CN1764122A - 基于多视图的域间路由异常检测方法 - Google Patents

Abstract

本发明公开了一种基于多视图的域间路由异常检测方法，目的是解决现有域间路由检测方法无法发现隐藏的路由异常或异常报告不准确的问题，技术方案是利用多视图检测域间路由系统中的异常路由，设计一个路由异常检测系统来完成Internet模型构造、异常检测与报告两个阶段的工作，在Internet模型构造阶段通过多路由节点的BGP路由表信息和其他网络拓扑知识来构造完整的Internet路由视图，建立ISP互连的Internet层次关系模型和ISP商业互连关系模型；异常检测与报告阶段分为异常检测和异常报告两步，异常检测是先进行一般性检测，然后进行专项检测，异常报告是处理异常路由信息，生成异常报告。采用本发明能发现隐藏的路由异常，使异常报告全面准确，显著增强域间路由监测系统的能力。

Description

基于多视图的域间路由异常检测方法

技术领域

本发明涉及计算机网络领域的安全监管方法，尤其是Internet域间路由系统异常和路由攻击的检测方法。

背景技术

Internet已经从一个学术性网络逐渐演化为具有商业意义的公共信息基础设施的重要组成部分，国家的经济建设和社会发展对全球Internet的依赖越来越强。然而，作为Internet关键支撑部分的域间路由(Inter-domain Routing)系统却存在许多问题，如无效路由、前缀劫持、路由收敛延迟、路由震荡等。

为构造一个可靠、稳定、安全的域间路由系统，业界目前开展的工作可以分为四个方面：一是，路由系统的安全配置管理，包括配置模板和最佳当前实践(BCP)的制定，配置的完整性、一致性检查、安全性确认以及配置的辅助生成等；二是，域间路由协议BGP(边界网关协议)的增强和安全机制的设计，如S-BGP、soBGP以及MOAS和BTSH扩展等；三是，域间路由协议和路由系统的健壮性和安全能力测试，以发现协议实现和路由配置的脆弱点；四是，对域间路由系统进行监测和安全性检测，如Renesys公司(www.renesys.com)的GRADUS服务等。

由于S-BGP等BGP增强协议的部署存在重重障碍，要基于现有的Internet网络设备实现域间路由系统的安全性，安全配置管理和安全监测是非常实际和真正能够发挥效用的技术途径。域间路由监测具有可扩展性好、方便部署以及不需对现有协议修改等特点，并能够将监测的结果用于路由配置的改进。

目前，基于域间路由行为的监测进行路由异常和安全检测的方法可分为两类：一类是基于BGP路由表的检测；另一类是基于BGP更新报文的检测。

1、基于BGP路由表的检测方法，一般过程是：1)从ISP(因特网服务提供商)的BGP路由器中取出BGP路由表；2)运行异常和安全检测程序分析BGP路由表；3)给出分析的结果报告。在域间路由系统中，从单个ISP的单个路由器得到的BGP路由信息反映的只是该路由节点对路由系统行为和网络互连关系的视图，只是整个Internet路由视图的一部分，通常把单个路由节点所观察到的路由视图称为单视图；相应地，从一个ISP的多个路由节点或多个ISP得到的路由视图则称为多视图。目前基于BGP路由表的检测方法还只局限于单个ISP单视图的分析。单视图的信息是不完全的，只能观察到网络节点的部分互连关系，所发现的路由异常行为一般不全面，且由于缺乏其他节点的确认因此对路由攻击和路由异常行为的判断往往不准确。这类方法中比较有代表性的是Telstra公司在http://bgp.potaroo.net/as1221/bgp-active.html发布的BGP报告，只能从中发现类似于包含私有地址这样的个别常见的异常路由。

2、基于BGP更新报文的检测方法，比较有代表性的是Renesys公司的GRADUS服务使用的方法。GRADUS服务把其使用的方法称为“策略审核”，这是一种“正向”的异常检测方法，基本原理是：建立监测网络采集多个AS(自治系统)中BGP路由器的更新报文并把这些BGP数据存放到一个路由数据库中；在检测异常时，先要求各个申请了GRADUS服务的ISP报告自己的路由策略信息，如该ISP拥有的前缀、自治系统号、邻居等；然后GRADUS的后台分析程序利用得到的ISP的策略信息，在路由数据库中寻找违背了相关策略信息的路由；最后把异常结果报告给ISP客户。这种“策略审核”方法的异常检测能力有限，主要原因是：获取的异常检测的根据来自单个ISP提交的策略信息，忽视了多视图中的丰富信息，难以发现来自于其它自治系统的异常；并且，对异常的报告依赖于ISP自己提交的策略信息，随着提交信息的不同，报告内容可能相差很大。

对域间路由系统进行监测需要有效的检测方法才能达到好的监测效果，然而，现有技术方案的效果远远不能令人满意，一方面无法发现许多隐藏的路由异常和可能的路由攻击行为，另一方面报告的一些异常行为往往由于缺乏其他路由节点的确认或由于网络拓扑知识的匮乏而不够准确。因此，为了保证域间路由系统稳定、健康、高效地发展，迫切需要有效的域间路由系统异常行为检测方法。

发明内容

本发明所要解决的技术问题是面向域间路由系统安全保障的实际需求，针对现有域间路由检测方法无法发现隐藏的路由异常和可能的路由攻击行为或异常报告不准确等局限与不足，提出一种基于多视图的域间路由异常检测方法，它是一种基于BGP路由表的检测方法。技术方案是利用多视图检测域间路由系统中的异常路由，设计一个路由异常检测系统来完成Internet模型构造、异常检测与报告两个阶段的工作，在Internet模型构造阶段通过众多路由节点的BGP路由表信息和其他网络拓扑知识来构造比较完整的Internet路由视图，建立ISP互连的Internet层次关系模型和ISP商业互连关系模型两种关系模型；异常检测与报告阶段分为异常检测和异常报告两步，异常检测是先进行一般性检测，然后进行专项检测，一般性检测是对多个监测节点的路由数据进行检测，多个监测点的数据相互确认，更加准确全面地发现一般的路由异常行为；专项检测利用模型构造阶段得到的两种关系模型以及相应判定规则，系统地检测出域间路由系统的异常特征和路由攻击行为；异常报告是处理异常路由信息，生成异常报告。

