基于多平面的域间路由安全监测技术研究

论文摘要

伴随着社会的发展进步,互联网在人们的日常生活中发挥着越来越重要的作用,大量的应用服务在互联网上迅速推广,为人们的日常生活带来了便利。然而,作为互联网核心基础设施的域间路由系统却缺乏应有的安全机制,近年来发生的多起路由安全事件对互联网的安全稳定造成了严重的冲击,引起了业界的广泛关注。为了保障域间路由系统的安全和稳定,学术界提出了两种解决方案。一种解决方案是设计、开发和部署新的域间路由协议;另一种解决方案是对现行的域间路由系统进行安全监测。设计、开发和部署新的路由安全协议方案需要更新现有路由系统,耗费大量资源,因此没有获得推广应用。域间路由安全监测方案已经得到应用,然而现有的域间路由安全监测系统在方法上存在不足。为了满足国内对域间路由安全监测的迫切需求,我们设计并开发了域间路由安全监测系统。我们所开发的域间路由安全监测系统是基于控制平面进行路由监测,然而该系统在判断准确性、异常验证和遏制异常上仍存在一些不足。本文针对现有域间路由安全监测系统存在的不足,开展了基于多平面的安全监测研究。本文从知识平面、数据平面和管理平面出发,配合控制平面的异常检测,对现有域间路由安全监测系统进行了进一步完善,具体开展了以下工作。1.知识平面上,域间路由安全监测系统知识库在准确度和完善性上存在不足。本文基于系统采集到的路由表数据,提出了基于平方权值的宣告关系知识库构建方法,构建了较为完善的宣告关系知识库。经检验,采用该方法构建的宣告关系知识库准确度较高,易用性较好,并能及时检测发现大规模网络前缀劫持。2.数据平面上,域间路由安全监测系统检测发现了大量的路由异常,然而却缺乏在真实网络中对路由异常进行验证的功能。本文设计了基于traceroute的域间路由异常验证模块,同时针对部分与路径信息紧密相关的异常,采用Google Maps进行了地图展示。通过为系统增加异常验证模块,可以有效提高系统检测路由异常的可信度,并能实现重大路由异常事件的图形化验证。3.管理平面上,域间路由安全监测系统缺乏异常的反馈处理机制,只能将发现的异常通过网络页面展示,等待用户查看。本文实现了路由异常邮件反馈机制,可以将用户关注的异常有选择性地进行推送。本文初步测试了基于路由异常的路由器自动配置模块,该模块可以结合系统发现的路由异常,对控制范围内的路由器进行修复性设置。通过为系统部署异常反馈处理模块,大幅度提高了系统的实用性。本文所做的三个平面上的工作是相辅相成的,彼此构成一个整体。知识平面上构建的知识库可以用于实现异常验证;数据平面上异常验证确认了异常后,系统可以更好地实现管理平面上的异常处理;系统对异常处理结果进行统计分析,可以进一步完善知识平面上的知识库。本文所做的工作已经在我们BGP研究小组研发的域间路由安全监测系统上部署运行。从运行反馈情况上看,基于本文所提出的方法构建的知识库数据较为准确可靠,验证确认的路由异常易于被网络运营商接受,异常反馈方法也得到了网络管理者的认可。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 课题背景

1.2 域间路由基础

1.2.1 BGP 路由原理

1.2.2 BGP 路由属性

1.2.3 BGP 的特点

1.3 国内外研究现状

1.3.1 设计更可靠的域间路由安全协议

1.3.2 采取可靠的路由系统安全配置管理方案

1.3.3 开展域间路由系统安全监测

1.4 课题研究内容

1.4.1 知识平面上AS-IP 宣告关系知识库的构建

1.4.2 数据平面上路由异常的验证

1.4.3 管理平面上路由异常的反馈处理

1.5 论文结构

第二章域间路由安全监测系统

2.1 系统总体结构

2.2 知识库构建

2.2.1 自治系统知识库

2.2.2 前缀地址知识库

2.3 路由异常检测

2.4 系统展示

2.5 本章小结

第三章知识平面上AS-IP 知识库的构建

3.1 AS-IP 宣告关系序列化

3.2 基于稳定度构建AS-IP 知识库

3.2.1 常规权值计算

3.2.2 平方权值计算

3.3 利用AS-IP 知识库开展检测

3.4 AS-IP 知识库评估及应用

3.4.1 知识库数据有效性评估

3.4.2 知识库应用

3.5 本章小结

第四章数据平面上路由异常的验证

4.1 AS 路径异常

4.2 基于traceroute 的真实路径获取方法

4.2.1 基于traceroute 的路径探测方法简介

4.2.2 探测方法优化策略

4.3 基于路径匹配的异常验证方法

4.3.1 IP 地址到AS 路径的转换

4.3.2 真实IP 路径与异常AS 路径匹配算法

4.3.3 异常验证结果分析

4.4 基于Google Maps 的异常路径展示方法

4.4.1 Google Maps API

4.4.2 国内流量流经国外异常

4.4.3 异常路径的获取和聚合

4.4.4 使用Google Maps 进行地图展示

4.5 本章小结

第五章管理平面上路由异常的反馈与处理

5.1 路由异常的分类

5.2 路由异常邮件反馈

5.2.1 国际上主流监测系统管理平面工作概述

5.2.2 邮件地址列表生成和维护

5.2.3 路由异常反馈信息的生成

5.2.4 路由异常邮件反馈

5.3 路由器配置自动应用

5.3.1 路由器的配置方式

5.3.2 入侵检测系统与防火墙的联动

5.3.3 基于Expect 的路由器自动配置方法

5.4 本章小结

第六章域间路由安全监测系统的部署与运行监控

6.1 系统部署情况

6.2 系统运行状态监控

6.2.1 BGP 会话连通状态查看

6.2.2 服务器关键进程状态查看

6.2.3 服务器硬件使用状态查看

6.3 系统功能的测试

6.3.1 知识平面上AS-IP 宣告关系稳定度的构建

6.3.2 数据平面上路由异常的验证

6.3.3 管理平面上路由异常反馈

第七章结束语

7.1 工作总结

7.2 工作展望

致谢

参考文献

作者在学期间取得的学术成果

基于多平面的域间路由安全监测技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