CN109558727B - 一种路由安全检测方法和系统 - Google Patents
一种路由安全检测方法和系统 Download PDFInfo
- Publication number
- CN109558727B CN109558727B CN201811251063.9A CN201811251063A CN109558727B CN 109558727 B CN109558727 B CN 109558727B CN 201811251063 A CN201811251063 A CN 201811251063A CN 109558727 B CN109558727 B CN 109558727B
- Authority
- CN
- China
- Prior art keywords
- routing
- check value
- leading zero
- item
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
技术领域
本发明属于网络安全中路由安全领域,并特别涉及一种路由安全检测方法和系统。
背景技术
计算机网络是计算机技术和通信技术相互融合的产物。经过近40年的发展,特别是20世纪90年代中期以来,网络上的应用日益增多、网络规模迅速增长、网络用户数量急剧增大,互联网正逐步演变成为人类社会的信息基础设施。然而,近年来在互联网的路由系统中发生了多起路由安全事件,这使得人们对互联网路由设施的安全状况甚为担忧,路由系统的安全问题受到工业界和学术界的极大关注。
路由系统是互联网的基础设施和关键支撑,随着网络的广泛部署以及应用和网络结构的日趋庞杂,路由攻击事件大量涌现。例如广泛采用的域间路由协议BGP,由于协议本身缺乏有效的安全机制,无法对自己传递的路由信息提供保护,因此必须信任Internet上的所有边界路由器,而现有的安全方案并不能实际解决路由系统的安全问题,这就导致了各种攻击事件,例如典型的“数字大炮”、“路由DDOS”等针对控制层路由的攻击方法陆续出现,本发明主要针对该类型路由攻击方法提出一种路由安全检测方法和系统。
数字大炮是攻击者利用互联网的结构来进行攻击,通过互联网中核心路由器进行有规律的拒绝服务攻击,引起互联网流量摆动并加剧,导致核心路由器的路由信息频繁抖动,最终导致路由器的CPU、内存等资源被不断更新的路由计算耗尽,控制层面崩溃而宕机,最终使整个互联网陷入瘫痪。DDOS攻击是攻击者利用互联网上巨量的“僵尸”主机对攻击目标发动拒绝服务攻击;路由DDos攻击则是利用了相同原理引起路由信息的频繁更新,致使路由不能快速收敛,进而导致网络设备宕机、拒绝服务的一种攻击方法。
发明内容
为了解决上述技术问题,本发明目的在于提供一种能够在路由器遭受攻击后,实时准确地自动检测并告警的方法。针对当前互联网缺乏源路由合法性验证机制,源发自治系统、网络前缀源、宣告路由器和途径路由路径的真实性和完整性无法验证,本发明提出一种通过现有网络设备采集路由信息来分析确认路由攻击的方法和系统,解决因路由安全而造成路由DDoS、数字大炮攻击、信息的窃听与篡改和网络通信中断等问题。
具体地说,本发明公开了一种1、一种路由安全检测方法,其中包括:
步骤1、实时监测并获取路由系统的路由表,该路由表包括多个路由项;
步骤2、将该路由项的二进制哈希值作为校验值,该校验值的位数为n,记该校验值的前m位为分桶单元,分桶数M为2m,该校验值的后n-m位为元数据,统计该元数据的前导零数;
步骤3、循环该步骤2,直到获得该路由表中每一个路由项的前导零数,集合每一个路由项的前导零数,并统计其中的最大值作为最大前导零数Mi;
所述的路由安全检测方法,其中该步骤1包括:通过链路状态数据库获取数据中心网络内该路由系统的实时路由表。
所述的路由安全检测方法,其中该步骤2包括:将该路由项的多种属性输入至哈希函数,以得到该校验值。
所述的路由安全检测方法,其中该多种属性包括:网络地址和网络掩码、网关、接口和跃点数。
所述的路由安全检测方法,其中该哈希函数为crc32哈希算法。
本发明还公开了一种路由安全检测系统,其中包括:
监测模块,用于实时监测并获取路由系统的路由表,该路由表包括多个路由项;
统计模块,用于将该路由项的二进制哈希值作为校验值,该校验值的位数为n,记该校验值的前m位为分桶单元,分桶数M为2m,该校验值的后n-m位为元数据,统计该元数据的前导零数;
循环模块,用于循环调用该统计模块,直到获得该路由表中每一个路由项的前导零数,集合每一个路由项的前导零数,并统计其中的最大值作为最大前导零数Mi;
所述的路由安全检测系统,其中该监测模块包括:通过链路状态数据库获取数据中心网络内该路由系统的实时路由表。
所述的路由安全检测系统,其中该统计模块包括:将该路由项的多种属性输入至哈希函数,以得到该校验值。
所述的路由安全检测系统,其中该多种属性包括:网络地址和网络掩码、网关、接口和跃点数。
所述的路由安全检测系统,其中该哈希函数为crc32哈希算法。
总结,在本发明中用户的输入为哈希算法f,分桶数M,即可根据路由四元组得出路由基数估计值和标准差。哈希算法f和分桶数M是动态参数,可以根据所需误差即标准差和内存大小进行动态修改,从而能够利用有限的计算资源和存储资源快速高效地判断攻击的发生,从而为路由系统的安全诊断和安全防范提供依据。
附图说明
图1为本发明数据流程图;
图2为CCRSD的软件模块组成架构图。
具体实施方式
