基于信任量化的自治系统恶意性判定

鉴于当前域间路由系统未能有效解决自治系统节点的行为恶意性判定问题,论文在研究人际网络信任关系的基础上,提出一种基于信任量化的自治系统恶意性判定模型。模型通过定义直接判定、协作判定及配合度3项判定准则,综合分析及量化目标自治域的路由交互行为,同时定义节点参与度作为最终判定结果的放大因子。基于仿真路由拓扑进行验证,结果表明,在面对典型的路由欺骗、服务受限及协作节点误报的情况下,该模型均能够有效识别和判定目标自治域节点的恶意行为,具备较好准确性和稳定性。     

基于复杂系统理论的域间路由系统演化模型CMV-HOT

对域间路由系统的基本问题能否找到有效而又彻底的解决方法,在很大程度上取决于对域间路由系统行为模型的准确刻画.随着Internet网络规模的扩展和应用的多样化,域间路由系统体现出复杂巨系统的特征.从复杂系统理论出发,研究了Internet域间路由系统中各个自治系统在其成长消亡过程中需要考虑的各种影响因素,基于HOT理论建立了域间路由系统的动态演化模型--CMV-HOT模型.CMV-HOT模型将自治系统分为核心层AS、传输层AS以及边缘层AS三类,通过对域间路由系统的内部规律和外在表现的分析,从复杂系统的角度对域间路由系统的演化过程进行模拟.通过与真实BGP路由表数据的比较,CMV-HOT模型在节点度分布、网络的平均路径长度以及聚集系数等关键参数上有很好的一致性.因此模型能同时满足幂率特性和小世界特性,在网络研究中具有极高的准确性和实用价值.     

BGP-SIS：一种域间路由系统BGP-LDoS攻击威胁传播模型

针对域间路由系统的低速率拒绝服务攻击(Low-rate denial of service against BGP,BGP-LDoS)通过引起级联失效造成域间路由系统整体瘫痪。研究BGP-LDoS攻击威胁下域间路由系统级联失效的传播机理、影响因素是应对和防范该攻击的基础。通过分析域间路由系统的结构特性以及BGP-LDoS攻击过程,提出这一种基于传染病动力学的BGP-LDoS威胁传播模型BGP-SIS。将系统中每个节点的状态划分为易感态、感染态,利用传染病动力学模型SIS对攻击所造成的级联失效过程进行描述,推导攻击威胁下域间路由系统的最终状态。利用仿真实验对模型及推论的有效性进行验证。实验结果表明BGP-SIS能够有效描述和预测BGP-LDoS攻击下域间路由系统级联失效的传播规律,可为域间路由系统检测和防御BGP-LDoS攻击提供借鉴和参考。     

可视化域间路由建模语言

提出一种可视化域间路由建模语言。该建模语言能够对大规模复杂自治系统内部域间路由的扩展结构、自治系统之间的关系以及域间路由策略进行可视化建模。可在不同层次上,从不同的角度对域间路由建立多种抽象粒度不同的模型,进而可使设计人员以及网络管理人员更好地理解大规模自治系统的结构和域间路由的行为特征。为高效地设计、实施以及管理自治系统的域间路由结构和路由策略配置,提供强有力的支持,也为域间路由管理的智能化、自动化打下了坚实的基础。     

实现域间路由系统安全的系统化方法和有效工具

本文在全面分析域间路由安全威胁的基础上提出实现域间路由安全的系统化方法，从安全策略检测、路由协议增强、路由器健壮性设计、路由行为监测以及安全能力测试等多个角度来增强域间路由系统的安全能力，并建立域间路由系统的安全能力模型；探讨了各种安全功能的交互关系、多视图之间的互补与合作以及安全能力部署等问题；同时，，给出了路由器安全配置检测工具、安全测试工具和路由监测系统的基本实现方案。     

ISPView：一种域间路由可视化监测系统

基于BGP协议构造的域间路由系统是因特网的基础设施,面临多种恶意攻击的威胁且易受人为错误的影响,安全监测是增强域间路由健康和安全的重要手段。本文介绍了域间路由监测的可视化系统ISPView的设计与实现,采用改进的磁场-弹簧的力学模型实现网络拓扑图的动态展示。将算法应用于ISPView中,可以展示不同粒度下的网络拓扑结构,动态显示路由系统的安全状态,实现对域间路由的异常行为的安全监测。     

互联网AS拓扑的结构与连通性研究

基于BGP协议的域间路由系统是Internet的核心基础设施。研究域间路由系统在自治系统AS级的拓扑结构,深入理解并揭示AS拓扑的结构及连通性方面的特性,对于提高互联网路由系统的安全性、健壮性以及性能都具有重要的指导意义。AS之间的商业关系模型是互联网域间路由系统的基本模型之一,是AS拓扑研究的基础。受商业关系的约束,AS拓扑的结构与连通性呈现出了与普通无向图或有向图所不具备的特性:层次结构特性与AS路径的无谷底约束。本文提出了针对AS拓扑的层次划分算法,对AS拓扑的连通性做了深入研究,分析并验证了顶级AS的全互联结构,并进一步阐述了从宏观上对单个AS的连通性的评估方法。     

