JP5317294B2 - BGP illegal message detection method and apparatus - Google Patents

BGP illegal message detection method and apparatus Download PDF

Info

Publication number
JP5317294B2
JP5317294B2 JP2010041816A JP2010041816A JP5317294B2 JP 5317294 B2 JP5317294 B2 JP 5317294B2 JP 2010041816 A JP2010041816 A JP 2010041816A JP 2010041816 A JP2010041816 A JP 2010041816A JP 5317294 B2 JP5317294 B2 JP 5317294B2
Authority
JP
Japan
Prior art keywords
bgp
attribute
message
change
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010041816A
Other languages
Japanese (ja)
Other versions
JP2011182030A (en
Inventor
鵬 姜
雅史 渡里
篤男 立花
茂浩 阿野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2010041816A priority Critical patent/JP5317294B2/en
Publication of JP2011182030A publication Critical patent/JP2011182030A/en
Application granted granted Critical
Publication of JP5317294B2 publication Critical patent/JP5317294B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、BGPネットワークにおいて、BGPメッセージで通知されるプレフィックス毎の属性の変動状況に基づいて不正メッセージを検出する方法および装置に関する。   The present invention relates to a method and an apparatus for detecting an illegal message based on a fluctuation status of an attribute for each prefix notified by a BGP message in a BGP network.

異常検出はコンピューター・セキュリティーの分野で広く研究されてきた。非特許文献1,2には、コンピューター・セキュリティー分野における異常検出の技術が開示されている。非特許文献1は、過去に観測された異常時のトラヒックパターンから異常パターンを定義し、監視ネットワークにおいて同パターンのトラヒックが観測された場合に異常状態として検出する方法である。非特許文献2は、トラヒック量などの特徴量を用い、過去の統計的な特徴量に較べて現在の特徴量が一定の閾値を超えた場合を異常状態として検出する方法である。   Anomaly detection has been extensively studied in the field of computer security. Non-Patent Documents 1 and 2 disclose anomaly detection technology in the computer security field. Non-Patent Document 1 is a method in which an abnormal pattern is defined from a traffic pattern at the time of abnormality observed in the past, and is detected as an abnormal state when traffic of the same pattern is observed in a monitoring network. Non-Patent Document 2 is a method of detecting a case where a current feature amount exceeds a certain threshold value as compared with a past statistical feature amount as an abnormal state using a feature amount such as a traffic amount.

非特許文献3は、非特許文献1,2に開示された検出法をBGPネットワークの異常検出に適応した手法である。非特許文献4は、BGPネットワークにおいて、経路ハイジャックの検出に特化した異常検出手法であり、BGPメッセージで通知されるプレフィックスの広報元ASの変化に着眼し、観測したプレフィックスの広報元ASが正常時から変化した場合を異常状態として検出する方法である。   Non-Patent Document 3 is a technique in which the detection methods disclosed in Non-Patent Documents 1 and 2 are applied to abnormality detection of a BGP network. Non-Patent Document 4 is an anomaly detection method specialized in path hijack detection in a BGP network, focusing on changes in the prefix's public information source AS notified by the BGP message. This is a method of detecting a change from the normal state as an abnormal state.

M. Roesch, Snort: Lightweight intrusion detection for networks, USENIX LISA Conference, 1999.M. Roesch, Snort: Lightweight intrusion detection for networks, USENIX LISA Conference, 1999. H.S. Javitz, and A. Valdes, The NIDES Statistical Component: Description and Justification, SRI International, 1993.H.S.Javitz, and A. Valdes, The NIDES Statistical Component: Description and Justification, SRI International, 1993. K. Zhang, A. Yen, X. Zhao, D. Massey, S. F. Wu, and L. Zhang, On detection of anomalous routing dynamics in BGP, IFIP-TC6 Networking, 2004.K. Zhang, A. Yen, X. Zhao, D. Massey, S. F. Wu, and L. Zhang, On detection of anomalous routing dynamics in BGP, IFIP-TC6 Networking, 2004. J. Karlin, S. Forrest, and J. Rexford, Pretty Good BGP: Improving BGP by Cautiously Adopting Routes, ICNP, 2006.J. Karlin, S. Forrest, and J. Rexford, Pretty Good BGP: Improving BGP by Cautiously Adopting Routes, ICNP, 2006.

非特許文献1に代表される従来技術では、過去に観測された異常時のトラヒックパターンから異常パターンが定義され、同パターンに一致するトラヒックが異常状態として検出される。実用例として、非特許文献3では、実BGPネットワークで観測された異常時の経路変動から6つの異常パターンが定義され、同パターンに一致する経路変動が検出される。しかしながら、本方法による異常検出は、予め定義されたパターンに一致する経路変動に限られるため、過去に観測されたことのない異常変動を検出できない。   In the prior art represented by Non-Patent Document 1, an abnormal pattern is defined from a traffic pattern at the time of abnormality observed in the past, and traffic matching the same pattern is detected as an abnormal state. As a practical example, in Non-Patent Document 3, six abnormal patterns are defined from path fluctuations at the time of abnormality observed in a real BGP network, and path fluctuations matching the same pattern are detected. However, since abnormality detection by this method is limited to path fluctuations that match a predefined pattern, abnormal fluctuations that have not been observed in the past cannot be detected.

