本发明专利技术提供一种路由安全检测系统,包括路由信息采集探针和路由攻击分析平台,路由信息采集探针用于被动地实时收集路由信息报文,并将所述路由信息报文上传至路由攻击分析平台;还用于接收所述路由攻击分析平台的指令探测本域内是否存在活跃IP地址并返回探测结果;路由攻击分析平台用于解析各个路由信息采集探针上报的路由信息报文发现异常AS域,对异常AS域的路由信息采集探针发出探测指令;还用于根据异常AS域的信息采集探针所返回的结果判断是否存在路由攻击。本发明专利技术能够降低路由攻击检测的漏报率和误报率;能够在相对较小的开销的前提下,实现对大规模的网络系统的实时监测,有利于及早发现路由攻击。
【技术实现步骤摘要】
【专利摘要】本专利技术提供一种路由安全检测系统,包括路由信息采集探针和路由攻击分析平台,路由信息采集探针用于被动地实时收集路由信息报文,并将所述路由信息报文上传至路由攻击分析平台;还用于接收所述路由攻击分析平台的指令探测本域内是否存在活跃IP地址并返回探测结果;路由攻击分析平台用于解析各个路由信息采集探针上报的路由信息报文发现异常AS域,对异常AS域的路由信息采集探针发出探测指令;还用于根据异常AS域的信息采集探针所返回的结果判断是否存在路由攻击。本专利技术能够降低路由攻击检测的漏报率和误报率;能够在相对较小的开销的前提下,实现对大规模的网络系统的实时监测,有利于及早发现路由攻击。【专利说明】
本专利技术涉及网络安全
,具体地说,本专利技术涉及。
技术介绍
计算机网络是计算机技术和通信技术相互融合的产物。经过近40年的发展,特别是20世纪90年代中期以来,网络上的应用日益增多、网络规模迅速增长、网络用户数量急剧增大,互联网正逐步演变成为人类社会的信息基础设施。然而,近年来在互联网的路由系统中发生了多起路由安全事件,这使得人们对互联网路由设施的安全状况甚为担忧,路由系统的安全问题受到エ业界和学术界的极大关注。路由系统是Internet的基础设施和关键支撑。然而,在域间路由协议发展成熟前,路由安全的问题并未引起ISP重视,自治域间缺乏自我约束机制和有效的协同监瞀,无法形成较好的安全追踪能力和协同安全防范机制,造成基于域间路由协议的路由器系统易于遭受各种路由攻击。随着网络的广泛部署和应用以及网络结构的日趋庞杂,路由攻击事件大量涌现。例如:对于域间路由协议BGP,协议本身缺乏有效的安全机制,无法对自己传递的路由信息提供保护,必须信任Internet上的所有边界路由器,而现有的安全方案也不能实际地解决路由系统的安全问题,因此,导致了各种攻击事件,比如针对控制层路由的攻击方法逐渐被提出,如“数字大炮”、“前缀劫持”等。另ー方面,目前互联网中运行的典型域内路由协议有RIP、0SPF和ISIS。当网络发生故障时,传统的域内路由协议存在故障检测时间长、故障信息传播时间长、路由重计算时间长等典型问题,进而导致了路由的慢收敛甚至不收敛。上述域内路由协议设计方面的脆弱性,导致它们容易遭受各种攻击。例如:在OSPF中,链路状态更新报文由产生LSA实例的路由器每隔30分钟发送两个,与之相对应的链路状态确认报文由其他路由器收到更新报文后发出。如果攻击者截获了路由器发送的链路状态更新报文,然后修改报文中的序列号、年龄的字段,重新发送回网络,则修改的报文会被网络中的路由器接受,从而造成了序列号加1、最大年龄等各种攻击事件。路由安全领域的研究尚处于初级阶段,有人提出了基于Traceroute, Ping等主动网络测量手段和工具来探測不同时间段内特定网络前缀的数据层路径变化,进而对路由攻击进行检测。然而,这种方案需要大量发送主动探测数据包,当所需检测的网络规模较大较为复杂时难以实现实时检測。并且该类方案可扩展性差、不能支持的域间路由攻击的检测,这将导致很高的漏报率和误报率。中国专利申请200710168543.4提出了ー种应用于Ad hoc网络的安全多路径路由方法,包括:计算节点的邻居节点的攻击因子值;基于所述攻击因子值和基于所述攻击因子的多路径安全路由协议进行节点的多路径路由。因此,本专利技术实现了在源节点(也称之为第一节点)和目的节点(也称之为第二节点)之间建立安全的多路径数据传输通道,并且能够在可能受到攻击或者发起攻击的节点对网络造成实质性破坏的时候,提高发起路径维护进程,降低网络维护的通信开销。该方案只是基于Ad hoc网络的,不具有全网络覆盖性。它将节点、路径以及路径集的受攻击可能性转化为一种称之为攻击因子的安全度量,依据于危险阀值进行告警,检测攻击类型少,漏报率和误报率较高。因此,当前迫切需要一种能够克服上述现有技术的缺陷,从而有效地进行路由安全检测的解决方案。
技术实现思路
本专利技术的任务提供一种能够克服现有技术的缺陷,从而有效地进行路由安全检测的解决方案。为实现上述专利技术目的,本专利技术提供了一种路由安全检测系统,包括路由信息采集探针和路由攻击分析平台,所述路由信息采集探针分布式地部署在各AS域内,每个所述路由信息采集探针与所述路由攻击分析平台互联,所述路由信息采集探针用于被动地实时收集路由信息报文,并将所述路由信息报文上传至路由攻击分析平台;还用于接收所述路由攻击分析平台的指令探測本域内是否存在活跃IP地址并返回探测结果;所述路由攻击分析平台用于解析各个路由信息采集探针上报的路由信息报文发现异常AS域,对异常AS域的路由信息采集探针发出探測指令;还用于根据异常AS域的信息采集探针所返回的结果判断是否存在路由攻击。其中,所述路由信息采集探针包括路由信息采集模块,用于通过运行路由协议与实际网络中路由器建立邻接关系,所述路由信息采集模块不向网络中发布路由信息。其中,所述路由信息采集模块包括BGP路由信息采集模块、OSPF路由信息采集模块和IS-1S路由イ目息米集模块。其中,所述路由信息采集探针还包括数据层检测服务组件,用于接收查询请求,探测指定IP地址段内是否存在活跃IP,并返回探測結果。其中,所述数据层检测服务组件包括活跃地址扫描器,用于扫描多个指定端ロ以探測指定IP地址段内是否存在活跃IP。其中,所述活跃地址扫描器所扫描的端ロ包括:38路由访问协议端ロ、80端口和143IMAP电子邮件端ロ。其中,所述数据层检测服务组件还包括Netflow分析器。其中,所述路由攻击分析平台包括数据接收与解析组件、域间路由攻击检测模块和路由数据库模块;数据接收与解析组件用于接收被动采集的路由信息报文并结合历史路由信息对其进行异常AS域分析,得出异常AS域;域间路由攻击检测模块用于启动异常AS域的主动探测,确认网络路由攻击事件的发生; 路由数据库模块用于存储历史路由信息。本专利技术还提供了基于上述路由安全检测系统的路由安全检测方法,其特征在干,包括下列步骤:I)全网的路由信息采集探针被动地实时收集路由信息报文,并将路由信息报文上传至路由攻击分析平台;2)路由攻击分析平台解析路由信息报文发现异常AS域,对异常AS域启动域间路由攻击检测;3)异常AS域的路由信息采集探针探测本域内是否存在活跃IP地址,并将探测结果返回路由攻击分析平台;4)路由攻击分析平台根据异常AS域的信息采集探针所返回的是否存在活跃IP地址的结果判断是否存在路由攻击及路由攻击的类型。其中,所述路由攻击分析平台包括数据接收与解析组件、域间路由攻击检测模块和路由数据库模块;数据接收与解析组件用于接收被动采集的路由信息报文并结合历史路由信息对其进行异常AS域分析,得出异常AS域;域间路由攻击检测模块用于启动异常AS域的主动探测,确认网络路由攻击事件的发生;路由数据库模块用于存储历史路由信息。所述步骤2)中,将新路由信息报文中AS域宣告拥有的地址段与数据库模块的路由信息比对,当新路由信息报文中的在后AS域所宣告拥有的地址段与数据库模块中在先的AS域所宣告拥有的地址段存在冲突时,将在先和在后AS域均认定为异常AS域;向异常AS域的路由信息采集探针发出查询指令,查询指令包括数据层查询指令;所本文档来自技高网...
【技术保护点】
一种路由安全检测系统,包括路由信息采集探针和路由攻击分析平台,所述路由信息采集探针分布式地部署在各AS域内,每个所述路由信息采集探针与所述路由攻击分析平台互联,所述路由信息采集探针用于被动地实时收集路由信息报文,并将所述路由信息报文上传至路由攻击分析平台;还用于接收所述路由攻击分析平台的指令探测本域内是否存在活跃IP地址并返回探测结果;所述路由攻击分析平台用于解析各个路由信息采集探针上报的路由信息报文发现异常AS域,对异常AS域的路由信息采集探针发出探测指令;还用于根据异常AS域的信息采集探针所返回的结果判断是否存在路由攻击。
【技术特征摘要】
【专利技术属性】
技术研发人员:许刚,梁伟,景全亮,毕经平,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。