较复杂。本文提出了一种基于空间一致性和时间稳定性的IP-AS匹配算法，并根据互联网AS的职能和规模对整个域间路由网络的层次结构进行划分，最后通过整合互联网中的注册信息、ISP提供的准确信息以及分析路由表得到的实际信息，分别构建了AS基本信息、IP-AS映射关系知识库以及AS邻居关系知识库。
　　2.前缀异常的检测及分析。前缀异常的检测包括对路由表中的非法网络前缀的检测以及多源AS（MOAS）现象的检测。路由表中存在大量的MOAS现象，我们认为由网络结构或者 ISP的流量工程等原因产生不会影响网络的可用性的 MOAS为合法 MOAS；由错误配置及攻击行为产生的 MOAS现象为非法 MOAS。非法MOAS混杂在大量的合法MOAS现象之中，难以被发现。本文对多种前缀异常现象进行深入分析，提出了一种通过空间宣告关系来检测MOAS异常的方法，并从MOAS现象产生的原因及其行为特征出发，将MOAS现象进行合法性分类以发现由攻击行为产生的异常，最终减少其对网络造成的危害。
　　3.路径异常的检测及分析。路径异常主要分为两大类，一类是明显不应该出现在路由表路径中的异常，此类异常包括非法AS异常以及路由环路异常等；另一类则是由错误配置或路径劫持（中间人攻击）而产生的路径异常，包括路径伪造、流量外泄等。无论是哪一类的路径异常，都是互联网中的安全隐患。本文在RouSSeau系统的基础上设计路径异常检测模块，针对各种路径异常分别设计了检测算法，并通过多个检测点的协同检测提高了对路径异常检测的准确度。
　　此外，本文使用国外公共路由表对系统中的每个模块分别进行功能测试。测试结果表明，更新后的RouSSeau域间路由监测系统能够生成更加可靠的知识库信息，提高系统检测的准确性。

目录

声明

第一章 绪论

1.1 课题背景

1.2 BGP简介

1.3 域间路由安全相关工作

1.4 课题研究内容

1.5 本文组织结构

第二章 域间路由监测系统的知识库构建

2.1 知识库基本构建思路

2.2 AS邻居关系知识库构建

2.3 AS基本信息知识库构建

2.4 IP-AS映射关系知识库构建

2.5 本章小结

第三章 前缀异常的检测及分析

3.1 前缀异常概述

3.2 MOAS异常定义及产生原因

3.3 MOAS异常检测及分析方法

3.4 实验结果

3.5 本章小结

第四章 路径异常的检测及分析

4.1 路径异常的种类

4.2 路径异常的检测方法

4.3 实验结果及分析

4.4 本章小结

第五章 域间路由监测系统的设计与实现

5.1 监测系统架构

5.2 系统的模块设计及实现

5.3系统的功能测试

5.4 本章小结

第六章 结束语

6.1 工作总结

6.2 工作展望

致谢

参考文献

作者在学期间取得的学术成果