一種路由安全檢測系統及檢測方法

一種路由安全檢測系統及檢測方法
【專利摘要】本發明提供一種路由安全檢測系統，包括路由信息采集探針和路由攻擊分析平臺，路由信息采集探針用于被動地實時收集路由信息報文，并將所述路由信息報文上傳至路由攻擊分析平臺；還用于接收所述路由攻擊分析平臺的指令探測本域內是否存在活躍IP地址并返回探測結果；路由攻擊分析平臺用于解析各個路由信息采集探針上報的路由信息報文發現異常AS域，對異常AS域的路由信息采集探針發出探測指令；還用于根據異常AS域的信息采集探針所返回的結果判斷是否存在路由攻擊。本發明能夠降低路由攻擊檢測的漏報率和誤報率；能夠在相對較小的開銷的前提下，實現對大規模的網絡系統的實時監測，有利于及早發現路由攻擊。
【專利說明】一種路由安全檢測系統及檢測方法
【技術領域】
[0001]本發明涉及網絡安全【技術領域】，具體地說，本發明涉及一種路由安全檢測系統及檢測方法。
【背景技術】
[0002]計算機網絡是計算機技術和通信技術相互融合的產物。經過近40年的發展，特別是20世紀90年代中期以來，網絡上的應用日益增多、網絡規模迅速增長、網絡用戶數量急劇增大，互聯網正逐步演變成為人類社會的信息基礎設施。然而，近年來在互聯網的路由系統中發生了多起路由安全事件，這使得人們對互聯網路由設施的安全狀況甚為擔憂，路由系統的安全問題受到エ業界和學術界的極大關注。
[0003]路由系統是Internet的基礎設施和關鍵支撐。然而，在域間路由協議發展成熟前，路由安全的問題并未引起ISP重視，自治域間缺乏自我約束機制和有效的協同監瞀，無法形成較好的安全追蹤能力和協同安全防范機制，造成基于域間路由協議的路由器系統易于遭受各種路由攻擊。隨著網絡的廣泛部署和應用以及網絡結構的日趨龐雜，路由攻擊事件大量涌現。例如:對于域間路由協議BGP，協議本身缺乏有效的安全機制，無法對自己傳遞的路由信息提供保護，必須信任Internet上的所有邊界路由器，而現有的安全方案也不能實際地解決路由系統的安全問題，因此，導致了各種攻擊事件，比如針對控制層路由的攻擊方法逐漸被提出，如“數字大炮”、“前綴劫持”等。
[0004]另ー方面，目前互聯網中運行的典型域內路由協議有RIP、0SPF和ISIS。當網絡發生故障時，傳統的域內路由協議存在故障檢測時間長、故障信息傳播時間長、路由重計算時間長等典型問題，進而導致了路由的慢收斂甚至不收斂。上述域內路由協議設計方面的脆弱性，導致它們容易遭受各種攻擊。例如:在OSPF中，鏈路狀態更新報文由產生LSA實例的路由器每隔30分鐘發送兩個，與之相對應的鏈路狀態確認報文由其他路由器收到更新報文后發出。如果攻擊者截獲了路由器發送的鏈路狀態更新報文，然后修改報文中的序列號、年齡的字段，重新發送回網絡，則修改的報文會被網絡中的路由器接受，從而造成了序列號加1、最大年齡等各種攻擊事件。
[0005]路由安全領域的研究尚處于初級階段，有人提出了基于Traceroute, Ping等主動網絡測量手段和工具來探測不同時間段內特定網絡前綴的數據層路徑變化，進而對路由攻擊進行檢測。然而，這種方案需要大量發送主動探測數據包，當所需檢測的網絡規模較大較為復雜時難以實現實時檢測。并且該類方案可擴展性差、不能支持的域間路由攻擊的檢測，這將導致很高的漏報率和誤報率。
[0006]中國專利申請200710168543.4提出了ー種應用于Ad hoc網絡的安全多路徑路由方法，包括:計算節點的鄰居節點的攻擊因子值；基于所述攻擊因子值和基于所述攻擊因子的多路徑安全路由協議進行節點的多路徑路由。因此，本發明實現了在源節點(也稱之為第一節點)和目的節點(也稱之為第二節點)之間建立安全的多路徑數據傳輸通道，并且能夠在可能受到攻擊或者發起攻擊的節點對網絡造成實質性破壞的時候，提高發起路徑維護進程，降低網絡維護的通信開銷。該方案只是基于Ad hoc網絡的，不具有全網絡覆蓋性。它將節點、路徑以及路徑集的受攻擊可能性轉化為一種稱之為攻擊因子的安全度量，依據于危險閥值進行告警，檢測攻擊類型少，漏報率和誤報率較高。
