基于多源测量数据的互联网大规模安全事件分类与诊断技术研究

Disruptive network attacks and faults affect the Internet seriously. After disruptive events happen, it is important to identify the types of events and to diagnose the root causes, the impact and the critical participants of events. Nevertheless, previous work only focuses on local networks or depends on sole-source measurement data, which is hardly to achieve a full spectrum view of the Internet behavior. In this project, we will develop accurate, efficient and extendible classification and diagnosis methods for various network attacks and faults, such as prefix hijacking, DDoS, worm, large-scale blackout, cable fault, network censorship and so on. We are going to explore the routing changes with varied characteristics by analyzing the public multi-source measurement data of the Internet to achieve a broad view to network structure and spreading dynamics. Our work will concentrate on the marked differences between different events to identify the ‘gene sequence’ of each event type. By applying this information heuristically, we diagnose the impact and the critical participants which amplify the impact.

大规模安全事件会严重影响互联网的正常运行。在事故发生之后，及时准确地识别事故的类型，诊断事故的起因、影响范围和关键节点具有重要意义。当前，互联网安全事件的检测和诊断多局限于局域网络，信息也多来源于单一的网络监测数据，难以形成全局完整的视图。针对这些不足之处，本项目利用互联网公开的多源测量数据，以路由系统控制平面的变化为主线，综合路由变化的各项属性特征，立足于网络结构和路由更新消息的传播动态性等宏观视角，针对互联网上发生的前缀劫持、DDoS攻击、蠕虫攻击、大规模停电、电缆故障和网络管制等攻击或者故障，研究大规模安全事件对互联网路由系统的影响及其差异性，识别出作为各事件“基因序列”的标识性特征，并以此作为启发式信息，诊断安全事件的影响范围，以及扩大影响范围的关键节点，最终形成准确、快速、可持续的事件分类与诊断系统。

大规模安全事件会严重影响互联网的正常运行，进而影响了与之息息相关的社会生活的方方面面。在事故发生之后，及时而准确地识别事故的类型，诊断事故的起因、影响范围和关键网络节点具有重要意义。当前，互联网安全事件的检测和诊断多局限于局域网络，信息也多来源于单一的网络监测数据，难以形成全局完整的视图。针对这些不足之处，本项目充分利用来源丰富且带有时间标记的互联网测量数据集，以路由系统控制平面的变化信息为主线，与其他层次、粒度的测量数据相关联，从多个维度挖掘大规模安全事件对互联网的影响；针对互联网域内路由系统中存在的Seq++攻击、MaxAge攻击、MaxSeq攻击、虚幻路由器远程假邻接攻击、伪造LSA等攻击形式，开发了基于有限状态机的异常检测方法，能够有效而全面地检测当前OSPF网络可能存在的安全威胁；针对域间路由系统中存在的前缀劫持、子前缀劫持、针对前缀的路径篡改和针对子前缀的路径篡改等攻击形式，开发了基于路由路径幂律性的域间路由异常检测算法，该方法提高了检测效率，提高了检测未知攻击的准确率，并且对于检测大规模路由异常现象（如大量路由泄露）更有优势；通过分析互联网的真实测量数据，研究了2017年8月发生的Google劫持日本网络事件、2019年6月发生的Safe Host公司路由泄露事件、2016年10月发生的针对DNS服务商Dyn的DDoS攻击事件、2017年5月爆发的WannaCry蠕虫病毒攻击事件、2019年3月发生的委内瑞拉大规模停电事件、2010年4月发生的SEA-ME-WE 4电缆的地中海段故障事件、2011年初埃及和利比亚发生的网络管制事件等案例中互联网路由系统呈现的不同特征，并开发检测和诊断技术进行事件的快速检测、故障定位、攻击溯源和要点识别；最后，设计实现了互联网拓扑与路由态势可视化系统，使网络管理人员能够及时、清晰地掌握互联网的拓扑结构和路由态势，预防网络安全事件与网络故障，同时，对已经发生的安全事件和网络故障，能够从宏观视角掌握路由发展态势，诊断事件的起因、影响范围和关键网络节点。