具体技术方案是：本发明路由异常检测系统与Internet的互连有二类连接，第一类连接是与RouteViews和RIPE-NCC等路由服务器的连接，通过HTTP或FTP服务实现，从www.routeviews.org和www.ripe.net等WEB站点下载路由表数据，用来构造Internet模型；第二类连接是与被监测网络的路由节点如监测点A、监测点B、监测点C等的连接，可以通过Telnet或FTP实现，从被监测网络的路由器获取BGP路由表数据，如果被监测网络的路由器支持基于WEB的网管，也可以采用HTTP连接下载BGP路由表，用来进行路由异常检测。

相应于本发明路由异常检测的模型构造、异常检测与报告两个阶段，路由异常检测系统由Internet模型构造部分和BGP异常路由检测与报告部分组成。Internet模型构造部分由基本信息库、路由数据采集模块、路由数据库、Internet模型生成模块、Internet模型库组成，路由数据采集模块从网上RouteViews路由服务器(www.routeviews.org)和RIPE-NCC路由服务器(www.ripe.net)等发布的文件中采集BGP路由数据，送到本地的路由数据库，由Internet模型生成模块构造Internet相关模型并存储在Internet模型库中。BGP异常路由检测与报告部分由异常路由检测模块、BGP异常数据库、异常报告模块组成，BGP异常路由检测模块负责检测出监测点的异常路由，将异常路由信息存放在BGP异常数据库中，异常报告模块处理BGP异常数据库中的信息，生成异常报告并提交给自治系统管理员或网络管理员。

本发明在Internet模型构造阶段构造Internet模型的方法是：

1、采集BGP路由数据和构造基本信息库：

为建立完整可靠的Internet模型，本发明从RouteViews的路由服务器和RIPE-RCC的路由服务器下载大量的BGP路由数据，以标准BGP路由表的形式存放到路由数据库。获得的每个BGP路由表是Internet拓扑和ISP互连结构的部分反映，整个路由数据库中大量路由表是多个路由节点的多视图信息。利用BGP路由表中的AS-PATH(自治系统路径)信息，从多个单视图得到的全部AS-PATH集在逻辑上可认为构成了一个完整的Internet拓扑图G＝(V，E)，其中V为自治系统结点集，E为结点间的连接集。对多路由视图进行融合的方法是直接对多个单视图获取的BGP路由数据中的AS-PATH取并集得到多视图AS-PATH集。

同时，从IRR(因特网路由注册)和RIR(地区因特网注册)获取IANA(因特网号码分配机构)公布的已分配自治系统号、已分配IP地址块、自治系统号与IP地址块的映射这三类基本信息，并构造一个基本信息库来保存。路由数据库中的BGP路由表包含的IP前缀、AS-PATH中的自治系统，应该与基本信息库中已分配IP地址块、已分配自治系统号一致；BGP路由表中IP前缀的宣告者(即AS-PATH中最后面的自治系统)应该符合基本信息库中自治系统号与IP地址块的映射关系。利用基本信息库一方面可对路由数据库中的信息进行预处理，一方面可对被监测网络的路由表进行一般性异常检测。

2、对BGP路由数据进行预处理：

Internet模型构造中的Internet模型构造模块需要处理大量的BGP路由数据，而路由数据库中有些BGP路由数据对生成Internet模型并没有意义，因此，在把路由数据库中的数据送到Internet模型生成模块前进行预处理去掉无关数据非常有必要。对在预处理过程中发现的常规异常路由数据的处理方法是将它们打上标记送到BGP异常数据库中保存。

针对BGP路由信息的不同部分，对BGP路由信息的预处理可分为基于前缀的预处理和基于AS-PATH的预处理，其中，需要进行基于AS-PATH的预处理路由有六种，需要进行基于前缀的预处理路由有两种，共八种。处理方法如下：

基于AS-PATH的预处理

1)处理含有私有自治系统号的BGP路由的方法是：判断BGP路由的AS-PATH部分是否含有位于64512-65535之间的自治系统号(RFC1930中定义)；如果存在，则把其送到异常数据库。因为，这样的BGP路由不应该在域间路由系统中传播。

2)处理含有未分配自治系统号的BGP路由的方法是：利用基本信息库的信息来判断BGP路由的AS-PATH部分是否出现了未分配的AS号；如果存在，则把其送到异常数据库。因为，这样的BGP路由不应在域间路由系统中传播。

3)处理含有自治系统环的BGP路由的方法是：判断BGP路由的AS-PATH部分是否存在环路；如果存在，则把其送到异常数据库。这种BGP路由违背RFC1771中定义的循环避免规则，一般是由于管理员误使prepend命令人为造成，其中某些AS邻居关系可能伪造，这样的BGP路由不应该在域间路由系统中传播。

4)处理含有AS-SET部分的BGP路由的方法是：检测BGP路由的AS-PATH部分是否含有AS-SET部分；如果存在，则把这样路由的AS-SET部分截去后送到Internet模型生成模块。这种BGP路由是聚合路由，位于AS-SET部分中的自治系统号是无序的，不能从中得到AS邻居关系的信息，所以先对其预处理。

5)处理含有连续重复自治系统号的BGP路由的方法是：判断BGP路由的AS-PATH部分是否存在连续重复自治系统号；如果存在，则把其中连续重复的AS号去掉后送到Internet模型生成模块。许多ISP使用prepend命令把自身的AS号重复多次加到AS路径上，以降低这些路由被其它ISP选用的可能，从而实现负载平衡或链路备份。这些带有重复自治系统号的BGP路由数目庞大，重复信息对后面的Internet模型生成没有帮助，所以先对其预处理。