[0007]因此，當前迫切需要一種能夠克服上述現有技術的缺陷，從而有效地進行路由安全檢測的解決方案。

【發明內容】

[0008]本發明的任務提供一種能夠克服現有技術的缺陷，從而有效地進行路由安全檢測的解決方案。
[0009]為實現上述發明目的，本發明提供了一種路由安全檢測系統，包括路由信息采集探針和路由攻擊分析平臺，所述路由信息采集探針分布式地部署在各AS域內，每個所述路由信息采集探針與所述路由攻擊分析平臺互聯，
[0010]所述路由信息采集探針用于被動地實時收集路由信息報文，并將所述路由信息報文上傳至路由攻擊分析平臺；還用于接收所述路由攻擊分析平臺的指令探測本域內是否存在活躍IP地址并返回探測結果；
[0011]所述路由攻擊分析平臺用于解析各個路由信息采集探針上報的路由信息報文發現異常AS域，對異常AS域的路由信息采集探針發出探測指令；還用于根據異常AS域的信息采集探針所返回的結果判斷是否存在路由攻擊。
[0012]其中，所述路由信息采集探針包括路由信息采集模塊，用于通過運行路由協議與實際網絡中路由器建立鄰接關系，所述路由信息采集模塊不向網絡中發布路由信息。
[0013]其中，所述路由信息采集模塊包括BGP路由信息采集模塊、OSPF路由信息采集模塊和IS-1S路由イ目息米集模塊。
[0014]其中，所述路由信息采集探針還包括數據層檢測服務組件，用于接收查詢請求，探測指定IP地址段內是否存在活躍IP，并返回探測結果。
[0015]其中，所述數據層檢測服務組件包括活躍地址掃描器，用于掃描多個指定端ロ以探測指定IP地址段內是否存在活躍IP。
[0016]其中，所述活躍地址掃描器所掃描的端ロ包括:38路由訪問協議端ロ、80端口和143IMAP電子郵件端ロ。
[0017]其中，所述數據層檢測服務組件還包括Netflow分析器。
[0018]其中，所述路由攻擊分析平臺包括數據接收與解析組件、域間路由攻擊檢測模塊和路由數據庫模塊；
[0019]數據接收與解析組件用于接收被動采集的路由信息報文并結合歷史路由信息對其進行異常AS域分析，得出異常AS域；
[0020]域間路由攻擊檢測模塊用于啟動異常AS域的主動探測，確認網絡路由攻擊事件的發生；
[0021 ] 路由數據庫模塊用于存儲歷史路由信息。
[0022]本發明還提供了基于上述路由安全檢測系統的路由安全檢測方法，其特征在干，包括下列步驟:
[0023]I)全網的路由信息采集探針被動地實時收集路由信息報文，并將路由信息報文上傳至路由攻擊分析平臺；
[0024]2)路由攻擊分析平臺解析路由信息報文發現異常AS域，對異常AS域啟動域間路由攻擊檢測；
[0025]3)異常AS域的路由信息采集探針探測本域內是否存在活躍IP地址，并將探測結果返回路由攻擊分析平臺；
[0026]4)路由攻擊分析平臺根據異常AS域的信息采集探針所返回的是否存在活躍IP地址的結果判斷是否存在路由攻擊及路由攻擊的類型。
[0027]其中，所述路由攻擊分析平臺包括數據接收與解析組件、域間路由攻擊檢測模塊和路由數據庫模塊；數據接收與解析組件用于接收被動采集的路由信息報文并結合歷史路由信息對其進行異常AS域分析，得出異常AS域；域間路由攻擊檢測模塊用于啟動異常AS域的主動探測，確認網絡路由攻擊事件的發生；路由數據庫模塊用于存儲歷史路由信息。
[0028]所述步驟2)中，將新路由信息報文中AS域宣告擁有的地址段與數據庫模塊的路由信息比對，當新路由信息報文中的在后AS域所宣告擁有的地址段與數據庫模塊中在先的AS域所宣告擁有的地址段存在沖突時，將在先和在后AS域均認定為異常AS域；向異常AS域的路由信息采集探針發出查詢指令，查詢指令包括數據層查詢指令；
[0029]所述步驟4)中，接收路由信息采集探針返回的查詢結果，數據層查詢結果是YES、NO或“特定”;當在后AS域查詢結果為NO時，可直接確定路由黑洞攻擊并進行告警；當在后AS域查詢結果為YES，且在先AS域查詢結果也為YES時，直接確定路由多溯源攻擊并進行告警；當在后AS域查詢結果為YES，在先AS域查詢結果為NO吋，判定相關AS域路由配置錯誤，而非路由攻擊。
