一種路由安全檢測系統(tǒng)及檢測方法
【專利摘要】本發(fā)明提供一種路由安全檢測系統(tǒng),包括路由信息采集探針和路由攻擊分析平臺,路由信息采集探針用于被動地實時收集路由信息報文,并將所述路由信息報文上傳至路由攻擊分析平臺;還用于接收所述路由攻擊分析平臺的指令探測本域內是否存在活躍IP地址并返回探測結果;路由攻擊分析平臺用于解析各個路由信息采集探針上報的路由信息報文發(fā)現(xiàn)異常AS域,對異常AS域的路由信息采集探針發(fā)出探測指令;還用于根據異常AS域的信息采集探針所返回的結果判斷是否存在路由攻擊。本發(fā)明能夠降低路由攻擊檢測的漏報率和誤報率;能夠在相對較小的開銷的前提下,實現(xiàn)對大規(guī)模的網絡系統(tǒng)的實時監(jiān)測,有利于及早發(fā)現(xiàn)路由攻擊。
【專利說明】一種路由安全檢測系統(tǒng)及檢測方法
【技術領域】
[0001]本發(fā)明涉及網絡安全【技術領域】,具體地說,本發(fā)明涉及一種路由安全檢測系統(tǒng)及檢測方法。
【背景技術】
[0002]計算機網絡是計算機技術和通信技術相互融合的產物。經過近40年的發(fā)展,特別是20世紀90年代中期以來,網絡上的應用日益增多、網絡規(guī)模迅速增長、網絡用戶數(shù)量急劇增大,互聯(lián)網正逐步演變成為人類社會的信息基礎設施。然而,近年來在互聯(lián)網的路由系統(tǒng)中發(fā)生了多起路由安全事件,這使得人們對互聯(lián)網路由設施的安全狀況甚為擔憂,路由系統(tǒng)的安全問題受到エ業(yè)界和學術界的極大關注。
[0003]路由系統(tǒng)是Internet的基礎設施和關鍵支撐。然而,在域間路由協(xié)議發(fā)展成熟前,路由安全的問題并未引起ISP重視,自治域間缺乏自我約束機制和有效的協(xié)同監(jiān)瞀,無法形成較好的安全追蹤能力和協(xié)同安全防范機制,造成基于域間路由協(xié)議的路由器系統(tǒng)易于遭受各種路由攻擊。隨著網絡的廣泛部署和應用以及網絡結構的日趨龐雜,路由攻擊事件大量涌現(xiàn)。例如:對于域間路由協(xié)議BGP,協(xié)議本身缺乏有效的安全機制,無法對自己傳遞的路由信息提供保護,必須信任Internet上的所有邊界路由器,而現(xiàn)有的安全方案也不能實際地解決路由系統(tǒng)的安全問題,因此,導致了各種攻擊事件,比如針對控制層路由的攻擊方法逐漸被提出,如“數(shù)字大炮”、“前綴劫持”等。
[0004]另ー方面,目前互聯(lián)網中運行的典型域內路由協(xié)議有RIP、0SPF和ISIS。當網絡發(fā)生故障時,傳統(tǒng)的域內路由協(xié)議存在故障檢測時間長、故障信息傳播時間長、路由重計算時間長等典型問題,進而導致了路由的慢收斂甚至不收斂。上述域內路由協(xié)議設計方面的脆弱性,導致它們容易遭受各種攻擊。例如:在OSPF中,鏈路狀態(tài)更新報文由產生LSA實例的路由器每隔30分鐘發(fā)送兩個,與之相對應的鏈路狀態(tài)確認報文由其他路由器收到更新報文后發(fā)出。如果攻擊者截獲了路由器發(fā)送的鏈路狀態(tài)更新報文,然后修改報文中的序列號、年齡的字段,重新發(fā)送回網絡,則修改的報文會被網絡中的路由器接受,從而造成了序列號加1、最大年齡等各種攻擊事件。
[0005]路由安全領域的研究尚處于初級階段,有人提出了基于Traceroute, Ping等主動網絡測量手段和工具來探測不同時間段內特定網絡前綴的數(shù)據層路徑變化,進而對路由攻擊進行檢測。然而,這種方案需要大量發(fā)送主動探測數(shù)據包,當所需檢測的網絡規(guī)模較大較為復雜時難以實現(xiàn)實時檢測。并且該類方案可擴展性差、不能支持的域間路由攻擊的檢測,這將導致很高的漏報率和誤報率。
[0006]中國專利申請200710168543.4提出了ー種應用于Ad hoc網絡的安全多路徑路由方法,包括:計算節(jié)點的鄰居節(jié)點的攻擊因子值;基于所述攻擊因子值和基于所述攻擊因子的多路徑安全路由協(xié)議進行節(jié)點的多路徑路由。因此,本發(fā)明實現(xiàn)了在源節(jié)點(也稱之為第一節(jié)點)和目的節(jié)點(也稱之為第二節(jié)點)之間建立安全的多路徑數(shù)據傳輸通道,并且能夠在可能受到攻擊或者發(fā)起攻擊的節(jié)點對網絡造成實質性破壞的時候,提高發(fā)起路徑維護進程,降低網絡維護的通信開銷。該方案只是基于Ad hoc網絡的,不具有全網絡覆蓋性。它將節(jié)點、路徑以及路徑集的受攻擊可能性轉化為一種稱之為攻擊因子的安全度量,依據于危險閥值進行告警,檢測攻擊類型少,漏報率和誤報率較高。
