李鵬飛，陳 鳴，錢紅燕

(南京航空航天大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106)

0 引 言

路由選擇協(xié)議對于因特網(wǎng)至關(guān)重要，決定著數(shù)據(jù)分組的轉(zhuǎn)發(fā)路徑，保證了分組能夠跨越網(wǎng)絡(luò)正確、高效地到達(dá)目的地。開放式最短路徑優(yōu)先(open shortest path first，OSPF)路由協(xié)議[1-2]是因特網(wǎng)自治系統(tǒng)中最常用的內(nèi)部網(wǎng)關(guān)協(xié)議之一，盡管有一定的安全保護(hù)措施，OSPF仍受到許多攻擊者的覬覦[3-4]。

OSPF是一種典型的鏈路狀態(tài)路由選擇協(xié)議，每當(dāng)鏈路的狀態(tài)發(fā)生變化(如開銷的變化或連接/中斷狀態(tài)的變化)或經(jīng)過一定時間，路由器就會利用鏈路狀態(tài)通告(link state advertisement，LSA)廣播鏈路狀態(tài)信息。LSA是描述網(wǎng)絡(luò)拓?fù)涞姆纸M，記錄相鄰路由器信息，在相鄰路由器中交換[5-6]，所有有效的LSA會被存放在鏈路狀態(tài)數(shù)據(jù)庫中，路由器根據(jù)鏈路狀態(tài)數(shù)據(jù)庫計算得到路由表。因此，LSA上的路由信息的真實性和準(zhǔn)確性至關(guān)重要，一旦被篡改，虛假的路由將會導(dǎo)致整個網(wǎng)絡(luò)陷于混亂。路由欺騙[7-11]是一種利用協(xié)議漏洞偽造LSA篡改路由信息的攻擊方法。一旦攻擊者實施路由欺騙攻擊，會嚴(yán)重影響網(wǎng)絡(luò)的安全，造成分組無法到達(dá)目的地、路由環(huán)路、流量黑洞、網(wǎng)絡(luò)癱瘓等嚴(yán)重后果。而路由選擇中的洪泛機(jī)制會進(jìn)一步增強(qiáng)路由欺騙攻擊的破壞力[12]。此機(jī)制雖然在功能上是必要的，但同時會在整個網(wǎng)絡(luò)中洪泛虛假的LSA，導(dǎo)致大面積的路由污染[13]。

文中通過對目前已存在的多種OSPF路由欺騙攻擊進(jìn)行分析和分類，提出了有針對性的檢測算法；設(shè)計了一種通用的檢測和防御系統(tǒng)，基于網(wǎng)絡(luò)功能虛擬化(NFV)實現(xiàn)了原型系統(tǒng)，并通過實驗證明了該系統(tǒng)和相關(guān)技術(shù)的有效性。

1 相關(guān)工作

目前為止，針對攻擊方法的研究，主要在于新型路由欺騙攻擊的發(fā)現(xiàn)。文獻(xiàn)[7]提出了一種新型的路由欺騙攻擊，利用協(xié)議處理LSA頭部時，不檢查鏈路狀態(tài)ID和路由器標(biāo)識的一致性，成功躲過反擊機(jī)制，同時該文獻(xiàn)還提出了三種預(yù)防的方法。文獻(xiàn)[8]發(fā)現(xiàn)了兩種逃避反擊機(jī)制的新攻擊，分別為鄰接欺騙攻擊和單路徑攻擊。文獻(xiàn)[9-10]發(fā)現(xiàn)了兩種危害性很大的路由欺騙攻擊，分別為雙LSA注入攻擊和遠(yuǎn)程鄰接攻擊。文獻(xiàn)[11]在雙LSA注入攻擊的基礎(chǔ)上提出了雙LSA遠(yuǎn)程多注入攻擊。這些文獻(xiàn)提出的路由欺騙攻擊都是利用了協(xié)議缺陷或者漏洞，逃避反擊機(jī)制對路由器進(jìn)行攻擊。