[0030]其中，所述步驟2)中，所述查詢指令還包括控制層查詢指令；
[0031]所述步驟3)中，異常AS域的路由信息采集探針在收到控制層查詢指令后，主動獲取本域內各路由器的路由表并將其上報至所述路由攻擊分析平臺；
[0032]所述步驟4)中，路由攻擊分析平臺利用異常AS域的路由表進行路由信息指紋比對，判定異常AS域是否發生路由攻擊。
[0033]其中，所述步驟2)中，路由攻擊分析平臺還對所有AS域的路由信息采集探針探測發出指令，使各路由信息采集探針啟動控制層查詢；
[0034]所述步驟3)中，接收到控制層查詢指令的路由信息采集探針本AS域的邊界路由器發出探測報文，查詢路由表，如果除了所述在后AS域外的其它AS域所查詢的路由表中均沒有在后AS域及其所宣告擁有的地址段，判定不存在路由攻擊，如果某ー個執行控制層查詢的在后AS域之外的其它AS域所查詢的路由表中存在在后AS域及其所宣告擁有的地址段，則確認路由黑洞攻擊，且確認該執行控制層查詢的AS域被污染。
[0035]與現有技術相比，本發明具有下列技術效果:
[0036]1、本發明能夠降低路由攻擊檢測的漏報率和誤報率。
[0037]2、本發明能夠在相對較小的開銷的前提下，實現對大規模的網絡系統的實時監測，有利于及早發現路由攻擊。
【專利附圖】

【附圖說明】
[0038]以下，結合附圖來詳細說明本發明的實施例，其中:[0039]圖1示出了本發明ー個實施例的路由安全檢測系統的構架示意圖；
[0040]圖2示出了本發明ー個實施例的路由安全檢測系統的網絡結構示意圖；
[0041]圖3示出了本發明ー個實施例的路由安全檢測方法的流程圖。
【具體實施方式】
[0042]本發明提出了一種基于數據層和控制層關聯分析的路由安全檢測RSDDCA(Routing Security Detection Based On Data and Control Plane CoordinatedAnalysis)技木，它被動采集路由信息，通過分析路由信息，進而發起數據層檢測或者數據層和控制層聯合檢測來確認攻擊，能夠解決因路由安全而造成路由黑洞、信息的竊聽與篡改、網絡通信中斷等問題，并且能夠降低漏報率和誤報率。
[0043]依據本發明的一個實施例，提供了ー種RSDDCA系統。圖1示出了 RSDDCA系統的構架示意圖。參考圖1，該RSDDCA系統包括路由信息采集探針與路由攻擊分析平臺。其中路由信息采集探針的作用是被動地實時收集路由信息報文(包括域內和域間路由信息報文)并將路由信息報文上傳至路由攻擊分析平臺、基于路由信息報文進行域內路由攻擊檢測、根據路由攻擊分析平臺的指令啟動數據層檢測查詢服務和控制層檢測查詢服務并向路由攻擊分析平臺返回相應查詢結果，路由攻擊分析平臺的作用是接收與解析路由信息報文發現異常AS域，對異常AS域啟動域間路由攻擊檢測(包括向異常AS域的路由信息采集探針發出啟動數據層檢測查詢服務和控制層檢測查詢服務的指令)，接收異常AS域的路由信息采集探針返回的數據層檢測查詢服務和控制層檢測查詢服務的查詢結果，進行數據層與控制層關聯分析探測，根據關聯分析結果確認是否有路由攻擊事件的發生。
[0044]在實際應用中，RSDDCA系統即可以部署于因特網，也可以部署于各類專網，例如移動專網。圖2展示了 RSDDCA系統的網絡結構示意圖。其中，路由信息采集探針部署在各AS域內，支持對IP網絡主流控制層路由協議信息的采集，包括自治域邊界路由器BGP路由信息報文、自治域內OSPF和IS-1S路由信息報文，并將采集結果上報到路由攻擊分析平臺進行深入分析。路由信息采集探針通常在每個管理域各部署一臺。路由攻擊分析平臺通常部署在總部。
[0045]根據本發明的另ー個實施例，路由信息采集探針包括路由信息采集模塊和數據層檢測服務組件，下面分別介紹這些模塊和組件。