[0007]因此,當前迫切需要一種能夠克服上述現(xiàn)有技術的缺陷,從而有效地進行路由安全檢測的解決方案。
【發(fā)明內容】
[0008]本發(fā)明的任務提供一種能夠克服現(xiàn)有技術的缺陷,從而有效地進行路由安全檢測的解決方案。
[0009]為實現(xiàn)上述發(fā)明目的,本發(fā)明提供了一種路由安全檢測系統(tǒng),包括路由信息采集探針和路由攻擊分析平臺,所述路由信息采集探針分布式地部署在各AS域內,每個所述路由信息采集探針與所述路由攻擊分析平臺互聯(lián),
[0010]所述路由信息采集探針用于被動地實時收集路由信息報文,并將所述路由信息報文上傳至路由攻擊分析平臺;還用于接收所述路由攻擊分析平臺的指令探測本域內是否存在活躍IP地址并返回探測結果;
[0011]所述路由攻擊分析平臺用于解析各個路由信息采集探針上報的路由信息報文發(fā)現(xiàn)異常AS域,對異常AS域的路由信息采集探針發(fā)出探測指令;還用于根據異常AS域的信息采集探針所返回的結果判斷是否存在路由攻擊。
[0012]其中,所述路由信息采集探針包括路由信息采集模塊,用于通過運行路由協(xié)議與實際網絡中路由器建立鄰接關系,所述路由信息采集模塊不向網絡中發(fā)布路由信息。
[0013]其中,所述路由信息采集模塊包括BGP路由信息采集模塊、OSPF路由信息采集模塊和IS-1S路由イ目息米集模塊。
[0014]其中,所述路由信息采集探針還包括數(shù)據層檢測服務組件,用于接收查詢請求,探測指定IP地址段內是否存在活躍IP,并返回探測結果。
[0015]其中,所述數(shù)據層檢測服務組件包括活躍地址掃描器,用于掃描多個指定端ロ以探測指定IP地址段內是否存在活躍IP。
[0016]其中,所述活躍地址掃描器所掃描的端ロ包括:38路由訪問協(xié)議端ロ、80端口和143IMAP電子郵件端ロ。
[0017]其中,所述數(shù)據層檢測服務組件還包括Netflow分析器。
[0018]其中,所述路由攻擊分析平臺包括數(shù)據接收與解析組件、域間路由攻擊檢測模塊和路由數(shù)據庫模塊;
[0019]數(shù)據接收與解析組件用于接收被動采集的路由信息報文并結合歷史路由信息對其進行異常AS域分析,得出異常AS域;
[0020]域間路由攻擊檢測模塊用于啟動異常AS域的主動探測,確認網絡路由攻擊事件的發(fā)生;
[0021 ] 路由數(shù)據庫模塊用于存儲歷史路由信息。
[0022]本發(fā)明還提供了基于上述路由安全檢測系統(tǒng)的路由安全檢測方法,其特征在干,包括下列步驟:
[0023]I)全網的路由信息采集探針被動地實時收集路由信息報文,并將路由信息報文上傳至路由攻擊分析平臺;
[0024]2)路由攻擊分析平臺解析路由信息報文發(fā)現(xiàn)異常AS域,對異常AS域啟動域間路由攻擊檢測;
[0025]3)異常AS域的路由信息采集探針探測本域內是否存在活躍IP地址,并將探測結果返回路由攻擊分析平臺;
[0026]4)路由攻擊分析平臺根據異常AS域的信息采集探針所返回的是否存在活躍IP地址的結果判斷是否存在路由攻擊及路由攻擊的類型。
[0027]其中,所述路由攻擊分析平臺包括數(shù)據接收與解析組件、域間路由攻擊檢測模塊和路由數(shù)據庫模塊;數(shù)據接收與解析組件用于接收被動采集的路由信息報文并結合歷史路由信息對其進行異常AS域分析,得出異常AS域;域間路由攻擊檢測模塊用于啟動異常AS域的主動探測,確認網絡路由攻擊事件的發(fā)生;路由數(shù)據庫模塊用于存儲歷史路由信息。
[0028]所述步驟2)中,將新路由信息報文中AS域宣告擁有的地址段與數(shù)據庫模塊的路由信息比對,當新路由信息報文中的在后AS域所宣告擁有的地址段與數(shù)據庫模塊中在先的AS域所宣告擁有的地址段存在沖突時,將在先和在后AS域均認定為異常AS域;向異常AS域的路由信息采集探針發(fā)出查詢指令,查詢指令包括數(shù)據層查詢指令;