關(guān)于OSPF協(xié)議安全性的研究主要集中在攻擊分析、消耗資源類攻擊的檢測以及防范。文獻(xiàn)[14]提出一種冗余的網(wǎng)絡(luò)系統(tǒng)架構(gòu)，降低LSA偽造攻擊對網(wǎng)絡(luò)的影響，提高OSPF網(wǎng)絡(luò)系統(tǒng)的生存能力。文獻(xiàn)[15]設(shè)計一種模型來分析驗證OSPF協(xié)議中關(guān)鍵漏洞的存在，并通過此方法提出并驗證了一個新漏洞。文獻(xiàn)[16]引入了一種滲透工具來檢查OSPF口令強(qiáng)度，增加網(wǎng)絡(luò)的安全性，但該工具受到了路由器硬件和操作系統(tǒng)版本的限制。文獻(xiàn)[17]對OSPF協(xié)議進(jìn)行安全性分析，并建議將基于軟件包分析的入侵檢測功能加入規(guī)范。文獻(xiàn)[18]利用路由器嵌入的TPM模塊和內(nèi)部的動態(tài)度量模塊防止遭受操作系統(tǒng)層面的入侵，利用系統(tǒng)處理攻擊報文的流程來判斷是否受到最大年齡攻擊等三種攻擊。該方法將整個系統(tǒng)存在于路由器內(nèi)部，能夠經(jīng)濟(jì)有效地檢測這三種攻擊。文獻(xiàn)[19]設(shè)計了一個通用、多模式的OSPF協(xié)議脆弱性檢測系統(tǒng)，利用網(wǎng)絡(luò)受到資源消耗攻擊時，CPU滿載無法處理SNMP(simple network management protocol )請求的特點，采用SNMP和旁路監(jiān)聽相結(jié)合的方法實現(xiàn)檢測結(jié)果的實時監(jiān)控，有效地檢測出消耗資源類的攻擊。

網(wǎng)絡(luò)功能虛擬化(network functions virtualization，NFV)[20]是一種利用通用硬件以及虛擬化技術(shù)，承載多種功能的軟件來代替?zhèn)鹘y(tǒng)硬件，實現(xiàn)各種網(wǎng)絡(luò)功能或網(wǎng)絡(luò)設(shè)備的技術(shù)。通過NFV技術(shù)，使網(wǎng)絡(luò)功能不再依賴專用硬件，減少了網(wǎng)絡(luò)設(shè)備的成本，實現(xiàn)網(wǎng)絡(luò)新業(yè)務(wù)的快速開發(fā)與部署，為網(wǎng)絡(luò)發(fā)展注入新的動力。

2 OSPF路由欺騙攻擊分類及其檢測算法

2.1 路由欺騙攻擊分類

表1列出了目前主要欺騙方法的特點。通過進(jìn)一步分析發(fā)現(xiàn)，當(dāng)欺騙攻擊不引起反擊機(jī)制時，盡管欺騙攻擊的原理不同，但有著以下的共同特性，且與網(wǎng)絡(luò)拓?fù)錈o關(guān)：

(1)攻擊者發(fā)送一個惡意的路由器LSA?！皭阂狻敝杆腖SA 部分與鏈路狀態(tài)數(shù)據(jù)庫中真實的LSA不同；

(2)攻擊者會收到一個LSAck 包，表明惡意LSA 通過了協(xié)議的校驗和檢查；

(3)由于協(xié)議的缺陷等原因，惡意的LSA 并不會引起反擊機(jī)制，使其篡改了真實的LSA 達(dá)到欺騙的效果。

表1 攻擊特點

當(dāng)某種欺騙攻擊引起反擊機(jī)制時，盡管具體方式有所不同，但它們欺騙原理相似[9], 且實現(xiàn)的攻擊均具有以下特性：

(1)攻擊者按序向路由器發(fā)送觸發(fā)LSA 和抗反擊LSA，且抗反擊LSA與鏈路狀態(tài)數(shù)據(jù)庫中真實的LSA 不同；

(2)這兩條報文的時間間隔在1～5 s，并且攻擊者都收到兩個報文的LSAck包；

(3)觸發(fā)LSA 引起了反擊機(jī)制，然而由于抗反擊LSA 和反擊LSA 的校驗和、序列號相同，且時間差在15 min以內(nèi)，這兩種報文先到的被保存，后到的被丟棄。

