亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        域間路由安全智能管控方案研究

        2021-04-27 07:19:44黃卓君劉志華蔡學(xué)龍
        廣東通信技術(shù) 2021年4期
        關(guān)鍵詞:數(shù)據(jù)庫智能

        [黃卓君 劉志華 蔡學(xué)龍]

        1 引言

        互聯(lián)網(wǎng)中不同AS(Autonomous System,自治系統(tǒng))通過BGP(Border Gateway Protocol,邊界網(wǎng)關(guān)協(xié)議)建立域間鄰居關(guān)系并宣告相應(yīng)的路由前綴實現(xiàn)互聯(lián)互通,由于互聯(lián)網(wǎng)協(xié)議設(shè)計的互信特點,AS能夠通告其不擁有的IP(Internet Protocol,互聯(lián)網(wǎng)協(xié)議)前綴,即通告非法路由。若無監(jiān)控機制,這些非法通告將大范圍傳播并“污染”更多AS甚至整個互聯(lián)網(wǎng),影響通信的可用性、完整性和保密性。近年來基于最新版本BGPv4(Border Gateway Protocol version 4,邊界網(wǎng)關(guān)協(xié)議版本4)協(xié)議的互聯(lián)網(wǎng)路由泄露、路由劫持等安全事件層出不窮,故障波及范圍大,對國家、運營商、客戶造成了嚴重影響,BGPv4安全缺陷一度被認為是全球互聯(lián)網(wǎng)最嚴重的安全漏洞。

        目前發(fā)生的主要安全事件可分為兩大類:路由泄露和路由劫持。路由泄露典型場景:A是運營商,B是A的客戶且自帶AS,當(dāng)客戶B向上游A宣告路由時,除了發(fā)布自身及下游資源之外,還發(fā)布了其他上游或Peer(例如C)的路由,則可能導(dǎo)致訪問C的互聯(lián)網(wǎng)流量錯誤地穿透A及B再到達C,即發(fā)生路由泄露。路由劫持典型場景:上游A和客戶B,如果B由于錯誤配置或惡意篡改,發(fā)布了不屬于自身AS的IP前綴,從而將訪問該IP前綴的互聯(lián)網(wǎng)流量非法引導(dǎo)至B,則發(fā)生路由劫持。

        圖1列舉了近十年重大的BGP安全事件,這些事件涉及范圍廣,對整個互聯(lián)網(wǎng)的可用性和穩(wěn)定性都造成了不同程度的影響。

        圖1 近十年重大BGP安全事件

        基于對國際BGP路由安全事件的跟蹤與分析,本文提出互聯(lián)網(wǎng)域間路由安全智能管控解決方案,通過路由數(shù)據(jù)庫建模及在線關(guān)聯(lián)分析,實現(xiàn)對路由泄露、路由劫持(含錯誤路由事件)的實時監(jiān)測,并進一步實施策略控制避規(guī)安全風(fēng)險,逐步建設(shè)自動閉環(huán)管理的互聯(lián)網(wǎng)域間路由智能管控能力,為促進綠色安全互聯(lián)網(wǎng)環(huán)境的建立提供理論與實踐意義的參考。

        2 域間路由安全智能管控方案概述

        圖2是域間路由(BGP)安全智能管控方案示意圖,由防偽認證信息庫、路由策略分析監(jiān)測、路由智能管控3個功能模塊組成,對接收及發(fā)布的BGP路由進行合法合規(guī)性監(jiān)測與控制,3個模塊可獨立工作,也可整合聯(lián)動形成域間路由安全智能管控系統(tǒng)從而實現(xiàn)對域間路由的自動可控管理。

        互聯(lián)網(wǎng)路由防偽認證信息庫:基于網(wǎng)絡(luò)自有IP地址/路由庫以及IRR(Internet routing registry,互聯(lián)網(wǎng)路由注冊)、ROA(route origin authorization,路由起源授權(quán))等路由信息庫進行多維數(shù)據(jù)采集建模,構(gòu)建具有防偽認證意義的關(guān)系型全球路由數(shù)據(jù)庫。