[0029]所述步驟4)中,接收路由信息采集探針返回的查詢結果,數(shù)據層查詢結果是YES、NO或“特定”;當在后AS域查詢結果為NO時,可直接確定路由黑洞攻擊并進行告警;當在后AS域查詢結果為YES,且在先AS域查詢結果也為YES時,直接確定路由多溯源攻擊并進行告警;當在后AS域查詢結果為YES,在先AS域查詢結果為NO吋,判定相關AS域路由配置錯誤,而非路由攻擊。
[0030]其中,所述步驟2)中,所述查詢指令還包括控制層查詢指令;
[0031]所述步驟3)中,異常AS域的路由信息采集探針在收到控制層查詢指令后,主動獲取本域內各路由器的路由表并將其上報至所述路由攻擊分析平臺;
[0032]所述步驟4)中,路由攻擊分析平臺利用異常AS域的路由表進行路由信息指紋比對,判定異常AS域是否發(fā)生路由攻擊。
[0033]其中,所述步驟2)中,路由攻擊分析平臺還對所有AS域的路由信息采集探針探測發(fā)出指令,使各路由信息采集探針啟動控制層查詢;
[0034]所述步驟3)中,接收到控制層查詢指令的路由信息采集探針本AS域的邊界路由器發(fā)出探測報文,查詢路由表,如果除了所述在后AS域外的其它AS域所查詢的路由表中均沒有在后AS域及其所宣告擁有的地址段,判定不存在路由攻擊,如果某ー個執(zhí)行控制層查詢的在后AS域之外的其它AS域所查詢的路由表中存在在后AS域及其所宣告擁有的地址段,則確認路由黑洞攻擊,且確認該執(zhí)行控制層查詢的AS域被污染。
[0035]與現(xiàn)有技術相比,本發(fā)明具有下列技術效果:
[0036]1、本發(fā)明能夠降低路由攻擊檢測的漏報率和誤報率。
[0037]2、本發(fā)明能夠在相對較小的開銷的前提下,實現(xiàn)對大規(guī)模的網絡系統(tǒng)的實時監(jiān)測,有利于及早發(fā)現(xiàn)路由攻擊。
【專利附圖】
【附圖說明】
[0038]以下,結合附圖來詳細說明本發(fā)明的實施例,其中:[0039]圖1示出了本發(fā)明ー個實施例的路由安全檢測系統(tǒng)的構架示意圖;
[0040]圖2示出了本發(fā)明ー個實施例的路由安全檢測系統(tǒng)的網絡結構示意圖;
[0041]圖3示出了本發(fā)明ー個實施例的路由安全檢測方法的流程圖。
【具體實施方式】
[0042]本發(fā)明提出了一種基于數(shù)據層和控制層關聯(lián)分析的路由安全檢測RSDDCA(Routing Security Detection Based On Data and Control Plane CoordinatedAnalysis)技木,它被動采集路由信息,通過分析路由信息,進而發(fā)起數(shù)據層檢測或者數(shù)據層和控制層聯(lián)合檢測來確認攻擊,能夠解決因路由安全而造成路由黑洞、信息的竊聽與篡改、網絡通信中斷等問題,并且能夠降低漏報率和誤報率。
[0043]依據本發(fā)明的一個實施例,提供了ー種RSDDCA系統(tǒng)。圖1示出了 RSDDCA系統(tǒng)的構架示意圖。參考圖1,該RSDDCA系統(tǒng)包括路由信息采集探針與路由攻擊分析平臺。其中路由信息采集探針的作用是被動地實時收集路由信息報文(包括域內和域間路由信息報文)并將路由信息報文上傳至路由攻擊分析平臺、基于路由信息報文進行域內路由攻擊檢測、根據路由攻擊分析平臺的指令啟動數(shù)據層檢測查詢服務和控制層檢測查詢服務并向路由攻擊分析平臺返回相應查詢結果,路由攻擊分析平臺的作用是接收與解析路由信息報文發(fā)現(xiàn)異常AS域,對異常AS域啟動域間路由攻擊檢測(包括向異常AS域的路由信息采集探針發(fā)出啟動數(shù)據層檢測查詢服務和控制層檢測查詢服務的指令),接收異常AS域的路由信息采集探針返回的數(shù)據層檢測查詢服務和控制層檢測查詢服務的查詢結果,進行數(shù)據層與控制層關聯(lián)分析探測,根據關聯(lián)分析結果確認是否有路由攻擊事件的發(fā)生。
[0044]在實際應用中,RSDDCA系統(tǒng)即可以部署于因特網,也可以部署于各類專網,例如移動專網。圖2展示了 RSDDCA系統(tǒng)的網絡結構示意圖。其中,路由信息采集探針部署在各AS域內,支持對IP網絡主流控制層路由協(xié)議信息的采集,包括自治域邊界路由器BGP路由信息報文、自治域內OSPF和IS-1S路由信息報文,并將采集結果上報到路由攻擊分析平臺進行深入分析。路由信息采集探針通常在每個管理域各部署一臺。路由攻擊分析平臺通常部署在總部。
[0045]根據本發(fā)明的另ー個實施例,路由信息采集探針包括路由信息采集模塊和數(shù)據層檢測服務組件,下面分別介紹這些模塊和組件。
