CN103442008A - 一种路由安全检测系统及检测方法 - Google Patents

Abstract

本发明提供一种路由安全检测系统，包括路由信息采集探针和路由攻击分析平台，路由信息采集探针用于被动地实时收集路由信息报文，并将所述路由信息报文上传至路由攻击分析平台；还用于接收所述路由攻击分析平台的指令探测本域内是否存在活跃IP地址并返回探测结果；路由攻击分析平台用于解析各个路由信息采集探针上报的路由信息报文发现异常AS域，对异常AS域的路由信息采集探针发出探测指令；还用于根据异常AS域的信息采集探针所返回的结果判断是否存在路由攻击。本发明能够降低路由攻击检测的漏报率和误报率；能够在相对较小的开销的前提下，实现对大规模的网络系统的实时监测，有利于及早发现路由攻击。

Description

一种路由安全检测系统及检测方法

技术领域

本发明涉及网络安全技术领域，具体地说，本发明涉及一种路由安全检测系统及检测方法。

背景技术

计算机网络是计算机技术和通信技术相互融合的产物。经过近40年的发展，特别是20世纪90年代中期以来，网络上的应用日益增多、网络规模迅速增长、网络用户数量急剧增大，互联网正逐步演变成为人类社会的信息基础设施。然而，近年来在互联网的路由系统中发生了多起路由安全事件，这使得人们对互联网路由设施的安全状况甚为担忧，路由系统的安全问题受到工业界和学术界的极大关注。

路由系统是Internet的基础设施和关键支撑。然而，在域间路由协议发展成熟前，路由安全的问题并未引起ISP重视，自治域间缺乏自我约束机制和有效的协同监督，无法形成较好的安全追踪能力和协同安全防范机制，造成基于域间路由协议的路由器系统易于遭受各种路由攻击。随着网络的广泛部署和应用以及网络结构的日趋庞杂，路由攻击事件大量涌现。例如：对于域间路由协议BGP，协议本身缺乏有效的安全机制，无法对自己传递的路由信息提供保护，必须信任Internet上的所有边界路由器，而现有的安全方案也不能实际地解决路由系统的安全问题，因此，导致了各种攻击事件，比如针对控制层路由的攻击方法逐渐被提出，如“数字大炮”、“前缀劫持”等。

另一方面，目前互联网中运行的典型域内路由协议有RIP、OSPF和ISIS。当网络发生故障时，传统的域内路由协议存在故障检测时间长、故障信息传播时间长、路由重计算时间长等典型问题,进而导致了路由的慢收敛甚至不收敛。上述域内路由协议设计方面的脆弱性，导致它们容易遭受各种攻击。例如：在OSPF中，链路状态更新报文由产生LSA实例的路由器每隔30分钟发送两个，与之相对应的链路状态确认报文由其他路由器收到更新报文后发出。如果攻击者截获了路由器发送的链路状态更新报文，然后修改报文中的序列号、年龄的字段，重新发送回网络，则修改的报文会被网络中的路由器接受，从而造成了序列号加1、最大年龄等各种攻击事件。

路由安全领域的研究尚处于初级阶段，有人提出了基于Traceroute，Ping等主动网络测量手段和工具来探测不同时间段内特定网络前缀的数据层路径变化，进而对路由攻击进行检测。然而，这种方案需要大量发送主动探测数据包，当所需检测的网络规模较大较为复杂时难以实现实时检测。并且该类方案可扩展性差、不能支持的域间路由攻击的检测，这将导致很高的漏报率和误报率。

中国专利申请200710168543.4提出了一种应用于Ad hoc网络的安全多路径路由方法，包括：计算节点的邻居节点的攻击因子值；基于所述攻击因子值和基于所述攻击因子的多路径安全路由协议进行节点的多路径路由。因此，本发明实现了在源节点（也称之为第一节点）和目的节点（也称之为第二节点）之间建立安全的多路径数据传输通道，并且能够在可能受到攻击或者发起攻击的节点对网络造成实质性破坏的时候，提高发起路径维护进程，降低网络维护的通信开销。该方案只是基于Ad hoc网络的，不具有全网络覆盖性。它将节点、路径以及路径集的受攻击可能性转化为一种称之为攻击因子的安全度量，依据于危险阀值进行告警，检测攻击类型少，漏报率和误报率较高。