6)处理AS-PATH部分为空的BGP路由的方法是：判断BGP路由的AS-PATH部分是否为空；如果是，既不送到异常数据库，也不送到Internet模型生成模块。若一条BGP路由起始于某自治系统内，则在该自治系统内其AS-PATH部分为空。相对于后面的Internet模型生成，这种BGP路由含有的信息可从其它BGP路由中得到。

基于前缀的预处理

1)处理含有未分配前缀的BGP路由的方法是：利用基本信息库的信息来判断BGP路由的前缀部分是否出现了未分配的前缀；如果存在，则把其送到异常数据库。因为，这样的BGP路由不应该在域间路由系统中传播。

2)处理含有私有地址的BGP路由的方法是：利用基本信息库的信息来判断BGP路由的前缀部分是否出现了私有地址；如果存在，则把其送到异常数据库。私有地址在RFC1918中定义，这样的BGP路由并不应该在域间路由系统中传播。

3、生成Internet模型：

Internet模型生成模块利用多视图的AS-PATH集构造两个Internet模型即Internet层次关系模型和ISP商业互连关系模型，并把它们存储在Internet模型库中。这两个Internet模型的构造方法是：

3.1 Internet层次关系模型的构造方法：

一般认为，顶级服务提供商的骨干网形成了Internet的核心，称为DFZ区域(Default-free zone)。为了获得整个Internet的连通性，各个顶级服务提供商之间相互建立同级对等(peer-peer)商业互连关系，由此可构造一个Internet三级层次结构模型：核心层-转发层-边缘层。

方法A—本发明构造核心层的方法是：推断Internet核心层这个问题可定义为：对于Internet的自治系统拓扑图G，求图G中的最大全互连集。显然，这是个NP难问题。本发明利用Internet拓扑中的自治系统的度信息，采用启发式方法推断核心层的组成与结构，具体过程是：

输入：全部AS-PATH集(把全部AS-PATH集看成图G)

输出：核心层自治系统集Tier1_AS_SET

1)Tier1_AS_SET＝φ；

2)计算图G中每个结点v的度，并把结果存放在一张信息表中；

3)得到图G的最大度结点集

max_degree_nodes(G)＝{v|d(v)＝max(d(v₁)，d(v₂)，...)，v₁，v₂，...∈V}；

4)如果|max_degree_nodes(G)|＝1，设z为max_degree_nodes(G)的唯一元素；

5)如果|max_degree_nodes(G)|≠1，那么查看信息表以选出一个元素z，其中z∈max_degree_nodes(G)，且z在信息表中历史记录的度不比其它元素小；

6)Tier1_AS_SET＝Tier1_AS_SET∪{z}；

7)Neighbor_set←得到图G中结点z的邻居集；

8)从图G中得到结点集为Neighbor_set的导出子图G′；

9)G＝G′；

10)如果图G满足条件 $\left|E\left(G\right)\right|>=\mathrm{\α}\frac{\left(\right|V\left(G\right)|-1)*\left|V\left(G\right)\right|}{2},$ 则退出；否则，返回到第2步。(其中，|E(G)|是G中的边数，|V(G)|是G中的结点数，α是用来控制Tier1集合中连接稀密程度的系数，若α＝1则为全连接图)。

方法B—本发明构造边缘层的方法是：若一个自治系统不为其它任何自治系统转发网络流量，则它称为边缘自治系统，它位于边缘层(最底层)。某自治系统若是边缘自治系统，则它在AS-PATH集中只会出现在AS-PATH的尾部。因此，对于某个自治系统，通过扫描所有AS-PATH就可以判断是否属于边缘自治系统集；利用每个自治系统的判别结果，就可得到边缘自治系统集，具体构造方法是：

输入：全部AS-PATH集

输出：边缘自治系统集STUB_AS_SET

1)STUB_AS_SET＝φ；

2)得到自治系统列表AS_LIST；

3)对于AS_LIST表中的每个自治系统v重复(4)，(5)，(6)步；

4)Flag＝0；

5)检查所有AS-PATH集，如果v不在AS-PATH的尾部，则Flag＝1；

6)如果Flag＝0，则把v加入边缘自治系统集STUB_AS_SET。

方法C—本发明构造转发层的方法是：通过方法A识别出核心层和方法B识别出边缘层后，剩下的自治系统都归为转发层，具体方法是：

输入：全部AS-PATH集

输出：转发层自治系统集TRANSIT_AS_SET

1)获得核心层自治系统集Tier1_AS_SET(利用方法A)；

2)获得边缘自治系统集STUB_AS_SET(利用方法B)；

3)得到Internet中所有自治系统集AS_SET；

4)TRANSIT_AS_SET←AS_SET-Tier1_AS_SET-STUB_AS_SET。

3.2ISP商业互连关系模型的构造方法：

一般认为，Internet的自治系统之间存在三种基本的商业互连关系：提供商-客户关系(provider-customer)，客户-提供商关系(customer-provider)，同级对等关系(peer-peer)等。

方法D—本发明构造ISP商业互连关系模型的方法是：基于本发明Internet层次关系模型的构造方法，三种商业互连关系的构造过程是：

输入：全部AS-PATH集，其中的路径p由自治系统序列组成，记为p＝α₁α₂...α_i...α_n.1≤i≤n

输出：自治系统对<α，β>的关系集Relation_SET，其中α，β是AS-PATH中出现的任意自治系统号

1)利用方法A得到核心层AS集合Tier1_AS_SET，若α、β∈Tier1_AS_SET，则<α，β>记为peer-peer关系；

2)从AS-PATH集提取出含有Tier1_AS_SET集合中元素的路径，这些路径构成集合Core_AS-PATH；

3)若p∈Core_AS-PATH，设α_i∈Tier1_AS_SET

3-1)把p中α_i左侧的所有AS对<α_j-1，α_j>(j≤i)记为customer-provider关系；

3-2)把p中α_i右侧的所有AS对<α_j，α_j+1>(j≥i)记为provider-customer关系；

4)若p∈AS-PATH-Core_AS-PATH

4-1)若p中AS对<α_i-1，α_i>和<α_j，α_j+1>(i＜j)为customer-provider关系，则把它们中间的所有AS对<α_r，α_r+1>(i≤r＜i)记为customer-provider关系