非特許文献2では、トラヒック量などの過去の統計的な特徴量に較べて現在の特徴量が一定の閾値を超えた場合を異常状態として検出するので、正常時に較べて特徴量が大幅に乖離しない異常変動は検出できない。   In Non-Patent Document 2, a case where the current feature value exceeds a certain threshold value compared to a past statistical feature value such as traffic amount is detected as an abnormal state. Therefore, the feature value is significantly different from the normal value. Unusable abnormal fluctuations cannot be detected.

非特許文献3では、プレフィックス毎の単位時間あたりのBGPメッセージ数やAS_PATH属性におけるASの出現回数などを用いて正常時との乖離度が計算され、一定の閾値を超えた場合が異常状態として検出される。しかしながら、本手法は特徴量に基づいた異常検出であるため、正常時に較べて特徴量が大幅に乖離しない異常変動は検出できない。また、仮に異常状態を検出できた場合でも、その原因となる不正メッセージを特定できない。   In Non-Patent Document 3, the degree of deviation from the normal time is calculated using the number of BGP messages per unit time for each prefix and the number of appearances of AS in the AS_PATH attribute, and a case where a certain threshold is exceeded is detected as an abnormal state. Is done. However, since the present method is an abnormality detection based on the feature amount, an abnormal variation in which the feature amount is not significantly different from that in the normal state cannot be detected. Further, even if an abnormal state can be detected, an illegal message that causes the abnormal state cannot be identified.

非特許文献4では、BGPメッセージで通知されるプレフィックスの広報元ASの変化に着眼し、その変化が検出される。本手法は、AS_PATH属性における広報元ASの変化が少ない点に着眼しているため、頻繁に変化する属性を対象とした場合には検出数が膨大となり、不正メッセージを容易に特定できない。   In Non-Patent Document 4, attention is paid to a change in the prefix public information source AS notified by the BGP message, and the change is detected. Since this method focuses on the fact that there is little change in the public information source AS in the AS_PATH attribute, the number of detections becomes enormous when targeting frequently changing attributes, and it is not possible to easily identify fraudulent messages.

本発明の目的は、上記した従来技術の課題を解決し、過去に観測されたことのない異常や、正常時に較べて特徴量が大幅に乖離しない異常の原因となる不正メッセージを容易に特定できるBGP不正メッセージ検出方法および装置を提供することにある。   The object of the present invention is to solve the above-mentioned problems of the prior art and easily identify an abnormal message that causes an abnormality that has not been observed in the past and an abnormality that does not significantly deviate from the feature amount compared to the normal state. An object of the present invention is to provide a method and an apparatus for detecting a BGP illegal message.

上記の目的を達成するために、本発明は、BGPネットワーク上で各ASから広報されるBGPメッセージに含まれる不正メッセージを検出するBGP不正メッセージ検出装置において、以下のような手段を講じた点に特徴がある。   In order to achieve the above object, the present invention provides the following means in a BGP illegal message detection apparatus for detecting an illegal message included in a BGP message advertised from each AS on a BGP network. There are features.

(1)BGP の経路更新を広報するメッセージを収集するメッセージ収集手段と、メッセージに付加された属性の変動を検知する変動検知手段と、属性の変動が特異的なメッセージを不正メッセージと推定する推定手段とを具備した。   (1) Message collection means that collects messages that advertise BGP route updates, fluctuation detection means that detects fluctuations in attributes added to messages, and estimation that estimates messages with specific attribute fluctuations as invalid messages Means.

(2)推定手段は、変動後の属性値を使用するASの数が少ないことを基準に特異的なメッセージを推定するようにした。   (2) The estimation means estimates a specific message based on the small number of ASs that use the attribute value after the change.

(3)BGP経路表を収集する手段と、BGP経路表に基づいて、プレフィックスごとに各属性の初期値を検出する手段とを具備し、推定手段はBGP経路表を参照することでプレフィックスごとに各属性の初期値を把握し、過去に観測されたことのない新規なプレフィックスの属性値が初期値と同じであれば、これを特異的な属性変動としないようにした。   (3) It comprises means for collecting a BGP route table and means for detecting an initial value of each attribute for each prefix based on the BGP route table, and the estimating means refers to the BGP route table for each prefix. The initial value of each attribute is grasped, and if the attribute value of a new prefix that has not been observed in the past is the same as the initial value, this is not regarded as a specific attribute variation.

(4)BGP経路表を収集する手段と、BGP経路表に基づいて属性ごとに各属性値を使用するAS数を集計する手段とを具備し、推定手段は、BGP経路表において多くのASにより使用されている属性値への変動を特異的な属性変動と判定しないようにした。   (4) It comprises means for collecting a BGP routing table and means for counting the number of ASs that use each attribute value for each attribute based on the BGP routing table, and the estimation means is based on many ASs in the BGP routing table. The change to the used attribute value is not judged as a specific attribute change.

本発明によれば、以下のような効果が達成される。   According to the present invention, the following effects are achieved.

(1)BGP の経路更新を広報するメッセージに付加された属性の変動が特異的なメッセージが不正メッセージと推定されるので、過去に観測されたことのない異常の原因となる不正メッセージや、正常時に較べて特徴量が大幅に乖離しない異常の原因となる不正メッセージを容易に検出できるようになる。   (1) Since a message with a specific change in attribute added to a message that broadcasts BGP route update is presumed to be an illegal message, an illegal message that causes an abnormality that has not been observed in the past or normal It becomes possible to easily detect a fraudulent message that causes an abnormality in which the feature amount is not significantly different from that of the time.

