互联网域间路由系统安全态势评估

基于边界网关协议BGP的互联网域间路由系统缺乏必要的安全机制,面临严重的安全威胁.尽管人们对BGP路由系统的安全问题进行了详尽研究,但是很少量化该系统的安全态势,并且网络管理员也确实需要有用的安全态势信息来感知自治系统(AS)的路由安全状况.为了解决这个问题,分析了互联网域间路由系统的层次特性,提出了一个基于BGP异常路由的安全评估模型.该方法的基本思想是基于BGP路由系统的层次特性构造路由状态树,准确地刻画BGP路由系统中各路由实体之间的层次关系、存储和表达每个实体的路由安全状态;并根据所检测的异常路由计算每个实体的路由安全状态.实验测试表明,该模型能同时评估BGP路由器、自治系统和互联网域间路由系统的安全威胁态势,可为网络管理员提供直观的安全态势曲线.     

基于复杂系统理论的域间路由系统演化模型CMV-HOT

对域间路由系统的基本问题能否找到有效而又彻底的解决方法,在很大程度上取决于对域间路由系统行为模型的准确刻画.随着Internet网络规模的扩展和应用的多样化,域间路由系统体现出复杂巨系统的特征.从复杂系统理论出发,研究了Internet域间路由系统中各个自治系统在其成长消亡过程中需要考虑的各种影响因素,基于HOT理论建立了域间路由系统的动态演化模型--CMV-HOT模型.CMV-HOT模型将自治系统分为核心层AS、传输层AS以及边缘层AS三类,通过对域间路由系统的内部规律和外在表现的分析,从复杂系统的角度对域间路由系统的演化过程进行模拟.通过与真实BGP路由表数据的比较,CMV-HOT模型在节点度分布、网络的平均路径长度以及聚集系数等关键参数上有很好的一致性.因此模型能同时满足幂率特性和小世界特性,在网络研究中具有极高的准确性和实用价值.     

BGP路由协议在不同域间的安全研究

边界网关协议(BGP路由)在路由表中存放的路由数据可以反映互联网规模、运行的状态、及路由体系结构的演化,是互联网基础研究的重要组成部分,域间网络路由通过BGP路由信息交换来完成,但是,BGP协议设计存在一些重要的安全漏洞,容易导致前缀劫持、路由泄漏、以及各类针对互联网的拒绝服务攻击,本文主要分析BGP在不同域间路由传播的主要特性,研究探讨BGP在域间传播面临的主要安全威胁,进而对各种增强BGP域间安全传播的技术和方案进行合理分类和详尽研究,最终对BGP的未来安全研究进行相关分析与展望.     

下一代互联网域间路由安全：威胁与对策

基于BGP的域间路由系统是下一代互联网的关键基础设施.本文系统地分析了下一代互联网域间路由系统的脆弱性,建立了下一代互联网域间路由的攻击模型对各种攻击目标和攻击方式进行描述,并从多个层次对BGP-4和BGP4＋的安全能力进行分析与比较.此外,我们给出了路由攻击检测系统方案,该方法可有效实现域间路由系统的安全控制     

域间多路径路由协议

边界网关协议(border gateway protocol,简称BGP)是当前互联网的核心协议,但是由于BGP是一种单路径路由协议,所以仍存在可靠性差、无法有效使用次优路径以及负载均衡支持较弱等问题.域间多路径路由可以通过发挥底层网络的AS级路径多样性,提高域间路由的可靠性、报文分组转发的总体性能和整个网络资源的利用率.因此,域间多路径路由是解决上述BGP问题的一种有效手段,符合互联网应用不断深入、促进路由技术发展的需求.主要综述域间多路径协议,并将其分为3类:单径通告多路转发协议、多径通告多路转发协议和新型域间多路径路由体系结构提出路径多样性、控制平面和数据平面开销、无环路特性等8项主要路由系统性能指标,并比较、分析了域间多路径路由协议.最后,指出域间多路径路由协议面临的主要挑战和未来的研究方向.     

域间路由协同监测中的信息共享机制

路由协同监测通过在自治系统之间共享路由监测信息来形成更为完整的全局监测视图,从而克服域间路由系统自治性的制约,提高单个自治系统的路由监测能力.针对路由协同监测的核心问题——监测信息共享,基于自组织思想设计了信息共享机制CoISM.该机制利用BGP路由策略引起的信息局部性对路由监测信息的传播范围进行裁减和控制,在被动查询的基础上增加了信息"反射"行为,利用路由监测信息之间的相关性实现信息的主动推送,将自治系统的利益建立在主动信息共享这一利他行为的基础上.CoISM能够引导自治系统实现路由监测信息的自组织聚合与按需共享,具有激励性,能够促进自治系统之间的协同.该机制采用分布式体系结构,具有良好的扩展性和较低的通信开销,不需要修改BGP协议,支持可渐进部署,适用于域间路由协同监测、路由故障协同分析、协同入侵检测等多种跨域协同管理应用.     