4-2)若p中AS对<α_i-1，α_i>和<α_j，α_j+1>(i＜j)为provider-customer关系，则把它们中间的所有AS对<α_r，α_r+1>(i≤r＜j)记为provider-customer关系

4-3)重复4-1和4-2直到没有发现新的customer-provider或provider-customer关系对

5)若p∈AS-PATH-Core_AS-PATH

5-1)若p中AS对<α_i-1，α_i>为customer-provider关系和<α_j，α_j+1>为provider-customer关系(i＜j)，则把它们中间的所有AS对<α_r，α_r+1>(i≤r＜j)记为peer-peer关系；

5-2)若p中α_i右侧的所有AS对<α_j，α_j+1>(j≥i)为provider-customer关系且α_i左侧的所有AS对<α_k-1，α_k>(k≤i)还没标记关系，则把<α_k-1，α_k>(k≤i)都记为peer-peer关系；

5-3)若p中α_i左侧的所有AS对<α_j-1，α_j>(j≤i)为customer-provider关系且α_i右侧的所有AS对<α_k，α_k+1>(k≥i)还没标记关系，则把<α_k-1，α_k>(k≥i)都记为peer-peer关系。

二、BGP异常路由检测与报告

BGP异常路由检测的核心是对来自被监测网络的BGP路由数据进行异常行为和路由攻击检测，过程如下：首先，利用Internet模型库中的模型信息和相应的异常判定规则对监测点的数据进行异常检测，并把发现的异常路由保存到BGP异常数据库中；异常报告模块利用BGP异常数据库中的异常数据生成相应的异常路由报告。该过程分为异常检测和异常报告两个子步骤。

1、异常检测分两步，先是一般性检测，再是专项检测。一般性检测是利用基本信息库中的信息去发现监测点的异常路由，这是通常的检测方法所具有的能力，由于本发明在模型建立和检测过程中利用了多视图信息，因此比其他方法发现的路由异常更加全面和准确。专项检测则是利用特定的Internet模型信息及相应的异常判定规则来检测异常，这是本发明所特有的检测能力。

1.1一般性检测

在这个过程中，主要是利用基本信息库的已分配自治系统信息、已分配IP地址块信息、自治系统-IP地址块映射信息，对被监测网络的路由数据进行检测。检测时按照以下规则进行一般性检测，且充分利用多个监测点的信息，互相确认，从而更加准确全面地发现一般的路由异常行为：

规则a1：被监测网络的BGP路由表项中包含的IP前缀，如果属于RFC1918中定义的私有地址块，则判定该路由为“含私有地址”异常；

规则a2：被监测网络的BGP路由表项中包含的IP前缀，如果不属于基本信息库中定义的已分配IP地址块，则判定该路由为“含未分配地址”异常；

规则a3：被监测网络的BGP路由表项中包含的IP前缀，如果不符合基本信息库定义的自治系统-IP地址映射关系，则判定该路由为“未授权使用地址块“异常，可能存在伪造路由和路由劫持攻击；

规则b1：被监测网络的BGP路由表项中AS-PATH包含的自治系统号，如果属于RFC1930中定义的私有自治系统号，则判定该路由为“含私有AS号”异常；

规则b2：被监测网络的BGP路由表项中AS-PATH包含的自治系统号，如果不属于基本信息库中定义的已分配自治系统号，则判定该路由为“含未分配AS号”异常；

规则b3：被监测网络的BGP路由表项中AS-PATH包含的自治系统号，如果出现重复且重复的自治系统号在AS-PATH中不连续，则判定该路由为“含AS环”异常；

规则c1：如果同一地址前缀有多个发起者，则判定该路由具有潜在MOAS(多来源自治系统)冲突；

规则c2：具有潜在MOAS冲突的网络前缀，如果基本信息库中的自治系统号与IP地址块的映射信息表明，发生冲突的自治系统之间没有存在隶属关系或未对该网络前缀进行授权，则判定该路由为路由劫持异常；

规则c3：具有潜在MOAS冲突的网络前缀，如果冲突的二个自治系统都部署了监测点(例如监测点A和B)并已经获得该监测点的BGP路由表数据，监测点A的BGP路由表指示监测点B为发起者，但是该前缀在监测点B的路由表中不是源发路由，则判定发生针对监测点B所在网络的路由伪造异常；

规则d：如果某个监测点(例如监测点A)的路由表指示某路由的发起者或路由上一跳为另一个监测点(例如监测点B)，但是监测点B并未发起该路由或传播该路由，则判定发生针对监测点B所在网络的路由伪造异常。

将以上过程检测到的异常路由送到BGP异常数据库存放。

1.2专项检测

根据存放在Internet模型库中的模型数据，应用专门定义的异常判定规则，对被监测网络的路由数据进行专项检测。包括检测违背Internet层次关系模型的异常路由、违背ISP商业互连关系模型的异常路由。专项检测出来的异常路由要送到BGP异常数据库中保存。在这个过程中，本发明专门定义的异常路由判定规则是：

规则A—违背Internet层次关系模型的异常判定规则：

根据学到的Internet层次关系模型检测异常。在正常情况下，一条满足Internet层次特性的路径应该是先从低一层次爬升到高一层次，然后，从高一层次降到低一层次；若一条路径通过核心层，由于核心层中的自治系统是全互连关系，该路径只通过一跳就可穿过核心层。因此，只要满足下面规则之一便违背了层次特性，称为违背Internet层次关系模型的异常判定规则：