由此，將這六種路由欺騙攻擊分為兩大類：第一類為引起反擊類攻擊，第二類為不引起反擊類攻擊。

2.2 檢測算法

對于引起反擊和不引起反擊的兩類路由欺騙攻擊，分別設(shè)計了相應(yīng)的檢測算法。

2.2.1 算法I：不引起反擊類攻擊的檢測算法

鄰接欺騙、遠(yuǎn)程鄰接欺騙、單路徑注入、LSA覆蓋等不會引起OSPF協(xié)議反擊機(jī)制，根據(jù)它們的特性設(shè)計算法I。

算法I：檢測不引起反擊類攻擊的算法。

Input：路由器的OSPF報文流

Output：OSPF欺騙存在與否

1：for position←next_begin+1 to trace_num do //position為檢測的當(dāng)前報文位置

2：for index←position to window_size do//window_size為滑動窗口大小

3：if 此條報文是router LSA do

4：if LSAs∈{LS Database}then

5：記錄時間戳、鏈路號等參數(shù)

6：if 存在LSAck包 then

7：if 存在合法的反擊LSA then

8：break

9：else if 未告警 then

10：告警

11：end for

12：滑動窗口+1

13：end for

算法I先解析流中的每條路由器LSA，記錄下捕獲報文的時間戳、報文所在網(wǎng)橋號、序列號等參數(shù)，與鏈路狀態(tài)數(shù)據(jù)庫的鏈路信息對比，判斷其是否為惡意；若不是，跳出流程，反之，繼續(xù)執(zhí)行，判斷其是否合法、是否引起反擊機(jī)制。合法指該LSA通過了協(xié)議的過程化檢查與約束，之后進(jìn)程會回復(fù)一個LSAck報文。由反擊機(jī)制特點可知：反擊LSA的序列號比惡意LSA的序列號大1，鏈路狀態(tài)ID和惡意LSA的相同，鏈路狀態(tài)信息和真實的鏈路狀態(tài)數(shù)據(jù)庫中的相同。據(jù)此判斷惡意LSA是否引起反擊機(jī)制。若出現(xiàn)，跳出流程，從下一條報文重新執(zhí)行流程。反之，由于所有洪泛的惡意LSA 之間的鏈路狀態(tài)ID和序列號都相同，比較兩次告警惡意LSA 的鏈路狀態(tài)ID和序列號可判斷告警是否重復(fù)，找出最先發(fā)送惡意LSA 報文的路由器或主機(jī)。

2.2.2 算法II：引起反擊類攻擊檢測算法

目前引起反擊類攻擊僅有雙LSA注入攻擊和雙LSA遠(yuǎn)程多注入攻擊兩種。根據(jù)特性設(shè)計算法II。

算法II：檢測引起反擊類攻擊的算法。

Input：路由器的OSPF報文流

Output：OSPF欺騙存在與否

1：for position←next_begin+1 to trace_num do

2：for index←position to window_size do

3：if 此條報文是router LSA do //觸發(fā)LSA

4：保存時間戳、鏈路號等參數(shù)

5：if 存在LSAck then

6：if 存在抗反擊LSA then

7：if 存在抗反擊LSA的LSAck then

8：if LSAs∈{LS Database}then

9：break

10：else if 未告警 then

11：告警

12：end for

13：滑動窗口+1

14：end for

與算法I相同的是解析路由器LSA時都會記錄下捕獲的時間戳、報文所在網(wǎng)橋號等參數(shù)。但是它們算法流程并不相同，后者將采集到的路由器LSA作為觸發(fā)LSA執(zhí)行算法流程，依次判斷其是否合法、是否出現(xiàn)抗反擊LSA以及抗反擊LSA是否合法是否惡意、告警是否重復(fù)。

3 基于NFV的通用OSPF路由欺騙攻擊的檢測算法和防御機(jī)制(ARSAO)

盡管兩類路由欺騙攻擊篡改某些路由器的路由表，但不會影響受害路由器的反擊LSA到達(dá)所有路由器。所以檢測到欺騙攻擊后，向路由器發(fā)送一條序列號更大的LSA，刻意引起它的反擊機(jī)制，將使攻擊失去效果?；谠撛?，本節(jié)提出了OSPF路由欺騙攻擊的防御機(jī)制，能夠有效地防御大部分OSPF路由欺騙攻擊。但鄰接欺騙攻擊和遠(yuǎn)程鄰接欺騙攻擊，因它們通過偽裝成路由器，發(fā)送關(guān)于自身的虛假LSA，即使再次引起反擊機(jī)制，洪泛的依舊是虛假路由，所以不能通過激發(fā)協(xié)議的反擊機(jī)制進(jìn)行防御。這兩種攻擊需要通知管理員處置。

3.1 支撐ARSAO的系統(tǒng)結(jié)構(gòu)

文中基于NFV提出了通用的系統(tǒng)架構(gòu)，如圖1所示，該架構(gòu)主要分為采集層和分析層。

采集層主要包含若干中間盒，以及采集、通信和防御實施三大模塊。采集模塊功能主要包括：捕獲流經(jīng)路由器各端口的OSPF分組；過濾掉與欺騙攻擊無關(guān)的OSPF Hello報文；解析協(xié)議報文。通信模塊將解析完的報文發(fā)送給分析服務(wù)器以及接收分析服務(wù)器的防御指令。防御實施模塊接收分析服務(wù)器的防御指令后，構(gòu)造新的路由器LSA后發(fā)送給路由器。

圖1 ARSAO的系統(tǒng)架構(gòu)

分析層包含一個分析服務(wù)器，由通信、防御分析兩大模塊組成。通信模塊接收來自中間盒的協(xié)議報文和發(fā)送防御指令。防御分析模塊將協(xié)議報文加上鏈路號和時間戳形成trace記錄流；獲取每條協(xié)議報文的核心參數(shù)；調(diào)用兩類檢測算法多線程檢測trace記錄流；檢測到攻擊后告警并構(gòu)造防御指令。

考慮到開銷、效率、實時性等因素，分析服務(wù)器和中間盒之間采用UDP協(xié)議進(jìn)行通信。

3.2 中間盒設(shè)計

中間盒是指在Linux容器(LXC)中運行具有特定檢測與防御功能的虛擬網(wǎng)絡(luò)功能(VNF)。它通過網(wǎng)橋連接到路由器之間，用軟件實現(xiàn)中間盒是文中的研究點之一。它的程序設(shè)計基于socket編程，利用了libpcap、tcpdump、libnet技術(shù)。中間盒各個模塊的工作流程如圖2所示。

圖2 中間盒工作流程

通信模塊在初始化階段，打開一個UDP socket，利用send to函數(shù)向分析服務(wù)器發(fā)送數(shù)據(jù)包，recvfrom函數(shù)接收分析服務(wù)器的防御指令。

采集模塊在監(jiān)測接口的數(shù)據(jù)鏈路層增加一個旁路處理，基于libpcap利用原始套接字從鏈路層驅(qū)動程序中獲取數(shù)據(jù)包的拷貝，通過Tap函數(shù)將數(shù)據(jù)包發(fā)送給BSD Packet Filter(BPF)過濾器。定義過濾規(guī)則對數(shù)據(jù)包進(jìn)行逐一匹配，符合條件的使用tcpdump中的對應(yīng)函數(shù)對報文進(jìn)行解析，之后存放入內(nèi)核緩沖區(qū)，并傳遞給用戶緩沖區(qū)。

防御實施模塊每當(dāng)其接收到分析服務(wù)器的防御指令后，調(diào)用libnet函數(shù)庫自底層向上層構(gòu)造新的觸發(fā)LSA。

3.3 分析服務(wù)器設(shè)計

分析服務(wù)器是指在LXC中具有特定分析功能的VNF，它通過一個網(wǎng)橋橋接所有的中間盒，確保及時地接收中間盒發(fā)送來的協(xié)議報文。它的工作過程如下：程序初始化階段打開UDP socket，監(jiān)聽端口，等待連接請求，利用recvfrom函數(shù)接收協(xié)議報文。接收報文后，對每條報文添加網(wǎng)橋ID和時間戳，存入接收緩沖區(qū)，利用正則表達(dá)式過濾讀取參數(shù)，存入trace記錄中，然后使用pthread_create函數(shù)開啟兩個線程，分別調(diào)用兩類檢測算法對流檢測，判斷是否存在攻擊。若存在，生成告警信息，存入日志文件，并且生成防御指令。最后利用sendto函數(shù)發(fā)送防御指令。

trace記錄的結(jié)構(gòu)如圖3所示。時間戳占2個字節(jié)，表示協(xié)議報文被捕獲的時間；網(wǎng)橋ID占2個字節(jié)，標(biāo)識報文所在的網(wǎng)橋；LSA類型占1個字節(jié)，表示LSA類型，當(dāng)OSPF分組類型不為LSU時，自動填充0；鏈路數(shù)占2個字節(jié)，表示路由器接口活動的數(shù)量；鏈路ID占4個字節(jié)，表示路由器接口所連接的對象；鏈路數(shù)據(jù)占4個字節(jié)，為IP地址掩碼或接口的IP地址。時間戳取自宿主服務(wù)器的時鐘，解決各個路由器、中間盒時鐘不同步問題，保證檢測邏輯的正確性。

