[发明专利]高效的域间路由协议前缀劫持检测方法

摘要

本发明为高效的域间路由协议前缀劫持检测方法，首先通过实时监控控制层路由异常驱动前缀劫持的检测过程，若发现路由异常，收集同一时刻异常前缀在多个路由服务器上的数据层可达性状态和控制层路由状态，计算状态信息向量的相关系数，判断路由异常是否为前缀劫持；本发明在确保检测准确率的同时极大的降低了检测延时，且对外部检测节点的依耐性很低，无需安装额外的检测软件，能够高效地实现对域间路由协议中前缀劫持的检测。

主权项

高效的域间路由协议前缀劫持检测方法，其特征在于，所述方法是在任何一台连接到互联网的计算机上按以下步骤实现的：步骤1：主线程实时监控BGP路由异常，该步骤依次包含以下各子步骤：步骤1.1：从M个域间路由监控点实时接收BGP路由更新消息，其中M＞1；步骤1.2：提取当前接收到的路由更新消息中的IP地址前缀f和AS路径p＝{an，an‑1，…，a1，a0}，其中ai为此路由信息经过的AS号，a0为路由信息的源AS号，0≤i≤n；步骤1.3：检查路由信息是否出现异常，依次包括以下各子步骤：步骤1.3.1：检查前缀f、源AS a0组成的二元组是否存在于本地路由信息数据库中，若不存在则执行步骤1.4，否则执行步骤1.3.2；步骤1.3.2：检查路径p中任意相邻AS  元组是否存在于本地路由信息数据库中，若不存在则执行步骤1.4，否则执行步骤1.3.3，其中0≤i＜n；步骤1.3.3：检查路径p中的任意相邻AS三元组是否存在于本地路由信息数据库中，若不存在则执行步骤1.4，否则执行步骤1.1其中0＜i＜n；步骤1.4：派生出检测线程执行步骤2，主线程继续循环执行步骤1.1；步骤2：检测线程快速检测当前路由异常是否为前缀劫持，该步骤依次包含以下各子步骤：步骤2.1：获取异常前缀f，获取前缀f中的活动IP地址a；步骤2.2：派生出N组子线程(DT1，CT1)，…，(DTi，CTi)，…，(DTN，CTN)同时获取N个路由服务器R1，…，Ri，…，RN上前缀f的数据层可达性状态和控制层路由状态，其中DTi执行步骤2.2.1，CTi执行步骤2.2.2，检测线程自身继续执行步骤2.3，其中N＞1：步骤2.2.1：数据层探测子线程DTi循环探测活动IP地址a的可达性，线程最大执行时间为MAX T秒，该步骤依次包括以下各子步骤：步骤2.2.1.1：线程DTi登录路由服务器Ri；步骤2.2.1.2：在Ri上执行ping命令探测IP地址a的可达性，将当前时刻t下Ri到IP地址前缀f的数据层状态记为dit，若ping探测结果为不可达则dit赋值为0，否则dit赋值为1；步骤2.2.1.3：若线程DTi持续执行时间大于等于MAX_T秒则终止，否则继续执行步骤2.2.1.2；步骤2.2.2：控制层检查子线程CTi循环检查异常前缀f的BGP路由信息，线程最大执行时间为MAX_T秒，该步骤依次包括以下各子步骤：步骤2.2.2.1：线程CTi登录路由服务器Ri；步骤2.2.2.2：在Ri上执行show ip bgp命令检查异常前缀f的BGP路由信息，提取最优路由，将当前时刻t下Ri上前缀f的控制层状态记为cit，若最优路由中含有步骤1.3中监控到的路由异常则cit赋值为0，否则cit赋值为1；步骤2.2.2.3：若线程DTi持续执行时间大于等于MAX_T秒则终止，否则继续执行步骤2.2.2.2；步骤2.3：获取当前时刻t各子线程收集到的数据层状态{d1t，…，dit…，dNt}及控制层状态{c1t，…，cit，…，cNt}；步骤2.4：计算路由异常事件在当前时刻t时的指纹信息，即N维状态向量Dt＝{d1t，…，dit，…，dNt}和Ct＝{c1t，…，cit，…，cNt}的关联系数： FIG t = Σ i = 1 N [ ( c it - C t ‾ ) ( d it - D t ‾ ) ] Σ i = 1 N [ ( c it - C t ‾ ) 2 ] × Σ i = 1 N [ ( d it - D t ‾ ) 2 ] 其中： C t ‾ = Σ i = 1 N c it N , D t ‾ = Σ i = 1 N d it N 步骤2.5：若FIGt大于等于阈值λ，则此次路由异常由前缀劫持所导致，结束所有N组子线程，步骤2结束；步骤2.6：若子线程尚未结束，则检测线程继续执行步骤2.3，否则将步骤1.3中异常路由的<前缀f，源AS a0>二元组、AS路径p中所有相邻AS二元组及所有相邻AS三元组加入到本地路由信息数据库中，步骤2结束。