        圖2 域間路由安全智能管控方案示意圖

        路由策略分析監(jiān)測:開展基于目標(biāo)策略驅(qū)動的路由實時在線動態(tài)監(jiān)測,利用防偽認證信息庫進行路由及策略比對,分析識別不合規(guī)的AS以及非法發(fā)布的路由前綴,從而及時發(fā)現(xiàn)路由泄露與路由劫持并提示告警。

        路由智能管控:基于路由策略分析監(jiān)測的告警信息,進一步通過路由智能管控模塊以黑白名單形式過濾非法路由,從而保證域間路由安全。

        3 防偽認證信息庫建模

        路由注冊(routing registries)是指公有AS所有者主動將自己的路由信息、路由策略信息注冊到公共數(shù)據(jù)庫以便于數(shù)據(jù)的全球化共享查詢。目前被廣泛使用的分布式路由注冊數(shù)據(jù)庫是IRR,其數(shù)據(jù)庫信息來源于AFRINIC(Africa Internet Network Information Center,非洲互聯(lián)網(wǎng)絡(luò)信息中心)、RIPE NCC(RIPE Network Coordination Centre,歐洲IP網(wǎng)絡(luò)資源協(xié)調(diào)中心)、NTT(Nippon Telegraph &Telephone,日本電報電話公司)、Level3、RADB(Routing asset database,路由資產(chǎn)數(shù)據(jù)庫)等組織,IRR提供了一種全球網(wǎng)絡(luò)注冊路由及策略信息并基于此驗證BGP宣告內(nèi)容正確性的方式,具有一定的公信力。

        AS所有者向IRR發(fā)起路由注冊時,主要注冊的object對象包含AS、AS-SET、route/route6 等,其中AS對象包括AS號與歸屬團體信息(部分運營商還注冊與其它AS連接與路由通告關(guān)系),AS-SET對象包括AS成員關(guān)系,Route/route6對象描述了IPv4(Internet Protocol version 4,互聯(lián)網(wǎng)協(xié)議版本4)/IPv6(Internet Protocol version 6,互聯(lián)網(wǎng)協(xié)議版本6)Prefix與ASN(Autonomous System Number,自治系統(tǒng)號)之間的對應(yīng)關(guān)系。IRR采用RPSL(routing policy specification language,選路策略規(guī)范語言)作為描述語言,AS所有者根據(jù)與相鄰AS的關(guān)系及傳遞策略描述其網(wǎng)絡(luò)的輸入、輸出策略。其他AS通過查詢IRR數(shù)據(jù)庫,可以鑒別某條路由的起源屬性,還可以驗證該路由的宣告是否違反了AS之間的路由策略,因此可作為發(fā)生路由泄露和路由劫持的關(guān)鍵判斷依據(jù)。

        IRR目前在互聯(lián)網(wǎng)運營商中廣泛采用,但其自主自愿注冊原則無法保證數(shù)據(jù)的完整性,同時由于缺乏認證與授權(quán)措施,數(shù)據(jù)容易遭到篡改,無法保證數(shù)據(jù)的準(zhǔn)確性,完整性與準(zhǔn)確性的缺失制約了IRR在防止路由泄露與劫持方面的應(yīng)用。

        相比于IRR,ROA信息庫則是基于PKI(public key infrastructure,公鑰基礎(chǔ)設(shè)施)公鑰體系、對IP路由前綴Prefix與AS號對應(yīng)關(guān)系進行數(shù)字簽名認證后建立的數(shù)據(jù)庫,安全可信度較高。RPKI(resource public key infrastructure,資源公鑰基礎(chǔ)設(shè)施)用于證書的發(fā)布以及對路由通告合法性的驗證。ROA認證及證書通過分布式的RPKI證書庫系統(tǒng)(RPKI repository system)實現(xiàn),互聯(lián)網(wǎng)每臺 BGP 路由器都可以從自己所屬的ISP(Internet Service Provider,互聯(lián)網(wǎng)服務(wù)提供商)分發(fā)點進行ROA認證并獲取證書。由于目前RPKI無法在增強安全與降低開銷及部署難度方面取得平衡,截止至2019年7月,全球互聯(lián)網(wǎng)70萬路由中僅約12%進行了ROA認證,遠遠無法滿足路由認證需求,也無法完整有效地防御路由泄露與路由劫持。