(2)変動後の属性値を使用するAS数が少ないメッセージが特異的なメッセージと判定されるので、特異的なメッセージの検出が容易になる。   (2) Since a message with a small number of ASs using the changed attribute value is determined as a specific message, it is easy to detect a specific message.

(3)BGP経路表を参照することでプレフィックスごとに各属性の初期値を把握し、過去に観測されたことのない新規なプレフィックスのメッセージであっても、その変動後の属性値が初期値と同じであれば属性変動として抽出されないようにしたので、過去に観測されたことのないプレフィックスの属性値が全て属性変動として抽出されてしまうことを防止できるようになる。   (3) By referring to the BGP routing table, the initial value of each attribute is ascertained for each prefix, and even if the message has a new prefix that has not been observed in the past, the changed attribute value is the initial value. Since it is not extracted as an attribute variation, it is possible to prevent all prefix attribute values that have not been observed in the past from being extracted as an attribute variation.

(4)BGPメッセージに基づいて相対的に特異的とされた属性変動の属性値をBGP経路表と照合し、変動後の属性値を使用しているAS数が多い場合には特異的な属性変動ではないとするので、少数の正規メッセージが特異的な不正メッセージとされる誤検出を防止できるようになる。   (4) The attribute value of the attribute variation that was made relatively specific based on the BGP message is checked against the BGP route table, and the specific attribute is used when there are many ASs that use the attribute value after the variation. Since it is not a fluctuation, it is possible to prevent erroneous detection in which a small number of regular messages are regarded as specific illegal messages.

本発明の一実施形態に係るBGP不正メッセージ検出装置のブロック図である。It is a block diagram of a BGP illegal message detection device according to an embodiment of the present invention. BGP不正メッセージ検出装置の他の実施形態のブロック図である。It is a block diagram of other embodiment of a BGP illegal message detection apparatus. 本発明が適用されるBGPネットワークの構成を示したブロック図である。It is the block diagram which showed the structure of the BGP network to which this invention is applied. 本発明の第1実施形態に係る計算サーバの機能ブロック図である。It is a functional block diagram of the calculation server which concerns on 1st Embodiment of this invention. 本発明の第1実施形態の動作を示したフローチャートである。It is the flowchart which showed the operation | movement of 1st Embodiment of this invention. 属性変動の抽出結果の一例を模式的に表現した図である。It is the figure which expressed typically an example of the extraction result of attribute fluctuation. 変動後属性値を使用するAS数の一覧を示した図である。It is the figure which showed the list | wrist of AS number which uses the attribute value after a fluctuation | variation. 変動後属性値に基づくグループ分けの一例を示した図である。It is the figure which showed an example of the grouping based on the attribute value after a fluctuation | variation. 属性変動が特異的なエントリの抽出結果の一例を示した図である。It is the figure which showed an example of the extraction result of an entry with a specific attribute fluctuation | variation. 本発明の第2実施形態に係る計算サーバの機能ブロック図である。It is a functional block diagram of the calculation server which concerns on 2nd Embodiment of this invention. 本発明の第3実施形態に係る計算サーバの機能ブロック図である。It is a functional block diagram of the calculation server which concerns on 3rd Embodiment of this invention. 属性の属性値の度数の集計結果の一例を模式的に表現した図である。It is the figure which expressed typically an example of the total result of the frequency of the attribute value of an attribute. 不正メッセージの推定方法を模式的に表現した図である。It is the figure which expressed typically the estimation method of a fraudulent message. 不正メッセージの抽出例を示した図である。It is the figure which showed the example of extraction of an unauthorized message. 不正メッセージの検出結果の表示例を示した図である。It is the figure which showed the example of a display of the detection result of an unauthorized message.

以下、図面を参照して本発明の実施の形態について詳細に説明する。図1は、本発明の一実施形態に係るBGP不正メッセージ検出装置の構成を示したブロック図であり、管理下のBGPルータ(後述するAS20)から境界ルータRを中継して収集されたBGPメッセージおよびBGP経路表を取得し、不正メッセージおよびその広報元として疑わしいASをプレフィックスごとに検出する計算サーバ1と、前記検出結果を表示する表示装置2とを主要な構成としている。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a BGP illegal message detection apparatus according to an embodiment of the present invention, and BGP messages collected by relaying a border router R from a managed BGP router (AS 20 described later). The calculation server 1 that acquires a BGP routing table and detects an illegal message and a suspicious AS as a public information source for each prefix, and a display device 2 that displays the detection result are mainly configured.

前記ネットワークと計算サーバ1とは、図1に示したようにオンラインで接続されていても良いし、あるいは図2に示した他の実施形態のように、オフラインであってもよい。この場合、管理下のBGPルータにより収集されたBGPメッセージやBGP経路表のログデータは、ディスク状の記録媒体3や可搬性の半導体メモリ4を仲介して計算サーバ1に取り込まれる。   The network and the calculation server 1 may be connected online as shown in FIG. 1, or may be offline as in another embodiment shown in FIG. In this case, the BGP message collected by the managed BGP router and the log data of the BGP routing table are taken into the calculation server 1 via the disk-shaped recording medium 3 and the portable semiconductor memory 4.

図3は、本発明が適用されるBGPネットワークの構成を示したブロック図であり、前記と同一の符号は同一または同等部分を表している。本実施形態では、ネットワークを構成する6つのAS(AS10〜AS60)に着目し、AS50が不正メッセージの広報元である場合を例にして説明する。   FIG. 3 is a block diagram showing a configuration of a BGP network to which the present invention is applied. The same reference numerals as those described above represent the same or equivalent parts. In the present embodiment, attention is paid to six ASs (AS10 to AS60) constituting the network, and a case where the AS 50 is a fraudulent message publicity source is described as an example.