因此，当前迫切需要一种能够克服上述现有技术的缺陷，从而有效地进行路由安全检测的解决方案。

发明内容

本发明的任务提供一种能够克服现有技术的缺陷，从而有效地进行路由安全检测的解决方案。

为实现上述发明目的，本发明提供了一种路由安全检测系统，包括路由信息采集探针和路由攻击分析平台，所述路由信息采集探针分布式地部署在各AS域内，每个所述路由信息采集探针与所述路由攻击分析平台互联，

所述路由信息采集探针用于被动地实时收集路由信息报文，并将所述路由信息报文上传至路由攻击分析平台；还用于接收所述路由攻击分析平台的指令探测本域内是否存在活跃IP地址并返回探测结果；

所述路由攻击分析平台用于解析各个路由信息采集探针上报的路由信息报文发现异常AS域，对异常AS域的路由信息采集探针发出探测指令；还用于根据异常AS域的信息采集探针所返回的结果判断是否存在路由攻击。

其中，所述路由信息采集探针包括路由信息采集模块，用于通过运行路由协议与实际网络中路由器建立邻接关系，所述路由信息采集模块不向网络中发布路由信息。

其中，所述路由信息采集模块包括BGP路由信息采集模块、OSPF路由信息采集模块和IS-IS路由信息采集模块。

其中，所述路由信息采集探针还包括数据层检测服务组件，用于接收查询请求，探测指定IP地址段内是否存在活跃IP，并返回探测结果。

其中，所述数据层检测服务组件包括活跃地址扫描器，用于扫描多个指定端口以探测指定IP地址段内是否存在活跃IP。

其中，所述活跃地址扫描器所扫描的端口包括：38路由访问协议端口、80端口和143IMAP电子邮件端口。

其中，所述数据层检测服务组件还包括Netflow分析器。

其中，所述路由攻击分析平台包括数据接收与解析组件、域间路由攻击检测模块和路由数据库模块；

数据接收与解析组件用于接收被动采集的路由信息报文并结合历史路由信息对其进行异常AS域分析，得出异常AS域；

域间路由攻击检测模块用于启动异常AS域的主动探测，确认网络路由攻击事件的发生；

路由数据库模块用于存储历史路由信息。

本发明还提供了基于上述路由安全检测系统的路由安全检测方法，其特征在于，包括下列步骤：

1）全网的路由信息采集探针被动地实时收集路由信息报文，并将路由信息报文上传至路由攻击分析平台；

2）路由攻击分析平台解析路由信息报文发现异常AS域，对异常AS域启动域间路由攻击检测；

3）异常AS域的路由信息采集探针探测本域内是否存在活跃IP地址，并将探测结果返回路由攻击分析平台；

4）路由攻击分析平台根据异常AS域的信息采集探针所返回的是否存在活跃IP地址的结果判断是否存在路由攻击及路由攻击的类型。

其中，所述路由攻击分析平台包括数据接收与解析组件、域间路由攻击检测模块和路由数据库模块；数据接收与解析组件用于接收被动采集的路由信息报文并结合历史路由信息对其进行异常AS域分析，得出异常AS域；域间路由攻击检测模块用于启动异常AS域的主动探测，确认网络路由攻击事件的发生；路由数据库模块用于存储历史路由信息。

所述步骤2）中，将新路由信息报文中AS域宣告拥有的地址段与数据库模块的路由信息比对，当新路由信息报文中的在后AS域所宣告拥有的地址段与数据库模块中在先的AS域所宣告拥有的地址段存在冲突时，将在先和在后AS域均认定为异常AS域；向异常AS域的路由信息采集探针发出查询指令，查询指令包括数据层查询指令；

所述步骤4）中，接收路由信息采集探针返回的查询结果，数据层查询结果是YES、NO或“待定”；当在后AS域查询结果为NO时，可直接确定路由黑洞攻击并进行告警；当在后AS域查询结果为YES，且在先AS域查询结果也为YES时，直接确定路由多溯源攻击并进行告警；当在后AS域查询结果为YES，在先AS域查询结果为NO时，判定相关AS域路由配置错误，而非路由攻击。