        防偽認證信息庫的設(shè)計理念,是綜合IRR路由庫完整性以及ROA路由信息安全可靠性的優(yōu)勢,達到完整、準(zhǔn)確、可靠的效果。同時,AS所有者可以進一步融合本網(wǎng)IP地址庫、ROA路由起源認證信息庫、互聯(lián)網(wǎng)路由注冊IRR信息庫等多維度信息,按照不同優(yōu)先級別排序,構(gòu)建屬于自己的路由防偽認證信息庫,如圖3。其中本網(wǎng)/本地IP地址庫是指以AS所有者自身申請的IP地址為基礎(chǔ)建立的本地地址庫。

        圖3 互聯(lián)網(wǎng)路由防偽認證信息庫

        路由防偽認證信息庫可分為兩部分:一個是AS合規(guī)性數(shù)據(jù)庫,基于IRR路由數(shù)據(jù)庫中提取的AS、ASSET、路由注冊信息等建立,主要針對路由泄露場景。另一個是路由歸屬合法性數(shù)據(jù)庫,基于ROA路由起源認證信息庫/RPKI路由認證庫及IRR信息庫中提取的路由認證注冊信息,并疊加本地庫數(shù)據(jù)建立而成,主要針對路由劫持場景。由于全球網(wǎng)絡(luò)路由注冊與變更經(jīng)常發(fā)生,為保證的路由防偽認證信息庫的有效性與準(zhǔn)確性,信息庫需定期與各數(shù)據(jù)庫同步,及時更新路由信息。

        對于路由歸屬合法性數(shù)據(jù)庫,由于采集了多個組織來源的IP路由數(shù)據(jù)庫,可能會存在重復(fù)且沖突的情況?;诳煽啃钥紤],建議AS所有者首先以本地地址庫作為最高可信級別;以ROA路由起源認證信息庫作為第二可信級別;以IRR路由數(shù)據(jù)庫作為更次之的可信級別,目前全球包括RADB及各大NIC(Network Information Center,網(wǎng)絡(luò)信息中心)/ISP等在內(nèi),大概有25個IRR路由注冊數(shù)據(jù)庫,AS所有者可以選擇其中主要的幾個或者全部做鏡像并自定義優(yōu)先級排序,建立自用的IRR信息庫。對于路由歸屬合法性數(shù)據(jù)庫,當(dāng)一個prefix在多個路由數(shù)據(jù)庫中出現(xiàn)沖突(歸屬不同AS)時,將按照“路由歸屬本地庫”→“路由ROA認證庫”→ 排序后的“IRR路由注冊數(shù)據(jù)庫”的查詢順序進行合法性和歸屬關(guān)系驗證。

        4 路由分析監(jiān)測

        基于路由防偽認證信息庫中AS合規(guī)性數(shù)據(jù)庫、路由歸屬合法性數(shù)據(jù)庫,可分析監(jiān)測網(wǎng)絡(luò)中是否出現(xiàn)路由泄露和路由劫持,為進一步實施路由管控策略提供輸入與依據(jù)。如需實現(xiàn)在線監(jiān)測,則將路由分析監(jiān)控模塊加載到網(wǎng)絡(luò)中(例如裝載在服務(wù)器并接入網(wǎng)絡(luò)),作為AS所有者網(wǎng)絡(luò)中的RR(Route Reflector,路由反射器)Client獲取RR反射的路由更新信息,實時跟蹤監(jiān)測網(wǎng)絡(luò)的路由變化。