为让本发明的上述特征和效果能阐述的更明确易懂,下文特举实施例,并配合说明书附图作详细说明如下。
为保障路由系统的安全,及时应对各种网络路由安全事故,降低路由系统被攻击遭受的损失,同时考虑到路由器设备中的内存空间有限,因此本发明在可编程网络设备上提出了一种基于基数计数的路由安全检测技术CCRSD(Routing Security DetectionBasedOn Cardinality Counting)。本发明对于网络建设和维护的作用主要体现在提升网络的安全性和稳定性,同时能够为路由系统的安全诊断和安全防范提供依据。
为达到上述目的,本发明提供如下以下步骤:
(1)采用一种通过链路状态数据库获取数据中心网络内详细的、实时的、精确的路由表的方法。通过软件路由器与网络中运行的特定路由器建立邻接关系,以对网络影响最小的方式被动接收链路状态更新报文,形成链路状态数据库,启动路由计算生成路由表。具体内容属于现有技术,因此不做详细介绍。此外,在软件定义网络或可编程网络中,路由表可以直接获取到;
(2)路由表中每一个路由项具有五个属性,在本发明中把他们分为四个部分:网络地址和网络掩码(network/netmask)、网关(gateway)、接口(interface)和跃点数(metric)等多组属性。我们以四元组形式进行标识举例(网络地址和网络掩码相与的结果、网关、接口、跃点数)。路由项是指交换机或路由通过计算或信息共享所得的数据包转发信息,也就是数据包转发到此,要查找路由项信息找出转发至目的地的下一条地址。
根据前面四元组的定义,哈希函数可以定义为:
Value=f(network/netmask,gateway,interface,metric)其中Value为一个n位的校验值。
本发明不对具体的哈希函数进行限定,也不对路由项属性进行限定;
(3)记Value任意m位为分桶单元,则分桶数M为2m。其余n-m位作为基数统计的元数据,初始化Mi为0(i∈N*,i≤M),代表第i个桶中最大的前导零个数,前导零指的是n位2进制数中,从左至右连续零的个数即为前导零个数,后导零与之相反取从右至左连续零的个数,举例来说000100110000,前导零个数为3,后导零个数为4;
(4)循环(对下一条路由项)取Value这m位为分桶单元,则分桶数M为2m。其余n-m位是作为基数统计的元数据,计算剩余的n-m位前导零个数或后导零个数temp,如果temp>Mi,则Mi=temp,即Mi取该桶中前导零最大值,之所以取自最大值是为了计算该桶的对基数的粗糙统计;
(5)采用HLLC即Hyper LogLog算法进行基数统计,已知分桶数为M,则从1到M对每个分桶进行基数统计,每个分桶内计算前导零个数或后导零个数,如对分桶i其基数统计的元数据为00000101011,则Mi(00000101011)=5,Mi=Max(Mi(All Metadata in Bucketi));
目前很多路由攻击中是通过路由表的频繁改变导致网络抖动,网络抖动带来的结果就是网络不能快速收敛,数据的转发状态不能固定。典型攻击就是网络数字大炮,它就是通过僵尸主机导致核心交换机或路由器路由信息频繁改变进行攻击的。其中阈值X是一个经验值,有管理员人为指定。
1、设定攻击阈值X为220。
2、假设在步骤1中本实施例获取到的路由表如下表所示:
3、路由表中每行代表一条路由项,在本实施例中采用哈希算法中的一种典型算法crc32哈希进行说明(即f为crc32哈希算法),每条路由项进行哈希计算结果如下表:
seq | 1 | 2 | 3 | 4 | 5 | … |
crc-32 | 650fe46b | 147ac1c0 | 972ea187 | c8949a41 | 99f87ca9 | … |
4、设定m=13,哈希值前13位为分桶单元,则分桶数M为2m=213。则后19位是作为基数统计的元数据。初始化Mi为0(i∈N*,i≤M),其含义代表第i个桶中最大的前导零数。
5、循环对路由表进行哈希,并分别计算分桶数和前导零数。对于序号1的路由,进行crc-32哈希后十六进制为650fe46b,二进制表示为1100101000011111110010001101011。已知前13位为分桶位:1100101000011,那么后19位111110010001101011就是基数统计的元数据,前导零为0,Mi仍为0。然后对于序号2的路由进行分桶计算和前导零计算,直至所有路由处理完。
总结,在本实施例中,我们以98.9%的准确性预测出现在正在被进行了路由攻击。
CCRSD系统架构:
CCRSD系统由路由信息采集模块与路由攻击分析平台两大部分组成,其中路由信息采集模块的作用是实时收集全网内路由信息报文、链路状态数据库(LSDB)、链路状态更新报文(LSA/LSP)或者从中央控制器直接获取路由表;路由攻击分析平台的作用是数据接收与解析、路由基数估计与错误率计算、确认路由攻击事件和通知。RSDDCA的软件模块组成架构如图1所示。
路由信息采集模块是由链路状态数据库采集模块、链路状态更新报文采集模块和自动采集模块组件组成。链路状态数据库采集模块主要是实时获取全局路由器间的路由信息交换数据库,从而计算出全局同步的网络拓扑,进而计算路由表;链路状态更新报文采集模块是实时搜集链路更新报文(LSA/LSP),从而增量的修改链路状态包括增加/删除/保留,可以实时了解网络拓扑和路由表的变化;自动采集模块是另一种的路由信息采集方式,软件定义网络的出现,对于控制平面数据可以完全获取到的,因此可以在中央控制端自动方便的获取到全网的路由表。
路由攻击分析平台是由数据接收与解析组件、路由攻击检测模块组成。数据接收与解析组件则是接受来自路由信息采集模块的路由表信息,并将每条路由表转换为n元组,并进行哈希;路由攻击检测模块是根据分桶位数,对所有路由表进行分桶计算前导零个数,并通过本发明提出的检测方法进行基数估计和标准差计算,最终确认网络路由攻击事件的发生,确保实时告警,保障网络的正常运行。
CCRSD的软件模块组成架构图如附图2所示。
针对当前互联网缺乏源路由合法性验证机制,该发明提出自动式被动采集域内路由信息和域间路由信息,根据路由信息计算路由基数,最后阈值判断是否正在被数字大炮攻击或路由DDos攻击,从而为路由系统的安全诊断和安全防范提供依据。
以下为与上述方法实施例对应的系统实施例,本实施方式可与上述实施方式互相配合实施。上述实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在上述实施方式中。
本发明还公开了一种路由安全检测系统,其中包括:
监测模块,用于实时监测并获取路由系统的路由表,该路由表包括多个路由项;
统计模块,用于将该路由项的二进制哈希值作为校验值,该校验值的位数为n,记该校验值的前m位为分桶单元,分桶数M为2m,该校验值的后n-m位为元数据,统计该元数据的前导零数;
循环模块,用于循环调用该统计模块,直到获得该路由表中每一个路由项的前导零数,集合每一个路由项的前导零数,并统计其中的最大值作为最大前导零数Mi;
所述的路由安全检测系统,其中该监测模块包括:通过链路状态数据库获取数据中心网络内该路由系统的实时路由表。
所述的路由安全检测系统,其中该统计模块包括:将该路由项的多种属性输入至哈希函数,以得到该校验值。
Claims (8)
1.一种路由安全检测方法,其特征在于,包括:
步骤1、实时监测并获取路由系统的路由表,该路由表包括多个路由项;
步骤2、将该路由项的二进制哈希值作为校验值,该校验值的位数为n,记该校验值的前m位为分桶单元,分桶数M为2m,该校验值的后n-m位为元数据,统计该元数据的前导零数;
步骤3、循环该步骤2,直到获得该路由表中每一个路由项的前导零数,集合每一个路由项的前导零数;
其中该步骤2包括:将该路由项的多种属性输入至哈希函数,以得到该校验值。
2.如权利要求1所述的路由安全检测方法,其特征在于,该步骤1包括:通过链路状态数据库获取数据中心网络内该路由系统的实时路由表。
3.如权利要求1所述的路由安全检测方法,其特征在于,该多种属性包括:网络地址、网络掩码、网关、接口和跃点数。
4.如权利要求1所述的路由安全检测方法,其特征在于,该哈希函数为crc32哈希算法。
5.一种路由安全检测系统,其特征在于,包括:
监测模块,用于实时监测并获取路由系统的路由表,该路由表包括多个路由项;
统计模块,用于将该路由项的二进制哈希值作为校验值,该校验值的位数为n,记该校验值的前m位为分桶单元,分桶数M为2m,该校验值的后n-m位为元数据,统计该元数据的前导零数;
循环模块,用于循环调用该统计模块,直到获得该路由表中每一个路由项的前导零数,集合每一个路由项的前导零数;
其中该统计模块包括:将该路由项的多种属性输入至哈希函数,以得到该校验值。
6.如权利要求5所述的路由安全检测系统,其特征在于,该监测模块包括:通过链路状态数据库获取数据中心网络内该路由系统的实时路由表。
7.如权利要求5所述的路由安全检测系统,其特征在于,该多种属性包括:网络地址、网络掩码、网关、接口和跃点数。
8.如权利要求5所述的路由安全检测系统,其特征在于,该哈希函数为crc32哈希算法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811251063.9A CN109558727B (zh) | 2018-10-25 | 2018-10-25 | 一种路由安全检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811251063.9A CN109558727B (zh) | 2018-10-25 | 2018-10-25 | 一种路由安全检测方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109558727A CN109558727A (zh) | 2019-04-02 |
CN109558727B true CN109558727B (zh) | 2021-07-09 |
Family
ID=65865226
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811251063.9A Active CN109558727B (zh) | 2018-10-25 | 2018-10-25 | 一种路由安全检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109558727B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112217770B (zh) * | 2019-07-11 | 2023-10-13 | 奇安信科技集团股份有限公司 | 一种安全检测方法、装置、计算机设备及存储介质 |
CN110489460B (zh) * | 2019-08-09 | 2021-09-24 | 北京大学 | 一种快速统计的优化方法及系统 |