[0046]路由信息采集模塊是ー種特殊的路由器，通過運行相應的協議(BGP、OSPF或IS-1S協議)，與實際網絡中路由器建立鄰接關系，從而實時獲取鄰接路由器發出的路由信息報文。具體地，路由信息采集模塊包括BGP路由信息采集模塊、OSPF路由信息采集模塊和IS-1S路由信息采集模塊。BGP路由信息采集模塊的作用是采集域間路由信息報文，采集之后上報給路由攻擊分析平臺；0SPF采集模塊的作用是采集域內運行OSPF協議路由器的路由信息，采集之后上報給路由攻擊分析平臺。IS-1S采集模塊的作用是采集域內運行IS-1S協議路由器的路由信息，采集之后上報給路由攻擊分析平臺。路由信息采集模塊使用自動式被動監聽的方式實時采集路由信息報文，能夠以較小的開銷掌握當前域內網絡實時變化情況，同時它不向網絡中發布路由信息，因此對網路中其它路由器是隱身的，不會影響到其它路由器的正常運作。
[0047]數據層檢測服務組件包括請求查詢信息接ロ、數據層檢測服務和檢測結果上傳接ロ。數據層檢測服務進程收到查詢請求后，通過活躍地址掃描器和Netflow分析器，探測指定IP地址段內是否存在活躍IP，如存在活躍IP，則返回查詢結果YES，若不存在活躍IP則返回查詢結果NO。在一個優選實施例中，為防止誤報，可以設定一個活躍IP閾值，當數據層檢測服務進程在所指定的IP地址段內探測到的活躍IP數目達到該活躍IP閾值時，返回查詢結果YES(在活躍IP數目達到該活躍IP閾值時可直接停止探測，這樣無需探測全部活躍地址，能夠節省開銷和縮短返回查詢結果的響應時間)，當所指定的IP地址段內未探測到任何活躍IP時，返回查詢結果NO，當所指定的IP地址段內探測到的活躍IP數目大于0當小于所述活躍IP閾值時，則返回查詢結果“特定”。路由攻擊分析平臺可根據異常AS域返回的查詢結果判斷是否發生路由攻擊事件。
[0048]根據另ー個優選實施例，數據層檢測服務通過活躍地址掃描器和Netflow分析器來實現活躍IP地址的探測，這不同于現有技術只采用Ping的方式探測活躍IP地址。活躍地址掃描器采用icmp、掃描主機端ロ、操作系統偵測、服務與版本偵測等多手段進行探測，如掃描38路由訪問協議端ロ、80端ロ、143IMAP電子郵件等端ロ。活躍地址掃描器可基于nmap (Network Mapper) 二次開發實現。活躍地址掃描器主要包括地址產生器、列表管理器、探測器和探測結果文件四個組件。其中地址產生器主要職責是產生需要探測的IP地址。最簡單的情形下，地址產生器可以讀取包含ー組IP地址的靜態文件，當然也可以可插拔的方式指定其特定的地址產生行為；列表管理器負責管理當前多個地址產生器，并負責以特定的策略調度對這些地址的探測；探測器通過nmap發送ICMP echo數據包和掃描指定端ロ的數據包進行探測，掃描的端ロ可以進行個性化設置，主機系統占用端ロ集中于1-1024，一個例子中，掃描的端ロ包括:38路由訪問協議端ロ、80端ロ(為HTTP(HyperTextTransportProtocol)即超文本傳輸協議開放的)和143IMAP電子郵件端ロ，其中任一端ロ開放即認為該主機活躍。不同于僅使用Ping命令的探測，本實施例通過ICMPecho數據包以及掃描主要通信端ロ來探測，能夠有效地避免漏報活躍主機，進而提高最終的路由攻擊檢測結果的準確性。探測結果文件將按照特定的格式存儲指定網絡前綴中已經探測到的活躍IP地址信息。在本發明的其它實施例中，探測器可以單獨通過發送ICMPecho數據包的方式探測活躍IP，或者也可以單獨通過掃描指定端ロ的數據包的方式探測活躍IP。
[0049]NETFLOff分析器主要包括NETFL0W路由信息采集器、篩選器和探測結果文件。首先，Internet中路由器支持NETFL0W技術，目前中高端cisco路由器都已支持，網絡中路由器必須開啟NETFL0W并指向NETFL0W路由信息采集器，這樣RSDDCA系統就能夠采集到本域內NETFL0W信息，NETFLOff路由信息采集器將信息傳遞給篩選器。以網絡中采集的流量數據，11.181.85.122 I 23.32.104.193 | 4137 | 0 | 23 | 3 11216 11128 117 | 2 | 26111 為例，數據中各字段的含義為:源地址I目的地址I源自治域I目的自治域I流入接口號I流出接口號源端ロ I目的端ロ I協議類型I包數量I字節數I流數量。由此，可以清楚了解這ー網流的具體信息:源地址為11.181.85.122，目的地址為23.32.104.193，源地址屬于AS4137，目的地址屬于我方網絡；篩選器將源地址記錄下，直接寫入探測結果文件，這是因為只有活躍的主機才會有數據流量，源地址必然是活躍主機。探測結果文件同樣將按照特定的格式存儲制已經探測到的活躍IP地址。
