JP2009118138A - Method for detecting route hijacking, route monitor and system and program for detecting route hijack - Google Patents

Method for detecting route hijacking, route monitor and system and program for detecting route hijack Download PDF

Info

Publication number
JP2009118138A
JP2009118138A JP2007288384A JP2007288384A JP2009118138A JP 2009118138 A JP2009118138 A JP 2009118138A JP 2007288384 A JP2007288384 A JP 2007288384A JP 2007288384 A JP2007288384 A JP 2007288384A JP 2009118138 A JP2009118138 A JP 2009118138A
Authority
JP
Japan
Prior art keywords
route
hijack
monitoring device
suspected
path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007288384A
Other languages
Japanese (ja)
Other versions
JP4542580B2 (en
Inventor
Mitsuo Tawara
光穂 田原
Toshimitsu Oshima
利充 大島
Toshio Oimatsu
敏雄 老松
Sohei Majima
宗平 馬島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007288384A priority Critical patent/JP4542580B2/en
Publication of JP2009118138A publication Critical patent/JP2009118138A/en
Application granted granted Critical
Publication of JP4542580B2 publication Critical patent/JP4542580B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To detect a route hijack without depending upon an IRR database. <P>SOLUTION: A PING test result to a route to be hijacked is received from route monitors 100A to 100C in a network by a route monitor 100E. When a degree of similarity of the PING test results in the route monitors 100A to 100C detecting the route to be hijacked and the PING test result detecting no route to be hijacked is lowered to a specified threshold or smaller by comparing both PING test results in this case, the occurrence of the route hijack is decided. Then, when the degree of similarity exceeds the specified threshold, no occurrence of the route hijack is decided. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、経路ハイジャック検出技術に関する。   The present invention relates to a path hijack detection technique.

インターネットは、ISP(商用プロバイダ、Internet Service Provider)や企業や大学等の異なる組織によって運営される1万以上のAS(自律システム、Autonomous System)が有機的に接続されたものである。このAS間は、専用線、あるいはIX(Internet eXchange)によって接続される。   The Internet is an organic connection of 10,000 or more ASs (autonomous systems) operated by ISPs (commercial providers, Internet service providers) and different organizations such as companies and universities. The ASs are connected by a dedicated line or IX (Internet eXchange).

ASの経路制御装置(ルータ)は、BGP(Border Gateway Protocol)により、互いの経路情報を交換し、この交換した経路情報をもとに、所定のネットワーク宛にデータを転送するときの経路を決定する。この経路情報は、プレフィックスとパス属性とを含んで構成される。このプレフィックスとは経路とも言い、ネットワークアドレスとそのネットワークアドレスのネットマスク長(以下、経路長ともいう)により、宛先となるIP(Internet Protocol)アドレス空間を示した情報である。また、パス属性は経路情報に付加される当該経路の属性情報であり、例えば、ASパス(ASパス属性)やネクストホップ(ネクストホップ属性)等がある。このASパスは、宛先のASへ到達するまでに経由するASのAS番号のリストであり、ネクストホップは、その宛先となるIPアドレス空間(プレフィックス)へパケットを送信するときの次のルータ(ノード)のIPアドレスを示した情報である。   AS route control devices (routers) exchange each other's route information by BGP (Border Gateway Protocol), and based on the exchanged route information, determine a route for transferring data to a predetermined network. To do. This route information includes a prefix and a path attribute. This prefix is also called a route, and is information indicating an IP (Internet Protocol) address space as a destination by a network address and a netmask length of the network address (hereinafter also referred to as a route length). The path attribute is attribute information of the route added to the route information, and includes, for example, an AS path (AS path attribute), a next hop (next hop attribute), and the like. This AS path is a list of AS AS numbers that are routed to reach the destination AS, and the next hop is the next router (node) when sending a packet to the IP address space (prefix) that is the destination. ) Is an information indicating the IP address.

BGPはパスベクトル型のルーティングプロトコルであり、あるASが広告した経路情報は、各ASをホップバイホップで伝播し、インターネット中に拡散する。例えば、この経路情報の伝播の過程で、各ASのルータは自ASのAS番号をASパス属性に追加していく。このようにして経路情報に追加されたAS番号により、各ルータは、当該プレフィックスを持つパケットをどのASを経由して、どのASへ到達させればよいかを知ることができる。   BGP is a path vector type routing protocol, and route information advertised by a certain AS propagates each AS hop-by-hop and spreads throughout the Internet. For example, in the process of propagation of this route information, each AS router adds the AS number of its own AS to the AS path attribute. By using the AS number added to the route information in this way, each router can know which AS the packet having the prefix should reach via which AS.

しかし、オペレータの設定ミスや悪意のある設定によって誤った経路情報が広告され、その誤った経路情報がインターネット全体に伝播してしまうことがある。この誤った経路情報の広告の具体的な例としては、経路ハイジャックがある。この経路ハイジャックとは、本来、そのネットワークアドレスを割り当てられていないASが、自身のASからそのネットワークアドレスまたはその一部の経路情報を広告することである。この経路ハイジャックが発生し、誤った経路情報がインターネット全体に伝播すると、そのネットワークアドレスヘのパケットは、その誤った経路情報を広告したASへ転送される。そのため、そのネットワークアドレスが正当に割り当てられたASへの通信に障害が発生する。   However, incorrect route information may be advertised due to operator setting mistakes or malicious settings, and the incorrect route information may be propagated throughout the Internet. A specific example of this incorrect route information advertisement is route hijacking. This route hijacking means that an AS that is not originally assigned a network address advertises the network address or part of the route information from its own AS. When this route hijacking occurs and incorrect route information propagates throughout the Internet, the packet for that network address is forwarded to the AS that advertised the incorrect route information. Therefore, a failure occurs in communication with the AS to which the network address is properly assigned.

この経路ハイジャックについて、図面を参照しながら詳細に説明する。図6は、経路ハイジャックを概念的に説明した図である。   This path hijack will be described in detail with reference to the drawings. FIG. 6 is a diagram conceptually illustrating the path hijacking.

ここでは、ネットワークがAS−A(AS番号「65010」)、AS−B(AS番号「65020」)、AS−C(AS番号「65030」)、AS−D(AS番号「65040」)およびAS−E(AS番号「65050」)を含んで構成される場合を例に説明する。各ASはそれぞれ、お互いの経路情報を交換し、経路表を作成する。例えば、AS−E(AS番号「65050」)のルータ(図示省略)が、「10.0.0.0/16」の経路情報を各AS(AS−A、AS−B、AS−C、AS−D)のルータに広告すると、AS−A、AS−B、AS−C、AS−Dのルータはそれぞれ経路表1001(1001A,1001B,1001C,1001D)を作成する。つまり、経路表1001(1001A〜1001D)には、符号1002(1002A,1002B,1002C,1002D)に示す元の広告経路が追加される。   Here, the network is AS-A (AS number “65010”), AS-B (AS number “65020”), AS-C (AS number “65030”), AS-D (AS number “65040”) and AS. An example in which -E (AS number “65050”) is included will be described. Each AS exchanges route information with each other and creates a route table. For example, a router (not shown) of AS-E (AS number “65050”) transmits route information of “10.0.0.0/16” to each AS (AS-A, AS-B, AS-C, When advertising to the AS-D router, the AS-A, AS-B, AS-C, and AS-D routers create route tables 1001 (1001A, 1001B, 1001C, and 1001D), respectively. That is, the original advertisement route indicated by reference numeral 1002 (1002A, 1002B, 1002C, 1002D) is added to the route table 1001 (1001A to 1001D).

各ASのルータは、このようにして作成した経路表1001に基づきパケットの転送を行う。例えば、経路表1001Aの符号1002Aに示す経路情報に基づき、「10.0.0.0/16」宛のパケットは、AS番号「65020」のAS(AS−B)→AS番号「65050」のAS(AS−E)という経路で転送される。つまり、まず、AS−Aのルータは、経路表1001Aの符号1002Aに示す経路情報に基づき、「10.0.0.0/16」宛のパケットをAS−Bのルータへ転送する。次に、このパケットを受信したAS−Bのルータは、経路表1001Bの符号1002Bに示す経路情報に基づき、AS番号「65050」のAS(AS−E)へ転送する。   Each AS router transfers a packet based on the route table 1001 created in this way. For example, a packet addressed to “10.0.0.0/16” is assigned to AS (AS-B) with AS number “65020” → AS number “65050” based on the route information indicated by reference numeral 1002A in route table 1001A. It is transferred via a route called AS (AS-E). That is, first, the AS-A router transfers the packet addressed to “10.0.0.0/16” to the AS-B router based on the route information indicated by reference numeral 1002A in the route table 1001A. Next, the AS-B router that has received this packet transfers the packet to the AS (AS-E) having the AS number “65050” based on the route information indicated by reference numeral 1002B in the route table 1001B.

ここで、(1)AS−Dのルータが、AS−Eのプレフィックスの一部(「10.0.0.0/24」)の経路情報を広告すると、AS−A、AS−B、AS−Cのルータの経路表1001(1001A,1001B,1001C)には、プレフィックス「10.0.0.0/24」の経路情報の広告元はAS番号「65040」であるという情報が書き込まれる(符号1003A,1003B,1003Cに示すハイジャック経路参照)。   Here, (1) when the AS-D router advertises the route information of a part of the AS-E prefix (“10.0.0.0/24”), AS-A, AS-B, AS Information that the advertisement source of the route information of the prefix “10.0.0.0/24” is the AS number “65040” is written in the route table 1001 (1001A, 1001B, 1001C) of the −C router ( (Refer to the hijack path indicated by reference numerals 1003A, 1003B, and 1003C).

(2)これにより、本来、AS−E(AS番号「65050」)へ転送されるべき「10.0.0.0/16」宛のパケットがAS−D(AS番号「65040」)へ吸い込まれてしまい、AS−Eにパケットが届かないことになる。つまり、AS−Bのルータは元の広告経路1002Bの経路情報ではなく、ハイジャック経路1003Bの経路情報の方を参照してパケットの転送先を決定するので、パケットがAS−D(AS番号「65040」)へ吸い込まれてしまう。   (2) Thus, a packet addressed to “10.0.0.0/16” that should be transferred to AS-E (AS number “65050”) is sucked into AS-D (AS number “65040”). As a result, the packet does not reach AS-E. That is, since the router of AS-B determines the transfer destination of the packet by referring to the route information of the hijack route 1003B, not the route information of the original advertisement route 1002B, the packet is AS-D (AS number “ 65040 ").

なお、各ASのルータがパケットを転送する場合において、符号1002Bに示す元の広告経路(「10.0.0.0/16」)ではなく、符号1003Bに示すハイジャック経路(「10.0.0.0/24」)を選択するのは、経路表1001に宛先アドレスを包含する経路情報が複数あるとき、ルータはよりネットマスク長の長い経路情報を選択する最長一致規則を用いるからである。   When each AS router transfers a packet, the hijacking route (“10.0” shown in reference numeral 1003B) is used instead of the original advertising route (“10.0.0.0/16”) shown in reference numeral 1002B. .0.0 / 24 ") is selected because when the route table 1001 includes a plurality of route information including the destination address, the router uses the longest match rule for selecting route information having a longer netmask length. is there.

従来、このような経路ハイジャックを検出する技術として、各ASに分散配置された経路監視装置それぞれが、IRRデータベース(Internet Routing Registry database)のデータと経路情報とを照合し、経路ハイジャックを検出する技術がある(特許文献1参照)。このIRRデータベースとは、インターネット上の経路情報(IPアドレス空間)とその経路に割り当てられた正当なAS番号と示したデータベースである。この技術を、図7を用いて説明する。   Conventionally, as a technology for detecting such route hijacking, each route monitoring device distributed in each AS collates data of IRR database (Internet Routing Registry database) with route information to detect route hijacking. There exists a technique to do (refer patent document 1). The IRR database is a database showing route information (IP address space) on the Internet and a valid AS number assigned to the route. This technique will be described with reference to FIG.

図7は、本発明の比較例となる技術を説明した図である。図7に示すように各ASには各AS間で交換される経路情報を監視する経路監視装置が設置される。ここで、例えば、(0)AS−Eの経路監視装置が「10.0.0.0/16」の監視を他の経路監視装置(AS−A、AS−B、AS−C、AS−Dの経路監視装置)へ依頼すると、(1)各経路監視装置は、この「10.0.0.0/16」の監視を開始する。(2)ここで、「10.0.0.0/24」の経路情報を他のASから受信すると、(3)この経路情報における、経路とその経路情報の広告元(origin)のAS番号を、IRRデータベースのデータと照合し、この経路「10.0.0.0/24」がハイジャックされたか否か判定する。(4)そして、経路監視装置は、この判定結果を監視の依頼元であるAS−E(AS−Eの経路監視装置)へ通知する。(5)この後、この判定結果が経路ハイジャックの場合、警報をオペレータに通知する。例えば、AS−Eの経路監視装置において「10.0.0.0/24」がハイジャックされた旨の通知を受信した場合、AS−Eの経路を管理するオペレータへ経路ハイジャック発生の警報が通知される。
特開2006−25088号公報 FIG. 7 is a diagram illustrating a technique as a comparative example of the present invention. As shown in FIG. 7, a path monitoring device that monitors path information exchanged between the ASs is installed in each AS. Here, for example, the (0) AS-E route monitoring device monitors “10.0.0.0/16” for other route monitoring devices (AS-A, AS-B, AS-C, AS- (1) Each route monitoring device starts monitoring “10.0.0.0/16”. (2) Here, when the route information “10.0.0.0/24” is received from another AS, (3) the AS number of the route and the origin of the route information in this route information Is compared with data in the IRR database to determine whether or not this route “10.0.0.0/24” has been hijacked. (4) Then, the route monitoring device notifies the determination result to AS-E (AS-E route monitoring device) which is the monitoring request source. (5) Thereafter, if the determination result is a route hijack, an alarm is notified to the operator. For example, when the AS-E route monitoring device receives a notification that “10.0.0.0/24” has been hijacked, an alarm for the occurrence of a route hijacking is sent to the operator who manages the AS-E route. Will be notified.
JP 2006-25088 A

しかし、このようにIRRデータベースを参照した経路ハイジャックの検出は、IRRデータベースのデータに漏れなくデータが登録されていることを前提としている。このため、IRRデータベースのデータに登録漏れがあると以下のような問題が発生することがある。この問題を、図8を用いて説明する。図8は、図7の技術における問題点を説明した図である。図7と同様の構成要素は同じ符号を付して、説明を省略する。ここでも、各経路監視装置における監視対象経路は「10.0.0.0/16」である場合を例に説明する。   However, the path hijack detection with reference to the IRR database is based on the premise that the data is registered without omission in the data of the IRR database. For this reason, if there is omission of registration in the data of the IRR database, the following problems may occur. This problem will be described with reference to FIG. FIG. 8 is a diagram for explaining a problem in the technique of FIG. Constituent elements similar to those in FIG. Here, the case where the monitoring target route in each route monitoring device is “10.0.0.0/16” will be described as an example.