[実施形態1]
図4は、本発明の第1実施形態に係る計算サーバ1の機能ブロック図であり、ここでは本発明の説明に不要な構成は図示が省略されている。 [Embodiment 1]
FIG. 4 is a functional block diagram of the calculation server 1 according to the first embodiment of the present invention. Here, illustrations of components unnecessary for the description of the present invention are omitted.

メッセージ抽出部101は、BGPルータAS20により観測・収集されているBGPメッセージの中から、BGPの経路更新を広報するANNOUNCEメッセージを抽出する。変動検知部102は、前記ANNOUNCEメッセージに記述されている各属性の属性値をプレフィックス毎に抽出する属性値抽出部102a、および前後に観測されたANNOUNCEメッセージに記述されている各属性の属性値をプレフィックス毎に比較することで属性値の変動を抽出する変動抽出部102bを含む。不正メッセージ検出部103は、属性変動を変動後の属性値に応じて分類する分類部103aと、前記分類結果に基づいて、属性変動が特異的なメッセージを不正メッセージと推定する推定部103bとを含む。   The message extraction unit 101 extracts an ANNOUNCE message that advertises BGP route update from the BGP messages observed and collected by the BGP router AS20. The fluctuation detecting unit 102 extracts the attribute value of each attribute described in the ANNOUNCE message for each prefix, and the attribute value of each attribute described in the ANNOUNCE message observed before and after the attribute value extracting unit 102a. A fluctuation extracting unit 102b that extracts a fluctuation of the attribute value by comparing each prefix is included. The fraudulent message detection unit 103 includes a classification unit 103a that classifies the attribute variation according to the attribute value after variation, and an estimation unit 103b that estimates a message with a specific attribute variation as a fraudulent message based on the classification result. Including.

図5は、本実施形態の動作を示したフローチャートであり、主に計算サーバ1の動作を示している。   FIG. 5 is a flowchart showing the operation of the present embodiment, and mainly shows the operation of the calculation server 1.

ステップS1では、前記メッセージ抽出部101により、BGPルータAS20において観測・収集されている多数のBGPメッセージの中からANNOUNCEメッセージが抽出される。ステップS2では、各ANNOUNCEメッセージに付加情報として記述されている属性(パス属性)およびその属性値が前記属性値抽出部102aにより抽出される。前記属性には、経路情報の生成元を示す"ORIGIN"、ある経路へ到達するために通過するAS番号のリストを示す"AS_PATH"、トラヒックを転送すべきルータのアドレスを示す"NEXT_HOP"などがある。   In step S1, the message extraction unit 101 extracts an ANNOUNCE message from a number of BGP messages observed and collected by the BGP router AS20. In step S2, attributes (path attributes) described as additional information in each ANNOUNCE message and their attribute values are extracted by the attribute value extraction unit 102a. The attributes include “ORIGIN” indicating the origin of the route information, “AS_PATH” indicating a list of AS numbers that are passed to reach a certain route, “NEXT_HOP” indicating the address of the router to which the traffic should be forwarded, etc. is there.

ステップS3では、前記変動抽出部102bにおいて、前後に観測されてプレフィックスが同一のANNOUNCEメッセージに記述されている属性値を属性ごとに比較することで属性変動がプレフィックスごとに抽出される。このとき、過去に観測されたことのない新規なプレフィックスのANNOUNCEメッセージに記述されている属性は、全て変動として抽出される。   In step S3, the variation extraction unit 102b extracts the attribute variation for each prefix by comparing the attribute values described in the ANNOUNCE message observed before and after and having the same prefix for each attribute. At this time, all the attributes described in the ANNOUNCE message of a new prefix that has not been observed in the past are extracted as fluctuations.

図6は、前記変動抽出部102bによりプレフィックス毎に抽出された属性変動の一例を模式的に表現した図であり、本実施形態では、属性値の変動が検知されるごとに、その観察日、観察時刻、広報元AS、プレフィックス、変動のあった属性(変動属性)および変動後の属性値が関連付けられてエントリされる。   FIG. 6 is a diagram schematically showing an example of attribute fluctuations extracted for each prefix by the fluctuation extraction unit 102b. In this embodiment, each time an attribute value fluctuation is detected, the observation date, An observation time, a public information source AS, a prefix, a changed attribute (change attribute), and an attribute value after change are associated and entered.

図6において、「変動属性」が"ORIGIN"であって「属性値」が"IGP"のエントリは、あるプレフィックスに対応する"ORIGIN"属性の属性値が"IGP"に変化したことを意味する。「変動属性」が"NEXT_HOP"であって「属性値」が"2.2.2.2"のエントリは、あるプレフィックスに対応する"NEXT_HOP"属性の属性値が"2.2.2.2"に変化したことを意味する。「変動属性」が"AS_PATH"であって「属性値」が"3"のエントリは、あるプレフィックスに対応するAS_PATH長の属性値が"3"に変化したことを意味する。   In FIG. 6, an entry whose “variable attribute” is “ORIGIN” and whose “attribute value” is “IGP” means that the attribute value of the “ORIGIN” attribute corresponding to a certain prefix has changed to “IGP”. . An entry whose "variable attribute" is "NEXT_HOP" and whose "attribute value" is "2.2.2.2" means that the attribute value of the "NEXT_HOP" attribute corresponding to a certain prefix has changed to "2.2.2.2" . An entry whose “variable attribute” is “AS_PATH” and whose “attribute value” is “3” means that the attribute value of the AS_PATH length corresponding to a certain prefix has changed to “3”.