圖3 trace記錄結(jié)構(gòu)

防御指令中包含：惡意LSA序列號、鏈路狀態(tài)ID、區(qū)域ID、中間盒IP地址、目標(biāo)路由器IP地址。這些參數(shù)用于中間盒構(gòu)造LSA。

4 原型系統(tǒng)實驗與分析

4.1 實驗環(huán)境

為了驗證ARSAO系統(tǒng)的功能和性能，對該系統(tǒng)進(jìn)行實驗測試。實驗設(shè)備和環(huán)境配置如下：宿主服務(wù)器為ThinkServer RD550(內(nèi)存32 GB、Xeon(R) CPU4核、x5647 @2.93 GHz)；服務(wù)器的操作系統(tǒng)為Ubuntu 16.04，以LXC作為虛擬機(jī)構(gòu)建NFV網(wǎng)絡(luò)作為測試原型系統(tǒng)的環(huán)境[21-22]。

原型系統(tǒng)的NFV網(wǎng)絡(luò)如圖4所示。該網(wǎng)絡(luò)是由17臺配置OSPF協(xié)議的路由器R1-R17組成，它分為5個區(qū)域Aera0-Aera4。包含虛擬主機(jī)6臺H1-H6。網(wǎng)段的掩碼皆為255.255.255.0。此外原型系統(tǒng)設(shè)置了5個檢測中間盒和1個分析服務(wù)器。

圖4 測試原型系統(tǒng)的NFV網(wǎng)絡(luò)

4.2 系統(tǒng)的功能驗證

由于雙LSA遠(yuǎn)程多注入攻擊與雙LSA注入攻擊類似以及鄰接欺騙攻擊與遠(yuǎn)程鄰接欺騙攻擊類似，實驗選擇對鄰接欺騙攻擊、雙LSA注入攻擊、LSA攻擊覆蓋攻擊、單路徑注入攻擊這四種路由欺騙攻擊行為進(jìn)行驗證，測試系統(tǒng)的檢測功能和防御功能。分別在Area1、Area2、Area3、Area4依次進(jìn)行這四種攻擊(時間間隔1 s)。

Area1內(nèi)，攻擊者H2發(fā)送所構(gòu)造的Hello報文，與R2建立鄰接關(guān)系，之后注入惡意的攻擊報文。Area2內(nèi)，攻擊者從R17向R14注入觸發(fā)LSA和抗反擊LSA報文；Area3內(nèi)，攻擊者從R7向R15發(fā)送覆蓋攻擊的LSA報文，Area4內(nèi)，攻擊者從R11向R13注入關(guān)于R12的惡意LSA報文。攻擊前，記錄R2、R14、R15、R13的路由表。攻擊后，再次查看受害路由器的路由表，對比可得路由表項被篡改。表2為R2被攻擊后的路由表項列表，最后一行為多出的惡意的路由信息。

表2 路由器R2被攻擊后的路由表項

圖5中的日志文件顯示了ARSAO系統(tǒng)對攻擊特征的報文進(jìn)行了告警，并且準(zhǔn)確找出了攻擊源。檢測到攻擊的5 s后，再次查看受害路由器的路由表，大部分路由器的路由表已經(jīng)恢復(fù)，未恢復(fù)的R2則由管理員進(jìn)行處置。

實驗表明：ARSAO系統(tǒng)能夠檢測出這兩大類路由欺騙攻擊、準(zhǔn)確找到攻擊源、防御其中的大部分攻擊。(鄰接欺騙攻擊、遠(yuǎn)程鄰接欺騙攻擊除外)

圖5 日志文件

4.3 系統(tǒng)的性能驗證與分析

為了測試系統(tǒng)的性能，選擇雙LSA注入攻擊和單路徑攻擊進(jìn)行實驗，選取檢測時間、防御時間、誤報率和漏報率作為指標(biāo)。公式如下：

t檢測時間=t檢測到攻擊的時刻-t攻擊的時刻

(1)

t防御時間=t檢測到構(gòu)造的觸發(fā)LSA報文時刻-t檢測到攻擊的時刻

(2)

p誤報率=n誤報/n攻擊

(3)

p漏報率=n漏報/n攻擊

(4)

