论文部分内容阅读
互联网域间路由系统安全是互联网安全的基础。域间路由系统安全监控技术无须更改路由协议,是易行有效的解决方案。然而,现有安全监控技术存在两大不足:一是因监控系统本身及监控过程紧密依存于域间路由系统导致健壮性差,一旦域间路由系统遭袭失效则监控行为将受到严重削弱;二是因重监测轻控制、全局优化缺失导致监控效能低,难以及时阻断威胁传播以及快速实施路由恢复。本文提出一种域间路由系统独立监控模型-Indem (Independent monitoring model for inter-domain routing system)。该模型的核心思想是安全监控系统独立于被监控的域间路由系统,具体而言,该模型不依赖于现有域间路由系统,而是将域间路由系统视为受监测及控制的对象,在域间路由系统之外构建与其物理、逻辑相独立的监控系统。Indem无需更改现有域间路由协议与基础路由设施,可及时感知并应对路由异常或攻击,快速发现并恢复路由故障或失效,并可对高危的、突发的致瘫性威胁启用高优先级控制。论文主要工作包括:域间路由系统独立监控模型设计,以及模型涵盖的四项关键技术研究,即域间路由系统攻击威胁传播建模、域间路由系统自治域恶意性判定、域间路由系统全局生存态势评估和域间路由系统遭袭失效路由恢复。1.针对现有安全监控技术健壮性差与效能低的不足,提出一种基于分层结构的域间路由系统独立监控模型。为了增强域间路由系统安全监控面临致瘫性威胁时的健壮性,从全系统范围及全生命周期角度提高安全监控效能,本文在分析已有新型网络模型架构的基础上,给出建立监控模型的若干基本原则,提出基于分层结构的域间路由系统独立监控模型Indem。阐述模型的抽象框架、功能模块、相互关系,并对其监控过程及域间路由系统的运行状态机进行详细描述,最后讨论模型涉及的关键技术与参考部署。分析表明,Indem通过构建独立稳定的高阶监控平面,能够有效摆脱监控系统及监控行为对于域间路由系统的依赖性,增强监测与控制过程的耦合及协作。同时,作为一种轻量级的监控模型,Indem无需更改路由协议及设备,充分利用域间路由系统自身的运维与自愈能力。2.针对域间路由系统攻击的威胁传播难以监测和预警,提出一种基于传染病动力学的攻击威胁传播模型。为了更为精确地描述和分析域间路由系统攻击威胁行为,及时监测和预警恶意攻击的波及范围及其时空特性,本文在分析互联网域间路由系统结构特性的基础上,学习并借鉴经典的生物疾病传播理论,提出一种域间路由系统威胁传播模型Edats (Epidemic dynamics based model for threat spreading)。定义相对密度、恢复概率、传播强度等模型要素,并建立攻击威胁传播动力学方程。将目前典型的具有大规模致瘫效应的低速拒绝服务攻击作为验证对象,结果显示:仿真数值与理论数值表现出良好的一致性,较好地拟合了该类型攻击传播曲线;无标度网络的平均度值对于遭袭节点密度产生的影响,也符合该类型攻击的传播特性以及域间路由系统的幂律脆弱特征,表明Edats能够有效刻画并预测当前典型的低速拒绝服务攻击传播规律。3.针对域间路由系统中恶意路由节点及其行为难以发现和判断,提出一种基于信任量化机制的自治域恶意性判定模型。为了监测域间路由系统中路由节点的潜在或已有恶意行为,挖掘预先设置、遭袭受控以及自身行为不端的域间路由节点,亟需对自治域的恶意性予以判定。本文在研究异常路由行为以及人际信任关系的基础上,提出一种域间路由系统自治域恶意性判定模型Trume (Trust quantitative model for AS maliciousness decision)。该模型定义了直接判定、协作判定及配合度三项判定准则,综合分析并量化目标自治域的路由交互行为,同时定义节点参与度作为最终判定结果的放大因子。基于仿真路由进行验证,结果显示:在面对典型的路由欺骗、服务受限及协作节点误报等情况下,Trume均能够较为准确、稳定地发现与评判目标自治域节点的恶意性行为。4.针对域间路由系统全局安全状态难以及时感知,提出一种基于免疫危险理论的域间路由系统生存态势评估模型。为了加强域间路由系统的全局监测与控制,亟需从全局角度把握域间路由系统的实时安全状况及威胁演化趋势。当前态势评估方法在评估架构及算法设计等方面仍未形成一致的最优方案,本文在研究经典生物免疫理论的基础上,提出种基于免疫危险理论的域间路由系统生存态势评估模型Darse (Danger theory based model for situation assessment)。通过采集路由更新报文属性、路由节点运行状态和地理映射信息等多种特征作为输入信号和抗原,利用危险理论予以感知并综合分析,获得当前域间路由系统全局生存态势。基于日本海底光缆断裂与Youtube前缀劫持两个真实路由事件进行仿真实验,结果显示:同Renesys分析结论相比,Darse在态势评估的精确性与实时性方面具有较大优势。5.针对域间路由系统遭袭失效后难以及时恢复响应,提出一种基于结构化备份子图的路由失效恢复方法。为了强化域间路由系统安全监测与控制的一体化过程,及时遏制感知到的威胁,尤其要利用路由恢复技术保障部分节点遭袭失效后全局网络的基本通信服务。针对当前路由恢复研究在备份拓扑存储代价、冗余恢复能力以及自治域利益保护等方面存在的问题,本文提出一种基于结构化备份子图的路由失效恢复方法Starr (Structured backup subgraph based model for route recovery)。该方法包含拓扑关键点生成、重要邻接点生成和相邻链路排序算法,.降低备份子图存储代价的同时,增强了级联失效冗余恢复能力,兼顾了自治域的私有路由策略。仿真实验的结果显示:同原始的单节点失效生成方法相比,Starr的备份子图数量得以显著减少;同经典RRL方法相比,Starr的备份路径长度要略优于前者。