[0050]數據層檢測模塊運用活躍地址掃描器和Netflow分析器結合使用完成活躍主機發現，提升了系統數據層檢測的準確性，并且最大限度縮減數據層檢測時間。
[0051]根據本發明的再一個實施例，路由信息采集探針還包括控制層檢測服務組件，控制層檢測服務組件包括請求查詢信息接ロ、控制層檢測服務進程和檢測結果上傳接ロ，控制層檢測服務進程收到查詢請求后，對所在AS域的各路由器發出探測報文，采集異常AS域中各路由器的路由表，然后返回查詢結果。與被動采集路由信息報文的路由信息采集模塊不同，控制層檢測服務組件是主動探測組件，它對異常AS域的路由器發出報文采集異常AS域的路由表，以此查看該自治域的路由表是否被發現的可疑路由攻擊污染。路由攻擊分析平臺可根據異常AS域返回的所有路由表，利用現有技術(例如進行指紋對比分析)判斷是否發生路由攻擊事件。將路由表分析技術與數據層活躍地址探測相結合，能夠形成互補，有效地提高探測效率，降低誤報率和漏報率。
[0052]根據本發明的其它實施例，路由信息采集探針還包括域內路由攻擊檢測組件，它通過被動監聽路由信息采集模塊上傳的OSPF路由信息包和IS-1S路由信息包的方式，根據LSU報文中的LSA頭部序列號位和年齡位等判斷網絡中的路由器是否遭受攻擊。攻擊監測的主要對象為網絡中發生的惡意信息變化，包含序列號加I攻擊、最大年齡攻擊以及最大序列號攻擊等。
[0053]根據本發明的其它實施例，路由攻擊分析平臺包括數據接收與解析組件、域間路由攻擊檢測模塊和路由數據庫模塊，下面對其分別介紹這些組件和模塊。
[0054]數據接收與解析組件用于接收被動采集的路由信息報文并對其進行異常AS域分析，得出異常AS域。異常AS域分析包括路由前綴多宿源和域間路由黑洞檢測分析。數據接收與解析組件將新路由信息報文中AS域(稱為在后AS域)宣告擁有的地址段與數據庫模塊的路由信息比對，當新路由信息報文中的AS域所宣告擁有的地址段與數據庫模塊中在先的AS域所宣告擁有的地址段存在沖突時，將在先和在后AS域均認定為異常AS域。在一個優選實施例中，數據接收與解析組件還可以根據所接收的路由信息報文進行其它路由攻擊類型的檢測并直接得出檢測結果，例如:域內路由鏈路狀態宣告報文篡改檢測，假冒路由攻擊檢測。
[0055]域間路由攻擊與檢測組件用于通過數據接收與解析組件解析的路由信息啟動異常AS域的主動探測，確認網絡路由攻擊事件的發生，確保實時告警，保障網絡的正常運行。域間路由攻擊檢測組件向異常AS域的路由信息采集探針發出查詢指令，查詢指令包括數據層查詢指令和控制層查詢指令。域間路由攻擊檢測組件可以僅發出數據層查詢指令，也可以僅發出控制層查詢指令，還可以同時發出數據層查詢指令和控制層查詢指令。域間路由攻擊檢測組件還用于接收路由信息采集探針返回的查詢結果。數據層查詢結果是YES、NO或“特定”。當在后AS域查詢結果為NO時，說明后AS域所宣告地址段內無活躍主機，僅僅只想截取數據，因而可直接確定路由黑洞攻擊并進行告警。當在后AS域查詢結果為YES，且在先AS域查詢結果也為YES吋，說明兩自治域內皆有正常活躍主機進行正常網絡通信，直接確定路由多溯源攻擊并進行告警。當在后AS域查詢結果為YES，在先AS域查詢結果為NO時,判定相關AS域路由配直錯誤，而非路由攻擊。當在后AS域查詢結果為“待定”，或者在后AS域查詢結果為YES且在先AS域查詢結果為“特定”吋，則結合控制層查詢結果做進ー步地分析。控制層查詢返回異常AS域中各路由器的路由表，路由表提供了路由器的數據處理轉發前所必須的各種網絡信息和轉發查詢表項。利用路由表進行路由信息指紋比對，可判定異常AS域是否發生路由攻擊，發生何種路由攻擊。