其中，所述步骤2）中，所述查询指令还包括控制层查询指令；

所述步骤3）中，异常AS域的路由信息采集探针在收到控制层查询指令后，主动获取本域内各路由器的路由表并将其上报至所述路由攻击分析平台；

所述步骤4）中，路由攻击分析平台利用异常AS域的路由表进行路由信息指纹比对，判定异常AS域是否发生路由攻击。

其中，所述步骤2）中，路由攻击分析平台还对所有AS域的路由信息采集探针探测发出指令，使各路由信息采集探针启动控制层查询；

所述步骤3）中，接收到控制层查询指令的路由信息采集探针本AS域的边界路由器发出探测报文，查询路由表，如果除了所述在后AS域外的其它AS域所查询的路由表中均没有在后AS域及其所宣告拥有的地址段，判定不存在路由攻击，如果某一个执行控制层查询的在后AS域之外的其它AS域所查询的路由表中存在在后AS域及其所宣告拥有的地址段，则确认路由黑洞攻击，且确认该执行控制层查询的AS域被污染。

与现有技术相比，本发明具有下列技术效果：

1、本发明能够降低路由攻击检测的漏报率和误报率。

2、本发明能够在相对较小的开销的前提下，实现对大规模的网络系统的实时监测，有利于及早发现路由攻击。

附图说明

以下，结合附图来详细说明本发明的实施例，其中：

图1示出了本发明一个实施例的路由安全检测系统的构架示意图；

图2示出了本发明一个实施例的路由安全检测系统的网络结构示意图；

图3示出了本发明一个实施例的路由安全检测方法的流程图。

具体实施方式

本发明提出了一种基于数据层和控制层关联分析的路由安全检测RSDDCA（Routing Security Detection Based On Data and Control PlaneCoordinated Analysis）技术，它被动采集路由信息，通过分析路由信息，进而发起数据层检测或者数据层和控制层联合检测来确认攻击，能够解决因路由安全而造成路由黑洞、信息的窃听与篡改、网络通信中断等问题，并且能够降低漏报率和误报率。

依据本发明的一个实施例，提供了一种RSDDCA系统。图1示出了RSDDCA系统的构架示意图。参考图1，该RSDDCA系统包括路由信息采集探针与路由攻击分析平台。其中路由信息采集探针的作用是被动地实时收集路由信息报文（包括域内和域间路由信息报文）并将路由信息报文上传至路由攻击分析平台、基于路由信息报文进行域内路由攻击检测、根据路由攻击分析平台的指令启动数据层检测查询服务和控制层检测查询服务并向路由攻击分析平台返回相应查询结果，路由攻击分析平台的作用是接收与解析路由信息报文发现异常AS域，对异常AS域启动域间路由攻击检测（包括向异常AS域的路由信息采集探针发出启动数据层检测查询服务和控制层检测查询服务的指令），接收异常AS域的路由信息采集探针返回的数据层检测查询服务和控制层检测查询服务的查询结果，进行数据层与控制层关联分析探测，根据关联分析结果确认是否有路由攻击事件的发生。

在实际应用中，RSDDCA系统即可以部署于因特网，也可以部署于各类专网，例如移动专网。图2展示了RSDDCA系统的网络结构示意图。其中，路由信息采集探针部署在各AS域内，支持对IP网络主流控制层路由协议信息的采集，包括自治域边界路由器BGP路由信息报文、自治域内OSPF和IS-IS路由信息报文，并将采集结果上报到路由攻击分析平台进行深入分析。路由信息采集探针通常在每个管理域各部署一台。路由攻击分析平台通常部署在总部。

根据本发明的另一个实施例，路由信息采集探针包括路由信息采集模块和数据层检测服务组件，下面分别介绍这些模块和组件。

路由信息采集模块是一种特殊的路由器，通过运行相应的协议（BGP、OSPF或IS-IS协议），与实际网络中路由器建立邻接关系，从而实时获取邻接路由器发出的路由信息报文。具体地，路由信息采集模块包括BGP路由信息采集模块、OSPF路由信息采集模块和IS-IS路由信息采集模块。BGP路由信息采集模块的作用是采集域间路由信息报文，采集之后上报给路由攻击分析平台；OSPF采集模块的作用是采集域内运行OSPF协议路由器的路由信息，采集之后上报给路由攻击分析平台。IS-IS采集模块的作用是采集域内运行IS-IS协议路由器的路由信息，采集之后上报给路由攻击分析平台。路由信息采集模块使用自动式被动监听的方式实时采集路由信息报文，能够以较小的开销掌握当前域内网络实时变化情况，同时它不向网络中发布路由信息，因此对网路中其它路由器是隐身的，不会影响到其它路由器的正常运作。

