面向网络空间安全的路由事件源定位方法研究

As the basic network infrastructure of Cyberspace, BGP interdomain routing system provide the communication mechanism between autonomous systems and plays an important role in the Internet operation. Disruptive changes can cause unwelcome changes in flow volumes over ingress links, longer round-trip times, less available bandwidth, and loss of connectivity, which can seriously disrupt the performance or availability of distant networks and services, even make raffic misdirection and network damage. This research will focus on researching method on locating route cause of lager scale routing event in Cyber security field. Through archiving the interdomain routing data, we will build real time and streaming computation platform for collecting, storing, and analyzing interdomain routing data and construct global routing state view at fine-grained. Based on the platform, we plan to research representative characteristics of routing event, establish judge rule set of routing event source and make real-time events souce locating and periodic events mining available. At last, evaluating the influence of routing event with multi-dimension. The research has important significance on protecting the infrastructure of Cyberspace.

BGP域间路由系统作为网络空间的关键基础设施，在互联网运行中起着重要的作用。带有破坏性的路由变化事件（配置错误、设备故障、网络攻击等）会造成网络空间上层应用服务的连接中断、可用带宽变小、链路入口处的流量阻塞，严重影响网络和服务的性能，甚至实现对网络的破坏和对网络流量的操纵。课题将着重研究面向网络空间安全的大规模路由事件源定位方法，通过对域间路由监测数据进行归档，建立面向实时和流式计算的域间路由数据采集、存储和分析平台，构建细粒度的全球路由状态视图，在此基础上，挖掘路由事件的表象特征，建立路由事件源判定的规则集，实现对实时路由事件的快速定位和周期性路由事件的深度挖掘，并对路由事件的影响进行多维度的评估。课题的研究对网络空间基础设施安全防护有重要意义。

域间路由是网络空间基础设施，项目着重研究面向网络空间安全的大规模路由事件源定位方法，并对路由事件安全性以及影响进行多维度的评估。项目研究取得的主要成果包括：.1）构建了面向流式分析的BGP报文数据分析大数据平台，支持多种路由数据源采集，支持海量路由报文数据存储归并分析以及实时的路由事件检测分析；基于Spark近实时分析平台构建细粒度的全球路由状态视图，监测全球路由前缀更新变化和路径更新变化，为路由事件源检测和定位提供数据支撑和计算能力。.2）基于Storm流式计算平台，提出了路由不稳定事件检测和定位算法，从路由采集点视角和源AS视角监测前缀时间序列变化，通过小波变化和聚类分析，定位路由事件发生的时间点和受影响AS集合，基于边界推断确定路由事件源；通过分析多维度的互联网路由数据，提出了基于知识学习的路由攻击事件检测和定位方法，从海量的历史路由报文和实时路由报文挖掘网间码号资源的稳定度关系，结合自治域的多维属性信息，降低由合规MOAS、自治域多元机构归属、地址代播以及地址交易等造成的路由攻击行为检测误判问题，实现路由劫持、路由泄露以及路由中间人攻击事件的检测和定位。.3）提出了基于语义分析的IP地址业务属性标定方法，分析网站应用服务域名链接语义信息，基于机器学习对域名语义进行国民经济行业分类和主题分类，从而实现IP地址-域名-行业和主题的分类，基于IP地址业务属性分类，对路由事件中出现的IP前缀进行统计分析，形成不同行业、不同主题的路由安全视图；提出了AS自治域向三维地理空间的映射方法，实现了AS网络拓扑在地理空间的可视化表达，直观展示路由事件的攻击源头、受影响范围以及全球的路由安全态势。.项目从国家网络空间安全角度出发，基于海量数据的挖掘，定位路由事件源并与相关的数据库关联，对全网的路由态势进行感知，项目的研究成果对网络空间路由基础设施安全防护有重要意义。