(0)例えば、まず、AS−Eは、顧客ネットワークに「10.0.0.0/24」を割り振る。つまり、AS−Eは、正当に所有するIPアドレス「10.0.0.0/16」の一部である「10.0.0.0/24」を顧客ネットワークに割り振る。そして、AS−Eは、この顧客ネットワークとStatic経路で経路接続する。(1)この後、顧客ネットワークが、冗長性確保のためAS−Dと接続し、AS−DとStatic経路で経路接続する。(2)そして、AS−Dは、顧客ネットワークが正当に保有する「10.0.0.0/24」をAS−Dから広告する。(3)その後、各ASの経路監視装置において、このAS−Dから広告された「10.0.0.0/24」の経路情報を受信すると、この経路は監視対象経路「10.0.0.0/16」に含まれるので、(4)IRRデータベースと照合する。(5)ここで、IRRデータベースにおいて、route「10.0.0.0/24」に対しorigin「AS番号65040(AS−D)」というデータがないと、各経路監視装置は経路ハイジャックが発生したと判定し、この判定結果をAS−Eへ通知する。つまり、IRRデータベースにデータの登録漏れがあると、経路ハイジャックされていないにもかかわらず、その旨の通知がAS−Eに行われるおそれがある。   (0) For example, first, AS-E allocates “10.0.0.0/24” to the customer network. That is, the AS-E allocates “10.0.0.0/24”, which is a part of the IP address “10.0.0.0/16” that is legally owned, to the customer network. The AS-E is connected to this customer network through a static route. (1) Thereafter, the customer network connects to AS-D to ensure redundancy, and connects to AS-D via a static route. (2) Then, AS-D advertises “10.0.0.0/24”, which is legitimately held by the customer network, from AS-D. (3) After that, when the route information of “10.0.0.0/24” advertised from this AS-D is received by the route monitoring device of each AS, this route becomes the monitoring target route “10.0.0.0”. 0.04 ”, (4) collate with IRR database. (5) Here, in the IRR database, if there is no data of origin “AS number 65040 (AS-D)” for route “10.0.0.0/24”, each route monitoring device has a route hijack. It determines with having generate | occur | produced and notifies AS-E of this determination result. That is, if there is omission of data registration in the IRR database, there is a possibility that the AS-E is notified to that effect even though the route is not hijacked.

そこで、本発明は、前記した課題を解決し、IRRデータベースに依存せずに経路ハイジャックの検出を可能とすることを目的とする。   Accordingly, an object of the present invention is to solve the above-described problems and enable detection of a path hijack without depending on an IRR database.

前記した課題を解決するため請求項1に記載の発明は、各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、ハイジャック経路を検出する経路ハイジャック検出システムにおける前記経路監視装置が、前記ハイジャック経路である可能性のある被疑ハイジャック経路のIPアドレス空間を示した被疑ハイジャック検出情報を受信したとき、他の前記経路監視装置それぞれへ、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験の実行を依頼するステップと、自身の経路監視装置において前記被疑ハイジャックの経路情報に示されるIPアドレス空間のIPアドレスそれぞれに対しPING試験を実行するステップと、他の前記経路監視装置それぞれから、前記PING試験の結果を受信するステップと、前記自身の経路監視装置で実行したPING試験の結果および前記受信したPING試験の結果を前記記憶部に記録するステップと、前記記録したPING試験の結果のうち、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果との類似度を計算するステップと、前記計算した類似度が所定の閾値a以下であるとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップと、入出力部経由で、前記判定結果を出力するステップとを実行することを特徴とする経路ハイジャック検出方法とした。   In order to solve the above-mentioned problem, the invention according to claim 1 detects a hijack route by monitoring route information exchanged by BGP (Border Gateway Protocol) in each AS (Autonomous System) by a plurality of route monitoring devices. When the route monitoring device in the route hijack detection system receives suspected hijack detection information indicating the IP address space of the suspected hijacking route that may be the hijacking route, the other route monitoring device Requesting each to execute a PING test on the IP address space indicated by the suspected hijack detection information, and each IP address of the IP address space indicated by the suspected hijacking route information in its own route monitoring device Performing a PING test on the other route monitoring device; Receiving the result of the PING test from each of them, recording the result of the PING test executed by the path monitoring device and the result of the received PING test in the storage unit, and the recorded PING Of the test results, the degree of similarity between the PING test result in the route monitoring device that transmitted the suspected hijack detection information and the PING test result in the route monitoring device that did not transmit the suspected hijack detection information. A step of calculating, a step of determining that there is a high possibility that a path hijack has occurred in the IP address space indicated by the suspected hijack detection information when the calculated similarity is equal to or less than a predetermined threshold a; And a step of outputting the determination result via an output unit. It was the detection method.

請求項6に記載の発明は、各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、経路ハイジャックを検出する経路ハイジャック検出システムにおける前記経路監視装置であって、各種データの入出力を司る入出力部と、前記ハイジャック経路である可能性のある被疑ハイジャック経路のIPアドレス空間を示した被疑ハイジャック検出情報を受信する被疑ハイジャック情報受信部と、他の前記経路監視装置それぞれへ、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験の実行を依頼する試験依頼部と、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験を実行し、このPING試験の結果を記憶部に記録する試験実行部と、前記他の経路監視装置それぞれから、前記PING試験の結果を受信し、このPING試験の結果を前記記憶部に記録する試験結果受信部と、前記記録したPING試験の結果のうち、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験の結果との類似度を計算し、前記計算した類似度が所定の閾値以下であるとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するハイジャック判定部と、前記判定結果を出力する判定結果通知部とを備えることを特徴とする。   The invention according to claim 6 is a route hijack detection system in which route information exchanged by BGP (Border Gateway Protocol) in each AS (Autonomous System) is monitored by a plurality of route monitoring devices and a route hijack is detected. The suspected hijacking detection information indicating the IP address space of the suspected hijacking route that may be the hijacking route and the input / output unit that controls input / output of various data. A hijack information receiving unit, a test requesting unit that requests each of the other route monitoring devices to execute a PING test on the IP address space indicated in the suspected hijack detection information, and a suspected hijack detection information A test to record the result of the PING test in the storage unit. A test result receiving unit that receives the result of the PING test from each of the row unit and each of the other path monitoring devices and records the result of the PING test in the storage unit, and among the recorded results of the PING test, Calculating the similarity between the PING test result in the path monitoring device that has transmitted the suspected hijack detection information and the PING test result in the path monitoring device that has not transmitted the suspected hijack detection information; When the similarity is equal to or lower than a predetermined threshold value, a hijack determination unit that determines that there is a high possibility that a path hijack has occurred in the IP address space indicated by the suspected hijack detection information, and outputs the determination result And a determination result notifying unit.

請求項8に記載の発明は、請求項7に記載の経路監視装置を複数含んで構成されることを特徴とする経路ハイジャック検出システムとした。   According to an eighth aspect of the present invention, there is provided a path hijack detection system including a plurality of path monitoring devices according to the seventh aspect.

このようにすることで、被疑ハイジャック経路が検出されたとき、経路監視装置は、各ASの経路監視装置へこの被疑ハイジャック経路へのPING試験を依頼する。そして、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、それ以外の(つまり、被疑ハイジャック経路が検出されなかった)経路監視装置におけるPING試験の結果とが類似しないものであれば、それぞれのPING試験により到達したIPアドレス空間は、別のIPアドレス空間である可能性が高いので、被疑ハイジャック経路において実際に経路ハイジャックが発生した可能性が高いと判断できる。つまり、経路監視装置は、IRRデータベースに依存せずに経路ハイジャックを検出することができる。   In this way, when a suspected hijacking route is detected, the route monitoring device requests each AS route monitoring device to perform a PING test on the suspected hijacking route. The result of the PING test in the route monitoring device in which the suspected hijacking path is detected is not similar to the result of the PING test in the other route monitoring device (that is, the suspected hijacking route has not been detected). If there is, there is a high possibility that the IP address space reached by each PING test is a different IP address space, so it can be determined that there is a high possibility that a path hijack has actually occurred in the suspected hijack path. That is, the route monitoring device can detect a route hijack without depending on the IRR database.

請求項2に記載の発明は、請求項1に記載の経路ハイジャック検出方法において、前記経路監視装置が、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果とをそれぞれベクトルで記述し、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果のベクトルを加算し、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果のベクトルを加算し、前記加算したベクトル同士のなす角度θを計算するステップと、前記計算した角度θの絶対値が所定の閾値bよりも大きいとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップとを実行することを特徴とする。   According to a second aspect of the present invention, in the path hijack detection method according to the first aspect, the PING test result in the path monitoring apparatus in which the path monitoring apparatus has transmitted the suspected hijack detection information, and the suspected high jack The PING test result in the route monitoring device that did not transmit the jack detection information is described as a vector, the vector of the PING test result in the route monitoring device that transmitted the suspected hijack detection information is added, and the suspected A step of adding the vectors of the PING test results in the route monitoring device that did not transmit hijack detection information, calculating an angle θ formed by the added vectors, and an absolute value of the calculated angle θ is a predetermined value. When larger than the threshold value b, the IP address shown in the suspected hijack detection information is empty. A step of determining that there is a high possibility that a path hijack has occurred in between.

このようにすることで、経路監視装置は、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、それ以外の経路監視装置におけるPING試験の結果との類似の度合をベクトルのなす角度θで計算できる。ここで、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、被疑ハイジャック経路が検出されなかった経路監視装置におけるPING試験の結果とが類似していないほど、角度θの絶対値は大きくなり、類似しているほど、角度θの絶対値は小さくなる。つまり、角度θの絶対値は大きくなるほど、それぞれのPING試験により到達したIPアドレス空間は異なるIPアドレス空間である可能性が高いので、経路監視装置は経路ハイジャックが発生した可能性が高いと判断できる。なお、経路監視装置におけるPING試験の結果のベクトルXは、例えば、被疑ハイジャック経路のIPアドレス空間が256個(つまり「/24」)であった場合、それぞれのPING試験結果を、OKであれば「1」、NGであれば「−1」として、ベクトルX=[x0,x1,x2,…,x255]というように記述したものである。   By doing in this way, the route monitoring device makes a vector the degree of similarity between the result of the PING test in the route monitoring device in which the suspected hijacking route is detected and the result of the PING test in the other route monitoring devices. It can be calculated by the angle θ. Here, as the result of the PING test in the path monitoring device in which the suspected hijacking path is detected is not similar to the result of the PING test in the path monitoring apparatus in which the suspected hijacking path is not detected, the absolute angle θ The larger the value, the smaller the absolute value of the angle θ. That is, as the absolute value of the angle θ increases, the IP address space reached by each PING test is more likely to be a different IP address space, so the route monitoring device determines that the possibility that a route hijack has occurred is higher. it can. For example, if the IP address space of the suspected hijacking path is 256 (that is, “/ 24”), the vector X of the result of the PING test in the path monitoring device may be OK for each PING test result. For example, “1” and “−1” for NG are described as a vector X = [x0, x1, x2,..., X255].

請求項3に記載の発明は、請求項2に記載の経路ハイジャック検出方法において、前記経路監視装置が、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果のベクトルの平均値を計算し、前記被疑ハイジャック検出情報を送信しなかった経路監視装置における前記PING試験結果のベクトルの平均値を計算し、前記平均値を計算したベクトルそれぞれの始点を一致させたときの終点間の距離を計算するステップと、前記計算した距離が所定の閾値cよりも大きいとき、前記被疑ハイジャックの経路情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップとを実行することを特徴とする。   According to a third aspect of the present invention, in the path hijack detection method according to the second aspect, an average value of vectors of the PING test results in the path monitoring apparatus in which the path monitoring apparatus transmits the suspected hijack detection information. And calculating the average value of the vectors of the PING test result in the path monitoring device that did not transmit the suspicious hijack detection information, and between the end points when the respective starting points of the calculated vectors are matched And a step of determining that there is a high possibility that a path hijack has occurred in the IP address space indicated by the path information of the suspected hijack when the calculated distance is greater than a predetermined threshold c. And executing.

このようにすることで、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、被疑ハイジャック経路が検出されなかった経路監視装置におけるPING試験の結果との類似度をベクトル間の距離で計算できる。   By doing so, the similarity between the result of the PING test in the route monitoring device in which the suspected hijacking route is detected and the result of the PING test in the route monitoring device in which the suspected hijacking route is not detected is calculated between the vectors. It can be calculated by distance.

