防范路由劫持的协同监测方法

路由劫持是当前internet域间路由系统（bgp）所面临的最严重的安全威胁之一，但目前仍缺乏有效的防护手段.将自治系统（autonomoussystem，简称as）基于bgp路由信息自我发现路由劫持的概率定义为对路由劫持的免疫能力，对该免疫能力进行了建模，并给出了as自我免疫的充分条件和必要条件以及该免疫能力的上界.实验结果发现，80%以上的as对路由劫持完全没有免疫能力，仅不超过0.26%的as具有大于85%的免疫能力.对as免疫过程的进一步分析，揭示了造成as免疫能力低下的提供商栅栏现象——提供商优先选择客户路由，从而阻止了劫持路由向被劫持者的传播.为了克服提供商栅栏，提高as的免疫能力，设计了协同监测机制，并提出了一种计算复杂度较低的启发式协同邻居选取策略.该机制无需修改bgp协议，可增量部署.实验结果表明，仅与25个自治系统进行协同，就可以将对路由劫持的免疫能力提高到高于95%的水平.