[0046]路由信息采集模塊是ー種特殊的路由器,通過運行相應的協(xié)議(BGP、OSPF或IS-1S協(xié)議),與實際網絡中路由器建立鄰接關系,從而實時獲取鄰接路由器發(fā)出的路由信息報文。具體地,路由信息采集模塊包括BGP路由信息采集模塊、OSPF路由信息采集模塊和IS-1S路由信息采集模塊。BGP路由信息采集模塊的作用是采集域間路由信息報文,采集之后上報給路由攻擊分析平臺;0SPF采集模塊的作用是采集域內運行OSPF協(xié)議路由器的路由信息,采集之后上報給路由攻擊分析平臺。IS-1S采集模塊的作用是采集域內運行IS-1S協(xié)議路由器的路由信息,采集之后上報給路由攻擊分析平臺。路由信息采集模塊使用自動式被動監(jiān)聽的方式實時采集路由信息報文,能夠以較小的開銷掌握當前域內網絡實時變化情況,同時它不向網絡中發(fā)布路由信息,因此對網路中其它路由器是隱身的,不會影響到其它路由器的正常運作。
[0047]數(shù)據層檢測服務組件包括請求查詢信息接ロ、數(shù)據層檢測服務和檢測結果上傳接ロ。數(shù)據層檢測服務進程收到查詢請求后,通過活躍地址掃描器和Netflow分析器,探測指定IP地址段內是否存在活躍IP,如存在活躍IP,則返回查詢結果YES,若不存在活躍IP則返回查詢結果NO。在一個優(yōu)選實施例中,為防止誤報,可以設定一個活躍IP閾值,當數(shù)據層檢測服務進程在所指定的IP地址段內探測到的活躍IP數(shù)目達到該活躍IP閾值時,返回查詢結果YES(在活躍IP數(shù)目達到該活躍IP閾值時可直接停止探測,這樣無需探測全部活躍地址,能夠節(jié)省開銷和縮短返回查詢結果的響應時間),當所指定的IP地址段內未探測到任何活躍IP時,返回查詢結果NO,當所指定的IP地址段內探測到的活躍IP數(shù)目大于0當小于所述活躍IP閾值時,則返回查詢結果“特定”。路由攻擊分析平臺可根據異常AS域返回的查詢結果判斷是否發(fā)生路由攻擊事件。
[0048]根據另ー個優(yōu)選實施例,數(shù)據層檢測服務通過活躍地址掃描器和Netflow分析器來實現(xiàn)活躍IP地址的探測,這不同于現(xiàn)有技術只采用Ping的方式探測活躍IP地址。活躍地址掃描器采用icmp、掃描主機端ロ、操作系統(tǒng)偵測、服務與版本偵測等多手段進行探測,如掃描38路由訪問協(xié)議端ロ、80端ロ、143IMAP電子郵件等端ロ?;钴S地址掃描器可基于nmap (Network Mapper) 二次開發(fā)實現(xiàn)。活躍地址掃描器主要包括地址產生器、列表管理器、探測器和探測結果文件四個組件。其中地址產生器主要職責是產生需要探測的IP地址。最簡單的情形下,地址產生器可以讀取包含ー組IP地址的靜態(tài)文件,當然也可以可插拔的方式指定其特定的地址產生行為;列表管理器負責管理當前多個地址產生器,并負責以特定的策略調度對這些地址的探測;探測器通過nmap發(fā)送ICMP echo數(shù)據包和掃描指定端ロ的數(shù)據包進行探測,掃描的端ロ可以進行個性化設置,主機系統(tǒng)占用端ロ集中于1-1024,一個例子中,掃描的端ロ包括:38路由訪問協(xié)議端ロ、80端ロ(為HTTP(HyperTextTransportProtocol)即超文本傳輸協(xié)議開放的)和143IMAP電子郵件端ロ,其中任一端ロ開放即認為該主機活躍。不同于僅使用Ping命令的探測,本實施例通過ICMPecho數(shù)據包以及掃描主要通信端ロ來探測,能夠有效地避免漏報活躍主機,進而提高最終的路由攻擊檢測結果的準確性。探測結果文件將按照特定的格式存儲指定網絡前綴中已經探測到的活躍IP地址信息。在本發(fā)明的其它實施例中,探測器可以單獨通過發(fā)送ICMPecho數(shù)據包的方式探測活躍IP,或者也可以單獨通過掃描指定端ロ的數(shù)據包的方式探測活躍IP。
