系统平台

全球BGP安全监测溯源平台

放大 缩小 |

  背景:边界网关协议(>Border >Gateway Protocol,BGP)是目前广泛使用的域间路由协议,是实现全球网络自治系统 (Autonomous System,AS)互联互通的基础保障,但因缺乏安全认证机制异常频发,且传播快、波及广、影响大!

  图1展示了一个前缀劫持和一个子前缀劫持的例子。ASX对外正常宣告前缀为202.127.16.0/20的路由,ASZ和ASY在接收到宣告消息后,分别将该路由添加到路由表中。此时,攻击者AS K冒充ASX分别向AS Z和AS Y宣告虚假路由202.127.16.0/20和202.127.16.0/21。这样,AS Z就会收到两条前缀相同但路径不同的路由,按最短路原则,会选择来源于攻击者的路由,导致本应发往AS X的流量全部被攻击者劫持;AS Y也会收到两条路径长度相等但前缀长度不同的路由,按最长前缀匹配原则,202.127.16.0/20 定义的地址块中有一半会命中源自攻击者的路由进而被劫持。

图1 BGP前缀劫持示例

图2 系统架构图

  针对BGP安全,研制了全球BGP安全监测溯源系统,系统架构如图2所示。实时监测模块负责从全球公开路由采集点等数据源采集实时BGP路由消息,并负责历史数据的高效存储和检索,目前已对接全球60余个路由采集点(如图3所示),收集近24年路由消息等历史数据。分析建模模块以海量历史数据为基础从多个不同维度开展分析建模,构建知识库,如全球AS互联关系拓扑(如图4所示)等。路由验证模块依托知识库对实时路由消息进行检测分析,也负责对历史路由消息进行异常检测和溯源(如图5所示)。

图3全球BGP路由实时监测

图4全球AS互联关系拓扑

图5BGP异常检测溯源

  截止2022年,该系统已服务完成多项国家任务,相关工作也获得中科院科院信息化专项和企业合作项目的资助,并产出论文2篇,获1项发明专利授权。

附件下载