なお、各メッセージの広報元ASは、AS_PATH属性内で最も右にあるASとして検出できる。例えば、AS_PATHが[20 30 60]であれば、その広報元ASは「60」となる。また、AS_PATHはAS毎に異なるのでAS_PATH長を用いて分析される。本実施形態では、AS_PATH長としてAS_PATHに含まれるAS数が採用される。したがって、AS_PATHが[20 30 60]であれば、そのAS_PATH長は「3」になる。   The public information source AS of each message can be detected as the rightmost AS in the AS_PATH attribute. For example, if AS_PATH is [20 30 60], the public information AS is “60”. Also, AS_PATH is different for each AS, so it is analyzed using AS_PATH length. In the present embodiment, the number of ASs included in AS_PATH is adopted as the AS_PATH length. Therefore, if AS_PATH is [20 30 60], the AS_PATH length is “3”.

図5へ戻り、ステップS4では、各属性変動の特異性を判定するために、各エントリが変動後の属性値に応じて、前記分類部103aによりグループ分けされる。図7、8は、前記グループ分けの一例を示した図であり、ここでは、同じ時間間隔(例えば1分間)で発生した属性変動後の属性値が同一であるエントリが同一グループに分類され、そのAS数が検出されている。   Returning to FIG. 5, in step S4, in order to determine the specificity of each attribute variation, the entries are grouped by the classification unit 103a according to the attribute value after the variation. FIGS. 7 and 8 are diagrams showing an example of the grouping. Here, entries having the same attribute value after attribute change occurring at the same time interval (for example, 1 minute) are classified into the same group, The AS number is detected.

本実施形態では、「変動属性」"ORIGIN"が「属性値」"IGP"に変動したことを広報する2つのプレフィックスに対応する各エントリが同一グループに分類されている。また、「変動属性」"NEXT_HOP"が「属性値」"2.2.2.2"に変動したことを広報する4つのプレフィックスに対応する各エントリも同一グループに分類されている。さらに、「変動属性」"AS_PATH"が「属性値」"3"に変動したことを広報する2つのプレフィックスに対応する各エントリも同一グループに分類されている。   In this embodiment, the entries corresponding to the two prefixes that publicize that the “variable attribute” “ORIGIN” has changed to the “attribute value” “IGP” are classified into the same group. Also, the entries corresponding to the four prefixes that publicize that the “change attribute” “NEXT_HOP” has changed to “attribute value” “2.2.2.2” are also classified into the same group. Furthermore, the entries corresponding to the two prefixes that publicize that the “change attribute” “AS_PATH” has changed to “attribute value” “3” are also classified into the same group.

但し、変動後の「属性値」が同じであってもメッセージの観測日時が異なるエントリは異なるグループに分類される。図7、8の例では、「変動属性」"NEXT_HOP"の属性値が"2.2.2.2"に変化した5つのエントリのうち、観測時刻が16時11分台の4つのエントリは同一グループに分類されるものの、16時12分台のエントリは同一グループに分類されない。また、「変動属性」"NEXT_HOP"の属性値が"3.3.3.3"に変動した2つのエントリは、広報元ASが同じ(いずれも、AS50)なので、変動後に同じ属性値を使用するAS数は1となる。   However, even if the “attribute value” after the change is the same, entries with different message observation dates / times are classified into different groups. In the example of FIGS. 7 and 8, among the five entries whose attribute value of “variable attribute” “NEXT_HOP” is changed to “2.2.2.2”, four entries whose observation time is 16:11 are classified into the same group. However, entries in the 16:12 range are not classified into the same group. In addition, since two entries whose attribute value of “variable attribute” “NEXT_HOP” fluctuated to “3.3.3.3” have the same publicity AS (both AS50), the number of ASs that use the same attribute value after fluctuation is 1

ステップS5では、前記図7,8に示したグループ分けの結果に基づいて、前記推定部103bにより、属性変動が特異的なエントリが抽出される。本実施形態では、図9に一例を示したように、変動後の属性値を使用するAS数が「1」のグループに分類された少数派として、「変動属性」"NEXT_HOP"の属性値が"4.4.4.4"であるエントリ、「変動属性」"NEXT_HOP"の属性値が"3.3.3.3"である2つのエントリ、および「変動属性」"NEXT_HOP"の属性値が"2.2.2.2"であるエントリの計4つのエントリが抽出され、これらを広報したメッセージが不正メッセージと推定される。   In step S5, based on the grouping results shown in FIGS. 7 and 8, the estimation unit 103b extracts an entry with a specific attribute variation. In this embodiment, as shown in an example in FIG. 9, the attribute value of “variable attribute” “NEXT_HOP” is expressed as a minority grouped into a group whose AS number using the attribute value after variation is “1”. An entry with "4.4.4.4", two entries with "3.3.3.3" attribute value for "variable attribute" "NEXT_HOP", and an attribute value with "2.2.2.2" for "variable attribute" "NEXT_HOP" A total of four entries are extracted, and a message that publicizes them is presumed to be an invalid message.