控制層查詢和檢測的分析結果較為準確，但所需開銷相對較大。上述實施例使用被動采集和比對路由信息的方式預先鎖定異常AS域，從而縮小了探測范圍，能夠大幅減小開銷，實現實時檢測。一個實施例中，控制層查詢和數據層查詢可以同步進行，當數據層查詢返回的結果可直接判斷出路由攻擊時，可停止控制層查詢和分析(當然也可以繼續進行控制層查詢和分析)。另ー個實施例中，可以先進行數據層查詢，當無法直接得出路由攻擊檢測結果時再啟動控制層查詢，從而完成路由攻擊的檢測。域間路由攻擊檢測組件可由多個插件組成，每個插件檢測ー種類型的路由攻擊所引發的異常AS域，插件包括異常AS路徑檢測插件、異常前綴源檢測插件以及其它路由異常檢測插件。異常AS路徑攻擊是路由黑洞攻擊的ー種方式，攻擊者通過改變前綴到達目的地需要經過的AS路徑的順序造成路由黑洞攻擊。異常AS路徑檢測插件的作用是能夠檢測出該種類型的攻擊。異常前綴源攻擊也是路由黑洞攻擊的方式之一，攻擊者通過在某個AS中非法宣告不屬于本AS的前綴造成此種類型的攻擊。異常前綴源檢測插件的作用是能夠檢測此種類型的路由黑洞攻擊。
[0056]路由數據庫模塊:用于存儲歷史路由信息。歷史路由信息包括:RSDDCA系統中的所有AS域及其所宣告的地址段信息。路由數據庫模塊還可以存儲整個待檢測網絡的路由拓撲與路由選路等路由信息，該路由數據庫在RSDDCA系統初始化過程中建立，井根據路由信息采集模塊實時采集并上報的路由信息報文進行定期更新。當檢測出路由攻擊時，則需及時清除被污染的數據，從而保證路由數據庫模塊中路由信息的正確性。例如當某一 AS域被判定為路由攻擊事件，則從路由數據庫模塊中清除該AS域的受污染數據(包括:受污染的AS域及其所宣告的地址段信息)，從而保證數據庫的正確性。
[0057]為便于理解，下面給出ー個路由數據庫模塊更新的例子。假設存在ASl和AS2兩個自治域，ASl在時刻tl宣告擁有地址段10.2.13.0/24。t2時刻系統建立并開始采集網絡路由信息，當tl〈=t2，系統將地址段10.2.13.0/24及其所屬自治域ASl寫入數據庫；當tl>t2，t2時刻，系統沒有該地址段信息，tl時刻ASl中路由器宣告擁有該地址段，由于此地址段是新宣告無沖突，因此認定為合法宣告同時錄入數據庫中。t3 (t3>t2, t3>tl)時刻AS2宣告擁有10.2.13.128/25，系統接受路由報文，得知AS2新宣告了 一個地址段，將10.2.13.128/25與數據庫中所記錄的數據進行比對，發現10.2.13.128/25是
10.2.13.0/24的ー個子地址段，同時地址段所屬自治域與宣告時間等指紋信息與數據庫存儲的數據信息不同，這時，網絡中其他自治域主機與10.2.13.128/25中主機進行數據交互時將產生影響，部分發往ASl中數據將被傳送到AS2中，因而認定此為路由異常(這種路由異常可能是路由黑洞攻擊所導致的)并啟用數據層檢測進行驗證。
[0058]RSDDCA系統基于控制層與數據層關聯分析的路由攻擊和異常檢測方案巧妙地避免了單純依靠控制層與單純依靠數據層所存在的高誤報率的問題，通過關聯控制層路由信息和數據層探測信息有效提高網絡路由攻擊檢測的效率，降低誤報和漏報率。
[0059]根據本發明一個實施例，圖3示出了路由安全檢測方法的流程圖。參考圖3，該實施例提供了一種基于前述RSDDCA系統的路由攻擊檢測方法，包括下列步驟:
[0060]I)全網的路由信息采集探針被動地實時收集路由信息報文，并將路由信息報文上傳至路由攻擊分析平臺；所采集的路由信息報文包括BGP、OSPF和IS-1S路由信息報文，路由信息報文含有AS域及其宣告擁有的地址段信息。[0061]2)路由攻擊分析平臺解析路由信息報文發現異常AS域，對異常AS域啟動域間路由攻擊檢測。本步驟中，根據新采集的路由信息報文中的AS域及其宣告擁有的地址段信息，與歷史路由信息報文中的AS域及其宣告擁有的地址段信息的比對，發現異常AS域。然后對異常AS域的路由信息采集探針探測發出指令，使其啟動數據層查詢。