1)一条路由从高一层次降到低一层次后又回到高一层次；

2)一条路由通过核心层用了两跳以上。

规则B—违背ISP商业互连关系的异常判定规则：

根据已推断的ISP商业互连关系去检测路由异常。只要满足下面规则之一的便违背了ISP商业互连关系约束：

1)一条路由在通过提供商到客户的正向边后又通过一条对等边；

2)一条路由在通过提供商到客户的正向边后又通过一条客户到提供商的逆向边；

3)一条路由在通过一条对等边后又通过一条客户到提供商的逆向边；

4)一条路由在通过一条对等边后又通过一条对等边；

在对每条路由进行异常判定的过程中，只要满足规则A，B中任何一条则认为是异常路由。

2、异常报告

异常报告模块处理由上述检测过程发现的存放在BGP异常数据库中的各监测点的各种异常路由信息，生成异常报告并提交给自治系统管理员或网络管理员。

本发明把某个监测点的异常路由集称为该监测点的异常视图，而路由信息中的异常部分(例如AS-PATH或路由前缀等)表现出来的不同类型称为该路由的异常模式。在通常情况下，多条异常路由会出现相同的异常模式，由此可识别异常路由的异常模式。根据异常模式出现的情况，可以把其所属的异常路由划分以下三个等级(严重程度：红色＞橙色＞黄色)：

红色：某异常路由的异常模式在2个以上监测点的异常视图中出现。显然，含有这种异常模式的异常路由是被多视图确认了的异常，是比较确定的路由攻击行为或路由系统配置问题。

橙色：某异常路由的异常模式只在1个监测点的异常视图中出现，但含有这种异常模式的异常路由较多(如数目＞10)。这些异常路由没有被确认，潜在路由攻击隐患或路由系统配置问题。

黄色：余下的异常路由。没有被确认，可能是路由系统的配置问题。

标记异常等级的过程如下：

1)分析BGP异常数据库中的信息，得到AS-PATH的异常模式集；

2)统计每个异常模式在BGP异常数据库中的出现次数；

3)记录每个异常模式出现在不同异常视图的数目；

4)对于每个异常模式，寻找相应的异常路由，根据上面的规则把每条异常路由分为不同的等级(红、橙或黄)。

同其他域间路由监测系统的检测方法比较，采用本发明可以达到以下的技术效果：

1)本发明从多种来源获取BGP路由信息，充分挖掘与利用不同路由节点多个路由视图中蕴涵的信息，能构造比较完整的Internet的路由模型。

2)本发明在检测阶段利用多个被监测点的路由表，相互确认异常路由信息，使得异常报告更加全面和准确。

3)本发明在检测过程中利用获取的Internet层次关系模型、ISP商业互连关系模型，构造出更加系统的异常路由判定规则，除了一般的异常路由，还能够发现违背Internet层次关系、商业互连关系等隐藏的更多类型的异常路由特征和可能的路由攻击行为。

4)本发明可显著增强域间路由监测系统的能力，它既可帮助自治系统管理员和网络管理员全面准确发现来自域内或域外的非法路由信息和可能的路由攻击，又可帮助不同的ISP协调运营，维护整个Internet的健康发展。

附图说明

图1是本发明路由异常检测系统的网络连接图。

图2是本发明路由异常检测系统的逻辑框图。

图3是本发明Internet模型构造流程图。

图4是本发明BGP异常路由检测与报告过程流程图。

图5是本发明与现有检测方法的能力和效果比较。

具体实施方式

图1是本发明路由异常检测系统的网络连接图。本发明路由异常检测系统与Internet的互连有二类连接，第一类连接是与RouteViews和RIPE-NCC等路由服务器的连接，通过HTTP或FTP服务实现，从www.routeviews.org和www.ripe.net等WEB站点下载路由表数据，用来构造Internet模型；第二类连接是与被监测网络的路由节点如监测点A、监测点B、监测点C等的连接，可以通过Telnet或FTP实现，从被监测网络的路由器获取BGP路由表数据，如果被监测网络的路由器支持基于WEB的网管，也可以采用HTTP连接下载BGP路由表，用来进行路由异常检测。

图2是本发明路由异常检测系统的逻辑框图。路由异常检测系统由Internet模型构造部分和异常检测与报告部分组成。图中空心箭头指示建模数据的流向，实心箭头指示检测数据的流向。右侧为Internet模型构造部分，Internet模型生成模块通过路由数据库中的信息构造出Internet模型，生成的Internet模型信息存储在Internet模型库，同时从IRR和RIR获取IANA公布的已分配自治系统号、已分配IP地址块、自治系统号与IP地址块的映射这三类基本信息构造一个基本信息库来保存。左侧为异常检测与报告部分，异常检测模块利用Internet模型库中的模型信息和基本信息库中的信息及相应的异常判定规则对监测点的网络路由信息进行异常检测，并把发现的异常路由保存到BGP异常数据库中；异常报告模块利用BGP异常数据库中的异常数据生成相应的异常路由报告。

图3是本发明Internet模型构造流程图。Internet模型构造分为3个主要步骤，自上而下对应图3中1～3个模块。具体过程如下：

1)路由数据采集模块从多个来源采集BGP路由数据，例如RouteViews数据、RIPE-NCC路由数据，获取的数据存放在路由数据库中。视图融合采取取并集的方式。显然，采集的数据越多构造的Internet模型也就越准确，数据来源可以有多种途径，具体实施时还可以从Looking Glass路由监测点获取数据或从自己建立的监测网络捕获数据。

2)为了避免Internet模型生成模块处理大量无用信息，预处理模块对路由数据库中的路由信息进行预处理，采用6种基于前缀的预处理和二种基于AS-PATH的预处理。

3)Internet模型生成模块利用Internet层次模型关系构造方法(方法A，B，C)、ISP商业互连关系构造方法(方法D)来得到相应的Internet模型，并把这些模型数据存放在Internet模型库中。

图4是本发明BGP异常路由检测与报告流程图。自下而上分为4个步骤，按照实心箭头指示的方向进行。对应图4中的1～4步，具体方法如下：

1)从多个监测点获取要监测网络的路由表数据，例如图中监测点A和B等；

2)路由数据经过一般性检测，在此过程中需要基本信息库中的信息，应用规则a1～d，发现普通的异常路由，将异常路由送到BGP异常数据库；

3)检测数据经过专项检测，在此过程中Internet模型库中的信息，应用规则A和B，发现二种特定异常路由，将异常路由送到BGP异常数据库；

4)异常报告生成模块对异常数据进行异常等级划分，并根据BGP异常数据库中的内容生成监测点的异常报告。

图5是本发明与其他检测方法的能力和检测效果对比。本发明和其他检测方法有两大不同：一是，本发明具有普通检测方法所没有的异常检测能力，即可以检测出违背Internet层次关系模型和违背ISP商业互连关系模型的异常路由；二是，与其他检测方法的单视图检测不同，本发明所有的异常检测能力都是基于多视图的，比其他方法更加全面和准确地进行异常判定。