請求項4に記載の発明は、請求項1ないし請求項3のいずれか1項に記載の経路ハイジャック検出方法において、前記経路監視装置が、前記計算した類似度が前記所定の閾値aを超えるとき、前記計算した角度θの絶対値が前記所定の閾値b以下であるとき、または、前記計算した距離が所定の閾値c以下であるとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性は低いと判定するステップを実行することを特徴とする。   According to a fourth aspect of the present invention, in the route hijack detection method according to any one of the first to third aspects, the route monitoring device has the calculated similarity exceeding the predetermined threshold a. When the absolute value of the calculated angle θ is less than or equal to the predetermined threshold value b, or when the calculated distance is less than or equal to the predetermined threshold value c, the IP address space indicated in the suspected hijack detection information is The step of determining that the possibility that a path hijacking has occurred is low is executed.

このようにすることで、被疑ハイジャック経路が検出された経路監視装置におけるPING試験の結果と、被疑ハイジャック経路が検出されなかった経路監視装置におけるPING試験の結果とが類似しているとき、それぞれのPING試験により到達したIPアドレス空間は、同じIPアドレス空間である可能性が高いので、経路監視装置は経路ハイジャックが発生した可能性は低いと判断できる。これにより、経路監視装置は、経路ハイジャックの誤検出を防止できる。   By doing in this way, when the result of the PING test in the route monitoring device in which the suspected hijacking path is detected is similar to the result of the PING test in the route monitoring device in which the suspected hijacking route is not detected, Since the IP address space reached by each PING test is highly likely to be the same IP address space, the route monitoring device can determine that the possibility that a route hijack has occurred is low. Thereby, the path monitoring device can prevent erroneous detection of path hijacking.

請求項5に記載の発明は、請求項1ないし請求項3のいずれか1項に記載の経路ハイジャック検出方法において、前記経路監視装置の記憶部は、当該経路監視装置における監視対象経路のIPアドレス空間、そのIPアドレス空間に割り当てられた正当なAS番号およびそのIPアドレス空間の監視結果の送信先の経路監視装置の識別情報を示した監視対象経路情報と、自身のASの経路制御装置の保持する経路情報とを記憶し、前記経路監視装置は、前記記憶部の経路情報に示されるIPアドレス空間のうち、前記監視対象経路情報に示されるIPアドレス空間に含まれる経路情報について、その経路情報に示されるIPアドレス空間のAS番号が、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があるか否かを監視し、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があると判断したとき、前記被疑ハイジャック経路のIPアドレス空間を示した前記被疑ハイジャック検出情報を、前記IPアドレス空間の監視結果の送信先の経路監視装置へ送信するステップと、他の前記経路監視装置からPING試験の対象となるIPアドレス空間を示したPING試験の依頼を受信したとき、前記IPアドレス空間のIPアドレスそれぞれに対しPING試験を実行するステップと、前記実行したPING試験を前記PING試験の依頼元の経路監視装置へ送信するステップとを実行することを特徴とする。   According to a fifth aspect of the present invention, in the route hijack detection method according to any one of the first to third aspects, the storage unit of the route monitoring device is an IP of the monitoring target route in the route monitoring device. The monitoring target route information indicating the address space, the legitimate AS number assigned to the IP address space, and the identification information of the destination route monitoring device of the monitoring result of the IP address space, and the route control device of its own AS The route monitoring device stores the route information about the route information included in the IP address space indicated by the monitoring target route information in the IP address space indicated by the route information of the storage unit. Whether the AS number of the IP address space indicated in the information has route information of a suspected hijack route different from the AS number of the route to be monitored is monitored. When it is determined that there is route information of the suspected hijacking route different from the AS number of the route to be monitored, the suspected hijacking detection information indicating the IP address space of the suspected hijacking route is stored in the IP address space. When a request for a PING test indicating the IP address space to be subjected to the PING test is received from another path monitoring device, the step of transmitting the monitoring result to the destination route monitoring device, and the IP address of the IP address space A step of executing a PING test for each of them, and a step of transmitting the executed PING test to a path monitoring apparatus that is a request source of the PING test are performed.

請求項7に記載の発明は、請求項6に記載の経路監視装置において、前記記憶部は、当該経路監視装置における監視対象経路のIPアドレス空間、そのIPアドレス空間に割り当てられた正当なAS番号およびそのIPアドレス空間の監視結果の送信先の経路監視装置の識別情報を示した監視対象経路情報と、自身のASの経路制御装置の保持する経路情報とを記憶し、前記試験実行部は、他の前記経路監視装置からPING試験の対象となるIPアドレス空間を示したPING試験の依頼を受信したとき、前記IPアドレス空間のIPアドレスそれぞれに対しPING試験を実行し、前記経路監視装置は、前記経路情報のうち、前記監視対象経路情報に示されるIPアドレス空間に含まれる経路情報について、その経路情報に示されるIPアドレス空間のAS番号が、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があるか否かを監視し、前記監視対象経路のAS番号と異なる経路情報があると判断したとき、前記被疑ハイジャック経路のIPアドレス空間を示した前記被疑ハイジャック検出情報を、前記IPアドレス空間の監視結果の送信先の経路監視装置へ送信する経路監視部と、前記実行したPING試験の結果を、前記PING試験の依頼元の経路監視装置へ送信する試験結果送信部とを備えることを特徴とする。   The invention according to claim 7 is the route monitoring device according to claim 6, wherein the storage unit is an IP address space of a route to be monitored in the route monitoring device, and a valid AS number assigned to the IP address space. And the monitoring target route information indicating the identification information of the destination route monitoring device of the monitoring result of the IP address space, and the route information held by the own AS route control device, the test execution unit, When a request for a PING test indicating an IP address space to be subjected to a PING test is received from another path monitoring device, the PING test is executed for each IP address in the IP address space. Among the route information, the route information included in the IP address space indicated in the monitoring target route information is the IP indicated in the route information. When it is determined whether there is route information of the suspected hijack route different from the AS number of the monitored route, and the AS number of the dress space is determined to have route information different from the AS number of the monitored route, A route monitoring unit that transmits the suspected hijack detection information indicating the IP address space of the suspected hijacking route to a route monitoring device that is a transmission result of the monitoring result of the IP address space, and a result of the executed PING test. And a test result transmission unit for transmitting to the route monitoring device that is the request source of the PING test.

このようにすることで、各経路監視装置は、被疑ハイジャック経路を検出した経路監視装置から、この被疑ハイジャック経路に対するPING試験の結果を取得できる。   By doing in this way, each path | route monitoring apparatus can acquire the result of the PING test with respect to this suspicious hijack path | route from the path | route monitoring apparatus which detected the suspicious hijack path | route.

請求項9に記載の発明は、請求項1ないし請求項5のいずれか1項に記載の経路ハイジャック検出方法を、コンピュータである経路監視装置に実行させることを特徴とする経路ハイジャック検出プログラムとした。   According to a ninth aspect of the present invention, there is provided a path hijack detection program that causes a path monitoring device that is a computer to execute the path hijack detection method according to any one of the first to fifth aspects. It was.

このようなプログラムによれば、一般的なコンピュータに、請求項1ないし請求項5のいずれか1項に記載の経路ハイジャック検出方法を実行させることができる。   According to such a program, it is possible to cause a general computer to execute the path hijack detection method according to any one of claims 1 to 5.

本発明によれば、経路監視装置はIRRデータベースに依存せずに経路ハイジャックの検出を行うことができる。   According to the present invention, the route monitoring device can detect a route hijack without depending on the IRR database.

以下、本発明を実施するための最良の形態(以下、実施の形態という)について説明する。   Hereinafter, the best mode for carrying out the present invention (hereinafter referred to as an embodiment) will be described.

まず、図1および図2を用いて、経路ハイジャック検出システムの動作概要を説明する。図1および図2は、本実施の形態の経路監視装置を含む経路ハイジャック検出システム(以下、システムと略す)を例示した図である。システムは、前記した図8と同様に、AS−A(AS番号「65010」)、AS−B(AS番号「65020」)、AS−C(AS番号「65030」)、AS−D(AS番号「65040」)およびAS−E(AS番号「65050」)を含んで構成される。そして、各ASのルータはそれぞれ、BGPによりお互いの経路情報を交換し、経路表1001(1001A,1001B,1001C,1001D)を作成する。このASの数や経路表1001の数は図1および図2に示す数に限定されない。   First, the outline of the operation of the path hijack detection system will be described with reference to FIGS. 1 and 2. FIG. 1 and FIG. 2 are diagrams illustrating a path hijack detection system (hereinafter abbreviated as a system) including a path monitoring apparatus according to the present embodiment. The system is similar to FIG. 8 described above, and includes AS-A (AS number “65010”), AS-B (AS number “65020”), AS-C (AS number “65030”), AS-D (AS number). "65040") and AS-E (AS number "65050"). Then, each AS router exchanges route information with each other by BGP, and creates a route table 1001 (1001A, 1001B, 1001C, 1001D). The number of ASs and the number of route tables 1001 are not limited to the numbers shown in FIGS.

例えば、AS−E(AS番号「65050」)が、「10.0.0.0/16」の経路情報を、各AS(AS−A、AS−B、AS−C、AS−D)に広告すると、各ASのルータは経路表1001に符号1002A,1002B,1002C,1002Dに示す経路情報を追加する。   For example, AS-E (AS number “65050”) has route information of “10.0.0.0/16” to each AS (AS-A, AS-B, AS-C, AS-D). When advertising, the router of each AS adds route information indicated by reference numerals 1002A, 1002B, 1002C, and 1002D to the route table 1001.

ここでAS−Dにより「10.0.0.0/24」が経路ハイジャックされると以下のようになる。つまり、AS−Dが、本来AS−Eのプレフィックスの一部である「10.0.0.0/24」に関する経路情報を広告し、AS−A、AS−B、AS−Cのルータの経路表1001A,1001B,1001Cに、プレフィックス「10.0.0.0/24」経路情報の広告元はAS番号「65040」のAS(AS−D)であるという情報が書き込まれる(符号1004A,1004B,1004Cに示す経路情報参照)。   Here, when “10.0.0.0/24” is hijacked by AS-D, the following occurs. That is, the AS-D advertises the route information related to “10.0.0.0/24”, which is originally a part of the AS-E prefix, and the routers of the AS-A, AS-B, and AS-C. Information indicating that the advertisement source of the prefix “10.0.0.0/24” route information is AS (AS-D) with the AS number “65040” is written in the route tables 1001A, 1001B, and 1001C (reference numerals 1004A, 1001). 1004B and 1004C refer to route information).

なお、以下の説明において、各ASのルータは、自身のAS内の経路に関する経路情報を他のASから受け取らないようフィルタリングを行うものとする。例えば、AS−Eのルータは、他のASから自身のASの経路「10.0.0.0/16」や「10.0.0.0/24」の経路情報の広告を受信しても破棄する。   In the following description, it is assumed that each AS router performs filtering so as not to receive route information related to a route in its own AS from another AS. For example, an AS-E router receives an advertisement of route information “10.0.0.0/16” or “10.0.0.0/24” of its own AS from another AS. Also discard.

なお、本システムは、経路監視装置100(100A,100B,100C,100E)を含んで構成される。そして、この経路監視装置100(100A〜100C,100E)はそれぞれ、自身のAS内のルータにおける経路表1001を監視し、被疑ハイジャック経路の経路情報があるか否かを判定する。なお、経路表1001に被疑ハイジャック経路の経路情報があるか否かは以下のようにして判定する。   In addition, this system is comprised including the path | route monitoring apparatus 100 (100A, 100B, 100C, 100E). Then, each of the route monitoring devices 100 (100A to 100C, 100E) monitors the route table 1001 in the router in its own AS, and determines whether there is route information of the suspected hijack route. Note that whether or not the route table 1001 has route information of the suspected hijack route is determined as follows.

すなわち、経路監視装置100は予め監視経路情報(監視対象とする経路(IPアドレス空間)と、その経路に割り当てられた正当なAS番号とを示した情報)を設定しておく。そして、自身の経路監視装置100における経路表1001の経路情報のうち、その経路(プレフィックス)が監視対象経路に含まれ、かつ、その監視経路情報においてその経路に割り当てられたAS番号と異なる経路情報を発見したとき、その経路を被疑ハイジャック経路(ハイジャック経路である可能性のある経路)として検出する。なお、ここでは、経路がハイジャックされたおそれのあるAS−Eの経路監視装置100Eが、被疑ハイジャック経路を検出した経路監視装置100A〜100CへPING試験を依頼して、被疑ハイジャック経路が、ハイジャック経路である可能性が高いか否かを判定する場合を例に説明する。   That is, the route monitoring apparatus 100 sets monitoring route information (information indicating a route to be monitored (IP address space) and a valid AS number assigned to the route) in advance. Then, out of the route information of the route table 1001 in the own route monitoring device 100, the route (prefix) is included in the monitored route, and the route information different from the AS number assigned to the route in the monitored route information. Is detected as a suspected hijacking route (a route that may be a hijacking route). Here, the AS-E route monitoring device 100E that may have been hijacked may request the PING test to the route monitoring devices 100A to 100C that have detected the suspected hijacking route, and the suspected hijacking route may be An example will be described in which it is determined whether or not there is a high possibility of a hijack route.

例えば、(0−0)経路監視装置100A〜100Cは、被疑ハイジャック経路「10.0.0.0/24」を検出すると、この経路情報をAS−Eの経路監視装置100Eへ送信する。つまり、経路監視装置100A〜100Cは、経路表1001A〜1001Cを監視し、被疑ハイジャック経路1004A〜1004Cを検出すると、この経路情報(被疑ハイジャック検出情報)を、この経路が属する正当なAS(AS−E)の経路監視装置100Eへ送信する。   For example, when the (0-0) route monitoring devices 100A to 100C detect the suspected hijacking route "10.0.0.0/24", the route information is transmitted to the AS-E route monitoring device 100E. That is, when the route monitoring devices 100A to 100C monitor the route tables 1001A to 1001C and detect the suspicious hijacking routes 1004A to 1004C, the route information (suspected hijacking detection information) is changed to the valid AS (to which the route belongs). (AS-E) to the route monitoring apparatus 100E.

