[发明专利]一种路由安全检测方法和系统

说明书

本发明涉及一种路由安全检测方法和系统，包括：获取路由系统的路由表，路由表包括多个路由项；将路由项的二进制哈希值作为校验值，校验值的位数为n，记校验值的前m位为分桶单元，分桶数M为2^m，校验值的后n‑m位为元数据，统计元数据的前导零数；直到获得路由表中每一个路由项的前导零数，集合每一个路由项的前导零数，并统计其中的最大值作为最大前导零数M_i；根据下式得到基数其中M是指分桶数；M_i是指第i个分桶的前导零数；u是指前导零个数期望，判断基数是否大于预设阈值，若大于则判定路由系统受到攻击，否则判定路由系统运作正常。

技术领域

本发明属于网络安全中路由安全领域，并特别涉及一种路由安全检测方法和系统。

背景技术

计算机网络是计算机技术和通信技术相互融合的产物。经过近40年的发展，特别是20世纪90年代中期以来，网络上的应用日益增多、网络规模迅速增长、网络用户数量急剧增大，互联网正逐步演变成为人类社会的信息基础设施。然而，近年来在互联网的路由系统中发生了多起路由安全事件，这使得人们对互联网路由设施的安全状况甚为担忧，路由系统的安全问题受到工业界和学术界的极大关注。

路由系统是互联网的基础设施和关键支撑，随着网络的广泛部署以及应用和网络结构的日趋庞杂，路由攻击事件大量涌现。例如广泛采用的域间路由协议BGP，由于协议本身缺乏有效的安全机制，无法对自己传递的路由信息提供保护，因此必须信任Internet上的所有边界路由器，而现有的安全方案并不能实际解决路由系统的安全问题，这就导致了各种攻击事件，例如典型的“数字大炮”、“路由DDOS”等针对控制层路由的攻击方法陆续出现，本发明主要针对该类型路由攻击方法提出一种路由安全检测方法和系统。

数字大炮是攻击者利用互联网的结构来进行攻击，通过互联网中核心路由器进行有规律的拒绝服务攻击，引起互联网流量摆动并加剧，导致核心路由器的路由信息频繁抖动，最终导致路由器的CPU、内存等资源被不断更新的路由计算耗尽，控制层面崩溃而宕机，最终使整个互联网陷入瘫痪。DDOS攻击是攻击者利用互联网上巨量的“僵尸”主机对攻击目标发动拒绝服务攻击；路由DDos攻击则是利用了相同原理引起路由信息的频繁更新，致使路由不能快速收敛，进而导致网络设备宕机、拒绝服务的一种攻击方法。

发明内容

为了解决上述技术问题，本发明目的在于提供一种能够在路由器遭受攻击后，实时准确地自动检测并告警的方法。针对当前互联网缺乏源路由合法性验证机制，源发自治系统、网络前缀源、宣告路由器和途径路由路径的真实性和完整性无法验证，本发明提出一种通过现有网络设备采集路由信息来分析确认路由攻击的方法和系统，解决因路由安全而造成路由DDoS、数字大炮攻击、信息的窃听与篡改和网络通信中断等问题。

具体地说，本发明公开了一种1、一种路由安全检测方法，其中包括：

步骤1、实时监测并获取路由系统的路由表，该路由表包括多个路由项；

步骤2、将该路由项的二进制哈希值作为校验值，该校验值的位数为n，记该校验值的前m位为分桶单元，分桶数M为2^m，该校验值的后n-m位为元数据，统计该元数据的前导零数；

步骤3、循环该步骤2，直到获得该路由表中每一个路由项的前导零数，集合每一个路由项的前导零数，并统计其中的最大值作为最大前导零数M_i；

步骤4、根据下式得到基数

其中M是指分桶数；M_i是指第i个分桶的前导零数；u是指前导零个数期望，判断基数是否大于预设阈值，若大于则判定该路由系统受到攻击，否则判定该路由系统运作正常。

所述的路由安全检测方法，其中该步骤1包括：通过链路状态数据库获取数据中心网络内该路由系统的实时路由表。