基于知识库的域间路由监测系统

域间路由系统是互联网的基础设施。但由于域间路由系统自身的脆弱性,导致域间路由系统面临越来越多的挑战。本文从域间路由监测的角度,设计基于知识库的域间路由监测系统。该监测系统以及时准确的知识库为基础,利用异常路由威胁评估模型与方法对异常路由数据进行进一步评估处理。介绍系统的部署环境,证明系统的有效性。     

域间路由系统动态演化模型研究

本文研究了因特网域间路由系统中各个自治系统在其成长消亡过程中需要考虑的各种影响因素,系统地阐述了自治系统之间商业关系的产生和变化,基于复杂系统的HOT理论建立了因特网域间路由系统的动态演化模型-CMV-HOT模型。本模型通过对域间路由系统的内部规律和外在表现的分析,考虑了AS间商业关系、不同AS的类型、连接约束等多种条件,从复杂系统的角度对域间路由系统的演化过程进行模拟。通过与真实BGP路由表数据的比较,说明CMV-HOT模型具有很高的准确性和实用价值。     

复杂域间路由体系中自治系统间关系的分类

总结归纳了复杂域间路由体系中自治系统间的互联关系及其行为模式，指出peer-peer和customer-provider关系是当前域间路由的基础，并由此衍生出若干种复杂关系。分析了备种关系的成因，讨论它们的不同实现技术和当前存在的一些技术瓶颈，进一步给出了一种能够识别自治系统关系并自动约束域间路由行为的增强算法。算法兼容RFC1771系列域间路由规范。     

下一代互联网域间路由安全：威胁与对策

基于BGP的域间路由系统是下一代互联网的关键基础设施.本文系统地分析了下一代互联网域间路由系统的脆弱性,建立了下一代互联网域间路由的攻击模型对各种攻击目标和攻击方式进行描述,并从多个层次对BGP-4和BGP4＋的安全能力进行分析与比较.此外,我们给出了路由攻击检测系统方案,该方法可有效实现域间路由系统的安全控制     

一种新的域间路由系统信任模型

传统的信任模型在域间路由系统中存在着证书管理困难等问题。针对域间路由系统结构的特点,提出一种新的信任模型-TTM(Translator Trust Model)。分析结果表明,TTM在满足一定安全需求的基础上,其证书规模仅为传统模型的1%,具有良好的规模可扩展性。     

Performance model and evaluation on geographic-based routing

In order to improve the inter-domain routing performance as well as its route aggregation, people have proposed to use geographical information to assist the routing system in both addressing architecture and routing mechanisms. Researches on such mechanism focus on reducing the geographical length of the path selected by routing mechanism. However, to the best knowledge of authors, there is no evaluation about how such reduction influences the actual end-to-end data delivery performance. In this paper, a simple model considering both processing and propagation delays is developed and a method to evaluate the performance of a routing mechanism is presented. Also, a heuristic algorithm to optimize routing performance is presented base on the model. After that, the performance of Geographic-Based Routing (GBR), compared to current practice using Border Gateway Protocol (BGP), is evaluated through a simulation using concrete statistical data accordingly. Result shows that GBR did not show performance improvement in most of the time, and current practice can be improved by more than 50% in performance theoretically. It is believed that this is the first work to model and examine the performance of inter-domain routing in the context of actual packet delivery behavior.     

An immune-theory-based model for monitoring inter-domain routing system

The inter-domain routing system faces many serious security threats because the border gateway protocol(BGP) lacks effective security mechanisms.However,there is no solution that satisfies the requirements of a real environment.To address this problem,we propose a new model based on immune theory to monitor the inter-domain routing system.We introduce the dynamic evolution models for the "self" and detection cells,and construct washout and update mechanisms for the memory detection cells.Furthermore,borrowing an idea from immune network theory,we present a new coordinative method to identify anomalous nodes in the inter-domain routing system.In this way,the more nodes working with their own information that join the coordinative network,the greater is the ability of the system to identify anomalous nodes through evaluation between nodes.Because it is not necessary to modify the BGP,the ITMM is easy to deploy and inexpensive to implement.The experimental results confirm the method’s ability to detect abnormal routes and identify anomalous nodes in the inter-domain routing system.     

基于双毁伤因素的域间路由系统级联失效模型

级联失效建模研究对检测和防御级联失效攻击具有重要意义。针对现有研究存在毁伤因素单一、失效条件不符合实际等问题，提出了基于双毁伤因素的域间路由系统级联失效模型。该模型综合考虑了UPDATE报文和流量重分配对级联失效过程的影响，并基于两者的相互作用关系，系统刻画了级联失效过程。实验结果表明，该模型能够较准确地模拟域间路由系统级联失效过程，验证了模型的有效性。相对于已有模型，使模型与真实数据的预测偏差降低了35%。     

基于传播动力学的域间路由系统关键节点识别方法

域间路由系统是互联网的关键基础设施,对域间路由系统中的关键节点实施保护具有重要意义。针对现有关键节点识别方法识别出的关键节点不能反映节点在失效传播过程中起到关键作用的问题,提出了基于传播动力学的关键节点识别方法。该方法通过综合考虑节点失效后引发的负载重分配和UPDATE报文传播对周围节点和边产生的影响,提出了基于DDF-CFM模型的节点重要性评估模型。实验结果表明,该方法相比已有方法识别关键节点的准确程度至少提高7.3%。同时,在10 000个网络的规模下,仅5个关键节点失效就将导致大规模的域间路由系统级联失效。