(0−1)このような情報を受信した経路監視装置100Eは、この被疑ハイジャック経路へのPING試験を各経路監視装置100(100A〜100C)へ依頼する。つまり、AS−Dの「10.0.0.0/24」へのPING試験を依頼する。また、経路監視装置100Eも被疑ハイジャック経路「10.0.0.0/24」へのPING試験を実行する。つまり、経路監視装置100Eは、AS−Eの「10.0.0.0/24」へのPING試験を実行し、PINGは本来のネットワークに届くことになる。   (0-1) The route monitoring device 100E that has received such information requests each route monitoring device 100 (100A to 100C) to perform a PING test on the suspected hijacking route. That is, a PING test to “10.0.0.0/24” of AS-D is requested. The route monitoring device 100E also performs a PING test on the suspected hijack route “10.0.0.0/24”. That is, the path monitoring apparatus 100E executes the PING test to “10.0.0.0/24” of AS-E, and the PING reaches the original network.

(1−0)経路監視装置100EからのPING試験の依頼を受けた経路監視装置100(100A〜100C)は、被疑ハイジャック経路「10.0.0.0/24」へPING試験を実行する。これによりPINGはハイジャックを行ったネットワーク(AS−Dの「10.0.0.0/24」)へ届く。   (1-0) The path monitoring apparatus 100 (100A to 100C) that has received the PING test request from the path monitoring apparatus 100E executes the PING test on the suspected hijack path “10.0.0.0/24”. . As a result, the PING reaches the network (AS-D “10.0.0.0/24”) that has been hijacked.

(1−1)この後、経路監視装置100(100A〜100C)は、AS−Eの経路監視装置100EにPING試験結果を送信する。   (1-1) Thereafter, the route monitoring device 100 (100A to 100C) transmits the PING test result to the AS-E route monitoring device 100E.

(1−2)そして、経路監視装置100Eは、各経路監視装置100(100A〜100C)からのPING試験結果を収集(受信)する。   (1-2) Then, the route monitoring device 100E collects (receives) the PING test results from the route monitoring devices 100 (100A to 100C).

(2−0)次に、経路監視装置100Eは、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)でのPING試験結果と、被疑ハイジャック経路を未検出の経路監視装置100(100E)のPING試験結果とを比較する。   (2-0) Next, the route monitoring device 100E determines the PING test result in the route monitoring device 100 (100A to 100C) that has detected the suspected hijacking route, and the route monitoring device 100 that has not detected the suspected hijacking route ( 100E) PING test results are compared.

(2−1)そして、経路監視装置100Eは、この比較結果によりこの被疑ハイジャック経路をハイジャック経路(ハイジャック経路である可能性が高い)と判定した場合、オペレータ等に通知する。例えば、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)でのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)でのPING試験結果との類似度が低ければ、この被疑ハイジャック経路はハイジャック経路である可能性が高いと判定する。一方、被疑ハイジャック経路を検出した経路監視装置100でのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100でのPING試験結果との類似度が高ければ、被疑ハイジャック経路はハイジャック経路である可能性は低いと判定する。   (2-1) When the route monitoring apparatus 100E determines that the suspected hijacking route is a hijacking route (high possibility of being a hijacking route) based on the comparison result, the route monitoring device 100E notifies the operator or the like. For example, the similarity between the PING test result in the route monitoring device 100 (100A to 100C) that detected the suspicious hijack route and the PING test result in the route monitoring device 100 (100E) that did not detect the suspicious hijack route If it is low, it is determined that there is a high possibility that the suspected hijacking route is a hijacking route. On the other hand, if the similarity between the PING test result in the route monitoring device 100 that detected the suspicious hijacking route and the PING test result in the route monitoring device 100 that did not detect the suspicious hijacking route is high, the suspicious hijacking route Is determined to be unlikely to be a hijack route.

例えば、図2に示すように、AS−E(AS番号「65050」)からIPアドレス「10.0.0.0/24」を割り当てられた顧客ネットワークが、AS−Eの他に、AS−D(AS番号「65040」)ともStatic経路を確立するようなネットワーク構成の場合、AS−A、AS−B、AS−C、AS−Dの経路表1001には、符号1002A〜1002Dに示すようなAS番号「65050」を広告元とする「10.0.0.0/16」の経路情報と、符号1004A〜1004Cに示すようなAS番号「65040」を広告元とする「10.0.0.0/24」の経路情報とが登録される。これにより、経路監視装置100A〜100Cにおいて被疑ハイジャック経路が検出される。しかし、経路監視装置100Eにおいて、各経路監視装置100からこの被疑ハイジャック経路「10.0.0.0/24」へのPING試験結果はほぼ同じであることを確認できれば、図2のようなネットワーク構成であることが推測できる。従って、経路監視装置100Eは、被疑ハイジャック経路がハイジャック経路である可能性は低いと判定するので、経路ハイジャックの誤報を防止できる。   For example, as shown in FIG. 2, a customer network to which an IP address “10.0.0.0/24” is assigned by AS-E (AS number “65050”) is assigned to AS-E in addition to AS-E. In the case of a network configuration in which a static route is established with D (AS number “65040”), the route table 1001 of AS-A, AS-B, AS-C, and AS-D has reference numerals 1002A to 1002D as shown in FIG. The route information of “10.0.0.0/16” with the AS number “65050” as the advertisement source, and “10.0.0.0/16” with the AS number “65040” as indicated by reference numerals 1004A to 1004C. 0.0 / 24 "route information is registered. Thereby, the suspicious hijack route is detected in the route monitoring devices 100A to 100C. However, in the route monitoring device 100E, if it can be confirmed that the PING test results from each route monitoring device 100 to the suspected hijacking route “10.0.0.0/24” are substantially the same, as shown in FIG. It can be inferred that the network configuration. Therefore, the route monitoring device 100E determines that the possibility that the suspected hijacking route is a hijacking route is low, and can prevent misreporting of the route hijacking.

なお、図1および図2において経路監視装置100の数は各ASに1つずつしか設置していないが、各ASに複数設置するようにしてもよい。   In FIG. 1 and FIG. 2, only one route monitoring device 100 is installed in each AS, but a plurality of route monitoring devices 100 may be installed in each AS.

次に、図3を用いて、経路監視装置100を詳細に説明する。図3は、図1の経路監視装置の機能ブロック図である。なお、この経路監視装置100は、経路表1001から被疑ハイジャック経路を検出したり、PING試験を実行したりする機能と、他の経路監視装置100から被疑ハイジャック経路検出情報を受信したとき、被疑ハイジャック経路がハイジャック経路である可能性が高いか否かの判定する機能とを備える。   Next, the route monitoring apparatus 100 will be described in detail with reference to FIG. FIG. 3 is a functional block diagram of the route monitoring apparatus of FIG. The route monitoring device 100 detects a suspicious hijack route from the route table 1001 and executes a PING test, and when the suspicious hijack route detection information is received from another route monitoring device 100. And a function for determining whether or not the suspected hijacking route is highly likely to be a hijacking route.

このような経路監視装置100は、図3に示すように、経路情報や経路ハイジャック検出情報の各種データの入出力を司る入出力部11と、被疑ハイジャック経路がハイジャック経路か否かの判定等を行う処理部12と、経路表1001や監視対象経路情報131を記憶する記憶部13とを備える。   As shown in FIG. 3, such a route monitoring device 100 includes an input / output unit 11 that controls input / output of various data of route information and route hijack detection information, and whether or not the suspected hijack route is a hijack route. A processing unit 12 that performs determination and the like, and a storage unit 13 that stores a route table 1001 and monitoring target route information 131 are provided.

入出力部11は、AS内のルータ等とのデータ入出力を司る入出力インタフェースから構成される。また、処理部12は、この経路監視装置100が備えるCPU(Central Processing Unit)によるプログラム実行処理や、専用回路等により実現される。さらに、記憶部13は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等の記憶媒体から構成される。なお、経路監視装置100をプログラム実行処理により実現する場合、記憶部13には、この経路監視装置100の機能を実現するための経路ハイジャック検出プログラムが記録される。   The input / output unit 11 includes an input / output interface that controls data input / output with a router or the like in the AS. The processing unit 12 is realized by a program execution process by a CPU (Central Processing Unit) included in the route monitoring apparatus 100, a dedicated circuit, or the like. Further, the storage unit 13 includes a storage medium such as a random access memory (RAM), a read only memory (ROM), a hard disk drive (HDD), and a flash memory. When the route monitoring device 100 is realized by program execution processing, a route hijack detection program for realizing the function of the route monitoring device 100 is recorded in the storage unit 13.

<入出力部>
入出力部11は、この経路監視装置100に接続されるルータからの経路情報や、他の経路監視装置100からの被疑ハイジャック検出情報(詳細は後記)やPING試験結果を受信する。また、自身の経路監視装置100において被疑ハイジャック経路を検出したときは、被疑ハイジャック検出情報やPING試験結果を送信する。 <Input / output unit>
The input / output unit 11 receives route information from a router connected to the route monitoring device 100, suspected hijack detection information (details will be described later), and a PING test result from another route monitoring device 100. Further, when a suspected hijacking path is detected in its own route monitoring device 100, suspected hijacking detection information and a PING test result are transmitted.

<処理部>
処理部12は、経路監視装置100全体の制御を司り、主に、被疑ハイジャック経路がハイジャック経路か否かを判定するハイジャック判定処理部120と、自身の経路監視装置100の経路表1001から被疑ハイジャック経路を検出する被疑ハイジャック検出部127とを備える。 <Processing unit>
The processing unit 12 controls the entire route monitoring device 100, and mainly includes a hijack determination processing unit 120 that determines whether or not the suspected hijacking route is a hijacking route, and a route table 1001 of its own route monitoring device 100. And a suspicious hijack detection unit 127 for detecting a suspicious hijacking route.

ハイジャック判定処理部120は、被疑ハイジャック検出情報受信部121と、試験依頼部122と、試験実行部123と、試験結果受信部124と、ハイジャック判定部125と、判定結果通知部126とを含んで構成される。   The hijack determination processing unit 120 includes a suspicious hijack detection information reception unit 121, a test request unit 122, a test execution unit 123, a test result reception unit 124, a hijack determination unit 125, and a determination result notification unit 126. It is comprised including.

この被疑ハイジャック検出情報受信部121は、他の経路監視装置100から被疑ハイジャック検出情報を受信する。この被疑ハイジャック検出情報は、以下の表1に例示するように、被疑ハイジャック経路(被疑ハイジャック経路のIPアドレス空間)、その被疑ハイジャック検出情報の送信元の経路監視装置100の識別情報(IPアドレス等)、その被疑ハイジャック経路の広告元のASのAS番号等を含む。例えば、表1に示す被疑ハイジャック検出情報は、識別情報が「C」である経路監視装置100(100C)において、被疑ハイジャック経路「10.0.0.0/24」を検出し、この被疑ハイジャック経路の広告元のASのAS番号は「65040」であることを示す。なお、この被疑ハイジャック検出情報受信部121は、この被疑ハイジャック検出情報の送信元である経路監視装置100の識別情報を記憶部13のRAM等に記録しておく。   The suspicious hijack detection information receiving unit 121 receives suspicious hijack detection information from another route monitoring apparatus 100. The suspicious hijack detection information includes, as illustrated in Table 1 below, the identification information of the suspicious hijack path (IP address space of the suspicious hijack path) and the path monitoring device 100 that is the transmission source of the suspicious hijack detection information. (IP address, etc.), and the AS number of the AS of the advertisement source of the suspected hijack route. For example, the suspected hijack detection information shown in Table 1 detects the suspected hijacking route “10.0.0.0/24” in the route monitoring device 100 (100C) whose identification information is “C”. It indicates that the AS number of the advertisement source AS on the suspected hijacking route is “65040”. The suspicious hijack detection information receiving unit 121 records the identification information of the route monitoring apparatus 100 that is the transmission source of the suspicious hijack detection information in a RAM or the like of the storage unit 13.

Figure 2009118138
Figure 2009118138

試験依頼部122は、他の経路監視装置100それぞれに、被疑ハイジャック検出情報に示される経路(例えば、「10.0.0.0/24」)へのPING試験の実行を依頼する。   The test request unit 122 requests each of the other route monitoring devices 100 to execute a PING test on the route (for example, “10.0.0.0/24”) indicated in the suspicious hijack detection information.

試験実行部123は、自身の経路監視装置100において被疑ハイジャック検出情報に示される経路(例えば、「10.0.0.0/24」)に対するPING試験を実行する。なお、この試験実行部123は、自身の経路監視装置100の試験依頼部122からの依頼によってもPING試験を実行するし、他の経路監視装置100の試験依頼部122からの依頼によってもPING試験を実行する。このときのPING試験結果は記憶部13のRAM等に記録しておく。   The test execution unit 123 executes a PING test for the route (for example, “10.0.0.0/24”) indicated in the suspicious hijack detection information in its route monitoring device 100. The test execution unit 123 executes the PING test also by a request from the test requesting unit 122 of its own route monitoring device 100, and the PING test also by a request from the test requesting unit 122 of another route monitoring device 100. Execute. The PING test result at this time is recorded in the RAM of the storage unit 13 or the like.

試験結果受信部124は、他の経路監視装置100それぞれから被疑ハイジャック経路(例えば、「10.0.0.0/24」)のPING試験結果を受信する。このとき受信したPING試験結果は、そのPING試験結果の送信元の経路監視装置100の識別情報とともに記憶部13のRAM等に記録しておく。   The test result receiving unit 124 receives the PING test result of the suspected hijack path (for example, “10.0.0.0/24”) from each of the other path monitoring devices 100. The PING test result received at this time is recorded in the RAM or the like of the storage unit 13 together with the identification information of the path monitoring device 100 that is the transmission source of the PING test result.

ハイジャック判定部125は、被疑ハイジャック経路を検出した経路監視装置100からのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100からのPING試験結果との比較により、被疑ハイジャック経路がハイジャック経路である可能性が高いか否かを判定する。   The hijack determination unit 125 compares the PING test result from the route monitoring device 100 that detected the suspicious hijack route with the PING test result from the route monitoring device 100 that did not detect the suspicious hijack route. It is determined whether or not there is a high possibility that the jack path is a hijack path.

例えば、ハイジャック判定部125は、被疑ハイジャック経路を検出した経路監視装置100からのPING試験の結果と、被疑ハイジャック経路を検出しなかった経路監視装置100からのPING試験の結果との類似度を計算する。そして、この類似度が所定の閾値a以下のとき、経路監視装置100はそれぞれ別のIPアドレス空間にPING試験を行った可能性が高いので被疑ハイジャック経路をハイジャック経路である可能性が高いと判定する。一方、類似度が所定の閾値aを超えるとき、経路監視装置100はそれぞれ同じIPアドレス空間にPING試験を行った可能性が高いので被疑ハイジャック経路がハイジャック経路である可能性は低いと判定する。このときの判定処理の詳細はフローチャートを用いて後記する。   For example, the hijack determination unit 125 is similar to the result of the PING test from the path monitoring device 100 that detected the suspected hijacking path and the result of the PING test from the path monitoring apparatus 100 that did not detect the suspected hijacking path. Calculate the degree. When the similarity is equal to or less than the predetermined threshold value a, the path monitoring device 100 is likely to have performed a PING test in a different IP address space, so the suspicious hijack path is likely to be a hijack path. Is determined. On the other hand, when the degree of similarity exceeds a predetermined threshold value a, it is highly likely that the route monitoring devices 100 have performed a PING test in the same IP address space, so it is determined that the possibility that the suspected hijacking route is a hijacking route is low. To do. Details of the determination processing at this time will be described later using a flowchart.

なお、このハイジャック判定部125において、記憶部13のRAM上に記録されたPING試験結果のうち、どのPING試験結果が被疑ハイジャック経路を検出した経路監視装置100から送信されたものかは、記憶部13のRAM上に記録された被疑ハイジャック検出情報の送信元の経路監視装置100の識別情報を元に判断する。   In the hijack determination unit 125, among the PING test results recorded on the RAM of the storage unit 13, which PING test result is transmitted from the route monitoring device 100 that detects the suspected hijacking route, The determination is made based on the identification information of the path monitoring device 100 that is the transmission source of the suspected hijack detection information recorded on the RAM of the storage unit 13.

判定結果通知部126は、ハイジャック判定部125による判定結果を外部に出力する。   The determination result notification unit 126 outputs the determination result by the hijack determination unit 125 to the outside.

次に、被疑ハイジャック検出部127を説明する。被疑ハイジャック検出部127は、経路情報更新部128と、経路監視部129と、試験結果送信部130とを含んで構成される。   Next, the suspicious hijack detection unit 127 will be described. The suspected hijack detection unit 127 includes a route information update unit 128, a route monitoring unit 129, and a test result transmission unit 130.

経路情報更新部128は、この経路監視装置100に接続されるルータ(図示せず)の経路表の経路情報(図示省略)が更新されると、この更新情報を元に記憶部13の経路表1001を更新する。つまり、経路情報更新部128は、ルータの経路表と同じ経路表1001を記憶部13に作成する。   When the route information (not shown) in the route table of the router (not shown) connected to the route monitoring device 100 is updated, the route information update unit 128 updates the route table in the storage unit 13 based on this update information. 1001 is updated. That is, the route information update unit 128 creates the same route table 1001 as the route table of the router in the storage unit 13.

経路監視部129は、監視対象経路情報131を参照して、経路表1001の経路情報に被疑ハイジャック経路があるか否かを監視する。この監視対象経路情報131は、以下の表2に例示するように、監視対象となるIPアドレス空間(プレフィックス)と、そのIPアドレス空間に割り当てられたASのAS番号、このIPアドレス空間で被疑ハイジャック経路を検出したときの通知先(被疑ハイジャック検出情報の送信先)の経路監視装置100の識別情報等を示した情報である。   The route monitoring unit 129 refers to the monitoring target route information 131 and monitors whether there is a suspected hijack route in the route information of the route table 1001. As illustrated in Table 2 below, the monitoring target route information 131 includes an IP address space (prefix) to be monitored, an AS number assigned to the IP address space, and a suspicious high in this IP address space. This is information indicating identification information and the like of the route monitoring device 100 as a notification destination (a transmission destination of suspected hijack detection information) when a jack route is detected.

Figure 2009118138
Figure 2009118138

そして、経路監視部129は、経路表1001から被疑ハイジャック経路を検出すると、この被疑ハイジャック経路のプレフィックス(IPアドレス空間)を示した被疑ハイジャック検出情報を、監視対象経路情報131に示される被疑ハイジャック検出情報の送信先)の経路監視装置100へ送信する。   When the route monitoring unit 129 detects a suspected hijacking route from the route table 1001, suspected hijacking detection information indicating a prefix (IP address space) of the suspected hijacking route is indicated in the monitoring target route information 131. To the path monitoring device 100 of the transmission destination of the suspicious hijack detection information).

例えば、経路監視部129は、表2に例示した監視対象経路情報131に基づき、以下のようにして経路情報を監視する。まず、経路監視部129は、経路表1001の経路情報のうち、表2の監視対象経路情報131に示されるIPアドレス空間(例えば、「10.0.0.0/16」)に含まれるものについて、この監視対象経路情報131に示されるAS番号(例えば、「65050」)とは異なるものがあるか否かを監視する。ここで、経路表1001にプレフィックス「10.0.0.0/24」、AS番号「65040」という経路情報が登録されていたとき、経路監視部129は、この経路情報のプレフィックスは監視対象経路情報131に示されるプレフィックスに含まれるが、この監視対象経路情報131に示されるAS番号と異なるので、この経路を被疑ハイジャック経路として検出する。そして、経路監視部129は、この検出した被疑ハイジャック経路に関する被疑ハイジャック検出情報を、この監視対象経路情報131に示される送信先である識別情報「E」の経路監視装置100(経路監視装置100E)へ送信する。これにより、経路監視装置100Eは、他の経路監視装置100A〜100Cにおいて被疑ハイジャック経路が検出されたことを知ることができる。   For example, the route monitoring unit 129 monitors the route information as follows based on the monitoring target route information 131 illustrated in Table 2. First, the route monitoring unit 129 is included in the IP address space (for example, “10.0.0.0/16”) indicated by the monitoring target route information 131 in Table 2 among the route information in the route table 1001. Is monitored for whether there is an AS number (for example, “65050”) indicated in the monitoring target route information 131. Here, when the route information of the prefix “10.0.0.0/24” and the AS number “65040” is registered in the route table 1001, the route monitoring unit 129 indicates that the prefix of this route information is the route to be monitored. Although it is included in the prefix shown in the information 131, it is different from the AS number shown in the monitoring target route information 131, so this route is detected as a suspected hijack route. Then, the route monitoring unit 129 uses the route monitoring device 100 (route monitoring device) of the identification information “E” that is the transmission destination indicated in the monitoring target route information 131, based on the detected suspicious hijack detection information regarding the detected suspicious hijack route. 100E). Thereby, the route monitoring device 100E can know that the suspected hijacking route is detected in the other route monitoring devices 100A to 100C.

試験結果送信部130は、自身の経路監視装置100の試験実行部123において実行したPING試験結果(試験結果)を、このPING試験の依頼元の経路監視装置100へ送信する。   The test result transmission unit 130 transmits the PING test result (test result) executed by the test execution unit 123 of its own route monitoring device 100 to the route monitoring device 100 that requested the PING test.

<記憶部>
記憶部13は、経路表1001と監視対象経路情報131とを記憶する。この経路表1001は、図1に示すように、1以上の経路情報を含んで構成され、それぞれの経路情報は、プレフィックスと、そのプレフィックスのASパスとを含む。また、監視対象経路情報131は、前記したとおり監視対象となるIPアドレス空間(プレフィックス)と、そのIPアドレス空間に割り当てられたASのAS番号とを示した情報である。この監視対象経路情報131は、入出力部11経由で設定される。 <Storage unit>
The storage unit 13 stores a route table 1001 and monitoring target route information 131. As shown in FIG. 1, the route table 1001 includes one or more pieces of route information, and each route information includes a prefix and an AS path of the prefix. The monitoring target route information 131 is information indicating the IP address space (prefix) to be monitored as described above and the AS number of the AS assigned to the IP address space. The monitoring target route information 131 is set via the input / output unit 11.

<動作手順>
次に、図1〜図3を参照しつつ、図4を用いて経路監視装置100の動作手順を説明する。図4は、図3の経路監視装置の動作手順を示したフローチャートである。ここでは、経路監視装置100Cにおいて検出された被疑ハイジャック経路に関する被疑ハイジャック検出情報を、経路監視装置100Eが受信する場合を例に説明する。なお、図4において説明を省略しているが、経路監視装置100(100C,100E)は、随時ルータの経路情報を収集し、経路表1001を更新していくものとする。 <Operation procedure>
Next, the operation procedure of the route monitoring apparatus 100 will be described with reference to FIGS. FIG. 4 is a flowchart showing an operation procedure of the route monitoring apparatus of FIG. Here, a case where the path monitoring device 100E receives suspected hijack detection information related to the suspected hijacking path detected in the path monitoring device 100C will be described as an example. Although the description is omitted in FIG. 4, it is assumed that the route monitoring device 100 (100C, 100E) collects router route information and updates the route table 1001 as needed.

まず、図1の経路監視装置100Cの経路監視部129(図3参照)は、監視対象経路情報131を参照して、経路表1001Cから被疑ハイジャック経路を検出する(S101)。そして、経路監視部129は、この被疑ハイジャック経路の経路情報を示した被疑ハイジャック検出情報を、経路監視装置100Eへ送信する(S102)。なお、この被疑ハイジャック検出情報の送信先は、監視対象経路情報131を参照して特定する。   First, the route monitoring unit 129 (see FIG. 3) of the route monitoring device 100C in FIG. 1 refers to the monitoring target route information 131 and detects the suspected hijack route from the route table 1001C (S101). Then, the route monitoring unit 129 transmits the suspected hijack detection information indicating the route information of the suspected hijacking route to the route monitoring device 100E (S102). The transmission destination of the suspicious hijack detection information is specified with reference to the monitoring target route information 131.

経路監視装置100Eの被疑ハイジャック検出情報受信部121は、経路監視装置100Cからの被疑ハイジャック検出情報を受信すると、その被疑ハイジャック検出情報の送信元の経路監視装置100の識別情報を記憶部13に記録しておく。そして、試験依頼部122は、他の各経路監視装置100(100A〜100C)へ、この被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を依頼する(S103)。   When the suspicious hijack detection information receiving unit 121 of the route monitoring device 100E receives the suspicious hijack detection information from the route monitoring device 100C, the storage unit stores the identification information of the route monitoring device 100 that is the transmission source of the suspicious hijack detection information. Record in 13. Then, the test request unit 122 requests the other route monitoring devices 100 (100A to 100C) to perform a PING test for the suspected hijacking route (for example, “10.0.0.0/24”) (S103). ).

この後、経路監視装置100Eの試験実行部123は、自身のAS(AS−E)内の被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を実行する(S104)。つまり、試験実行部123は、本来のネットワークへのPING試験を実行する。   Thereafter, the test execution unit 123 of the route monitoring device 100E executes a PING test to the suspected hijack route (for example, “10.0.0.0/24”) in its AS (AS-E) ( S104). That is, the test execution unit 123 executes a PING test for the original network.

また、経路監視装置100EからのPING試験依頼を受信した経路監視装置100Cは、被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を実行する(S105)。つまり、経路監視装置100Eの試験実行部123は、AS−Dの被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を実行する。   In addition, the path monitoring apparatus 100C that has received the PING test request from the path monitoring apparatus 100E executes a PING test for the suspected hijack path (for example, “10.0.0.0/24”) (S105). That is, the test execution unit 123 of the route monitoring device 100E executes a PING test on the AS-D suspected hijack route (for example, “10.0.0.0/24”).

そして、PING試験を実行した経路監視装置100Cの試験結果送信部130は、PING試験結果を経路監視装置100Eへ送信する(S106)。なお、ここでは説明を省略しているが、経路監視装置100EからのPING試験依頼を受信した経路監視装置100A,100Bも、被疑ハイジャック経路(例えば「10.0.0.0/24」)へのPING試験を実行し、そのPING試験結果を経路監視装置100Eへ送信する。   Then, the test result transmission unit 130 of the path monitoring apparatus 100C that has executed the PING test transmits the PING test result to the path monitoring apparatus 100E (S106). Although not described here, the path monitoring apparatuses 100A and 100B that have received the PING test request from the path monitoring apparatus 100E are also suspected hijack paths (for example, “10.0.0.0/24”). The PING test is executed, and the PING test result is transmitted to the path monitoring device 100E.

経路監視装置100Eの試験結果受信部124は、各経路監視装置100からのPING試験結果を受信すると、このPING試験結果を記憶部13に記録する。なお、経路監視装置100A,100BからのPING試験結果を受信すると、このPING試験結果も記憶部13に記録する。そして、経路監視装置100Eのハイジャック判定部125は、記憶部13に記憶されたPING試験結果のうち、被疑ハイジャック経路を検出した経路監視装置100からのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100からのPING試験結果との類似度を計算してハイジャック判定処理を行う(S107)。このハイジャック判定処理の詳細は後記する。   When the test result receiving unit 124 of the route monitoring device 100E receives the PING test result from each route monitoring device 100, the test result receiving unit 124 records the PING test result in the storage unit 13. In addition, when the PING test result from the path monitoring devices 100A and 100B is received, the PING test result is also recorded in the storage unit 13. Then, the hijack determination unit 125 of the path monitoring device 100E determines the PING test result from the path monitoring device 100 that detected the suspected hijacking path and the suspected hijacking path from among the PING test results stored in the storage unit 13. A hijack determination process is performed by calculating the similarity with the PING test result from the route monitoring device 100 that has not been detected (S107). Details of the hijack determination process will be described later.