ステップS6では、前記抽出された4つのエントリの広報元AS(AS40,AS50およびAS60)が不正メッセージの広報元ASの候補として検出される。ステップS7では、前記検出結果が表示部2へ出力される。   In step S6, the public information source ASs (AS40, AS50, and AS60) of the extracted four entries are detected as candidates for the fraudulent message public information source AS. In step S <b> 7, the detection result is output to the display unit 2.

本実施形態によれば、BGP の経路更新を広報するメッセージに付加された属性の変動が特異的なメッセージが不正メッセージと推定されるので、過去に観測されたことのない異常の原因となる不正メッセージや、正常時に較べて特徴量が大幅に乖離しない異常の原因となる不正メッセージを容易に検出できるようになる。また、本実施形態では変動後に同一の属性値を広報するASが少数であるときに、そのメッセージが特異的なメッセージと判定されるので、特異的なメッセージの検出が容易になる。   According to the present embodiment, since a message with a specific change in attribute added to a message that broadcasts BGP route update is estimated to be an invalid message, an illegal cause that causes an abnormality that has not been observed in the past. It becomes possible to easily detect a message or an illegal message that causes an abnormality in which the feature amount is not significantly different from that in a normal state. Further, in this embodiment, when there are a small number of ASs that broadcast the same attribute value after the change, the message is determined to be a specific message, so that a specific message can be easily detected.

[実施形態2]
上記の第1実施形態では、過去に観測されたことのないプレフィックスのANNOUNCEメッセージに記述されている属性が全て変動として抽出されるので、正規のメッセージも不正なメッセージと誤認される場合があった。そこで、本発明の第2実施形態では、BGP経路表を参照することでプレフィックスごとに各属性の初期値を把握し、過去に観測されたことのない新規なプレフィックスのANNOUNCEメッセージであっても、その属性値が初期値と同じであれば変動として抽出されないようにしている。 [Embodiment 2]
In the first embodiment described above, since all the attributes described in the ANNOUNCE message of the prefix that has not been observed in the past are extracted as variations, there is a case where a regular message is mistaken for an invalid message. . Therefore, in the second embodiment of the present invention, the initial value of each attribute is grasped for each prefix by referring to the BGP routing table, and even if it is an ANNOUNCE message of a new prefix that has not been observed in the past, If the attribute value is the same as the initial value, it is not extracted as a variation.

図10は、本発明の第2実施形態に係る計算サーバ1の機能ブロック図であり、前記と同一の符号は同一または同等部分を表しているので、その説明は省略する。   FIG. 10 is a functional block diagram of the calculation server 1 according to the second embodiment of the present invention. Since the same reference numerals as those described above represent the same or equivalent parts, the description thereof is omitted.

経路表抽出部104は、BGPルータAS20により収集されているBGP経路表を抽出する。初期値検出部105は、前記抽出されたBGP経路表に基づいて、プレフィックスごとに各属性の初期値を検出する。前記変動検知部102の変動絞込部102cは、過去に観測されたことのない新規なプレフィックスであるとして前記変動抽出部102bにより抽出された属性変動が前記BGP経路表に初期値として登録されているか否かを判定し、未登録であれば、その属性変動としての扱いを維持する一方、既登録であれば属性変動としての扱いを取り止めることで前記属性変動を絞り込む。   The routing table extraction unit 104 extracts the BGP routing table collected by the BGP router AS20. The initial value detection unit 105 detects the initial value of each attribute for each prefix based on the extracted BGP route table. The variation narrowing unit 102c of the variation detecting unit 102 registers the attribute variation extracted by the variation extracting unit 102b as an initial value in the BGP route table as a new prefix that has not been observed in the past. If it is not registered, the attribute variation is maintained. On the other hand, if it is already registered, the attribute variation is narrowed down by canceling the attribute variation.

本実施形態によれば、過去に観測されたことのないプレフィックスの属性値が全て属性変動として抽出されてしまうことを防止できるようになる。   According to the present embodiment, it is possible to prevent all attribute values of prefixes that have not been observed in the past from being extracted as attribute variations.

[実施形態3]
上記の第1実施形態では、観測されたANNOUNCEメッセージに記述されている属性の変動状況を比較することで相対的に特異的な変動が抽出されるものとして説明したが、本実施形態では、BGP経路情報を予め集計することで属性ごとに各属性値を使用するAS数を把握し、BGP経路表において多くのASにより使用されている属性値に関しては、これを属性変動として広報するメッセージ数が少なくても特異的と判定しないようにしている。 [Embodiment 3]
In the first embodiment described above, it has been described that a relatively specific variation is extracted by comparing the variation state of the attribute described in the observed ANNOUNCE message. However, in the present embodiment, BGP is used. By compiling the route information in advance, the number of ASs that use each attribute value for each attribute is grasped, and for the attribute values used by many ASs in the BGP route table, the number of messages that advertise this as attribute variation is At least it is not determined to be specific.

図11は、本発明の第3実施形態に係る計算サーバ1の機能ブロック図であり、前記と同一の符号は同一または同等部分を表しているので、その説明は省略する。   FIG. 11 is a functional block diagram of the calculation server 1 according to the third embodiment of the present invention. Since the same reference numerals as those described above represent the same or equivalent parts, the description thereof is omitted.

集計部106は、前記抽出されたBGP経路表の初期値に基づいて、属性ごとに各属性値を使用するAS数を集計する。前記推定部103bは、前記第1実施形態での機能に加えて、さらに属性ごとに経路表の中でも多くのASにより使用されている属性値に変動しているプレフィックスを含むメッセージを特異的と判定しない機能を備えている。   The totaling unit 106 totals the number of ASs using each attribute value for each attribute based on the extracted initial value of the BGP routing table. In addition to the function in the first embodiment, the estimation unit 103b further determines that a message including a prefix that changes to an attribute value used by many ASs in the routing table for each attribute is specific. It has a function that does not.

図12は、前記AS数の集計結果の一例を模式的に表現した図であり、この例では、「属性」"NEXT_HOP"の「属性値」として"4.4.4.4"を利用するAS数(度数)が44,444であり、"2.2.2.2"を利用するAS数が22,222であることを示している。   FIG. 12 is a diagram schematically showing an example of the result of counting the AS number. In this example, the AS number (frequency) using “4.4.4.4” as “attribute value” of “attribute” “NEXT_HOP”. ) Is 44,444, indicating that the number of AS using "2.2.2.2" is 22,222.

前記推定部103bは、図13に一例を示したように、属性変動が特異的とされたエントリ(ここでは、4つ)と、前記属性ごとに各属性値を使用するAS数とを照合して不正メッセージの広報元ASを推定する。本実施形態では、「変動属性」"NEXT_HOP"の属性値"2.2.2.2"および"4.4.4.4"は、多数のASにより使用されていることがBGP経路表から明らかなのに対して、属性値"3.3.3.3"を使用しているASは存在しないので、図14に示したように、変動後の属性値が"3.3.3.3"であるエントリのみが特異的として抽出され、この特異的な変動を含むメッセージが不正メッセージとされる。図15は、表示装置2へ出力される不正メッセージの一例を示した図である。   As shown in an example in FIG. 13, the estimation unit 103 b collates entries (here, four) in which attribute fluctuations are specific with the number of ASs using each attribute value for each attribute. Estimate the AS of PR of illegal messages. In the present embodiment, the attribute values “2.2.2.2” and “4.4.4.4” of the “variable attribute” “NEXT_HOP” are clearly used from many BGP routing tables, whereas the attribute value “ Since there is no AS using 3.3.3.3 ", as shown in Fig. 14, only entries whose attribute value after change is" 3.3.3.3 "are extracted as specific, and this specific change A message containing FIG. 15 is a diagram illustrating an example of an unauthorized message output to the display device 2.

本実施形態によれば、BGP経路表において多くのASにより使用されている属性値に変動したプレフィックスを含むメッセージは特異的と判定されないので、少数の正規メッセージが特異的な不正メッセージとされる誤検出を防止できるようになる。   According to the present embodiment, since a message including a prefix that has changed to an attribute value used by many ASs in the BGP routing table is not determined to be specific, an error in which a small number of regular messages are specified as specific malicious messages. Detection can be prevented.

1…計算サーバ,2…表示装置,101…メッセージ抽出部,102…変動検知部,102a…属性値抽出部,102b…変動抽出部,103…不正メッセージ検出部,103a…分類部,103b…推定部,104…経路表抽出部,105…初期値検出部,106…集計部   DESCRIPTION OF SYMBOLS 1 ... Calculation server, 2 ... Display apparatus, 101 ... Message extraction part, 102 ... Fluctuation detection part, 102a ... Attribute value extraction part, 102b ... Fluctuation extraction part, 103 ... Fraud message detection part, 103a ... Classification part, 103b ... Estimation 104: Route table extraction unit 105 ... Initial value detection unit 106 ... Counting unit

Claims (6)

BGPネットワーク上で各ASから広報されるBGPメッセージに含まれる不正メッセージを検出するBGP不正メッセージ検出装置において、
BGP の経路更新を広報するメッセージを収集するメッセージ収集手段と、
前記メッセージに付加された属性の変動をプレフィックスごとに検知する変動検知手段と、
前記属性の変動が特異的なメッセージを不正メッセージと推定する推定手段とを具備し、
前記推定手段は、属性ごとに同一の属性値への変動を広報するASが少ない属性変動を特異的とすることを特徴とするBGP不正メッセージ検出装置。 In the BGP fraudulent message detection device that detects fraudulent messages included in BGP messages advertised from each AS on the BGP network,
A message collection means for collecting messages for advertising BGP route updates;
A fluctuation detecting means for detecting a fluctuation of the attribute added to the message for each prefix;
An estimation means for estimating a message having a specific attribute variation as an illegal message ,
The BGP improper message detection apparatus characterized in that the estimation means makes an attribute change with a small AS which advertises a change to the same attribute value for each attribute specific . BGP経路表を収集する手段と、
前記BGP経路表に基づいて、プレフィックスごとに各属性の初期値を検出する手段とを具備し、
前記推定手段は、BGP経路表を参照することでプレフィックスごとに各属性の初期値を把握し、過去に観測されたことのない新規なプレフィックスの属性値が初期値と同じであれば、これを特異的な属性変動としないことを特徴とする請求項に記載のBGP不正メッセージ検出装置。 A means of collecting BGP routing tables;
A means for detecting an initial value of each attribute for each prefix based on the BGP routing table;
The estimation means grasps the initial value of each attribute for each prefix by referring to the BGP route table, and if the attribute value of a new prefix that has not been observed in the past is the same as the initial value, this is used. The BGP illegal message detection apparatus according to claim 1 , wherein the attribute change is not specific. BGP経路表を収集する手段と、
前記BGP経路表に基づいて、属性ごとに各属性値を使用するAS数を集計する手段とを具備し、
前記推定手段は、前記BGP経路表において多くのASにより使用されている属性値への変動を特異的な属性変動としないことを特徴とする請求項に記載のBGP不正メッセージ検出装置。 A means of collecting BGP routing tables;
Based on the BGP routing table, comprising means for counting the number of ASs using each attribute value for each attribute,
2. The BGP illegal message detection device according to claim 1 , wherein the estimating means does not make a change to an attribute value used by many ASs in the BGP route table a specific attribute change. 前記メッセージ収集手段は、BGPルータからオンラインでメッセージを収集することを特徴とする請求項1ないしのいずれかに記載のBGP不正メッセージ検出装置。 The message collection unit, BGP bad message detection device according to any one of claims 1 to 3, characterized in that collecting the messages online from BGP router. 前記メッセージ収集手段は、BGPルータからオフラインでメッセージを収集することを特徴とする請求項1ないしのいずれかに記載のBGP不正メッセージ検出装置。 The message collection unit, BGP bad message detection device according to any one of claims 1 to 3, characterized in that collecting messages offline BGP router. BGPネットワーク上で各ASから広報されるBGPメッセージに含まれる不正メッセージを検出するBGP不正メッセージ検出方法において、
BGP の経路更新を広報するメッセージを収集する手順と、
前記メッセージに付加された属性の変動をプレフィックスごとに検知する手順と、
前記属性の変動が特異的なメッセージを不正メッセージと推定する手順とを含み、
前記推定する手順では、属性ごとに同一の属性値への変動を広報するASが少ない属性変動を特異的とすることを特徴とするBGP不正メッセージ検出方法。 In the BGP fraudulent message detection method for detecting fraudulent messages contained in BGP messages advertised from each AS on the BGP network,
A procedure for collecting messages to publicize BGP route updates;
A procedure for detecting, for each prefix, a change in an attribute added to the message;
Only contains the procedure for change of the attribute it is estimated that unauthorized messages specific message,
The BGP illegal message detection method characterized in that, in the estimating step, an attribute change with a small AS that advertises a change to the same attribute value for each attribute is made specific .
JP2010041816A 2010-02-26 2010-02-26 BGP illegal message detection method and apparatus Expired - Fee Related JP5317294B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010041816A JP5317294B2 (en) 2010-02-26 2010-02-26 BGP illegal message detection method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010041816A JP5317294B2 (en) 2010-02-26 2010-02-26 BGP illegal message detection method and apparatus

Publications (2)

Publication Number Publication Date
JP2011182030A JP2011182030A (en) 2011-09-15
JP5317294B2 true JP5317294B2 (en) 2013-10-16

Family

ID=44693119

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010041816A Expired - Fee Related JP5317294B2 (en) 2010-02-26 2010-02-26 BGP illegal message detection method and apparatus

Country Status (1)

Country Link
JP (1) JP5317294B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5774970B2 (en) * 2011-11-25 2015-09-09 Kddi株式会社 BGP illegal message detection method and apparatus
US11956256B2 (en) 2019-02-05 2024-04-09 Nec Corporation Priority determination apparatus, priority determination method, and computer readable medium

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4413833B2 (en) * 2005-08-15 2010-02-10 日本電信電話株式会社 Illegal route monitoring system and method
JP4542580B2 (en) * 2007-11-06 2010-09-15 日本電信電話株式会社 Route hijack detection method, route monitoring device, route hijack detection system, and route hijack detection program

Also Published As

Publication number Publication date
JP2011182030A (en) 2011-09-15

Similar Documents

Publication Publication Date Title
CN108886521B (en) Method and apparatus for finding global route hijacking
US10771497B1 (en) Using IP address data to detect malicious activities
US11108816B2 (en) Constructible automata for internet routes
Khan et al. Every second counts: Quantifying the negative externalities of cybercrime via typosquatting
Whittaker et al. Large-Scale Automatic Classification of Phishing Pages.
Mok et al. Random effects logistic regression model for anomaly detection
Sanchez et al. A sender-centric approach to detecting phishing emails
Ghafir et al. DNS query failure and algorithmically generated domain-flux detection
Bou-Harb et al. A statistical approach for fingerprinting probing activities
Al-Mashhadi et al. Hybrid rule-based botnet detection approach using machine learning for analysing DNS traffic
JP5317294B2 (en) BGP illegal message detection method and apparatus
Green et al. Leveraging inter-domain stability for BGP dynamics analysis
JP2008193538A (en) Attack monitoring device and attack trail management method to network
Acharya et al. Conning the Crypto Conman: End-to-End Analysis of Cryptocurrency-based Technical Support Scams
Holl Exploring DDoS defense mechanisms
JP5774970B2 (en) BGP illegal message detection method and apparatus
JP2009087208A (en) Fraudulence detection device, program, and recording medium
Yang et al. BGP anomaly detection-a path-based apporach
Mosharraf et al. A responsive defense mechanism against DDoS attacks
Li et al. Route leaks identification by detecting routing loops
Kalathiripi et al. Regression coefficients of traffic flow metrics (RCTFM) for DDOS defense in IoT networks
Alieyan et al. A rule-based approach to detect botnets based on DNS
Kergl et al. Detection of zero day exploits using real-time social media streams
Miyamoto et al. A proposal of the AdaBoost-based detection of phishing sites
Choudhury et al. Trust management in ad hoc network for secure DSR routing

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120831

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130419

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130424

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130705

R150 Certificate of patent or registration of utility model

Ref document number: 5317294

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees