ISPView：一种域间路由可视化监测系统

基于BGP协议构造的域间路由系统是因特网的基础设施,面临多种恶意攻击的威胁且易受人为错误的影响,安全监测是增强域间路由健康和安全的重要手段。本文介绍了域间路由监测的可视化系统ISPView的设计与实现,采用改进的磁场-弹簧的力学模型实现网络拓扑图的动态展示。将算法应用于ISPView中,可以展示不同粒度下的网络拓扑结构,动态显示路由系统的安全状态,实现对域间路由的异常行为的安全监测。     

域间路由安全实时监测系统的设计与实现

域间路由系统是Internet的基础设施和网络的关键支撑，然而由于其自身的脆弱性而存在许多安全方面的问题。从域间路由监测的角度出发，基于路由异常行为规则库和流量模式设计并实现了一个域间路由安全实时监测系统。系统可以实时检测网络流量异常以及非法路由，并向用户提供告警信息，同时根据BGP更新报文生成并维护BGP路由表，为基于路由表分析的监测方法做好了准备。给出了系统试验，并对系统性能进行了评价。     

多层次域间路由安全监测系统的设计与实现

基于边界网关协议(BGP)的域间路由系统已经成为Internet的核心路由设施,但由于BGP本身缺乏安全机制,很容易受到各种人为配置错误或者恶意攻击的影响。我们开发的域间路由监测系统可以从4个层次实现对域间路由的安全监测,分别是Internet、国家网络、特定ISP和特定路由。本文详细介绍了多层次域间路由安全监测系统的组成结构、软件结构、设计思想、实现技术和测试结果。     

下一代互联网域间路由安全：威胁与对策

基于BGP的域间路由系统是下一代互联网的关键基础设施.本文系统地分析了下一代互联网域间路由系统的脆弱性,建立了下一代互联网域间路由的攻击模型对各种攻击目标和攻击方式进行描述,并从多个层次对BGP-4和BGP4＋的安全能力进行分析与比较.此外,我们给出了路由攻击检测系统方案,该方法可有效实现域间路由系统的安全控制     

域间路由系统异常检测引擎的设计与实现

BGP是Internet域间路由协议事实上的标准,但是路由异常会严重干扰正常的BGP协议行为。域间路由监测利用现有网络资源对路由行为进行检测,具有扩展性好、部署方便以及不需对现有协议修改等特点,并能将监测结果用于路由配置的改进。异常检测引擎是域间路由监测系统的重要组成部分,本文采用动态的检测链生成技术在实现单视图中异常检测功能的同时提高了检测类型的扩展性,并提出一种基于相关数据集的快速定位和视图分类索引的异常检测算法提高了多视图检测的效率。实验表明,检测引擎在基于网络拓扑结构和路由状态的异常检测方面能力突出,并对多源冲突路由具有较好的检测效果。     

基于知识库的域间路由监测系统

域间路由系统是互联网的基础设施。但由于域间路由系统自身的脆弱性,导致域间路由系统面临越来越多的挑战。本文从域间路由监测的角度,设计基于知识库的域间路由监测系统。该监测系统以及时准确的知识库为基础,利用异常路由威胁评估模型与方法对异常路由数据进行进一步评估处理。介绍系统的部署环境,证明系统的有效性。     

互联网域间路由系统安全态势评估

基于边界网关协议BGP的互联网域间路由系统缺乏必要的安全机制,面临严重的安全威胁.尽管人们对BGP路由系统的安全问题进行了详尽研究,但是很少量化该系统的安全态势,并且网络管理员也确实需要有用的安全态势信息来感知自治系统(AS)的路由安全状况.为了解决这个问题,分析了互联网域间路由系统的层次特性,提出了一个基于BGP异常路由的安全评估模型.该方法的基本思想是基于BGP路由系统的层次特性构造路由状态树,准确地刻画BGP路由系统中各路由实体之间的层次关系、存储和表达每个实体的路由安全状态;并根据所检测的异常路由计算每个实体的路由安全状态.实验测试表明,该模型能同时评估BGP路由器、自治系统和互联网域间路由系统的安全威胁态势,可为网络管理员提供直观的安全态势曲线.     

区块链技术在域间路由安全领域的应用研究

互联网域间路由系统的安全问题一直备受关注.实现全网范围的互联网资源管理认证和可信跨域协作至关重要.区块链技术以其去中心化、防篡改、可追溯等天然属性,可作为域间网络资源认证与信任建立的基础.首先分析域间路由系统安全脆弱性及其影响,以及传统域间路由安全机制面临的部署困难、管理复杂、信任中心化等困境;然后,在简要介绍区块链技术基本理论的基础上指出区块链技术运用于域间路由系统安全的技术思路,并详述区块链技术应用于域间路由认证、域间智能管理和域间DDoS防御等方面的最新进展;最后,分析区块链应用于域间路由安全领域的优势,从性能与规模、兼容性与增量部署以及区块链自身安全问题这3个方面分析其问题与挑战,并对下一步研究进行展望.     

域间路由协同监测中的信息共享机制

路由协同监测通过在自治系统之间共享路由监测信息来形成更为完整的全局监测视图,从而克服域间路由系统自治性的制约,提高单个自治系统的路由监测能力.针对路由协同监测的核心问题——监测信息共享,基于自组织思想设计了信息共享机制CoISM.该机制利用BGP路由策略引起的信息局部性对路由监测信息的传播范围进行裁减和控制,在被动查询的基础上增加了信息"反射"行为,利用路由监测信息之间的相关性实现信息的主动推送,将自治系统的利益建立在主动信息共享这一利他行为的基础上.CoISM能够引导自治系统实现路由监测信息的自组织聚合与按需共享,具有激励性,能够促进自治系统之间的协同.该机制采用分布式体系结构,具有良好的扩展性和较低的通信开销,不需要修改BGP协议,支持可渐进部署,适用于域间路由协同监测、路由故障协同分析、协同入侵检测等多种跨域协同管理应用.     

