[发明专利]面向误配置的域间前缀劫持检测方法

权利要求书

1.一种网络系统，包括至少一个自治系统，其特征在于，所述自治系统包括边界路由器和监测探针；其中，所述监测探针包括有用于存储所在自治系统中的前缀信息的网络前缀信息列表；

所述监测探针获取边界路由器发出的路由更新报文后，分析路由更新报文中的条目，并将该条目中的前缀信息与网络前缀信息列表中的前缀信息进行比较；根据比较结果需要对网络前缀信息列表中的前缀信息进行添加或撤销前，主动检测相关条目的合法性；其中，对于撤销类型的条目，在所述网络前缀信息列表中查找该条目所包含的所要撤销的前缀信息，若能找到，就表示该条目合法，从所述网络前缀信息列表删除该条目的前缀信息，否则，发出报警信息；对于添加类型的条目，对已经存在于所述网络前缀信息列表且前缀信息完全一致的条目，不做额外操作，直接处理路由更新报文中的下一条目；对不存在于网络前缀信息列表中或虽然存在于网络前缀信息列表中但前缀信息存在冲突的条目，主动探测该条目的合法性，具体包括：根据条目的前缀信息中的IP起始地址与网络掩码，生成待检测队列；从所述待检测队列中依次取出IP地址，利用ping技术进行探测，并对探测出的结果进标记，得到结果队列；根据所述结果队列中所包含正确回应的个数确定添加类型的条目中的前缀信息是否合法；

所述监测探针包括前缀规则库管理模块、路由更新报文采集模块、前缀劫持攻击检测模块、告警模块；其中，

所述的前缀规则库管理模块用于实现前缀信息规则库的创建、更新工作；

所述的路由更新报文采集模块用于实现对所在自治系统的边界路由器BGP更新报文的采集工作；

所述的前缀劫持攻击检测模块用于对误配置所带来的前缀劫持问题进行检测；

所述的告警模块用于发出告警信息来将存在问题的前缀信息通知管理员。

2.一种在包含有至少一个自治系统的网络系统中面向误配置的域间前缀劫持检测方法，所述自治系统包括监测探针，所述监测探针包含有用于存储所在自治系统中的前缀信息的网络前缀信息列表，该方法包括：

步骤1)、所述监测探针获取本自治系统向外发送的路由更新报文；

步骤2)、分析所述路由更新报文的各个条目，对添加类型的条目执行步骤3)；

步骤3)、对已经存在于所述网络前缀信息列表且前缀信息完全一致的条目，不做额外操作，直接处理路由更新报文中的下一条目；对不存在于网络前缀信息列表中或虽然存在于网络前缀信息列表中但前缀信息存在冲突的条目，主动探测该条目的合法性；

步骤4)、根据合法的添加类型的条目对所述网络前缀信息列表进行更新；

在所述的步骤3)中，所述的主动探测该条目的合法性包括：

步骤3-1)、根据条目的前缀信息中的IP起始地址与网络掩码，生成待检测队列；

步骤3-2)、从所述待检测队列中依次取出IP地址，利用ping技术进行探测，并对探测出的结果进标记，得到结果队列；

步骤3-3)、根据所述结果队列中所包含正确回应的个数确定添加类型的条目中的前缀信息是否合法。

3.根据权利要求2所述的在包含有至少一个自治系统的网络系统中面向误配置的域间前缀劫持检测方法，其特征在于，在步骤2)之后还包括：

对撤销类型的条目，在所述网络前缀信息列表中查找该条目所包含的前缀信息，若能找到，从所述网络前缀信息列表删除该条目的前缀信息，否则，发出报警信息。

4.根据权利要求2或3所述的在包含有至少一个自治系统的网络系统中面向误配置的域间前缀劫持检测方法，其特征在于，在所述的步骤3-1)中，所述的生成待检测队列包括：

当添加类型的条目不存在于网络前缀信息列表中时，从该条目的网络前缀所涵盖的IP地址段中选取若干个IP地址，将所选取的IP地址填入所述待检测队列中；

当添加类型的条目存在于网络前缀信息列表中但前缀信息存在冲突时，从相冲突的两个网络前缀所涵盖的IP地址段的集合中选取不相交部分，从所述不相交部分选取若干IP地址后填入所述待检测队列。

5.根据权利要求2或3所述的在包含有至少一个自治系统的网络系统中面向误配置的域间前缀劫持检测方法，其特征在于，在所述的步骤3-3)中，若所述结果队列中所包含正确回应的个数大于一指定阈值，则认为添加类型的条目中的前缀信息合法，否则，发出警告信息。