        4.1 路由泄露監(jiān)測

        裝載了路由分析監(jiān)控模塊(或者整個域間路由安全智能管控系統(tǒng))的服務(wù)器將作為網(wǎng)絡(luò)的RR Client獲取路由信息,提取需監(jiān)測的某個特定AS1的路由條目(只針對網(wǎng)間第一個AS為該AS1的條目),并與合規(guī)性數(shù)據(jù)庫中該AS1已注冊的AS-SET/下游客戶AS-member信息進行比對,判斷條件是收到路由條目AS-PATH的最后一個AS是否包含在該AS1的下游客戶AS-SET中,只允許屬于該AS1本身或其下游客戶AS列表中的路由通過,如AS1發(fā)布了超出上述范圍的路由(視為非合規(guī)路由),則認為發(fā)生路由泄露。域間路由安全智能管控系統(tǒng)可產(chǎn)生路由安全告警、生成異常路由分析報告或者直接過濾(具體管控手段視實際需要設(shè)定)。

        路由分析監(jiān)控模塊需根據(jù)路由防偽認證信息庫及RR反射的路由更新消息及時且自動修正判斷結(jié)果及響應(yīng),維護路由的合規(guī)性。

        4.2 路由劫持監(jiān)測

        路由分析監(jiān)控模塊從RR反射獲取路由信息后,提取需監(jiān)測的某個Prefix的路由關(guān)系:Prefix、Originator、AS-PATH、Origin AS(即AS-PATH中最后一個AS)等信息。隨后針對Prefix,遵循本地庫 → ROA → 排序IRR的次序在路由歸屬合法性數(shù)據(jù)庫中按最優(yōu)最長匹配查詢其對應(yīng)的路由歸屬AS(例如AS2),比對Origin AS與AS2是否一致,一致則表示路由正常,否則提示發(fā)生路由劫持并進一步產(chǎn)生路由安全告警、生成異常路由分析報告或者直接過濾(具體管控手段視實際需要設(shè)定)。

        路由歸屬合法性數(shù)據(jù)庫雖然整合了全球大部分組織的路由數(shù)據(jù)庫,但仍不能達到100%的路由覆蓋,或者新增路由不能實時同步更新,故查詢匹配的結(jié)果除了“正?!薄ⅰ爱惓!保ń俪郑┲?,少量情況下會由于Prrfix在數(shù)據(jù)庫中無法匹配到AS2而出現(xiàn)“未知”狀態(tài),此時需要人工干預(yù)判斷。

        同樣地,路由分析監(jiān)控模塊需根據(jù)路由防偽認證信息庫及RR反射的路由更新消息及時且自動修正判斷結(jié)果,并觸發(fā)響應(yīng)機制(包括告警的撤銷、提示以及路由控制列表的增刪改等)。

        5 路由智能管控

        5.1 建全路由管控機制

        為了營造一個更安全更“干凈”的全球互聯(lián)網(wǎng)絡(luò),主要應(yīng)從兩方面完善路由管控機制:AS所有者應(yīng)保證自身路由合法性,同時不接收不傳遞外來的非法路由。

        一方面,每個AS所有者都應(yīng)該從自身網(wǎng)絡(luò)做起,規(guī)范互聯(lián)網(wǎng)IP地址及路由的注冊和管理機制。AS所有者應(yīng)該自覺、及時地在IRR上進行自有路由的注冊,至少包括route/route6及AS/AS-SETS等信息;條件允許時,尤其是ISP、大型ICP(Internet Content Provider,網(wǎng)絡(luò)內(nèi)容服務(wù)商),建議同時進行ROA路由認證,這已經(jīng)是國際主流互聯(lián)網(wǎng)運營商的發(fā)展趨勢。如AS所有者缺乏路由注冊能力,則建議上游AS協(xié)助其完成路由信息的注冊工作。這對健全、凈化全球互聯(lián)網(wǎng)路由,防范路由安全事故具有重要意義,也是實現(xiàn)BGP路由安全智能管控方案的基礎(chǔ)及關(guān)鍵環(huán)節(jié)。尤其對于ISP及大型ICP來說,應(yīng)考慮將路由注冊工作嵌入業(yè)務(wù)運營及生產(chǎn)流程,并作為日常運維工作看待。