域间路由协同管理机制及其应用

域间路由系统是互联网的核心基础设施,由多个独立配置和管理路由策略的自治系统互联而成.这种缺乏协同的管理模式会引起诸多控制和管理问题,例如:路由震荡、路由安全及流量工程违背等.为了消除路由策略冲突,自治系统之间需要协同.出于竞争目的,运营商需要对外隐藏自己的秘密信息,例如:路由策略、网络拓扑等等.这种行为阻碍了自治系统的协同.由于缺乏有效的协同信息访问机制,跨域路由策略管理难以实施.为了加强运营商的协同能力,基于离散对数假设提出一种面向多自治系统协同的路由策略一致性检查方法,该方法能够在不透露自治系统路由策略的前提下完成策略冲突检测.与基于加同态公钥密码算法的解决方案相比,不需要引入茫然第三方,具有更小的计算和通信开销.不需要修改BGP协议,易于实现和实施,支持可渐进部署,能够用于域间路由策略冲突检测、路由有效性验证、路由监测和协同入侵检测等多个领域.     

域间路由系统自组织特性

域间路由系统与Internet一样是一个复杂巨系统.自组织理论是当前对于复杂性系统研究的重要成果,是研究复杂系统的有效工具.所以,从自组织特性的角度分析了域间路由系统的内在规律和外在表现,并且评价了为了改善域间路由系统的扩展性、收敛性、稳定性和安全性而对BGP协议进行改进的各种方法.在对BGP的发展趋势进行预测的基础上,给出了利用自组织特性解决域间路由系统问题的指导原则和几种可行的方法.     

一种新的域间路由系统信任模型

传统的信任模型在域间路由系统中存在着证书管理困难等问题。针对域间路由系统结构的特点,提出一种新的信任模型－TTM（Translator Trust Model）。分析结果表明,TTM在满足一定安全需求的基础上,其证书规模仅为传统模型的1%,具有良好的规模可扩展性。     

基于区块链的域间路由策略符合性验证方法

域间路由系统自治域(ASes)间具有不同的商业关系和路由策略.违反自治域间出站策略协定的路由传播可能引发路由泄露,进而导致网络中断、流量窃听、链路过载等严重后果.路由策略符合性验证对于保证域间路由系统安全性和稳定性至关重要.但自治域对本地路由策略自主配置与隐私保护的双重需求增加了验证路由策略符合性的难度,使其一直是域间路由安全领域尚未妥善解决的难点问题.提出一种基于区块链的域间路由策略符合性验证方法.该方法以区块链和密码学技术作为信任背书,使自治域能够以安全和隐私的方式发布、交互、验证和执行路由策略期望,通过生成对应路由更新的路由证明,保证路由传播过程的真实性,从而以多方协同的方式完成路由策略符合性验证.通过实现原型系统并基于真实路由数据开展实验与分析,结果表明该方法可以在不泄露自治域商业关系和本地路由策略的前提下针对路由传播出站策略符合性进行可追溯的验证,以合理的开销有效抑制策略违规路由传播,在局部部署情况下也具有显著的策略违规路由抑制能力.     

An immune-theory-based model for monitoring inter-domain routing system

The inter-domain routing system faces many serious security threats because the border gateway protocol(BGP) lacks effective security mechanisms.However,there is no solution that satisfies the requirements of a real environment.To address this problem,we propose a new model based on immune theory to monitor the inter-domain routing system.We introduce the dynamic evolution models for the "self" and detection cells,and construct washout and update mechanisms for the memory detection cells.Furthermore,borrowing an idea from immune network theory,we present a new coordinative method to identify anomalous nodes in the inter-domain routing system.In this way,the more nodes working with their own information that join the coordinative network,the greater is the ability of the system to identify anomalous nodes through evaluation between nodes.Because it is not necessary to modify the BGP,the ITMM is easy to deploy and inexpensive to implement.The experimental results confirm the method’s ability to detect abnormal routes and identify anomalous nodes in the inter-domain routing system.     

域间路由协议BGP安全性研究

BGP协议安全是域间路由安全的核心问题之一,其关键问题就是如何确保每个AS发布BGP路由信息的正确性和完效的部署。本文建立了完整的BGP威胁模型,对当前提出的BGP安全机制进行了系统的分析,针对域间路由安全中的关键问题提出了一些新的研究思路。     

基于攻击树的边界网关协议安全测试

基于BGP协议构造的域间路由系统是因特网的基础设施。域间路由系统面临多种恶意攻击的成胁且易受人为错误的影响。本文提出BGP攻击树（Attack-Tree）模型,并应用该模型构造域间路由系统的安全性测试套件,不但能够全面地对BGP进行安全性测试,而且便于测试案例的生成和系统实现。测试过程就是对树的标记过程,本文为此提出了着
色算法。利用生成的测试案例,对BGP目标系统进行安全测试实验。结果表明,这种方法能有效地发现BGP潜在的安全漏洞,为ISP运营商增强路由系统安全提供依据。     

域间路由系统AS联盟机制的研究

增强节点的自组织与协调能力是引导互联网健康发展的重要途径。该文通过分析域间路由系统的结构特点,提出AS联盟的概念。它是一组按照域间路由结构特点自组织的AS节点。基于AS联盟的域间路由协议安全扩展机制可以避免集中式控制的不利影响,且具有较低的证书管理代价,而稳定性扩展机制则能有效降低一定范围内的路由振荡。