[0049]NETFLOff分析器主要包括NETFL0W路由信息采集器、篩選器和探測結果文件。首先,Internet中路由器支持NETFL0W技術,目前中高端cisco路由器都已支持,網絡中路由器必須開啟NETFL0W并指向NETFL0W路由信息采集器,這樣RSDDCA系統(tǒng)就能夠采集到本域內NETFL0W信息,NETFLOff路由信息采集器將信息傳遞給篩選器。以網絡中采集的流量數(shù)據,11.181.85.122 I 23.32.104.193 | 4137 | 0 | 23 | 3 11216 11128 117 | 2 | 26111 為例,數(shù)據中各字段的含義為:源地址I目的地址I源自治域I目的自治域I流入接口號I流出接口號源端ロ I目的端ロ I協(xié)議類型I包數(shù)量I字節(jié)數(shù)I流數(shù)量。由此,可以清楚了解這ー網流的具體信息:源地址為11.181.85.122,目的地址為23.32.104.193,源地址屬于AS4137,目的地址屬于我方網絡;篩選器將源地址記錄下,直接寫入探測結果文件,這是因為只有活躍的主機才會有數(shù)據流量,源地址必然是活躍主機。探測結果文件同樣將按照特定的格式存儲制已經探測到的活躍IP地址。
[0050]數(shù)據層檢測模塊運用活躍地址掃描器和Netflow分析器結合使用完成活躍主機發(fā)現(xiàn),提升了系統(tǒng)數(shù)據層檢測的準確性,并且最大限度縮減數(shù)據層檢測時間。
[0051]根據本發(fā)明的再一個實施例,路由信息采集探針還包括控制層檢測服務組件,控制層檢測服務組件包括請求查詢信息接ロ、控制層檢測服務進程和檢測結果上傳接ロ,控制層檢測服務進程收到查詢請求后,對所在AS域的各路由器發(fā)出探測報文,采集異常AS域中各路由器的路由表,然后返回查詢結果。與被動采集路由信息報文的路由信息采集模塊不同,控制層檢測服務組件是主動探測組件,它對異常AS域的路由器發(fā)出報文采集異常AS域的路由表,以此查看該自治域的路由表是否被發(fā)現(xiàn)的可疑路由攻擊污染。路由攻擊分析平臺可根據異常AS域返回的所有路由表,利用現(xiàn)有技術(例如進行指紋對比分析)判斷是否發(fā)生路由攻擊事件。將路由表分析技術與數(shù)據層活躍地址探測相結合,能夠形成互補,有效地提高探測效率,降低誤報率和漏報率。
[0052]根據本發(fā)明的其它實施例,路由信息采集探針還包括域內路由攻擊檢測組件,它通過被動監(jiān)聽路由信息采集模塊上傳的OSPF路由信息包和IS-1S路由信息包的方式,根據LSU報文中的LSA頭部序列號位和年齡位等判斷網絡中的路由器是否遭受攻擊。攻擊監(jiān)測的主要對象為網絡中發(fā)生的惡意信息變化,包含序列號加I攻擊、最大年齡攻擊以及最大序列號攻擊等。
[0053]根據本發(fā)明的其它實施例,路由攻擊分析平臺包括數(shù)據接收與解析組件、域間路由攻擊檢測模塊和路由數(shù)據庫模塊,下面對其分別介紹這些組件和模塊。
[0054]數(shù)據接收與解析組件用于接收被動采集的路由信息報文并對其進行異常AS域分析,得出異常AS域。異常AS域分析包括路由前綴多宿源和域間路由黑洞檢測分析。數(shù)據接收與解析組件將新路由信息報文中AS域(稱為在后AS域)宣告擁有的地址段與數(shù)據庫模塊的路由信息比對,當新路由信息報文中的AS域所宣告擁有的地址段與數(shù)據庫模塊中在先的AS域所宣告擁有的地址段存在沖突時,將在先和在后AS域均認定為異常AS域。在一個優(yōu)選實施例中,數(shù)據接收與解析組件還可以根據所接收的路由信息報文進行其它路由攻擊類型的檢測并直接得出檢測結果,例如:域內路由鏈路狀態(tài)宣告報文篡改檢測,假冒路由攻擊檢測。
[0055]域間路由攻擊與檢測組件用于通過數(shù)據接收與解析組件解析的路由信息啟動異常AS域的主動探測,確認網絡路由攻擊事件的發(fā)生,確保實時告警,保障網絡的正常運行。域間路由攻擊檢測組件向異常AS域的路由信息采集探針發(fā)出查詢指令,查詢指令包括數(shù)據層查詢指令和控制層查詢指令。域間路由攻擊檢測組件可以僅發(fā)出數(shù)據層查詢指令,也可以僅發(fā)出控制層查詢指令,還可以同時發(fā)出數(shù)據層查詢指令和控制層查詢指令。域間路由攻擊檢測組件還用于接收路由信息采集探針返回的查詢結果。數(shù)據層查詢結果是YES、NO或“特定”。當在后AS域查詢結果為NO時,說明后AS域所宣告地址段內無活躍主機,僅僅只想截取數(shù)據,因而可直接確定路由黑洞攻擊并進行告警。當在后AS域查詢結果為YES,且在先AS域查詢結果也為YES吋,說明兩自治域內皆有正?;钴S主機進行正常網絡通信,直接確定路由多溯源攻擊并進行告警。當在后AS域查詢結果為YES,在先AS域查詢結果為NO時,判定相關AS域路由配直錯誤,而非路由攻擊。當在后AS域查詢結果為“待定”,或者在后AS域查詢結果為YES且在先AS域查詢結果為“特定”吋,則結合控制層查詢結果做進ー步地分析??