面向前缀劫持攻击的网络安全路由选择策略.pdfVIP

摘要 摘 要 前缀劫持攻击(prefix interception attacks)是边界网关协议(BGP)域间路由协议 的重大威胁，但由于prefix interception attacks 在接收到所劫持自治系统(AS)的流 AS 量后会将流量再次发送给正确的源 ，导致了此类型的前缀劫持攻击更隐蔽、 难以被检测。该类型的攻击对于网络的危害极大，是现今BGP 网络安全的研究 热点。 本文研究面向前缀劫持攻击的网络安全路由选择策略，该策略主要分为两部 分：一是基于在线学习的网络安全路由选择策略；二是基于博弈论的网络安全路 由选择策略。该策略针对于前缀劫持攻击进行预防，并根据当前的网络状态选择 一条安全性能较高的路由，该安全路由策略既保障了数据流量的转发，又最大化 地保障了数据流量的安全性。 基于在线学习的网络安全路由选择策略首先评估了自治系统(AS)抵抗前缀劫 持攻击的弹性值与下一跳路由器的历史性能，并将路由器的两个性能指标 弹性( 值和历史性能)相结合从而选择一条安全性能较高的路由。 基于博弈论的网络安全路由选择策略首先利用BGP路由器与前缀劫持攻击之 间的对抗建立了安全检测的博弈框架；其次，利用迭代学习的方法验证了该博弈 模型纳什均衡存在的唯一性；最后，分别对有限次迭代和无限次迭代情况下博弈 模型与纳什均衡之间的关系进行了分析。 基于在线学习的网络安全路由选择策略能够根据当前的网络状态选择安全性 能较高的下一跳路由器，能够保障较短路由的安全性；基于博弈论的网络安全路 由选择策略针对于路由全局进行信息融合，所获得纳什均衡能够保证全局路由的 安全性能最大化。本文的两种方法分别满足不同距离的数据传输安全性需求，该 网络安全路由选择策略通过网络仿真得到了验证，仿真结果显示该路由选择方法 使BGP 路由器拥有更高的安全性能。 关 键 词：前缀劫持攻击；安全路由；路由选择；BGP；AS 论文类型：应用基础研究 选题来源：国家自然科学基金NoNo和No.U1604155 I 目录 目 录 第1章 绪论1 1.1 研究背景与研究意义 1 1.1.1 前缀劫持攻击1 1.1.2 前缀劫持攻击的重要性1 1.1.3 课题研究的目的与意义2 1.2 研究现状3 1.3 本文的研究内容及主要贡献6 1.4 本文的内容安排7 2 第 章 相关工作 9 2.1 前缀劫持攻击模型简介9 2.1.1 直接前缀劫持9 2.1.2 劫持前缀及其AS10 2.1.3 劫持子网前缀12 2.1.4 劫持子网前缀及其AS12 2.1.5 劫持相同长度的前缀13 2.1.6 路径劫持攻击14 2.2 在线学习15 2.3 博弈论17 2.4 本章小结18 3 第 章 基于在线学习的网络安全路由选择策略 21 3.1 一种关于在线学习的安全路由选择方法21 3.2AS抵抗前缀劫持攻击的弹性22