[0062]3)異常AS域的路由信息采集探針探測本域內是否存在活躍IP地址(即數據層查詢)，并將探測結果返回路由攻擊分析平臺。本步驟中，如存在活躍IP，則返回查詢結果YES，若不存在活躍IP則返回查詢結果NO。在一個優選實施例中，為防止誤報，可以設定ー個活躍IP閾值，當數據層檢測服務進程在所指定的IP地址段內探測到的活躍IP數目達到該活躍IP閾值時，返回查詢結果YES(在活躍IP數目達到該活躍IP閾值時可直接停止探測，這樣無需探測全部活躍地址，能夠節省開銷和縮短返回查詢結果的響應時間)，當所指定的IP地址段內未探測到任何活躍IP時，返回查詢結果NO，當所指定的IP地址段內探測到的活躍IP數目大于0當小于所述活躍IP閾值時，則返回查詢結果“特定”。路由攻擊分析平臺可根據異常AS域返回的查詢結果判斷是否發生路由攻擊事件。
[0063]4)路由攻擊分析平臺根據異常AS域的信息采集探針所返回的數據層查詢結果(即是否存在活躍IP地址的結果)判斷是否存在路由攻擊及路由攻擊的類型。數據層查詢結果是YES、NO或“待定”。當在后AS域查詢結果為NO時，可直接確定路由黑洞攻擊并進行告警。當在后AS域查詢結果為YES，且在先AS域查詢結果也為YES時，直接確定路由多溯源攻擊并進行告警。當在后AS域查詢結果為YES，在先AS域查詢結果為NO吋，判定相關AS域路由配置錯誤，而非路由攻擊。當在后AS域查詢結果為“特定”，或者在后AS域查詢結果為YES且在先AS域查詢結果為“特定”吋，則結合控制層查詢結果做進一歩地分析。
[0064]根據本發明另ー個實施例，所述步驟2)中，路由攻擊分析平臺還對異常AS域的路由信息采集探針探測發出指令，使其啟動控制層查詢。步驟3)中，接收到控制層查詢指令的路由信息采集探針對所在AS域的各路由器發出探測報文，采集異常AS域中各路由器的路由表，然后返回查詢結果。路由攻擊分析平臺可根據異常AS域返回的所有路由表，利用現有技術(例如進行指紋對比分析)判斷是否發生路由攻擊事件。
[0065]根據本發明再一個實施例，所述步驟2)中，路由攻擊分析平臺還對所有AS域的路由信息采集探針探測發出指令，使各路由信息采集探針啟動控制層查詢。步驟3)中，接收至IJ控制層查詢指令的路由信息采集探針本AS域的邊界路由器發出探測報文，查詢路由表，如果除了在后AS域外的其它AS域所查詢的路由表中均沒有在后AS域及其所宣告擁有的地址段，就說明該報文并沒有對其他自治域造成影響，可判定不存在路由攻擊，如果某ー個執行控制層查詢的在后AS域之外的其它AS域所查詢的路由表中存在在后AS域及其所宣告擁有的地址段，則可以確認為路由黑洞攻擊，且確認該執行控制層查詢的AS域被污染，所有AS域執行控制層查詢，即可本次評估路由攻擊破壞范圍和程度。
[0066]將路由表分析技術與數據層活躍地址探測相結合，能夠形成互補，有效地提高探測效率，降低誤報率和漏報率。
[0067]最后應說明的是，以上實施例僅用以描述本發明的技術方案而不是對本技術方法進行限制，本發明在應用上可以延伸為其它的修改、變化、應用和實施例，并且因此認為所有這樣的修改、變化、應用、實施例都在本發明的精神和教導范圍內。
【權利要求】
1.一種路由安全檢測系統，包括路由信息采集探針和路由攻擊分析平臺，所述路由信息采集探針分布式地部署在各AS域內，每個所述路由信息采集探針與所述路由攻擊分析平臺互聯， 所述路由信息采集探針用于被動地實時收集路由信息報文，并將所述路由信息報文上傳至路由攻擊分析平臺；還用于接收所述路由攻擊分析平臺的指令探測本域內是否存在活躍IP地址并返回探測結果； 所述路由攻擊分析平臺用于解析各個路由信息采集探針上報的路由信息報文發現異常AS域，對異常AS域的路由信息采集探針發出探測指令；還用于根據異常AS域的信息采集探針所返回的結果判斷是否存在路由攻擊。
2.根據權利要求1所述的路由安全檢測系統，其特征在于，所述路由信息采集探針包括路由信息采集模塊，用于通過運行路由協議與實際網絡中路由器建立鄰接關系，所述路由信息采集模塊不向網絡中發布路由信息。