刂茖硬樵兎祷禺惓S域中各路由器的路由表,路由表提供了路由器的數(shù)據處理轉發(fā)前所必須的各種網絡信息和轉發(fā)查詢表項。利用路由表進行路由信息指紋比對,可判定異常AS域是否發(fā)生路由攻擊,發(fā)生何種路由攻擊??刂茖硬樵兒蜋z測的分析結果較為準確,但所需開銷相對較大。上述實施例使用被動采集和比對路由信息的方式預先鎖定異常AS域,從而縮小了探測范圍,能夠大幅減小開銷,實現(xiàn)實時檢測。一個實施例中,控制層查詢和數(shù)據層查詢可以同步進行,當數(shù)據層查詢返回的結果可直接判斷出路由攻擊時,可停止控制層查詢和分析(當然也可以繼續(xù)進行控制層查詢和分析)。另ー個實施例中,可以先進行數(shù)據層查詢,當無法直接得出路由攻擊檢測結果時再啟動控制層查詢,從而完成路由攻擊的檢測。域間路由攻擊檢測組件可由多個插件組成,每個插件檢測ー種類型的路由攻擊所引發(fā)的異常AS域,插件包括異常AS路徑檢測插件、異常前綴源檢測插件以及其它路由異常檢測插件。異常AS路徑攻擊是路由黑洞攻擊的ー種方式,攻擊者通過改變前綴到達目的地需要經過的AS路徑的順序造成路由黑洞攻擊。異常AS路徑檢測插件的作用是能夠檢測出該種類型的攻擊。異常前綴源攻擊也是路由黑洞攻擊的方式之一,攻擊者通過在某個AS中非法宣告不屬于本AS的前綴造成此種類型的攻擊。異常前綴源檢測插件的作用是能夠檢測此種類型的路由黑洞攻擊。
[0056]路由數(shù)據庫模塊:用于存儲歷史路由信息。歷史路由信息包括:RSDDCA系統(tǒng)中的所有AS域及其所宣告的地址段信息。路由數(shù)據庫模塊還可以存儲整個待檢測網絡的路由拓撲與路由選路等路由信息,該路由數(shù)據庫在RSDDCA系統(tǒng)初始化過程中建立,井根據路由信息采集模塊實時采集并上報的路由信息報文進行定期更新。當檢測出路由攻擊時,則需及時清除被污染的數(shù)據,從而保證路由數(shù)據庫模塊中路由信息的正確性。例如當某一 AS域被判定為路由攻擊事件,則從路由數(shù)據庫模塊中清除該AS域的受污染數(shù)據(包括:受污染的AS域及其所宣告的地址段信息),從而保證數(shù)據庫的正確性。
[0057]為便于理解,下面給出ー個路由數(shù)據庫模塊更新的例子。假設存在ASl和AS2兩個自治域,ASl在時刻tl宣告擁有地址段10.2.13.0/24。t2時刻系統(tǒng)建立并開始采集網絡路由信息,當tl〈=t2,系統(tǒng)將地址段10.2.13.0/24及其所屬自治域ASl寫入數(shù)據庫;當tl>t2,t2時刻,系統(tǒng)沒有該地址段信息,tl時刻ASl中路由器宣告擁有該地址段,由于此地址段是新宣告無沖突,因此認定為合法宣告同時錄入數(shù)據庫中。t3 (t3>t2, t3>tl)時刻AS2宣告擁有10.2.13.128/25,系統(tǒng)接受路由報文,得知AS2新宣告了 一個地址段,將10.2.13.128/25與數(shù)據庫中所記錄的數(shù)據進行比對,發(fā)現(xiàn)10.2.13.128/25是
10.2.13.0/24的ー個子地址段,同時地址段所屬自治域與宣告時間等指紋信息與數(shù)據庫存儲的數(shù)據信息不同,這時,網絡中其他自治域主機與10.2.13.128/25中主機進行數(shù)據交互時將產生影響,部分發(fā)往ASl中數(shù)據將被傳送到AS2中,因而認定此為路由異常(這種路由異??赡苁锹酚珊诙垂羲鶎е碌?并啟用數(shù)據層檢測進行驗證。
[0058]RSDDCA系統(tǒng)基于控制層與數(shù)據層關聯(lián)分析的路由攻擊和異常檢測方案巧妙地避免了單純依靠控制層與單純依靠數(shù)據層所存在的高誤報率的問題,通過關聯(lián)控制層路由信息和數(shù)據層探測信息有效提高網絡路由攻擊檢測的效率,降低誤報和漏報率。
[0059]根據本發(fā)明一個實施例,圖3示出了路由安全檢測方法的流程圖。參考圖3,該實施例提供了一種基于前述RSDDCA系統(tǒng)的路由攻擊檢測方法,包括下列步驟:
[0060]I)全網的路由信息采集探針被動地實時收集路由信息報文,并將路由信息報文上傳至路由攻擊分析平臺;所采集的路由信息報文包括BGP、OSPF和IS-1S路由信息報文,路由信息報文含有AS域及其宣告擁有的地址段信息。[0061]2)路由攻擊分析平臺解析路由信息報文發(fā)現(xiàn)異常AS域,對異常AS域啟動域間路由攻擊檢測。本步驟中,根據新采集的路由信息報文中的AS域及其宣告擁有的地址段信息,與歷史路由信息報文中的AS域及其宣告擁有的地址段信息的比對,發(fā)現(xiàn)異常AS域。然后對異常AS域的路由信息采集探針探測發(fā)出指令,使其啟動數(shù)據層查詢。