CN110580307B (zh) * | 2019-08-09 | 2021-09-24 | 北京大学 | 一种快速统计的处理方法及装置 |
CN113518034B (zh) * | 2021-05-07 | 2023-08-15 | 中国移动通信集团陕西有限公司 | 路由检测的方法、装置、设备及存储介质 |
CN115412462B (zh) * | 2022-11-02 | 2023-03-24 | 北京邮电大学 | 一种域间路由中断的检测方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105939264A (zh) * | 2015-08-13 | 2016-09-14 | 杭州迪普科技有限公司 | 一种路由的管理方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103856367B (zh) * | 2012-12-06 | 2017-10-20 | 中国电信股份有限公司 | Ip网络路由安全快速检测方法及路由分析服务器 |
CN107579986B (zh) * | 2017-09-21 | 2020-11-06 | 北京工业大学 | 一种复杂网络中网络安全检测的方法 |
-
2018
- 2018-10-25 CN CN201811251063.9A patent/CN109558727B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105939264A (zh) * | 2015-08-13 | 2016-09-14 | 杭州迪普科技有限公司 | 一种路由的管理方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109558727A (zh) | 2019-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109558727B (zh) | 一种路由安全检测方法和系统 | |
Tan et al. | A new framework for DDoS attack detection and defense in SDN environment | |
CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
CN110519290B (zh) | 异常流量检测方法、装置及电子设备 | |
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
Yang et al. | RIHT: a novel hybrid IP traceback scheme | |
JP5518872B2 (ja) | ネットワーク異常流量分析装置及び方法 | |
CN108282497A (zh) | 针对SDN控制平面的DDoS攻击检测方法 | |
EP2337266A2 (en) | Detecting and classifying anomalies in communication networks | |
CN108632269B (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
Wu et al. | Enabling efficient source and path verification via probabilistic packet marking | |
CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
US20130133039A1 (en) | Method for statistical object identification | |
CN104836702A (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
CN109150859B (zh) | 一种基于网络流量流向相似性的僵尸网络检测方法 | |
CN107666468B (zh) | 网络安全检测方法和装置 | |
EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
CN108366065A (zh) | 攻击检测方法和sdn交换机 | |
Gao et al. | Defense against software-defined network topology poisoning attacks | |
CN108650237B (zh) | 一种基于存活时间的报文安全检查方法及系统 | |
Muthuprasanna et al. | Space-time encoding scheme for DDoS attack traceback | |
CN106603335B (zh) | 私有软件流量监控方法和设备 | |
TW202008758A (zh) | 分散式網路流分析惡意行為偵測系統與其方法 | |
CN110620785B (zh) | 一种基于报文标记数据流的并行检测方法、系统及存储介质 | |
WO2018096685A1 (ja) | 情報処理装置、方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |