网络路由异常监测系统的设计与实现

发布时间：2019-11-11 18:03

【摘要】：当前,域间及域内路由系统中普遍使用的路由协议分别是BGP及OSPF协议。这两种协议的广泛使用,证明了它们在路由功能上的设计已经相当的完备。但是,为了高效的路由功能,便难以为路由协议施加复杂的安全性措施。在这一背景下,网络路由异常监测成为保障网络路由系统安全的有力措施。路由异常监测系统的设计一般围绕着控制层面的协议报文分析,以及数据层面的目标可达性探测展开。不过,就利用探测报文在数据层面进行异常监测来讲,无论是单纯的基于数据层面的探测,亦或是结合控制层面检测结果的有节制和目的性的探测,探测报文的存在,都不可避免的对目标网络造成一定的负担。本文在对OSPF和BGP协议进行简单介绍后,详细分析了当前常见的各种路由异常,结合对目前路由异常监测研究现状的分析,决定舍弃探测这一手段,设计并实现了一个仅基于控制层面的网络路由异常监测系统。系统实现以尽可能的减少目标网络负担为前提,所涉及的主要研究内容与路由数据采集、网络拓扑分析、路由异常检测等功能的设计与实现息息相关。在数据采集上,使用软件模拟路由与真实路由器交互的方式,被动获取协议报文信息。在拓扑分析上,通过采集而来的UPDATE报文与LSU报文,分别进行BGP与OSPF的网络拓扑分析,并可以综合两种分析结果得出目标网络当前的全网拓扑。在异常检测上,系统采用了基于目标网络模型的优化方案,通过这一方案,系统在监测效果以及可扩展性方面都有了一定的提升,降低了仅基于控制层面而带来的检测准确度上的缺失。此外,系统的实现基于典型的域间(BGP)、域内(OSPF)协议,可以同时监测域间和域内路由系统,并在某些异常的检测上做出了一定的关联分析。最后,文章针对系统的各项功能进行了相关的测试,通过测试发现,系统能够正确的进行网络拓扑分析,完成指定的路由异常监测功能。
【图文】：

错误检测,路由,示例

关的各种相关路由信息。逡逑因此，有的研宄提出了基于控制层与数据层关联分析的异常监测方式。例如逡逑图１－１所涉及的异常，通过这种关联便可以很好的结合两种不同层面监测方式的逡逑优势，得到准确的监测结果。但是，只需要攻击者额外的留意这种探测，去捕获逡逑探测报文，分析反馈确认信息，路由异常监测系统依旧会产生误报。而且这种误逡逑报是致命的，因为本来应该报出的异常，因数据层的可达便成为了可信的前缀信逡逑息，后果严重。此外，虽然显著减小了网络的负担，但是抛开必然增加的算法复逡逑杂度不谈，在路由异常疑似发生阶段去增加探测报文的发送，对于可能遭受攻击逡逑的目标网络来说，这也许并不是一个很好的选择。最不能绕开的，便是探测节点逡逑的部署问题，相较于本文第三章提出的被动采集方式，这种大量节点的部署显然逡逑是高代价、低收益的。逡逑综上所述

报文头,结构示意图,报文

ＮＬＲＩ等关键信息，可以用于ＢＧＰ拓扑的分析，也可以进一步应用到ＢＧＰ异常逡逑的检测之中，下面对ＵＰＤＡＴＥ报文结构做出介绍。逡逑首先，所有的ＢＧＰ报文都有统一的ＢＧＰ报文头部，，其结构如图２－１所示。逡逑ｉ逡逑Ｍａｒｋｅｒ邋｜邋１６邋ｏｃｔｅｔｓ逡逑｜逡逑Ｌｅｎｇｔｈ邋丨邋２邋ｏｃｔｅｔｓ逦Ｔｙｐｅ邋｜邋１邋ｏｃｔｅｔ逡逑图２－１邋ＢＧＰ报文头部结构示意图逡逑报文头部的Ｌｅｎｇｔｈ表示整个ＢＧＰ报文的字节个数，而Ｔｙｐｅ不同的取值则逡逑可以代表不同的ＢＧＰ报文类型，当Ｔｙｐｅ取值为２时，这便是一个ＵＰＤＡＴＥ报逡逑文，除去ＢＧＰ头部的ＵＰＤＡＴＥ报文数据部分结构如图２－２所示。逡逑ＵＰＤＡＴＥ报文数据部分的Ｗｉｔｈｄｒａｗｎ邋Ｒｏｕｔｅｓ邋Ｌｅｎｇｔｈ字段标识了待撤销前缀逡逑集合的总长度；如果长度不为０，那么ＷｉｔｈｄｒａｗｎＲｏｕｔｅｓ字段部分由一系列的二逡逑元组组成，二元组由地址前缀长度和地址前缀构成；Ｔｏｔａｌ邋Ｐａｔｈ邋Ａｔｔｒｉｂｕｔｅ邋Ｌｅｎｇｔｈ逡逑字段则标识了报文中路径属性集合所占用的字节数，如果取值不为０，那么Ｐａｔｈ逡逑Ａｔｔｒｉｂｕｔｅｓ字段部分由一系列的三元组构成，三元组由属性类型、属性长度、属逡逑性取值构成
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.0

【参考文献】