[0062]3)異常AS域的路由信息采集探針探測本域內是否存在活躍IP地址(即數(shù)據層查詢),并將探測結果返回路由攻擊分析平臺。本步驟中,如存在活躍IP,則返回查詢結果YES,若不存在活躍IP則返回查詢結果NO。在一個優(yōu)選實施例中,為防止誤報,可以設定ー個活躍IP閾值,當數(shù)據層檢測服務進程在所指定的IP地址段內探測到的活躍IP數(shù)目達到該活躍IP閾值時,返回查詢結果YES(在活躍IP數(shù)目達到該活躍IP閾值時可直接停止探測,這樣無需探測全部活躍地址,能夠節(jié)省開銷和縮短返回查詢結果的響應時間),當所指定的IP地址段內未探測到任何活躍IP時,返回查詢結果NO,當所指定的IP地址段內探測到的活躍IP數(shù)目大于0當小于所述活躍IP閾值時,則返回查詢結果“特定”。路由攻擊分析平臺可根據異常AS域返回的查詢結果判斷是否發(fā)生路由攻擊事件。
[0063]4)路由攻擊分析平臺根據異常AS域的信息采集探針所返回的數(shù)據層查詢結果(即是否存在活躍IP地址的結果)判斷是否存在路由攻擊及路由攻擊的類型。數(shù)據層查詢結果是YES、NO或“待定”。當在后AS域查詢結果為NO時,可直接確定路由黑洞攻擊并進行告警。當在后AS域查詢結果為YES,且在先AS域查詢結果也為YES時,直接確定路由多溯源攻擊并進行告警。當在后AS域查詢結果為YES,在先AS域查詢結果為NO吋,判定相關AS域路由配置錯誤,而非路由攻擊。當在后AS域查詢結果為“特定”,或者在后AS域查詢結果為YES且在先AS域查詢結果為“特定”吋,則結合控制層查詢結果做進一歩地分析。
[0064]根據本發(fā)明另ー個實施例,所述步驟2)中,路由攻擊分析平臺還對異常AS域的路由信息采集探針探測發(fā)出指令,使其啟動控制層查詢。步驟3)中,接收到控制層查詢指令的路由信息采集探針對所在AS域的各路由器發(fā)出探測報文,采集異常AS域中各路由器的路由表,然后返回查詢結果。路由攻擊分析平臺可根據異常AS域返回的所有路由表,利用現(xiàn)有技術(例如進行指紋對比分析)判斷是否發(fā)生路由攻擊事件。
[0065]根據本發(fā)明再一個實施例,所述步驟2)中,路由攻擊分析平臺還對所有AS域的路由信息采集探針探測發(fā)出指令,使各路由信息采集探針啟動控制層查詢。步驟3)中,接收至IJ控制層查詢指令的路由信息采集探針本AS域的邊界路由器發(fā)出探測報文,查詢路由表,如果除了在后AS域外的其它AS域所查詢的路由表中均沒有在后AS域及其所宣告擁有的地址段,就說明該報文并沒有對其他自治域造成影響,可判定不存在路由攻擊,如果某ー個執(zhí)行控制層查詢的在后AS域之外的其它AS域所查詢的路由表中存在在后AS域及其所宣告擁有的地址段,則可以確認為路由黑洞攻擊,且確認該執(zhí)行控制層查詢的AS域被污染,所有AS域執(zhí)行控制層查詢,即可本次評估路由攻擊破壞范圍和程度。
[0066]將路由表分析技術與數(shù)據層活躍地址探測相結合,能夠形成互補,有效地提高探測效率,降低誤報率和漏報率。
[0067]最后應說明的是,以上實施例僅用以描述本發(fā)明的技術方案而不是對本技術方法進行限制,本發(fā)明在應用上可以延伸為其它的修改、變化、應用和實施例,并且因此認為所有這樣的修改、變化、應用、實施例都在本發(fā)明的精神和教導范圍內。
【權利要求】
1.一種路由安全檢測系統(tǒng),包括路由信息采集探針和路由攻擊分析平臺,所述路由信息采集探針分布式地部署在各AS域內,每個所述路由信息采集探針與所述路由攻擊分析平臺互聯(lián), 所述路由信息采集探針用于被動地實時收集路由信息報文,并將所述路由信息報文上傳至路由攻擊分析平臺;還用于接收所述路由攻擊分析平臺的指令探測本域內是否存在活躍IP地址并返回探測結果; 所述路由攻擊分析平臺用于解析各個路由信息采集探針上報的路由信息報文發(fā)現(xiàn)異常AS域,對異常AS域的路由信息采集探針發(fā)出探測指令;還用于根據異常AS域的信息采集探針所返回的結果判斷是否存在路由攻擊。
2.根據權利要求1所述的路由安全檢測系統(tǒng),其特征在于,所述路由信息采集探針包括路由信息采集模塊,用于通過運行路由協(xié)議與實際網絡中路由器建立鄰接關系,所述路由信息采集模塊不向網絡中發(fā)布路由信息。
3.根據權利要求2所述的路由安全檢測系統(tǒng),其特征在于,所述路由信息采集探針還包括數(shù)據層檢測服務組件,用于接收查詢請求,探測指定IP地址段內是否存在活躍IP,并返回探測結果。
4.根據權利要求3所述的路由安全檢測系統(tǒng),其特征在于,所述數(shù)據層檢測服務組件包括活躍地址掃描器,用于掃描多個指定端ロ以探測指定IP地址段內是否存在活躍IP。
5.根據權利要求4所述的路由安全檢測系統(tǒng),其特征在于,所述活躍地址掃描器所掃描的端ロ包括:38路由訪問協(xié)議端ロ、80端口和143IMAP電子郵件端ロ。
6.根據權利要求1所述的路由安全檢測系統(tǒng),其特征在于,所述路由攻擊分析平臺包括數(shù)據接收與解析組件、.域間路由攻擊檢測模塊和路由數(shù)據庫模塊; 數(shù)據接收與解析組件用于接收被動采集的路由信息報文并結合歷史路由信息對其進行異常AS域分析,得出異常AS域; 域間路由攻擊檢測模塊用于啟動異常AS域的主動探測,確認網絡路由攻擊事件的發(fā)生; 路由數(shù)據庫模塊用于存儲歷史路由信息。
7.ー種基于權利要求1所述的路由安全檢測系統(tǒng)的路由安全檢測方法,其特征在干,包括下列步驟: 1)全網的路由信息采集探針被動地實時收集路由信息報文,并將路由信息報文上傳至路由攻擊分析平臺; 2)路由攻擊分析平臺解析路由信息報文發(fā)現(xiàn)異常AS域,對異常AS域啟動域間路由攻擊檢測; 3)異常AS域的路由信息采集探針探測本域內是否存在活躍IP地址,并將探測結果返回路由攻擊分析平臺; 4)路由攻擊分析平臺根據異常AS域的信息采集探針所返回的是否存在活躍IP地址的結果判斷是否存在路由攻擊及路由攻擊的類型。
8.根據權利要求7所述的路由安全檢測方法,其特征在于,所述路由攻擊分析平臺包括數(shù)據接收與解析組件、域間路由攻擊檢測模塊和路由數(shù)據庫模塊;數(shù)據接收與解析組件用于接收被動采集的路由信息報文并結合歷史路由信息對其進行異常AS域分析,得出異常AS域;域間路由攻擊檢測模塊用于啟動異常AS域的主動探測,確認網絡路由攻擊事件的發(fā)生;路由數(shù)據庫模塊用于存儲歷史路由信息。 所述步驟2)中,將新路由信息報文中AS域宣告擁有的地址段與數(shù)據庫模塊的路由信息比對,當新路由信息報文中的在后AS域所宣告擁有的地址段與數(shù)據庫模塊中在先的AS域所宣告擁有的地址段存在沖突時,將在先和在后AS域均認定為異常AS域;向異常AS域的路由信息采集探針發(fā)出查詢指令,查詢指令包括數(shù)據層查詢指令; 所述步驟4)中,接收路由信息采集探針返回的查詢結果,數(shù)據層查詢結果是YES、NO或“特定”;當在后AS域查詢結果為NO時,可直接確定路由黑洞攻擊并進行告警;當在后AS域查詢結果為YES,且在先AS域查詢結果也為YES時,直接確定路由多溯源攻擊并進行告警;當在后AS域查詢結果為YES,在先AS域查詢結果為NO時,判定相關AS域路由配置錯誤,而非路由攻擊。
9.根據權利要求8所述的路由安全檢測方法,其特征在于,所述步驟2)中,所述查詢指令還包括控制層查詢指令; 所述步驟3)中,異常AS域的路由信息采集探針在收到控制層查詢指令后,主動獲取本域內各路由器的路由表并將其上報至所述路由攻擊分析平臺; 所述步驟4)中,路由攻擊分析平臺利用異常AS域的路由表進行路由信息指紋比對,判定異常AS域是否發(fā)生路由攻擊。
10.根據權利要求9所述的路由安全檢測方法,其特征在于,所述步驟2)中,路由攻擊分析平臺還對所有AS域的路由信息采集探針探測發(fā)出指令,使各路由信息采集探針啟動控制層查詢; 所述步驟3)中,接收到控制層查詢指令的路由信息采集探針本AS域的邊界路由器發(fā)出探測報文,查詢路由表,如果除了所述在后AS域外的其它AS域所查詢的路由表中均沒有在后AS域及其所宣告擁有的地址段,判定不存在路由攻擊,如果某ー個執(zhí)行控制層查詢的在后AS域之外的其它AS域所查詢的路由表中存在在后AS域及其所宣告擁有的地址段,則確認路由黑洞攻擊,且確認該執(zhí)行控制層查詢的AS域被污染。
【文檔編號】H04L29/06GK103442008SQ201310384312
【公開日】2013年12月11日 申請日期:2013年8月29日 優(yōu)先權日:2013年8月29日
【發(fā)明者】許剛, 梁偉, 景全亮, 畢經平 申請人:中國科學院計算技術研究所