域间路由系统动态演化模型研究

本文研究了因特网域间路由系统中各个自治系统在其成长消亡过程中需要考虑的各种影响因素,系统地阐述了自治系统之间商业关系的产生和变化,基于复杂系统的HOT理论建立了因特网域间路由系统的动态演化模型-CMV-HOT模型。本模型通过对域间路由系统的内部规律和外在表现的分析,考虑了AS间商业关系、不同AS的类型、连接约束等多种条件,从复杂系统的角度对域间路由系统的演化过程进行模拟。通过与真实BGP路由表数据的比较,说明CMV-HOT模型具有很高的准确性和实用价值。     

BGP路由策略对路由稳定性的影响分析

在Internet中,域间的路由是由域间路由协议控制的。边界网关协议（BGP）是广泛使用的用于在各个自治系统之间交换网络可达信息的域间路由协议。BGP允许每个自治系统实施各种本地路由策略。用以进行路由的选择和传播。然而,不同的自治系统所制定的本地路由策略可能存在潜在的冲突,从而导致路由的振荡。该文给出了一个BGP的抽象模型,并通过实例分析BGP路由策略对路由稳定性的影响。     

域间路由协议BGP安全性研究

BGP协议安全是域间路由安全的核心问题之一，其关键问题就是如何确保每个AS发布BGP路由信息的正确性和完效的部署。本文建立了完整的BGP威胁模型，对当前提出的BGP安全机制进行了系统的分析，针对域间路由安全中的关键问题提出了一些新的研究思路。     

基于攻击树的边界网关协议安全测试

基于BGP协议构造的域间路由系统是因特网的基础设施。域间路由系统面临多种恶意攻击的成胁且易受人为错误的影响。本文提出BGP攻击树（Attack-Tree）模型，并应用该模型构造域间路由系统的安全性测试套件，不但能够全面地对BGP进行安全性测试，而且便于测试案例的生成和系统实现。测试过程就是对树的标记过程，本文为此提出了着
色算法。利用生成的测试案例，对BGP目标系统进行安全测试实验。结果表明，这种方法能有效地发现BGP潜在的安全漏洞，为ISP运营商增强路由系统安全提供依据。     

ISPView：一种域间路由可视化监测系统

基于BGP协议构造的域间路由系统是因特网的基础设施,面临多种恶意攻击的威胁且易受人为错误的影响,安全监测是增强域间路由健康和安全的重要手段。本文介绍了域间路由监测的可视化系统ISPView的设计与实现,采用改进的磁场-弹簧的力学模型实现网络拓扑图的动态展示。将算法应用于ISPView中,可以展示不同粒度下的网络拓扑结构,动态显示路由系统的安全状态,实现对域间路由的异常行为的安全监测。     

多层次域间路由安全监测系统的设计与实现

基于边界网关协议(BGP)的域间路由系统已经成为Internet的核心路由设施,但由于BGP本身缺乏安全机制,很容易受到各种人为配置错误或者恶意攻击的影响。我们开发的域间路由监测系统可以从4个层次实现对域间路由的安全监测,分别是Internet、国家网络、特定ISP和特定路由。本文详细介绍了多层次域间路由安全监测系统的组成结构、软件结构、设计思想、实现技术和测试结果。     

An immune-theory-based model for monitoring inter-domain routing system

The inter-domain routing system faces many serious security threats because the border gateway protocol(BGP) lacks effective security mechanisms.However,there is no solution that satisfies the requirements of a real environment.To address this problem,we propose a new model based on immune theory to monitor the inter-domain routing system.We introduce the dynamic evolution models for the "self" and detection cells,and construct washout and update mechanisms for the memory detection cells.Furthermore,borrowing an idea from immune network theory,we present a new coordinative method to identify anomalous nodes in the inter-domain routing system.In this way,the more nodes working with their own information that join the coordinative network,the greater is the ability of the system to identify anomalous nodes through evaluation between nodes.Because it is not necessary to modify the BGP,the ITMM is easy to deploy and inexpensive to implement.The experimental results confirm the method’s ability to detect abnormal routes and identify anomalous nodes in the inter-domain routing system.     

BGP路由表中环形路由现象分析

避免路由环是BGP系统的基本规则，违背该规则会给Internet连通性带来严重影响。文章研究了BGP表中的环形现象。通过对RouteViews数据进行分析，给出量化结果，并讨论该现象产生原因及相关问题。     

边界网关协BGP-4路由稳定性研究

边界网关协议（BGP)是自治域间的路由协议，用于在全球因特网AS之间交换网络可达性信息。BGP是路径向量协议，在选择一个最佳路由时允许每一个自治系统用基于策略的度量值来重载基于距离的度量值。将一组独立地定义BGP策略的自治系统组织在一起时，很可能就导致BGP协议的摆动，即不能聚集在一个稳定的路由中，该文着重分析了边界网关协议BGP－4路由稳定性问题和相应的解决技术。     

BGP协议配置及其对路由器性能的影响

BGP协议作为一个域间选路协议,很大程度上影响着Internet路由在延迟时间,有效性上的表现。研究表明,很多网络路由的延迟并非由因特网骨干路由器的BGP的路由决策导致的,而大多由于不恰当的路由器协议参数引发。论文主要阐述了路由器的参数配置如何影响路由数据报的网络带宽占用率,以及为了提高路由器的响应速度,和路由的收敛速度,在路由器的参数配置,策略配置上应该注意的问题。