為了更好地模擬真實的網(wǎng)絡(luò)環(huán)境，利用流量發(fā)生軟件Iperf設(shè)置背景流量，流量控制軟件Netem設(shè)置丟包率和時延。在不同的丟包率和時延下，在Area1、Area2、Area3、Area4內(nèi)分別間隔1 s進(jìn)行雙LSA注入攻擊和單路徑注入攻擊。一共進(jìn)行10輪實驗，每輪一類欺騙攻擊100次，檢測時間、防御時間是1 000次實驗的平均值，誤報率和漏報率為10輪實驗的平均值。實驗結(jié)果見圖6～圖9。

圖6 時延對檢測時間和防御時間的影響

由圖6可知，兩類攻擊的檢測需都要一定的時間。200 ms時延下，引起反擊類的檢測時間與防御時間分別為3.72 s和2.49 s，不引起反擊類的檢測時間與防御時間分別為5.85 s和2.66 s。不引起反擊類攻擊的檢測時間明顯大于引起反擊類攻擊的檢測時間，防御時間兩類攻擊相差不多，兩類攻擊的檢測時間和防御時間隨著網(wǎng)絡(luò)時延基本呈線性增加。

圖7顯示的是丟包率對檢測時間和防御時間的影響。這兩類攻擊的檢測時間與防御時間隨著丟包率的增大有一定的波動，但并沒有明顯影響。

圖8給出了不同時延下兩類攻擊的漏報率和誤報率。從圖8可知，當(dāng)時延較小時，時延的增加不會使系統(tǒng)產(chǎn)生誤報，而當(dāng)時延高于一定的值α(1～1.5 s)時，系統(tǒng)開始出現(xiàn)漏報，且漏報率隨著時延的增大逐漸增大。

圖7 丟包率對檢測時間和防御時間的影響

圖8 時延對漏報率和誤報率的影響

圖9 丟包對漏報率和誤報率的影響

圖9給出了不同丟包率下兩類攻擊的漏報率和誤報率，兩者皆隨著丟包率的增加急劇升高。一旦網(wǎng)絡(luò)出現(xiàn)丟包，網(wǎng)絡(luò)出現(xiàn)的情況有很多，可能是因出現(xiàn)惡意LSA的確認(rèn)報文丟失導(dǎo)致系統(tǒng)出現(xiàn)攻擊的漏報；也有可能引起反擊類攻擊的反擊LSA報文丟失，導(dǎo)致系統(tǒng)將把這類攻擊誤判成另一類攻擊。同一丟包率下，引起自反擊類攻擊的誤判率低于另一類，漏判率高于另一類。因為反擊類攻擊檢測算法步驟較多，其中任何一個步驟的報文不正確，都會導(dǎo)致漏判，所有步驟都滿足，才會誤判。

上述實驗結(jié)果表明，網(wǎng)絡(luò)時延和丟包對ARSAO系統(tǒng)的性能產(chǎn)生了一定的影響，但在非極端的網(wǎng)絡(luò)時延和丟包的情況下，該系統(tǒng)能夠用統(tǒng)一的通用設(shè)施快速有效地檢測出各種OSPF欺騙攻擊并能夠進(jìn)行及時防御，檢測具有低誤報率和低漏報率，提升了NFV網(wǎng)絡(luò)的安全性和健壯性。由于采用通用基礎(chǔ)設(shè)施，系統(tǒng)也具有經(jīng)濟(jì)性。

5 結(jié)束語

目前對于出現(xiàn)的多種OSPF路由欺騙攻擊仍缺乏有效的檢測和防御方法。文中在深入研究OSPF路由欺騙攻擊的基礎(chǔ)上，將它們分為兩類，提出了兩類OSPF路由欺騙攻擊的ARSAO機(jī)制?；贜FV技術(shù)，提出并實現(xiàn)了一種通用的支持檢測與防御的系統(tǒng)。原型系統(tǒng)實驗表明，ARSAO具有經(jīng)濟(jì)性、靈活、易于部署等特點，能夠準(zhǔn)確快速地檢測出除鄰接欺騙攻擊和遠(yuǎn)程鄰接欺騙攻擊外的OSPF的路由欺騙攻擊，并能迅速地進(jìn)行故障恢復(fù)達(dá)到防御的效果，提高NFV網(wǎng)絡(luò)的安全性。下一步，將該研究擴(kuò)展到檢測與防御其他類型網(wǎng)絡(luò)攻擊的工作中。