        另一方面,AS所有者還應(yīng)具備路由監(jiān)測管控能力,在網(wǎng)絡(luò)邊緣過濾不合規(guī)不合法的路由,不進一步向互聯(lián)網(wǎng)其他AS擴展。在健全互聯(lián)網(wǎng)路由注冊機制基礎(chǔ)上,完成防偽認證信息庫建模、路由分析監(jiān)測之后,BGP路由安全智能管控方案的最后一個環(huán)節(jié)是針對監(jiān)測結(jié)果進行管控。有條件的AS所有者,可以通過BGP路由安全智能管控系統(tǒng)與網(wǎng)管聯(lián)動方式下發(fā)配置策略到邊緣路由器,直接自動過濾非法路由;在條件不具備、或擔(dān)心誤操作、或需要針對個別AS/Prefix特殊化處理的情況下,可通過告警及報表輸出的方式,由運維人員根據(jù)告警信息進行人工處理。無論哪種方式,目的是不允許非法路由穿透本網(wǎng)并向更遠方擴展。

        5.2 路由控制策略

        AS所有者接收路由時如監(jiān)測到路由泄露或路由劫持,需部署適當(dāng)?shù)穆酚刹呗砸钥刂?過濾非法路由(無論自動或者人工方式)。具體的控制策略可以多種多樣,不一而足,以下給出的示例策略具有一定的通用型,但也僅供參考。

        (1)針對路由泄露的路由控制策略

        對于需要監(jiān)測的對象B,在與其互聯(lián)的端口配置AS黑/白名單,并應(yīng)用到EBGP(External Border Gateway Protocol,外部邊界網(wǎng)關(guān)協(xié)議)import路由策略上,實現(xiàn)基于AS的路由管控。白名單是指根據(jù)B的AS-SET列表里面下游AS member及其遞歸關(guān)系,生成白名單aspath white-list(在路由智能管控模塊中自動完成),并允許白名單上AS的路由通過;黑名單則是根據(jù)路由分析監(jiān)測模塊提交的異常路由警告,針對不在B下游客戶范圍內(nèi)的AS(即B泄露的AS)設(shè)置黑名單as-path black-list,并對黑名單上AS的路由實行封堵。若B未注冊AS-SET信息,為安全起見,建議僅允許B起源的路由前綴通過,并督促/幫助B盡快在IRR上完成路由注冊。

        (2)針對路由劫持的路由控制策略

        針對路由分析監(jiān)測模塊提交的異常路由(路由劫持)IP Prefix 清單,通過配置黑名單方式過濾非法路由,并將其部署應(yīng)用在路由器的EGBP import路由策略上。

        6 應(yīng)用前景

        截止至2019年7月,AFRINIC、LEVEL3、NTTCOM、RISQ等25個IRR路由注冊數(shù)據(jù)庫中已注冊的AS記錄接近6.4萬,已注冊的IPv4地址族路由IP/Prefix記錄接近235萬,IPv6地址族路由IP/Prefix記錄接近21萬,上述記錄為多個數(shù)據(jù)庫累加結(jié)果,有重復(fù)?;贗ANA(The Internet Assigned Numbers Authority,互聯(lián)網(wǎng)數(shù)字分配機構(gòu))RPKI的APNIC(Asia-Pacific Network Information Center,亞太互聯(lián)網(wǎng)絡(luò)信息中心)認證數(shù)據(jù)庫中IPv4記錄接近8萬條,IPv6記錄接近1.5萬條,即目前完成ROA認證的路由只占全球70萬路由的12%。

        在某運營商開展的實驗案例中,基于本地庫及ROA、IRR鏡像建立了IPv4路由歸屬數(shù)據(jù)庫,獲取并整合為全網(wǎng)69.9萬條路由,接近全球路由量。通過對網(wǎng)絡(luò)實際接收路由與路由歸屬數(shù)據(jù)庫的比對分析,記錄某個時間段監(jiān)測到發(fā)生路由劫持10萬條,其中ROA認證異常記錄占8%,IRR注冊異常記錄占58%,剩余34%為未注冊異常記錄,這34%需要人工進一步排查分析。