本发明已应用到国防科技大学研制的域间路由健康监测系统ISP-Health中。但本发明并不局限于任何具体的硬件平台和操作系统，本发明可以方便地应用到其它环境中。

Claims (5)

1.一种基于多视图的域间路由异常检测方法，基于BGP路由表进行路由异常检测，其特征在于利用多视图检测域间路由系统中的异常路由，设计一个路由异常检测系统来完成Internet模型构造、异常检测与报告两个阶段的工作，在Internet模型构造阶段通过众多路由节点的BGP路由表信息和其他网络拓扑知识来构造比较完整的Internet路由视图，建立ISP互连的Internet层次关系模型和ISP商业互连关系模型两种关系模型；异常检测与报告阶段分为异常检测和异常报告两步，异常检测是先进行一般性检测，然后进行专项检测，一般性检测是对多个监测节点的路由数据进行检测，多个监测点的数据相互确认，更加准确全面地发现一般的路由异常行为；专项检测利用模型构造阶段得到的两种关系模型以及相应判定规则，系统地检测出域间路由系统的异常特征和隐藏的路由攻击行为；异常报告是处理异常路由信息，生成异常报告。

2.如权利要求1所述的基于多视图的域间路由异常检测方法，其特征在于所述路由异常检测系统与Internet采用二类互连，第一类是路由异常检测系统与RouteViews和RIPE-NCC等路由服务器的连接，通过HTTP或FTP服务实现，从www.routeviews.org和www.ripe.net等WEB站点下载路由表数据，用来构造Internet模型；第二类是路由异常检测系统与被监测网络的路由节点连接，通过Telnet或FTP实现，从被监测网络的路由器获取BGP路由表数据，如果被监测网络的路由器支持基于WEB的网管，也可以采用HTTP连接下载BGP路由表，用来进行路由异常检测。

3.如权利要求1所述的基于多视图的域间路由异常检测方法，其特征在于所述路由异常检测系统设计为由Internet模型构造部分和BGP异常路由检测与报告部分组成，Internet模型构造部分由基本信息库、路由数据采集模块、路由数据库、Internet模型生成模块、Internet模型库组成，路由数据采集模块从网上RouteViews路由服务器和RIPE-NCC路由服务器等发布的文件中采集BGP路由数据，送到本地的路由数据库，由Internet模型生成模块构造Internet相关模型并存储在Internet模型库中；BGP异常路由检测与报告部分由异常路由检测模块、BGP异常数据库、异常报告模块组成，BGP异常路由检测模块负责检测出监测点的异常路由，将异常路由信息存放在BGP异常数据库中，异常报告模块处理BGP异常数据库中的信息，生成异常报告并提交给自治系统管理员或网络管理员。

4.如权利要求1所述的基于多视图的域间路由异常检测方法，其特征在于在Internet模型构造阶段构造Internet模型的方法是：

4.1.采集BGP路由数据和构造基本信息库：从RouteViews的路由服务器和RIPE-RCC的路由服务器下载大量的BGP路由数据，以标准路由表的形式存放到路由数据库，获得的每个路由表是Internet拓扑和ISP互连结构的部分反映，整个路由数据库中大量路由表是多个路由节点的多视图信息，利用BGP路由表中的AS-PATH即自治系统路径信息，从多个单视图得到的全部AS-PATH集在逻辑上可认为构成了一个完整的Internet拓扑图G＝(V，E)，其中V为自治系统结点集，E为结点间的连接集，对多路由视图进行融合的方法是直接对多个单视图获取的BGP路由数据中的AS-PATH取并集得到多视图AS-PATH集；同时从IRR和RIR获取IANA公布的已分配自治系统号、已分配IP地址块、自治系统号与IP地址块的映射这三类基本信息，并构造一个基本信息库来保存；路由数据库中的路由表包含的IP前缀、AS-PATH中的自治系统，应该与基本信息库中已分配IP地址块、已分配自治系统号一致；路由表中IP前缀的宣告者应该符合基本信息库中自治系统号与IP地址块的映射关系，利用基本信息库一方面可对路由数据库中的信息进行预处理，一方面可对被监测网络的路由表进行一般性异常检测；

4.2.对BGP路由数据进行预处理，即把路由数据库中的数据送到Internet模型生成模块前进行预处理去掉无关数据，对在预处理过程中发现的常规异常路由数据的处理方法是将它们打上标记送到BGP异常数据库中保存，针对BGP路由信息的不同部分，对BGP路由信息的预处理可分为基于前缀的预处理和基于AS-PATH的预处理，其中，需要进行基于AS-PATH的预处理路由有六种，需要进行基于前缀的预处理路由有两种，共八种；处理方法是：

4.2.1.基于AS-PATH的预处理：

4.2.1.1.处理含有私有自治系统号的BGP路由的方法是：判断BGP路由的AS-PATH部分是否含有位于64512-65535之间的自治系统号；如果存在，则把其送到异常数据库；

4.2.1.2.处理含有未分配自治系统号的BGP路由的方法是：利用基本信息库的信息来判断BGP路由的AS-PATH部分是否出现了未分配的AS号；如果存在，则把其送到异常数据库；

4.2.1.3.处理含有自治系统环的BGP路由的方法是：判断BGP路由的AS-PATH部分是否存在环路；如果存在，则把其送到异常数据库；

4.2.1.4.处理含有AS-SET部分的BGP路由的方法是：检测BGP路由的AS-PATH部分是否含有AS-SET部分；如果存在，则把这样路由的AS-SET部分截去后送到Internet模型生成模块；

4.2.1.5.处理含有连续重复自治系统号的BGP路由的方法是：判断BGP路由的AS-PATH部分是否存在连续重复自治系统号；如果存在，则把其中连续重复的AS号去掉后送到Internet模型生成模块；

4.2.1.6.处理AS-PATH部分为空的BGP路由的方法是：判断BGP路由的AS-PATH部分是否为空；如果是，既不送到异常数据库，也不送到Internet模型生成模块；

4.2.2.基于前缀的预处理：

4.2.2.1.处理含有未分配前缀的BGP路由的方法是：利用基本信息库的信息来判断BGP路由的前缀部分是否出现了未分配的前缀；如果存在，则把其送到异常数据库；

4.2.2.2.处理含有私有地址的BGP路由的方法是：利用基本信息库的信息来判断BGP路由的前缀部分是否出现了私有地址；如果存在，则把其送到异常数据库；

4.3.生成Internet模型：Internet模型生成模块利用多视图的AS-PATH集构造两个Internet模型即Internet层次关系模型和ISP商业互连关系模型，并把它们存储在Internet模型库中，这两个Internet模型的构造方法是：

4.3.1.Internet层次关系模型的构造方法是构造一个核心层-转发层-边缘层三级层次结构模型：

4.3.1.1.构造核心层的方法是：利用Internet拓扑中的自治系统的度信息，采用启发式方法推断核心层的组成与结构，具体过程是：

输入：全部AS-PATH集(把全部AS-PATH集看成图G)

输出：核心层自治系统集Tierl_AS_SET

1)Tierl_AS_SET＝φ；

2)计算图G中每个结点v的度，并把结果存放在一张信息表中；

3)得到图G的最大度结点集

max_degree_nodes(G)＝{v|d(v)＝max(d(v₁)，d(v₂)，...)，v₁，v₂，...∈V}；

4)如果|max_degree_nodes(G)|＝1，设z为max_degree_nodes(G)的唯一元素；

5)如果|max_degree_nodes(G)|≠1，那么查看信息表以选出一个元素z，其中z∈max_degree_nodes(G)，且z在信息表中历史记录的度不比其它元素小；

6)Tierl_AS_SET＝Tierl_AS_SET∪{z}；

7)Neighbor_set←得到图G中结点z的邻居集；

8)从图G中得到结点集为Neighbor_set的导出子图G′；

9)G＝G′；

10)如果图G满足条件 $\left|E\left(G\right)\right|>=\mathrm{\&alpha;}\frac{\left(\right|V\left(G\right)|-1)*\left|V\left(G\right)\right|}{2},$ 则退出；否则，返回到第2

步；其中，|E(G)|是G中的边数，|V(G)|是G中的结点数，α是用来控制Tierl集合中连接稀密程度的系数，若α＝1则为全连接图；

4.3.1.2构造边缘层的方法是：若一个自治系统不为其它任何自治系统转发网络流量，则它称为边缘自治系统，它位于边缘层，某自治系统若是边缘自治系统，则它在AS-PATH集中只会出现在AS-PATH的尾部，因此，对于某个自治系统，通过扫描所有AS-PATH就可以判断是否属于边缘自治系统集；利用每个自治系统的判别结果，就可得到边缘自治系统集，具体构造方法是：

输入：全部AS-PATH集

输出：边缘自治系统集STUB_AS_SET

1)STUB_AS_SET＝φ；

2)得到自治系统列表AS_LIST；

3)对于AS_LIST表中的每个自治系统v重复(4)，(5)，(6)步；

4)Flag＝0；

5)检查所有AS-PATH集，如果v不在AS-PATH的尾部，则Flag＝1；

6)如果Flag＝0，则把v加入边缘自治系统集STUB_AS_SET

4.3.1.3构造转发层的方法是：识别出核心层和识别出边缘层后，剩下的自治系统都归为转发层，具体方法是：

输入：全部AS-PATH集

输出：转发层自治系统集TRANSIT_AS_SET

1)获得核心层自治系统集Tierl_AS_SET(利用方法A)；

2)获得边缘自治系统集STUB_AS_SET(利用方法B)；

3)得到Internet中所有自治系统集AS_SET；

4)TRANSIT_AS_SET←AS_SET-Tierl_AS_SET-STUB_AS_SET；

4.3.2 ISP商业互连关系模型的构造方法是基于本发明Internet层次关系模型的构造方法，三种商业互连关系的构造过程是：

输入：全部AS-PATH集，其中的路径p由自治系统序列组成，记为p＝α₁α₂...α_i...α_n，1≤i≤n

输出：自治系统对<α，β>的关系集Relation_SET，其中α，β是AS-PATH中出现的任意自治系统号

1)利用方法A得到核心层AS集合Tierl_AS_SET，若α、β∈Tierl_AS_SET，则<α，β>记为peer-peer关系；

2)从AS-PATH集提取出含有Tierl_AS_SET集合中元素的路径，这些路径构成集合Core_AS-PATH；

3)若p∈Core_AS-PATH，设α_i∈Tierl_AS_SET

3-1)把p中α_i左侧的所有AS对<α_j-1，α_j>(j≤i)记为customer-provider关系；

3-2)把p中α_i右侧的所有AS对<α_j，α_j+1>(j≥i)记为provider-customer关系；

4)若p∈AS-PATH-Core_AS-PATH

4-1)若p中AS对<α_i-1，α_i>和<α_j，α_j+1>(i＜j)为customer-provider关系，则把它们中间的所有AS对<α_r，α_r+1>(i≤r＜j)记为customer-provider关系

4-2)若p中AS对<α_i-1，α_i>和<α_j，α_j+1>(i＜j)为provider-customer关系，则把它们中间的所有AS对<α_r，α_r+1>(i≤r＜j)记为provider-customer关系

4-3)重复4-1和4-2直到没有发现新的customer-provider或provider-customer关系对

5)若p∈AS-PATH-Core_AS-PATH

5-1)若p中AS对<α_i-1，α_i>为customer-provider关系和<α_j，α_j+1>为provider-customer关系(i＜j)，则把它们中间的所有AS对<α_r，α_r+1>(i≤r＜j)记为peer-peer关系；

5-2)若p中α_i右侧的所有AS对<α_j，α_j+1>(j≥i)为provider-customer关系且α_i左侧的所有AS对<α_k-1，α_k>(k≤i)还没标记关系，则把<α_k-1，α_k>(k≤i)都记为peer-peer关系；

5-3)若p中α_i左侧的所有AS对<α_j-1，α_j>(j≤i)为customer-provider关系且α_i右侧的所有AS对<α_k，α_k+1>(k≥i)还没标记关系，则把<α_k-1，α_k>(k≥i)都记为peer-peer关系；

5.如权利要求1所述的基于多视图的域间路由异常检测方法，其特征在于BGP异常路由检测与报告分为异常检测和异常报告两个子步骤：

5.1异常检测分两步，先是一般性检测，再是专项检测，一般性检测是利用基本信息库中的信息去发现监测点的异常路由，专项检测则是利用特定的Internet模型信息及相应的异常判定规则来检测异常：

5.1.1一般性检测是利用基本信息库的已分配自治系统信息、已分配IP地址块信息、自治系统一IP地址块映射信息，对被监测网络的路由数据进行检测，检测时按照以下规则进行一般性检测，且充分利用多个监测点的信息，互相确认，从而更加准确全面地发现一般的路由异常行为：

规则a1：被监测网络的BGP路由表项中包含的IP前缀，如果属于RFC1918中定义的私有地址块，则判定该路由为“含私有地址”异常；

规则a2：被监测网络的BGP路由表项中包含的IP前缀，如果不属于基本信息库中定义的已分配IP地址块，则判定该路由为“含未分配地址”异常；

规则a3：被监测网络的BGP路由表项中包含的IP前缀，如果不符合基本信息库定义的自治系统一IP地址映射关系，则判定该路由为“未授权使用地址块“异常，可能存在伪造路由和路由劫持攻击；

规则b1：被监测网络的BGP路由表项中AS-PATH包含的自治系统号，如果属于RFC1930中定义的私有自治系统号，则判定该路由为“含私有AS号”异常；

规则b2：被监测网络的BGP路由表项中AS-PATH包含的自治系统号，如果不属于基本信息库中定义的已分配自治系统号，则判定该路由为“含未分配AS号”异常；

规则b3：被监测网络的BGP路由表项中AS-PATH包含的自治系统号，如果出现重复且重复的自治系统号在AS-PATH中不连续，则判定该路由为“含AS环”异常；

规则c1：如果同一地址前缀有多个发起者，则判定该路由具有潜在MOAS即多来源自治系统冲突；

规则c2：具有潜在MOAS冲突的网络前缀，如果基本信息库中的自治系统号与IP地址块的映射信息表明，发生冲突的自治系统之间没有存在隶属关系或未对该网络前缀进行授权，则判定该路由为路由劫持异常；

规则c3：具有潜在MOAS冲突的网络前缀，如果冲突的二个自治系统分别部署了监测点A和监测点B，并已经获得该监测点的BGP路由表数据，监测点A的BGP路由表指示监测点B为发起者，但是该前缀在监测点B的路由表中不是源发路由，则判定发生针对监测点B所在网络的路由伪造异常；

规则d：如果某个监测点A的路由表指示某路由的发起者或路由上一跳为另一个监测点B，但是监测点B并未发起该路由或传播该路由，则判定发生针对监测点B所在网络的路由伪造异常；

5.1.2专项检测是根据存放在Internet模型库中的模型数据，应用本发明定义的异常判定规则，对被监测网络的路由数据进行专项检测，包括检测违背Internet层次关系模型的异常路由、违背ISP商业互连关系模型的异常路由，专项检测出来的异常路由要送到BGP异常数据库中保存；本发明定义的异常路由判定规则是：

规则A—违背Internet层次关系模型的异常判定规则：根据学到的Internet层次关系模型检测异常，只要满足下面规则之一便违背了层次特性，称为违背Internet层次关系模型的异常判定规则：

1)一条路由从高一层次降到低一层次后又回到高一层次；

2)一条路由通过核心层用了两跳以上；

规则B—违背ISP商业互连关系的异常判定规则：根据已推断的ISP商业互连关系去检测路由异常，只要满足下面规则之一的便违背了ISP商业互连关系约束：

1)一条路由在通过提供商到客户的正向边后又通过一条对等边；

2)一条路由在通过提供商到客户的正向边后又通过一条客户到提供商的逆向边；

3)一条路由在通过一条对等边后又通过一条客户到提供商的逆向边；

4)一条路由在通过一条对等边后又通过一条对等边；

在对每条路由进行异常判定的过程中，只要满足规则A，B中任何一条则认为是异常路由；

5.2异常报告：异常报告模块处理由异常检测过程发现的存放在BGP异常数据库中的各监测点的各种异常路由信息，生成异常报告并提交给自治系统管理员或网络管理员，本发明把某个监测点的异常路由集称为该监测点的异常视图，而路由信息中的异常部分表现出来的不同类型称为该路由的异常模式；在通常情况下，多条异常路由会出现相同的异常模式，由此可识别异常路由的异常模式；根据异常模式出现的情况把其所属的异常路由按严重程度划分为红色＞橙色＞黄色三个等级：

红色：某异常路由的异常模式在2个以上监测点的异常视图中出现，显然，含有这种异常模式的异常路由是被多视图确认了的异常，是比较确定的路由攻击行为或路由系统配置问题；

橙色：某异常路由的异常模式只在1个监测点的异常视图中出现，但含有这种异常模式的异常路由较多，这些异常路由没有被确认，潜在路由攻击隐患或路由系统配置问题；

黄色：余下的异常路由，没有被确认，可能是路由系统的配置问题；

标记异常等级的方法是：

1)分析BGP异常数据库中的信息，得到AS-PATH的异常模式集；

2)统计每个异常模式在BGP异常数据库中的出现次数；

3)记录每个异常模式出现在不同异常视图的数目；

4)对于每个异常模式，寻找相应的异常路由，把每条异常路由分为红、橙、黄不同的等级。

Images