数据层检测服务组件包括请求查询信息接口、数据层检测服务和检测结果上传接口。数据层检测服务进程收到查询请求后，通过活跃地址扫描器和Netflow分析器，探测指定IP地址段内是否存在活跃IP，如存在活跃IP，则返回查询结果YES，若不存在活跃IP则返回查询结果NO。在一个优选实施例中，为防止误报，可以设定一个活跃IP阈值，当数据层检测服务进程在所指定的IP地址段内探测到的活跃IP数目达到该活跃IP阈值时，返回查询结果YES（在活跃IP数目达到该活跃IP阈值时可直接停止探测，这样无需探测全部活跃地址，能够节省开销和缩短返回查询结果的响应时间），当所指定的IP地址段内未探测到任何活跃IP时，返回查询结果NO，当所指定的IP地址段内探测到的活跃IP数目大于0当小于所述活跃IP阈值时，则返回查询结果“待定”。路由攻击分析平台可根据异常AS域返回的查询结果判断是否发生路由攻击事件。

根据另一个优选实施例，数据层检测服务通过活跃地址扫描器和Netflow分析器来实现活跃IP地址的探测，这不同于现有技术只采用ping的方式探测活跃IP地址。活跃地址扫描器采用icmp、扫描主机端口、操作系统侦测、服务与版本侦测等多手段进行探测，如扫描38路由访问协议端口、80端口、143IMAP电子邮件等端口。活跃地址扫描器可基于nmap（Network Mapper）二次开发实现。活跃地址扫描器主要包括地址产生器、列表管理器、探测器和探测结果文件四个组件。其中地址产生器主要职责是产生需要探测的IP地址。最简单的情形下，地址产生器可以读取包含一组IP地址的静态文件，当然也可以可插拔的方式指定其特定的地址产生行为；列表管理器负责管理当前多个地址产生器，并负责以特定的策略调度对这些地址的探测；探测器通过nmap发送ICMP echo数据包和扫描指定端口的数据包进行探测，扫描的端口可以进行个性化设置，主机系统占用端口集中于1-1024，一个例子中，扫描的端口包括：38路由访问协议端口、80端口（为HTTP（HyperTextTransportProtocol)即超文本传输协议开放的）和143IMAP电子邮件端口，其中任一端口开放即认为该主机活跃。不同于仅使用ping命令的探测，本实施例通过ICMP echo数据包以及扫描主要通信端口来探测，能够有效地避免漏报活跃主机，进而提高最终的路由攻击检测结果的准确性。探测结果文件将按照特定的格式存储指定网络前缀中已经探测到的活跃IP地址信息。在本发明的其它实施例中，探测器可以单独通过发送ICMP echo数据包的方式探测活跃IP，或者也可以单独通过扫描指定端口的数据包的方式探测活跃IP。

NETFLOW分析器主要包括NETFLOW路由信息采集器、筛选器和探测结果文件。首先，Internet中路由器支持NETFLOW技术，目前中高端cisco路由器都已支持，网络中路由器必须开启NETFLOW并指向NETFLOW路由信息采集器，这样RSDDCA系统就能够采集到本域内NETFLOW信息，NETFLOW路由信息采集器将信息传递给筛选器。以网络中采集的流量数据，11.181.85.122|23.32.104.193|4137|0|23|3|1216|1128|17|2|261|1为例，数据中各字段的含义为：源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量。由此，可以清楚了解这一网流的具体信息：源地址为11.181.85.122，目的地址为23.32.104.193，源地址属于AS4137，目的地址属于我方网络；筛选器将源地址记录下，直接写入探测结果文件，这是因为只有活跃的主机才会有数据流量，源地址必然是活跃主机。探测结果文件同样将按照特定的格式存储制已经探测到的活跃IP地址。

数据层检测模块运用活跃地址扫描器和Netflow分析器结合使用完成活跃主机发现，提升了系统数据层检测的准确性，并且最大限度缩减数据层检测时间。

根据本发明的再一个实施例，路由信息采集探针还包括控制层检测服务组件，控制层检测服务组件包括请求查询信息接口、控制层检测服务进程和检测结果上传接口，控制层检测服务进程收到查询请求后，对所在AS域的各路由器发出探测报文，采集异常AS域中各路由器的路由表，然后返回查询结果。与被动采集路由信息报文的路由信息采集模块不同，控制层检测服务组件是主动探测组件，它对异常AS域的路由器发出报文采集异常AS域的路由表，以此查看该自治域的路由表是否被发现的可疑路由攻击污染。路由攻击分析平台可根据异常AS域返回的所有路由表，利用现有技术（例如进行指纹对比分析）判断是否发生路由攻击事件。将路由表分析技术与数据层活跃地址探测相结合，能够形成互补，有效地提高探测效率，降低误报率和漏报率。

根据本发明的其它实施例，路由信息采集探针还包括域内路由攻击检测组件，它通过被动监听路由信息采集模块上传的OSPF路由信息包和IS-IS路由信息包的方式，根据LSU报文中的LSA头部序列号位和年龄位等判断网络中的路由器是否遭受攻击。攻击监测的主要对象为网络中发生的恶意信息变化，包含序列号加1攻击、最大年龄攻击以及最大序列号攻击等。

根据本发明的其它实施例，路由攻击分析平台包括数据接收与解析组件、域间路由攻击检测模块和路由数据库模块，下面对其分别介绍这些组件和模块。

数据接收与解析组件用于接收被动采集的路由信息报文并对其进行异常AS域分析，得出异常AS域。异常AS域分析包括路由前缀多宿源和域间路由黑洞检测分析。数据接收与解析组件将新路由信息报文中AS域（称为在后AS域）宣告拥有的地址段与数据库模块的路由信息比对，当新路由信息报文中的AS域所宣告拥有的地址段与数据库模块中在先的AS域所宣告拥有的地址段存在冲突时，将在先和在后AS域均认定为异常AS域。在一个优选实施例中，数据接收与解析组件还可以根据所接收的路由信息报文进行其它路由攻击类型的检测并直接得出检测结果，例如：域内路由链路状态宣告报文篡改检测，假冒路由攻击检测。

域间路由攻击与检测组件用于通过数据接收与解析组件解析的路由信息启动异常AS域的主动探测，确认网络路由攻击事件的发生，确保实时告警，保障网络的正常运行。域间路由攻击检测组件向异常AS域的路由信息采集探针发出查询指令，查询指令包括数据层查询指令和控制层查询指令。域间路由攻击检测组件可以仅发出数据层查询指令，也可以仅发出控制层查询指令，还可以同时发出数据层查询指令和控制层查询指令。域间路由攻击检测组件还用于接收路由信息采集探针返回的查询结果。数据层查询结果是YES、NO或“待定”。当在后AS域查询结果为NO时，说明后AS域所宣告地址段内无活跃主机，仅仅只想截取数据，因而可直接确定路由黑洞攻击并进行告警。当在后AS域查询结果为YES，且在先AS域查询结果也为YES时，说明两自治域内皆有正常活跃主机进行正常网络通信，直接确定路由多溯源攻击并进行告警。当在后AS域查询结果为YES，在先AS域查询结果为NO时，判定相关AS域路由配置错误，而非路由攻击。当在后AS域查询结果为“待定”，或者在后AS域查询结果为YES且在先AS域查询结果为“待定”时，则结合控制层查询结果做进一步地分析。控制层查询返回异常AS域中各路由器的路由表，路由表提供了路由器的数据处理转发前所必须的各种网络信息和转发查询表项。利用路由表进行路由信息指纹比对，可判定异常AS域是否发生路由攻击，发生何种路由攻击。控制层查询和检测的分析结果较为准确，但所需开销相对较大。上述实施例使用被动采集和比对路由信息的方式预先锁定异常AS域，从而缩小了探测范围，能够大幅减小开销，实现实时检测。一个实施例中，控制层查询和数据层查询可以同步进行，当数据层查询返回的结果可直接判断出路由攻击时，可停止控制层查询和分析（当然也可以继续进行控制层查询和分析）。另一个实施例中，可以先进行数据层查询，当无法直接得出路由攻击检测结果时再启动控制层查询，从而完成路由攻击的检测。域间路由攻击检测组件可由多个插件组成，每个插件检测一种类型的路由攻击所引发的异常AS域，插件包括异常AS路径检测插件、异常前缀源检测插件以及其它路由异常检测插件。异常AS路径攻击是路由黑洞攻击的一种方式，攻击者通过改变前缀到达目的地需要经过的AS路径的顺序造成路由黑洞攻击。异常AS路径检测插件的作用是能够检测出该种类型的攻击。异常前缀源攻击也是路由黑洞攻击的方式之一，攻击者通过在某个AS中非法宣告不属于本AS的前缀造成此种类型的攻击。异常前缀源检测插件的作用是能够检测此种类型的路由黑洞攻击。

路由数据库模块：用于存储历史路由信息。历史路由信息包括：RSDDCA系统中的所有AS域及其所宣告的地址段信息。路由数据库模块还可以存储整个待检测网络的路由拓扑与路由选路等路由信息，该路由数据库在RSDDCA系统初始化过程中建立，并根据路由信息采集模块实时采集并上报的路由信息报文进行定期更新。当检测出路由攻击时，则需及时清除被污染的数据，从而保证路由数据库模块中路由信息的正确性。例如当某一AS域被判定为路由攻击事件，则从路由数据库模块中清除该AS域的受污染数据（包括：受污染的AS域及其所宣告的地址段信息），从而保证数据库的正确性。

为便于理解，下面给出一个路由数据库模块更新的例子。假设存在AS1和AS2两个自治域，AS1在时刻t1宣告拥有地址段10.2.13.0/24。t2时刻系统建立并开始采集网络路由信息，当t1<=t2，系统将地址段10.2.13.0/24及其所属自治域AS1写入数据库；当t1>t2，t2时刻，系统没有该地址段信息，t1时刻AS1中路由器宣告拥有该地址段，由于此地址段是新宣告无冲突，因此认定为合法宣告同时录入数据库中。t3（t3>t2,t3>t1）时刻AS2宣告拥有10.2.13.128/25,系统接受路由报文，得知AS2新宣告了一个地址段，将10.2.13.128/25与数据库中所记录的数据进行比对，发现10.2.13.128/25是10.2.13.0/24的一个子地址段，同时地址段所属自治域与宣告时间等指纹信息与数据库存储的数据信息不同，这时，网络中其他自治域主机与10.2.13.128/25中主机进行数据交互时将产生影响，部分发往AS1中数据将被传送到AS2中，因而认定此为路由异常（这种路由异常可能是路由黑洞攻击所导致的）并启用数据层检测进行验证。

RSDDCA系统基于控制层与数据层关联分析的路由攻击和异常检测方案巧妙地避免了单纯依靠控制层与单纯依靠数据层所存在的高误报率的问题，通过关联控制层路由信息和数据层探测信息有效提高网络路由攻击检测的效率，降低误报和漏报率。

根据本发明一个实施例，图3示出了路由安全检测方法的流程图。参考图3，该实施例提供了一种基于前述RSDDCA系统的路由攻击检测方法，包括下列步骤：

1）全网的路由信息采集探针被动地实时收集路由信息报文，并将路由信息报文上传至路由攻击分析平台；所采集的路由信息报文包括BGP、OSPF和IS-IS路由信息报文，路由信息报文含有AS域及其宣告拥有的地址段信息。

2）路由攻击分析平台解析路由信息报文发现异常AS域，对异常AS域启动域间路由攻击检测。本步骤中，根据新采集的路由信息报文中的AS域及其宣告拥有的地址段信息，与历史路由信息报文中的AS域及其宣告拥有的地址段信息的比对，发现异常AS域。然后对异常AS域的路由信息采集探针探测发出指令，使其启动数据层查询。

3）异常AS域的路由信息采集探针探测本域内是否存在活跃IP地址（即数据层查询），并将探测结果返回路由攻击分析平台。本步骤中，如存在活跃IP，则返回查询结果YES，若不存在活跃IP则返回查询结果NO。在一个优选实施例中，为防止误报，可以设定一个活跃IP阈值，当数据层检测服务进程在所指定的IP地址段内探测到的活跃IP数目达到该活跃IP阈值时，返回查询结果YES（在活跃IP数目达到该活跃IP阈值时可直接停止探测，这样无需探测全部活跃地址，能够节省开销和缩短返回查询结果的响应时间），当所指定的IP地址段内未探测到任何活跃IP时，返回查询结果NO，当所指定的IP地址段内探测到的活跃IP数目大于0当小于所述活跃IP阈值时，则返回查询结果“待定”。路由攻击分析平台可根据异常AS域返回的查询结果判断是否发生路由攻击事件。

4）路由攻击分析平台根据异常AS域的信息采集探针所返回的数据层查询结果（即是否存在活跃IP地址的结果）判断是否存在路由攻击及路由攻击的类型。数据层查询结果是YES、NO或“待定”。当在后AS域查询结果为NO时，可直接确定路由黑洞攻击并进行告警。当在后AS域查询结果为YES，且在先AS域查询结果也为YES时，直接确定路由多溯源攻击并进行告警。当在后AS域查询结果为YES，在先AS域查询结果为NO时，判定相关AS域路由配置错误，而非路由攻击。当在后AS域查询结果为“待定”，或者在后AS域查询结果为YES且在先AS域查询结果为“待定”时，则结合控制层查询结果做进一步地分析。

根据本发明另一个实施例，所述步骤2）中，路由攻击分析平台还对异常AS域的路由信息采集探针探测发出指令，使其启动控制层查询。步骤3）中，接收到控制层查询指令的路由信息采集探针对所在AS域的各路由器发出探测报文，采集异常AS域中各路由器的路由表，然后返回查询结果。路由攻击分析平台可根据异常AS域返回的所有路由表，利用现有技术（例如进行指纹对比分析）判断是否发生路由攻击事件。

根据本发明再一个实施例，所述步骤2）中，路由攻击分析平台还对所有AS域的路由信息采集探针探测发出指令，使各路由信息采集探针启动控制层查询。步骤3）中，接收到控制层查询指令的路由信息采集探针本AS域的边界路由器发出探测报文，查询路由表，如果除了在后AS域外的其它AS域所查询的路由表中均没有在后AS域及其所宣告拥有的地址段，就说明该报文并没有对其他自治域造成影响，可判定不存在路由攻击，如果某一个执行控制层查询的在后AS域之外的其它AS域所查询的路由表中存在在后AS域及其所宣告拥有的地址段，则可以确认为路由黑洞攻击，且确认该执行控制层查询的AS域被污染，所有AS域执行控制层查询，即可本次评估路由攻击破坏范围和程度。

将路由表分析技术与数据层活跃地址探测相结合，能够形成互补，有效地提高探测效率，降低误报率和漏报率。

最后应说明的是，以上实施例仅用以描述本发明的技术方案而不是对本技术方法进行限制，本发明在应用上可以延伸为其它的修改、变化、应用和实施例，并且因此认为所有这样的修改、变化、应用、实施例都在本发明的精神和教导范围内。

Claims (10)

1.一种路由安全检测系统，包括路由信息采集探针和路由攻击分析平台，所述路由信息采集探针分布式地部署在各AS域内，每个所述路由信息采集探针与所述路由攻击分析平台互联，

所述路由信息采集探针用于被动地实时收集路由信息报文，并将所述路由信息报文上传至路由攻击分析平台；还用于接收所述路由攻击分析平台的指令探测本域内是否存在活跃IP地址并返回探测结果；

所述路由攻击分析平台用于解析各个路由信息采集探针上报的路由信息报文发现异常AS域，对异常AS域的路由信息采集探针发出探测指令；还用于根据异常AS域的信息采集探针所返回的结果判断是否存在路由攻击。

2.根据权利要求1所述的路由安全检测系统，其特征在于，所述路由信息采集探针包括路由信息采集模块，用于通过运行路由协议与实际网络中路由器建立邻接关系，所述路由信息采集模块不向网络中发布路由信息。

3.根据权利要求2所述的路由安全检测系统，其特征在于，所述路由信息采集探针还包括数据层检测服务组件，用于接收查询请求，探测指定IP地址段内是否存在活跃IP，并返回探测结果。

4.根据权利要求3所述的路由安全检测系统，其特征在于，所述数据层检测服务组件包括活跃地址扫描器，用于扫描多个指定端口以探测指定IP地址段内是否存在活跃IP。

5.根据权利要求4所述的路由安全检测系统，其特征在于，所述活跃地址扫描器所扫描的端口包括：38路由访问协议端口、80端口和143IMAP电子邮件端口。

6.根据权利要求1所述的路由安全检测系统，其特征在于，所述路由攻击分析平台包括数据接收与解析组件、域间路由攻击检测模块和路由数据库模块；

数据接收与解析组件用于接收被动采集的路由信息报文并结合历史路由信息对其进行异常AS域分析，得出异常AS域；

域间路由攻击检测模块用于启动异常AS域的主动探测，确认网络路由攻击事件的发生；

路由数据库模块用于存储历史路由信息。

7.一种基于权利要求1所述的路由安全检测系统的路由安全检测方法，其特征在于，包括下列步骤：

1）全网的路由信息采集探针被动地实时收集路由信息报文，并将路由信息报文上传至路由攻击分析平台；

2）路由攻击分析平台解析路由信息报文发现异常AS域，对异常AS域启动域间路由攻击检测；

3）异常AS域的路由信息采集探针探测本域内是否存在活跃IP地址，并将探测结果返回路由攻击分析平台；

4）路由攻击分析平台根据异常AS域的信息采集探针所返回的是否存在活跃IP地址的结果判断是否存在路由攻击及路由攻击的类型。

8.根据权利要求7所述的路由安全检测方法，其特征在于，所述路由攻击分析平台包括数据接收与解析组件、域间路由攻击检测模块和路由数据库模块；数据接收与解析组件用于接收被动采集的路由信息报文并结合历史路由信息对其进行异常AS域分析，得出异常AS域；域间路由攻击检测模块用于启动异常AS域的主动探测，确认网络路由攻击事件的发生；路由数据库模块用于存储历史路由信息。

所述步骤2）中，将新路由信息报文中AS域宣告拥有的地址段与数据库模块的路由信息比对，当新路由信息报文中的在后AS域所宣告拥有的地址段与数据库模块中在先的AS域所宣告拥有的地址段存在冲突时，将在先和在后AS域均认定为异常AS域；向异常AS域的路由信息采集探针发出查询指令，查询指令包括数据层查询指令；

所述步骤4）中，接收路由信息采集探针返回的查询结果，数据层查询结果是YES、NO或“待定”；当在后AS域查询结果为NO时，可直接确定路由黑洞攻击并进行告警；当在后AS域查询结果为YES，且在先AS域查询结果也为YES时，直接确定路由多溯源攻击并进行告警；当在后AS域查询结果为YES，在先AS域查询结果为NO时，判定相关AS域路由配置错误，而非路由攻击。

9.根据权利要求8所述的路由安全检测方法，其特征在于，所述步骤2）中，所述查询指令还包括控制层查询指令；

所述步骤3）中，异常AS域的路由信息采集探针在收到控制层查询指令后，主动获取本域内各路由器的路由表并将其上报至所述路由攻击分析平台；

所述步骤4）中，路由攻击分析平台利用异常AS域的路由表进行路由信息指纹比对，判定异常AS域是否发生路由攻击。

10.根据权利要求9所述的路由安全检测方法，其特征在于，所述步骤2）中，路由攻击分析平台还对所有AS域的路由信息采集探针探测发出指令，使各路由信息采集探针启动控制层查询；

所述步骤3）中，接收到控制层查询指令的路由信息采集探针本AS域的边界路由器发出探测报文，查询路由表，如果除了所述在后AS域外的其它AS域所查询的路由表中均没有在后AS域及其所宣告拥有的地址段，判定不存在路由攻击，如果某一个执行控制层查询的在后AS域之外的其它AS域所查询的路由表中存在在后AS域及其所宣告拥有的地址段，则确认路由黑洞攻击，且确认该执行控制层查询的AS域被污染。

Images