        從理論分析、現(xiàn)網(wǎng)數(shù)據(jù)和實驗案例來看,本文提出的路由管控方案具有合理性和實用性,并可預(yù)見,隨著注冊認證機制的規(guī)范與普及,本方案對于規(guī)避防范路由安全事件風(fēng)險將會更有效、更全面。

        7 結(jié)束語

        針對BGPv4協(xié)議的互聯(lián)網(wǎng)路由泄露/路由劫持監(jiān)測與防護研究已成為當(dāng)前網(wǎng)絡(luò)安全熱點之一,本文所闡述的域間路由安全智能管控方案綜合考慮IRR路由注冊和ROA認證的優(yōu)勢資源進行建模,并通過黑白名單的方式對路由泄露和路由劫持場景進行管控,從而達到維護鞏固網(wǎng)絡(luò)安全的目的。但由于路由注冊認證尚未在全球范圍內(nèi)強制性要求,因此在實際部署過程中可能會存在漏判誤判的情況。此外,全球路由安全管理機制尚未規(guī)范化,實際應(yīng)用中還需要考慮業(yè)務(wù)、政策、法律等方面的風(fēng)險規(guī)避。但隨著各ISP、大型ICP甚至國家層面對網(wǎng)絡(luò)安全的日益重視,網(wǎng)絡(luò)安全監(jiān)控策略機制也必然會不斷探索中逐步走向成熟并得到推廣應(yīng)用。

        猜你喜歡
        數(shù)據(jù)庫智能
        智能制造 反思與期望
        智能前沿
        文苑(2018年23期)2018-12-14 01:06:06
        智能前沿
        文苑(2018年19期)2018-11-09 01:30:14
        智能前沿
        文苑(2018年17期)2018-11-09 01:29:26
        智能前沿
        文苑(2018年21期)2018-11-09 01:22:32
        智能制造·AI未來
        商周刊(2018年18期)2018-09-21 09:14:46
        數(shù)據(jù)庫
        財經(jīng)(2017年15期)2017-07-03 22:40:49
        數(shù)據(jù)庫
        財經(jīng)(2017年2期)2017-03-10 14:35:35
        數(shù)據(jù)庫
        財經(jīng)(2016年15期)2016-06-03 07:38:02
        數(shù)據(jù)庫
        財經(jīng)(2016年3期)2016-03-07 07:44:46
        免费无码一区二区三区a片百度| 亚洲av色香蕉一区二区三区蜜桃| 亚洲中文字幕高清在线视频一区 | 久久不见久久见免费视频6| 国产精品久久久久久亚洲av| 日韩在线第二页| 八戒网站免费观看视频| 99精品国产在热久久国产乱| 国产在线观看精品一区二区三区| 桃色一区一区三区蜜桃视频| 国内精品久久久久国产盗摄| 欧美大屁股xxxx| 久久天天躁狠狠躁夜夜2020!| 中文字幕一区二区va| 国产日产韩国av在线| 久久精品免费一区二区三区| 欧美成人a在线网站| 骚货人妻视频中文字幕| 无码专区一ⅴa亚洲v天堂| 在线亚洲午夜理论av大片| 91超碰在线观看免费| 国产中文字幕一区二区视频| 国产在热线精品视频| 国产亚洲精久久久久久无码| 91久国产在线观看| 国产特黄a三级三级三中国| 91亚洲国产成人精品一区.| 成人免费xxxxx在线观看| 天天爽夜夜爽人人爽曰喷水| 亚洲日本一区二区在线观看 | 亚洲高清av一区二区| 人妻夜夜爽天天爽三区丁香花 | 亚洲av第一页国产精品| 久久久久99精品国产片| 果冻国产一区二区三区| 自由成熟女性性毛茸茸应用特色 | 久久久99久久久国产自输拍| 日韩一区二区三区人妻免费观看 | 久久精品人妻一区二区三区| 在线不卡中文字幕福利| 成人国产精品一区二区八戒网|