3.根據權利要求2所述的路由安全檢測系統，其特征在于，所述路由信息采集探針還包括數據層檢測服務組件，用于接收查詢請求，探測指定IP地址段內是否存在活躍IP，并返回探測結果。
4.根據權利要求3所述的路由安全檢測系統，其特征在于，所述數據層檢測服務組件包括活躍地址掃描器，用于掃描多個指定端ロ以探測指定IP地址段內是否存在活躍IP。
5.根據權利要求4所述的路由安全檢測系統，其特征在于，所述活躍地址掃描器所掃描的端ロ包括:38路由訪問協議端ロ、80端口和143IMAP電子郵件端ロ。
6.根據權利要求1所述的路由安全檢測系統，其特征在于，所述路由攻擊分析平臺包括數據接收與解析組件、.域間路由攻擊檢測模塊和路由數據庫模塊； 數據接收與解析組件用于接收被動采集的路由信息報文并結合歷史路由信息對其進行異常AS域分析，得出異常AS域； 域間路由攻擊檢測模塊用于啟動異常AS域的主動探測，確認網絡路由攻擊事件的發生； 路由數據庫模塊用于存儲歷史路由信息。
7.ー種基于權利要求1所述的路由安全檢測系統的路由安全檢測方法，其特征在干，包括下列步驟: 1)全網的路由信息采集探針被動地實時收集路由信息報文，并將路由信息報文上傳至路由攻擊分析平臺； 2)路由攻擊分析平臺解析路由信息報文發現異常AS域，對異常AS域啟動域間路由攻擊檢測； 3)異常AS域的路由信息采集探針探測本域內是否存在活躍IP地址，并將探測結果返回路由攻擊分析平臺； 4)路由攻擊分析平臺根據異常AS域的信息采集探針所返回的是否存在活躍IP地址的結果判斷是否存在路由攻擊及路由攻擊的類型。
8.根據權利要求7所述的路由安全檢測方法，其特征在于，所述路由攻擊分析平臺包括數據接收與解析組件、域間路由攻擊檢測模塊和路由數據庫模塊；數據接收與解析組件用于接收被動采集的路由信息報文并結合歷史路由信息對其進行異常AS域分析，得出異常AS域；域間路由攻擊檢測模塊用于啟動異常AS域的主動探測，確認網絡路由攻擊事件的發生；路由數據庫模塊用于存儲歷史路由信息。 所述步驟2)中，將新路由信息報文中AS域宣告擁有的地址段與數據庫模塊的路由信息比對，當新路由信息報文中的在后AS域所宣告擁有的地址段與數據庫模塊中在先的AS域所宣告擁有的地址段存在沖突時，將在先和在后AS域均認定為異常AS域；向異常AS域的路由信息采集探針發出查詢指令，查詢指令包括數據層查詢指令； 所述步驟4)中，接收路由信息采集探針返回的查詢結果，數據層查詢結果是YES、NO或“特定”;當在后AS域查詢結果為NO時，可直接確定路由黑洞攻擊并進行告警；當在后AS域查詢結果為YES，且在先AS域查詢結果也為YES時，直接確定路由多溯源攻擊并進行告警；當在后AS域查詢結果為YES，在先AS域查詢結果為NO時，判定相關AS域路由配置錯誤，而非路由攻擊。
9.根據權利要求8所述的路由安全檢測方法，其特征在于，所述步驟2)中，所述查詢指令還包括控制層查詢指令； 所述步驟3)中，異常AS域的路由信息采集探針在收到控制層查詢指令后，主動獲取本域內各路由器的路由表并將其上報至所述路由攻擊分析平臺； 所述步驟4)中，路由攻擊分析平臺利用異常AS域的路由表進行路由信息指紋比對，判定異常AS域是否發生路由攻擊。
10.根據權利要求9所述的路由安全檢測方法，其特征在于，所述步驟2)中，路由攻擊分析平臺還對所有AS域的路由信息采集探針探測發出指令，使各路由信息采集探針啟動控制層查詢； 所述步驟3)中，接收到控制層查詢指令的路由信息采集探針本AS域的邊界路由器發出探測報文，查詢路由表，如果除了所述在后AS域外的其它AS域所查詢的路由表中均沒有在后AS域及其所宣告擁有的地址段，判定不存在路由攻擊，如果某ー個執行控制層查詢的在后AS域之外的其它AS域所查詢的路由表中存在在后AS域及其所宣告擁有的地址段，則確認路由黑洞攻擊，且確認該執行控制層查詢的AS域被污染。
【文檔編號】H04L29/06GK103442008SQ201310384312
【公開日】2013年12月11日 申請日期:2013年8月29日 優先權日:2013年8月29日
【發明者】許剛, 梁偉, 景全亮, 畢經平 申請人:中國科學院計算技術研究所