そして、経路監視装置100Eの判定結果通知部126は、S107における判定結果をオペレータ等に通知する(S108)。例えば、この判定結果通知部126は、被疑ハイジャック経路「10.0.0.0/24」がAS−Dにより経路ハイジャックされた可能性が高いことを電子メール等でオペレータの端末装置へ通知する。   Then, the determination result notification unit 126 of the route monitoring device 100E notifies the determination result in S107 to the operator or the like (S108). For example, the determination result notification unit 126 notifies the operator's terminal device by e-mail or the like that there is a high possibility that the suspected hijacking route “10.0.0.0/24” has been hijacked by AS-D. Notice.

このようにすることで、本システムは、IRRデータベースのデータに依存せずに、ハイジャック経路である可能性の高い経路を検出することができる。   By doing in this way, this system can detect the path | route with high possibility of being a hijack path | route, without depending on the data of an IRR database.

次に、図1〜図3を参照しつつ、図5を用いて、図4のハイジャック判定処理を説明する。図5は、図4のハイジャック判定処理を例示したフローチャートである。ここでは、PING試験結果の類似度を、ベクトルを用いて示す。つまり、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)でのPING試験結果と、被疑ハイジャック経路を未検出の経路監視装置100(100E)のPING試験結果の類似度を、それぞれのPING試験結果をベクトルで記述し、このベクトル同士のなす角度θとして計算する。そして、ハイジャック判定部125は、この角度θの絶対値により、被疑ハイジャック経路がハイジャック経路である可能性が高いか否かを判定する。ここで取り扱うPING試験結果は、経路「10.0.0.0/24」へのPING試験結果である場合を例に説明する。   Next, the hijack determination process of FIG. 4 will be described using FIG. 5 with reference to FIGS. FIG. 5 is a flowchart illustrating the hijack determination process of FIG. Here, the similarity of the PING test results is shown using a vector. That is, the similarity between the PING test result in the route monitoring device 100 (100A to 100C) that detected the suspicious hijack route and the PING test result of the route monitoring device 100 (100E) that has not detected the suspicious hijack route, respectively. The PING test results are described as vectors, and the angle θ between the vectors is calculated. Then, the hijack determination unit 125 determines whether or not the suspected hijack route is highly likely to be a hijack route based on the absolute value of the angle θ. The case where the PING test result handled here is the result of the PING test for the route “10.0.0.0/24” will be described as an example.

まず、経路監視装置100(100E)のハイジャック判定部125は、記憶部13のRAM等に記録された各経路監視装置100(100A〜100C,100E)でのPING試験結果を、OKであれば「1」、NGであれば「−1」に置き換えて、ベクトルXとして記述する。例えば、「10.0.0.0」のPING試験結果をx0、「10.0.0.1」のPING試験結果をx1というように、「10.0.0.0/24」の256個のIPアドレスそれぞれに対するPING試験結果の並びをベクトルX=[x0,x1,x2,…,x255]として記述する。   First, the hijack determination unit 125 of the route monitoring device 100 (100E) determines that the PING test result in each route monitoring device 100 (100A to 100C, 100E) recorded in the RAM or the like of the storage unit 13 is OK. If “1” or NG, replace with “−1” and describe as vector X. For example, 256 of “10.0.0.0/24” is set such that the PING test result of “10.0.0.0” is x0 and the PING test result of “10.0.0.1” is x1. A sequence of PING test results for each of the IP addresses is described as a vector X = [x0, x1, x2,..., X255].

そして、ハイジャック判定部125は、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)でのPING試験結果のベクトルXを加算し、Xdetectを求める(S201)。例えば、ハイジャック判定部125は、被疑ハイジャック経路を検出したAS−A(AS番号「65010」)の経路監視装置100AのPING試験結果(Xas65010=[1,−1,…,−1])と、AS−B(AS番号「65020」)の経路監視装置100BのPING試験結果(Xas65020=[−1,−1,…,−1])と、AS−C(AS番号「65030」)の経路監視装置100CのPING試験結果(Xas65030=[1,−1,…,−1])とを加算する。そして被疑ハイジャック経路を検出した経路監視装置100のPING試験結果を示すベクトルXdetect=Xas65010+Xas65020+Xas65030=[1,−3,…,−3]を求める。   Then, the hijack determination unit 125 adds the vector X of the PING test result in the path monitoring device 100 (100A to 100C) that has detected the suspected hijack path to obtain Xdetect (S201). For example, the hijack determination unit 125 performs the PING test result (Xas65010 = [1, -1,..., -1]) of the path monitoring device 100A of the AS-A (AS number “65010”) that detected the suspected hijacking path. And the PING test result (Xas65020 = [− 1, −1,..., −1]) of the path monitoring device 100B of AS-B (AS number “65020”) and AS-C (AS number “65030”) The PING test result (Xas65030 = [1, -1,..., -1]) of the route monitoring device 100C is added. Then, a vector Xdetect = Xas65010 + Xas65020 + Xas65030 = [1, −3,..., −3] indicating the PING test result of the route monitoring device 100 that detected the suspected hijacking route is obtained.

次に、ハイジャック判定部125は、記憶部13のRAM等に記録されたPING試験結果のうち、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)でのPING試験結果のベクトルを加算して、Xnondetectを求める(S202)。例えば、自身の経路監視装置100(100E)以外、被疑ハイジャック経路を検出しなかったときは、経路監視装置100(100E)は、自身の経路監視装置100(100E)におけるPING試験結果をそのままベクトルXnondetectとする。   Next, the hijack determination unit 125 obtains a vector of the PING test result in the route monitoring device 100 (100E) that did not detect the suspicious hijacking route among the PING test results recorded in the RAM or the like of the storage unit 13. Add X and obtain Xnondetect (S202). For example, when no suspicious hijacking route is detected other than its own route monitoring device 100 (100E), the route monitoring device 100 (100E) directly uses the PING test result in its own route monitoring device 100 (100E) as a vector. Let Xnondetect.

そして、ハイジャック判定部125は、以下の式(1)により、ベクトルXdetectと、ベクトルXnondetectとのなす角度をθとしたときのcosθを求める(S203)。なお、−π/2<θ<π/2または−90°<θ<90°とする。   Then, the hijack determination unit 125 obtains cos θ when the angle formed by the vector Xdetect and the vector Xnondetect is θ by the following equation (1) (S203). Note that −π / 2 <θ <π / 2 or −90 ° <θ <90 °.

cosθ=(Xdetect・Xnondetect)/(|Xdetect|×|Xnondetect|)…式(1)   cos θ = (Xdetect · Xnondetect) / (| Xdetect | × | Xnondetect |) (1)

そして、ハイジャック判定部125は、このθの絶対値|θ|を求め、この|θ|が閾値(閾値b)を超えるか否かを判定する(S204)。ここで、|θ|が閾値(閾値b)を超えるとき(S204のYes)、被疑ハイジャック経路「10.0.0.0/24」はハイジャック経路である可能性が高いと判定する(S205)。   Then, the hijack determination unit 125 obtains the absolute value | θ | of this θ, and determines whether or not | θ | exceeds the threshold value (threshold value b) (S204). Here, when | θ | exceeds the threshold value (threshold value b) (Yes in S204), it is determined that the suspected hijacking route “10.0.0.0/24” is likely to be a hijacking route ( S205).

つまり、経路監視装置100A〜100CのPING試験結果のベクトルXと、経路監視装置100EのPING試験結果のベクトルXとのなす角度θが大きいということは、類似度が小さいということである。よって、経路監視装置100A〜100CがPING試験を行った経路と、経路監視装置100EがPING試験を行った経路とが実際には異なるものである可能性が高いと推測できる。従って、経路監視装置100Eは、経路監視装置100A〜100Cから通知された被疑ハイジャック経路「10.0.0.0/24」に経路ハイジャックが発生した可能性が高いと判定することができる。   That is, when the angle θ formed by the vector X of the PING test result of the path monitoring devices 100A to 100C and the vector X of the PING test result of the path monitoring device 100E is large, the similarity is small. Therefore, it can be estimated that there is a high possibility that the path on which the path monitoring apparatuses 100A to 100C have performed the PING test and the path on which the path monitoring apparatus 100E has performed the PING test are actually different. Accordingly, the route monitoring device 100E can determine that there is a high possibility that a route hijack has occurred in the suspected hijack route “10.0.0.0/24” notified from the route monitoring devices 100A to 100C. .

一方、|θ|が閾値(閾値b)以下のとき(S204のNo)、ハイジャック判定部125は、被疑ハイジャック経路「10.0.0.0/24」はハイジャック経路である可能性が低いと判定する(S206)。   On the other hand, when | θ | is equal to or smaller than the threshold value (threshold value b) (No in S204), the hijack determination unit 125 determines that the suspected hijacking route “10.0.0.0/24” is a hijacking route. Is determined to be low (S206).

つまり、ベクトルXdetectと、ベクトルXnondetectとのなす角度θが小さいということは、経路監視装置100A〜100CがPING試験を行った経路と、経路監視装置100EがPING試験を行った経路とが同じである可能性が高いと考えられる。従って、経路監視装置100Eは、経路監視装置100A〜100Cから通知された被疑ハイジャック経路「10.0.0.0/24」において経路ハイジャックが発生している可能性は低いと考えられる。例えば、図2に示したように、AS−E(AS番号「65050」)からIPアドレス「10.0.0.0/24」を割り当てられた顧客ネットワークにおいて、AS−D(AS番号「65040」)ともStatic経路を確立したため、同じ経路で異なるAS番号を広告元とする経路情報が広告されたに過ぎないと考えられるので、経路監視装置100Eは経路ハイジャックが発生している可能性は低いと判定できる。   That is, when the angle θ formed by the vector Xdetect and the vector Xnondetect is small, the path on which the path monitoring apparatuses 100A to 100C have performed the PING test is the same as the path on which the path monitoring apparatus 100E has performed the PING test. The possibility is considered high. Therefore, it is considered that the route monitoring device 100E is unlikely to cause a route hijack in the suspected hijack route “10.0.0.0/24” notified from the route monitoring devices 100A to 100C. For example, as shown in FIG. 2, in a customer network to which an IP address “10.0.0.0/24” is assigned by AS-E (AS number “65050”), AS-D (AS number “65040”). )), Since the static route is established, it is considered that only the route information having the same route and the different AS number as the advertisement source is advertised. Therefore, there is a possibility that the route monitoring device 100E has a route hijacking. Can be determined to be low.

なお、本実施の形態において、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)からのPING試験結果とを比較するとき、ベクトルXdetectと、ベクトルXnondetectとのなす角度θを求めることとしたが、これに限定されない。例えば、経路監視装置100において、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果のベクトルXと、被疑ハイジャック経路を検出した経路監視装置100(100E)のPING試験結果のベクトルXとの類似度を前記した角度θ以外の方法で求め、経路監視装置100は、その類似度が閾値a以下のとき、被疑ハイジャック経路がハイジャック経路である可能性が高いと判定し、その類似度が閾値aを超えるとき、被疑ハイジャック経路はハイジャック経路である可能性が低いと判定してもよい。   In this embodiment, the PING test result from the path monitoring device 100 (100A to 100C) that detected the suspected hijacking path and the PING from the path monitoring apparatus 100 (100E) that did not detect the suspected hijacking path. When the test results are compared, the angle θ formed by the vector Xdetect and the vector Xnondetect is determined, but the present invention is not limited to this. For example, in the route monitoring device 100, the vector X of the PING test result from the route monitoring device 100 (100A to 100C) that detected the suspected hijacking route and the PING of the route monitoring device 100 (100E) that detected the suspected hijacking route. The degree of similarity with the test result vector X is obtained by a method other than the angle θ described above, and the route monitoring apparatus 100 is highly likely that the suspected hijacking route is a hijacking route when the similarity is equal to or less than the threshold value a. When the similarity exceeds the threshold a, it may be determined that the suspected hijacking route is unlikely to be a hijacking route.

また、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果のベクトルXと、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)のPING試験結果のベクトルXとの相関係数を計算する。そして、経路監視装置100は、その相関係数が所定の閾値dよりも小さいとき、被疑ハイジャック経路がハイジャック経路である可能性が高いと判定し、所定の閾値d以上であるとき、被疑ハイジャック経路がハイジャック経路である可能性は低いと判定するようにしてもよい。   Further, the vector X of the PING test result from the route monitoring device 100 (100A to 100C) that detected the suspected hijacking route and the vector of the PING test result of the route monitoring device 100 (100E) that did not detect the suspected hijacking route. The correlation coefficient with X is calculated. When the correlation coefficient is smaller than the predetermined threshold d, the path monitoring device 100 determines that the suspected hijacking path is likely to be a hijacking path, and when the correlation coefficient is equal to or higher than the predetermined threshold d, the suspected hijacking path is suspected. You may make it determine with a low possibility that a hijack path | route is a hijack path | route.

さらに、経路監視装置100において、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果のベクトルX(座標位置)の平均値と、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)のPING試験結果のベクトルX(座標位置)の平均値とを計算し、これらベクトルそれぞれの始点を一致させたときの終点間の距離を計算する。そして、経路監視装置100は、この計算した距離が、所定の閾値cよりも大きいとき、被疑ハイジャック経路がハイジャック経路である可能性が高いと判定し、所定の閾値c以下であるとき、被疑ハイジャック経路がハイジャック経路である可能性は低いと判定するようにしてもよい。   Furthermore, the route monitoring device 100 did not detect the average value of the vector X (coordinate position) of the PING test result from the route monitoring device 100 (100A to 100C) that detected the suspected hijacking route, and the suspected hijacking route. The average value of the vector X (coordinate position) of the PING test result of the route monitoring device 100 (100E) is calculated, and the distance between the end points when the start points of these vectors are matched is calculated. Then, when the calculated distance is greater than the predetermined threshold c, the path monitoring device 100 determines that the suspected hijack path is likely to be a hijack path, and when the calculated distance is equal to or less than the predetermined threshold c. It may be determined that there is a low possibility that the suspected hijacking route is a hijacking route.

その他、被疑ハイジャック経路を検出した経路監視装置100(100A〜100C)からのPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100(100E)のPING試験結果との類似度を判定できる方法であれば、前記した方法に限定されない。   In addition, the similarity between the PING test result from the route monitoring device 100 (100A to 100C) that detected the suspicious hijack route and the PING test result of the route monitoring device 100 (100E) that did not detect the suspicious hijack route The method is not limited to the above-described method as long as it can be determined.

また、前記した実施の形態において、システムはIRRデータベースを含んだ構成とし、IRRデータベースの登録漏れの検出に用いるようにしてもよい。例えば、経路監視装置100において被疑ハイジャック経路を検出するとき、IRRデータベースのデータを参照して検出する。そして、被疑ハイジャック検出情報を受信した経路監視装置100において、前記したPING試験結果の比較により、被疑ハイジャック経路がハイジャック経路である可能性が低いと判定した場合、この被疑ハイジャック経路の経路情報を、IRRデータベースを管理するオペレータの端末装置等へ送信する。このようにすることでIRRデータベースの登録漏れをチェックしやすくなる。   In the above-described embodiment, the system may include an IRR database, and may be used for detecting omission of registration in the IRR database. For example, when the suspected hijack route is detected by the route monitoring device 100, the route monitoring device 100 detects the suspected hijack route with reference to data in the IRR database. When the path monitoring device 100 that has received the suspicious hijack detection information determines that the suspicious hijack path is unlikely to be a hijack path by comparing the PING test results described above, The route information is transmitted to the terminal device of the operator who manages the IRR database. This makes it easier to check for omissions in the IRR database registration.

なお、前記した実施の形態において、経路監視装置100は、PING試験結果をベクトルXとして記述するとき、PING試験結果がOKのとき「1」、NGのとき「−1」に置き換えて、記述することにしたが、OKの値と、NGの値をそれぞれ異なる値にすれば、これに限定されない。例えば、経路監視装置100は、PING試験結果がOKのとき「1」、NGのとき「−0.1」に置き換えて、ベクトルXを記述するようにしてもよい。   In the above-described embodiment, when describing the PING test result as the vector X, the path monitoring apparatus 100 is described by replacing “1” when the PING test result is OK and “−1” when NG. However, the present invention is not limited to this as long as the OK value and the NG value are different from each other. For example, the path monitoring apparatus 100 may describe the vector X instead of “1” when the PING test result is OK and “−0.1” when it is NG.

さらに、前記した実施の形態において、経路監視装置100は、ネットワークの疎通性確認のためICMP(Internet Control Message Protocol)を用いたPING試験を行うこととしたが、これに限定されない。例えば、経路監視装置100は、特定のUDP(User Datagram Protocol)ポートでの通信を確認するためのUDP−PINGや、特定のTCP(Transmission Control Protocol)ポートでの通信を確認するためのTCP−PING等、他のネットワーク疎通性試験を行うようにしてもよい。   Further, in the above-described embodiment, the path monitoring apparatus 100 performs the PING test using the Internet Control Message Protocol (ICMP) for confirming the communication of the network. However, the present invention is not limited to this. For example, the path monitoring apparatus 100 is configured to confirm UDP-PING for confirming communication at a specific UDP (User Datagram Protocol) port or TCP-PING for confirming communication at a specific TCP (Transmission Control Protocol) port. For example, another network communication test may be performed.

また、前記した実施の形態において、経路監視装置100は、被疑ハイジャック経路を検出した経路監視装置100におけるPING試験結果と、被疑ハイジャック経路を検出しなかった経路監視装置100にけるPING試験結果とを取得し、それぞれの類似度を計算することとしたがこれに限定されない。   In the above-described embodiment, the route monitoring device 100 has a PING test result in the route monitoring device 100 that has detected the suspicious hijack route and a PING test result in the route monitoring device 100 that has not detected the suspicious hijack route. However, the present invention is not limited to this.

例えば、各経路監視装置100は、自身の監視対象経路に対し所定期間ごとにPING試験を行い、そのPING試験結果を記憶部13に記録していく。そして、経路監視装置100は、被疑ハイジャック経路(例えば、「10.0.0./24」)を検出すると、記憶部13に記録されたPING試験結果から、この被疑ハイジャック経路へのPING試験結果を読み出す。つまり、被疑ハイジャック経路検出前における被疑ハイジャック経路へのPING試験結果を読み出す。そして、経路監視装置100は、この読み出したPING試験結果と、被疑ハイジャック経路検出後のPING試験結果との類似度を計算する。そして、この被疑ハイジャック検出前のPING試験結果と、被疑ハイジャック検出後のPING試験結果との類似度が所定の値以下であるとき、この経路監視装置100は、当該被疑ハイジャック経路(例えば、「10.0.0./24」)に経路ハイジャックが発生した可能性が高いと判定するようにしてもよい。   For example, each path monitoring device 100 performs a PING test on its own monitoring target path every predetermined period, and records the PING test result in the storage unit 13. When the path monitoring device 100 detects the suspicious hijack path (for example, “10.0.0.0/24”), the PING test result recorded in the storage unit 13 is used as a ping to the suspected hijack path. Read test results. That is, the PING test result to the suspected hijacking path before the suspected hijacking path detection is read out. Then, the route monitoring apparatus 100 calculates the similarity between the read PING test result and the PING test result after the suspected hijacking route is detected. When the similarity between the PING test result before detection of the suspicious hijack and the PING test result after detection of the suspicious hijack is equal to or less than a predetermined value, the route monitoring apparatus 100 detects the suspected hijack route (for example, , “10.0.0.0/24”), it may be determined that there is a high possibility that a path hijacking has occurred.

また、被疑ハイジャック経路を検出した経路監視装置100それぞれが、この被疑ハイジャック経路検出前のPING試験結果と、被疑ハイジャック経路検出後のPING試験結果とを、ハイジャックされたASの経路監視装置100へ送信し、このPING試験結果を受信した経路監視装置100において、この被疑ハイジャック経路(例えば、「10.0.0./24」)に経路ハイジャックが発生している可能性が高いか否かの判定を行うようにしてもよい。つまり、被疑ハイジャック経路に経路ハイジャックが発生している可能性が高いか否かの判定は、被疑ハイジャック経路を検出した経路監視装置100で行ってもよいし、それ以外の経路監視装置100で行ってもよい。   In addition, each of the route monitoring devices 100 that have detected the suspicious hijacking route uses the PING test result before detecting the suspicious hijacking route and the PING test result after detecting the suspicious hijacking route to monitor the route of the AS being hijacked In the path monitoring apparatus 100 that has transmitted to the apparatus 100 and received the PING test result, there is a possibility that path hijacking has occurred in the suspected hijack path (for example, “10.0.0.24”). You may make it determine whether it is high. In other words, the determination as to whether or not there is a high possibility that a path hijacking has occurred in the suspected hijacking path may be performed by the path monitoring apparatus 100 that has detected the suspected hijacking path, or other path monitoring apparatuses. 100 may be performed.

本実施の形態に係る経路監視装置100は、前記したような処理を実行させる経路ハイジャック検出プログラムによって実現することができ、このプログラムをコンピュータによる読み取り可能な記憶媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、インターネット等のネットワークを通して提供することも可能である。   The route monitoring apparatus 100 according to the present embodiment can be realized by a route hijack detection program for executing the processing as described above, and this program is stored in a computer-readable storage medium (CD-ROM or the like). Can be provided. It is also possible to provide the program through a network such as the Internet.

本実施の形態の経路監視装置を含む経路ハイジャック検出システムを例示した図である。It is the figure which illustrated the path hijack detection system containing the path | route monitoring apparatus of this Embodiment. 本実施の形態の経路監視装置を含む経路ハイジャック検出システムを例示した図である。It is the figure which illustrated the path hijack detection system containing the path | route monitoring apparatus of this Embodiment. 図1の経路監視装置の機能ブロック図である。It is a functional block diagram of the path | route monitoring apparatus of FIG. 図3の経路監視装置の動作手順を示したフローチャートである。4 is a flowchart illustrating an operation procedure of the route monitoring apparatus in FIG. 3. 図4のハイジャック判定処理を例示したフローチャートである。It is the flowchart which illustrated the hijack determination process of FIG. 経路ハイジャックを概念的に説明した図である。It is the figure which demonstrated path hijacking notionally. 本発明の比較例となる技術を説明した図である。It is a figure explaining the technique used as the comparative example of this invention. 図7の比較例の技術における問題点を説明した図である。It is the figure explaining the problem in the technique of the comparative example of FIG.

符号の説明Explanation of symbols

11 入出力部
12 処理部
13 記憶部
100(100A,B,C,E) 経路監視装置
120 ハイジャック判定処理部
121 被疑ハイジャック検出情報受信部
122 試験依頼部
123 試験実行部
124 試験結果受信部
125 ハイジャック判定部
126 判定結果通知部
127 被疑ハイジャック検出部
128 経路情報更新部
129 経路監視部
130 試験結果送信部
131 監視対象経路情報 DESCRIPTION OF SYMBOLS 11 Input / output part 12 Processing part 13 Storage part 100 (100A, B, C, E) Path monitoring device 120 Hijack determination processing part 121 Suspicious hijack detection information receiving part 122 Test requesting part 123 Test execution part 124 Test result receiving part 125 hijack determination unit 126 determination result notification unit 127 suspected hijack detection unit 128 route information update unit 129 route monitoring unit 130 test result transmission unit 131 monitoring target route information

Claims (9)

各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、ハイジャック経路を検出する経路ハイジャック検出システムにおける前記経路監視装置が、
前記ハイジャック経路である可能性のある被疑ハイジャック経路のIPアドレス空間を示した被疑ハイジャック検出情報を受信したとき、
他の前記経路監視装置それぞれへ、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験の実行を依頼するステップと、
自身の経路監視装置において前記被疑ハイジャックの経路情報に示されるIPアドレス空間のIPアドレスそれぞれに対しPING試験を実行するステップと、
他の前記経路監視装置それぞれから、前記PING試験の結果を受信するステップと、
前記自身の経路監視装置で実行したPING試験の結果および前記受信したPING試験の結果を前記記憶部に記録するステップと、
前記記録したPING試験の結果のうち、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果との類似度を計算するステップと、
前記計算した類似度が所定の閾値a以下であるとき、
前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップと、
入出力部経由で、前記判定結果を出力するステップとを実行することを特徴とする経路ハイジャック検出方法。 The route monitoring device in a route hijack detection system that monitors route information exchanged by BGP (Border Gateway Protocol) in each AS (Autonomous System) by a plurality of route monitoring devices and detects a hijack route,
When receiving the suspected hijack detection information indicating the IP address space of the suspected hijacking route that may be the hijacking route,
Requesting each of the other route monitoring devices to execute a PING test on the IP address space indicated in the suspicious hijack detection information;
Performing a PING test on each IP address in the IP address space indicated in the route information of the suspected hijack in its own route monitoring device;
Receiving the result of the PING test from each of the other path monitoring devices;
Recording the result of the PING test executed in the own route monitoring device and the result of the received PING test in the storage unit;
Of the recorded PING test results, the PING test result in the route monitoring device that has transmitted the suspicious hijack detection information, and the PING test result in the route monitoring device that has not transmitted the suspicious hijack detection information; Calculating the similarity of
When the calculated similarity is less than or equal to a predetermined threshold a
Determining that there is a high probability that a path hijack has occurred in the IP address space indicated in the suspected hijack detection information;
And a step of outputting the determination result via an input / output unit. 前記経路監視装置は、
前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果とをそれぞれベクトルで記述し、
前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果のベクトルを加算し、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果のベクトルを加算し、前記加算したベクトル同士のなす角度θを計算するステップと、
前記計算した角度θの絶対値が所定の閾値bよりも大きいとき、
前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップとを実行することを特徴とする請求項1に記載の経路ハイジャック検出方法。 The route monitoring device includes:
The PING test result in the route monitoring device that has transmitted the suspicious hijack detection information and the PING test result in the route monitoring device that has not transmitted the suspicious hijack detection information are described as vectors, respectively.
Adding the vector of the PING test result in the route monitoring device that transmitted the suspected hijack detection information, adding the vector of the PING test result in the route monitoring device that did not transmit the suspected hijack detection information, and Calculating an angle θ between the added vectors;
When the absolute value of the calculated angle θ is larger than a predetermined threshold value b,
The path hijack detection method according to claim 1, further comprising: determining that there is a high possibility that a path hijack has occurred in the IP address space indicated by the suspected hijack detection information. 前記経路監視装置は、
前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果のベクトルの平均値を計算し、前記被疑ハイジャック検出情報を送信しなかった経路監視装置における前記PING試験結果のベクトルの平均値を計算し、前記平均値を計算したベクトルそれぞれの始点を一致させたときの終点間の距離を計算するステップと、
前記計算した距離が所定の閾値cよりも大きいとき、
前記被疑ハイジャックの経路情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するステップとを実行することを特徴とする請求項2に記載の経路ハイジャック検出方法。 The route monitoring device includes:
An average value of the PING test result vectors in the path monitoring apparatus that has transmitted the suspected hijack detection information is calculated, and an average value of the PING test result vectors in the path monitoring apparatus that has not transmitted the suspected hijack detection information. Calculating the distance between the end points when the start points of the respective vectors for which the average value has been calculated are matched, and
When the calculated distance is greater than a predetermined threshold c,
The path hijack detection method according to claim 2, further comprising: determining that there is a high possibility that a path hijack has occurred in the IP address space indicated by the path information of the suspected hijack. 前記経路監視装置は、
前記計算した類似度が前記所定の閾値aを超えるとき、前記計算した角度θの絶対値が前記所定の閾値b以下であるとき、または、前記計算した距離が所定の閾値c以下であるとき、
前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性は低いと判定するステップを実行することを特徴とする請求項1ないし請求項3のいずれか1項に記載の経路ハイジャック検出方法。 The route monitoring device includes:
When the calculated similarity exceeds the predetermined threshold a, the absolute value of the calculated angle θ is equal to or smaller than the predetermined threshold b, or the calculated distance is equal to or smaller than the predetermined threshold c.
The step of determining that the possibility that a path hijack has occurred in the IP address space indicated by the suspected hijack detection information is low is executed. Path hijack detection method. 前記経路監視装置の記憶部は、
当該経路監視装置における監視対象経路のIPアドレス空間、そのIPアドレス空間に割り当てられた正当なAS番号およびそのIPアドレス空間の監視結果の送信先の経路監視装置の識別情報を示した監視対象経路情報と、自身のASの経路制御装置の保持する経路情報とを記憶し、
前記経路監視装置は、
前記記憶部の経路情報に示されるIPアドレス空間のうち、前記監視対象経路情報に示されるIPアドレス空間に含まれる経路情報について、その経路情報に示されるIPアドレス空間のAS番号が、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があるか否かを監視し、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があると判断したとき、
前記被疑ハイジャック経路のIPアドレス空間を示した前記被疑ハイジャック検出情報を、前記IPアドレス空間の監視結果の送信先の経路監視装置へ送信するステップと、
他の前記経路監視装置からPING試験の対象となるIPアドレス空間を示したPING試験の依頼を受信したとき、前記IPアドレス空間のIPアドレスそれぞれに対しPING試験を実行するステップと、
前記実行したPING試験を前記PING試験の依頼元の経路監視装置へ送信するステップとを実行することを特徴とする請求項1ないし請求項3のいずれか1項に記載の経路ハイジャック検出方法。 The storage unit of the route monitoring device is
Monitoring target route information indicating the IP address space of the monitoring target route in the route monitoring device, the legitimate AS number assigned to the IP address space, and the identification information of the destination route monitoring device of the monitoring result of the IP address space And the route information held by the own AS route control device,
The route monitoring device includes:
Among the IP address spaces indicated in the route information of the storage unit, for the route information included in the IP address space indicated in the monitoring target route information, the AS number of the IP address space indicated in the route information is the monitoring target. When monitoring whether there is route information of a suspected hijack route different from the AS number of the route, and determining that there is route information of a suspected hijack route different from the AS number of the monitored route,
Transmitting the suspected hijack detection information indicating the IP address space of the suspected hijacking route to a route monitoring device that is a transmission destination of the monitoring result of the IP address space;
Executing a PING test for each IP address in the IP address space when a request for a PING test indicating an IP address space to be subjected to the PING test is received from another path monitoring device;
4. The path hijack detection method according to claim 1, further comprising: transmitting the executed PING test to a path monitoring apparatus that is a request source of the PING test. 5. 各AS(Autonomous System)においてBGP(Border Gateway Protocol)により交換される経路情報を複数の経路監視装置により監視し、経路ハイジャックを検出する経路ハイジャック検出システムにおける前記経路監視装置であって、
各種データの入出力を司る入出力部と、
前記ハイジャック経路である可能性のある被疑ハイジャック経路のIPアドレス空間を示した被疑ハイジャック検出情報を受信する被疑ハイジャック情報受信部と、
他の前記経路監視装置それぞれへ、前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験の実行を依頼する試験依頼部と、
前記被疑ハイジャック検出情報に示されるIPアドレス空間へのPING試験を実行し、このPING試験の結果を記憶部に記録する試験実行部と、
前記他の経路監視装置それぞれから、前記PING試験の結果を受信し、このPING試験の結果を前記記憶部に記録する試験結果受信部と、
前記記録したPING試験の結果のうち、前記被疑ハイジャック検出情報を送信した経路監視装置における前記PING試験結果と、前記被疑ハイジャック検出情報を送信しなかった前記経路監視装置における前記PING試験結果との類似度を計算し、前記計算した類似度が所定の閾値以下であるとき、前記被疑ハイジャック検出情報に示されるIPアドレス空間に経路ハイジャックが発生した可能性が高いと判定するハイジャック判定部と、
前記判定結果を出力する判定結果通知部とを備えることを特徴とする経路監視装置。 The route monitoring device in a route hijack detection system for monitoring route information exchanged by BGP (Border Gateway Protocol) in each AS (Autonomous System) by a plurality of route monitoring devices and detecting a route hijack,
An input / output unit that controls input / output of various data;
A suspected hijack information receiving unit for receiving suspected hijack detection information indicating an IP address space of a suspected hijacking path that may be the hijacking path;
A test requesting unit that requests each of the other route monitoring devices to execute a PING test on the IP address space indicated in the suspected hijack detection information;
A test execution unit that performs a PING test on the IP address space indicated in the suspected hijack detection information and records a result of the PING test in a storage unit;
A test result receiving unit that receives the result of the PING test from each of the other path monitoring devices and records the result of the PING test in the storage unit;
Of the recorded PING test results, the PING test result in the route monitoring device that has transmitted the suspicious hijack detection information, and the PING test result in the route monitoring device that has not transmitted the suspicious hijack detection information; Hijack determination that determines that there is a high probability that a path hijack has occurred in the IP address space indicated by the suspected hijack detection information when the similarity is calculated to be equal to or less than a predetermined threshold. And
A route monitoring apparatus comprising: a determination result notifying unit that outputs the determination result. 前記記憶部は、
当該経路監視装置における監視対象経路のIPアドレス空間、そのIPアドレス空間に割り当てられた正当なAS番号およびそのIPアドレス空間の監視結果の送信先の経路監視装置の識別情報を示した監視対象経路情報と、自身のASの経路制御装置の保持する経路情報とを記憶し、
前記試験実行部は、
他の前記経路監視装置からPING試験の対象となるIPアドレス空間を示したPING試験の依頼を受信したとき、前記IPアドレス空間のIPアドレスそれぞれに対しPING試験を実行し、
前記経路監視装置は、
前記経路情報のうち、前記監視対象経路情報に示されるIPアドレス空間に含まれる経路情報について、その経路情報に示されるIPアドレス空間のAS番号が、前記監視対象経路のAS番号と異なる被疑ハイジャック経路の経路情報があるか否かを監視し、前記監視対象経路のAS番号と異なる経路情報があると判断したとき、前記被疑ハイジャック経路のIPアドレス空間を示した前記被疑ハイジャック検出情報を、前記IPアドレス空間の監視結果の送信先の経路監視装置へ送信する経路監視部と、
前記実行したPING試験の結果を、前記PING試験の依頼元の経路監視装置へ送信する試験結果送信部とを備えることを特徴とする請求項6に記載の経路監視装置。 The storage unit
Monitoring target route information indicating the IP address space of the monitoring target route in the route monitoring device, the legitimate AS number assigned to the IP address space, and the identification information of the destination route monitoring device of the monitoring result of the IP address space And the route information held by the own AS route control device,
The test execution unit includes:
When a request for a PING test indicating an IP address space to be subjected to a PING test is received from another path monitoring device, the PING test is executed for each IP address in the IP address space,
The route monitoring device includes:
Among the route information, for the route information included in the IP address space indicated by the monitoring target route information, the AS number of the IP address space indicated by the route information is different from the AS number of the monitoring target route. Whether or not there is route information of the route is monitored, and when it is determined that there is route information different from the AS number of the route to be monitored, the suspected hijack detection information indicating the IP address space of the suspected hijack route is A route monitoring unit for transmitting the monitoring result of the IP address space to a destination route monitoring device;
The path monitoring apparatus according to claim 6, further comprising: a test result transmission unit that transmits a result of the executed PING test to a path monitoring apparatus that is a request source of the PING test. 請求項7に記載の経路監視装置を複数含んで構成されることを特徴とする経路ハイジャック検出システム。   A route hijack detection system comprising a plurality of route monitoring devices according to claim 7. 請求項1ないし請求項5のいずれか1項に記載の経路ハイジャック検出方法を、コンピュータである経路監視装置に実行させることを特徴とする経路ハイジャック検出プログラム。   A route hijack detection program that causes a route monitoring device that is a computer to execute the route hijack detection method according to any one of claims 1 to 5.
JP2007288384A 2007-11-06 2007-11-06 Route hijack detection method, route monitoring device, route hijack detection system, and route hijack detection program Expired - Fee Related JP4542580B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007288384A JP4542580B2 (en) 2007-11-06 2007-11-06 Route hijack detection method, route monitoring device, route hijack detection system, and route hijack detection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007288384A JP4542580B2 (en) 2007-11-06 2007-11-06 Route hijack detection method, route monitoring device, route hijack detection system, and route hijack detection program

Publications (2)

Publication Number Publication Date
JP2009118138A true JP2009118138A (en) 2009-05-28
JP4542580B2 JP4542580B2 (en) 2010-09-15

Family

ID=40784775

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007288384A Expired - Fee Related JP4542580B2 (en) 2007-11-06 2007-11-06 Route hijack detection method, route monitoring device, route hijack detection system, and route hijack detection program

Country Status (1)

Country Link
JP (1) JP4542580B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011135243A (en) * 2009-12-24 2011-07-07 Kddi Corp Handover method of mobile terminal through ip network, system, access gateway, and program
JP2011182030A (en) * 2010-02-26 2011-09-15 Kddi Corp Method and device for detecting bgp unauthorized message
JP2013012881A (en) * 2011-06-29 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> Device, method and program for route monitoring
CN113328990A (en) * 2021-04-21 2021-08-31 北京邮电大学 Internet route hijacking detection method based on multiple filtering and electronic equipment
CN115664848A (en) * 2022-12-08 2023-01-31 北京华云安信息技术有限公司 Hijacking detection method and device for router configuration, electronic equipment and storage medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006025088A (en) * 2004-07-07 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> Route detector, detecting method and program
JP2007053430A (en) * 2005-08-15 2007-03-01 Nippon Telegr & Teleph Corp <Ntt> Incorrect path monitor system and method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006025088A (en) * 2004-07-07 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> Route detector, detecting method and program
JP2007053430A (en) * 2005-08-15 2007-03-01 Nippon Telegr & Teleph Corp <Ntt> Incorrect path monitor system and method

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011135243A (en) * 2009-12-24 2011-07-07 Kddi Corp Handover method of mobile terminal through ip network, system, access gateway, and program
JP2011182030A (en) * 2010-02-26 2011-09-15 Kddi Corp Method and device for detecting bgp unauthorized message
JP2013012881A (en) * 2011-06-29 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> Device, method and program for route monitoring
CN113328990A (en) * 2021-04-21 2021-08-31 北京邮电大学 Internet route hijacking detection method based on multiple filtering and electronic equipment
CN113328990B (en) * 2021-04-21 2022-09-09 北京邮电大学 Internet route hijacking detection method based on multiple filtering and electronic equipment
CN115664848A (en) * 2022-12-08 2023-01-31 北京华云安信息技术有限公司 Hijacking detection method and device for router configuration, electronic equipment and storage medium
CN115664848B (en) * 2022-12-08 2023-03-10 北京华云安信息技术有限公司 Hijacking detection method and device for router configuration, electronic equipment and storage medium

Also Published As

Publication number Publication date
JP4542580B2 (en) 2010-09-15

Similar Documents

Publication Publication Date Title
US7280486B2 (en) Detection of forwarding problems for external prefixes
US9455995B2 (en) Identifying source of malicious network messages
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US20090241188A1 (en) Communication monitoring apparatus and communication monitoring method
US11133980B2 (en) Detecting sources of computer network failures
JP4542580B2 (en) Route hijack detection method, route monitoring device, route hijack detection system, and route hijack detection program
CN101656638B (en) Inter-domain prefix hijacking detection method for error configuration
CN109787869B (en) Path fault detection method and device
US9332053B2 (en) Methods, systems, and computer readable media for load balancing stream control transmission protocol (SCTP) messages
CN110740144B (en) Method, device, equipment and storage medium for determining attack target
CN104780103A (en) Message forwarding method and device
Song et al. Novel duplicate address detection with hash function
CN111010362B (en) Monitoring method and device for abnormal host
CN109831378B (en) Message timeout response method and device
US9094331B2 (en) Method and apparatus for internet protocol (IP) logical wire security
JP4365869B2 (en) ROUTE INFORMATION CHANGE METHOD, ROUTE INFORMATION CHANGE DEVICE, AND ROUTE INFORMATION CHANGE PROGRAM
CN104137517B (en) For detecting the peer-to-peer of failure peer-to-peer, apparatus and method in peer-to-peer network
JP4638948B2 (en) Route monitoring apparatus, route monitoring program, route hijack detection system, and route hijack detection method
JP2009081736A (en) Packet transfer apparatus and program
CN110365635B (en) Access control method and device for illegal endpoint
Schutrup et al. BGP hijack alert system
JP2008028735A (en) Route providing apparatus in communication and its route measuring method
JP2016170651A (en) Unauthorized access detection method, device and program
JP4906764B2 (en) Route loop detection apparatus, route loop detection method, and computer program
CN115801429A (en) Dual LSA attack defense method, device, equipment and storage medium

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091201

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100608

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100625

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130702

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees