基于AS-Path混淆的域間路由隱蔽通信方法

王 禹，高繼勛，王旭輝，葛 琳

(1.河南工程學(xué)院 計(jì)算機(jī)學(xué)院，河南 鄭州451191；2.河南工程學(xué)院 工程訓(xùn)練中心，河南 鄭州451191； 3.鄭州航空工業(yè)管理學(xué)院 智能工程學(xué)院， 河南 鄭州 450015)

邊界網(wǎng)關(guān)協(xié)議(border gateway protocol，BGP)作為互聯(lián)網(wǎng)實(shí)際的域間路由協(xié)議已運(yùn)行多年，當(dāng)前路由前綴劫持攻擊(prefix hijacking)、路由泄露(route leak)、分布式拒絕服務(wù)攻擊(distributed denial of service, DDoS)，以及針對(duì)BGP的低速拒絕服務(wù)攻擊(BGP low-rate denial of service,BGP-LDoS)均成為影響互聯(lián)網(wǎng)域間路由系統(tǒng)安全的主要威脅。其中，BGP-LDoS攻擊針對(duì)目標(biāo)域間路由系統(tǒng)區(qū)域，實(shí)施關(guān)鍵路由節(jié)點(diǎn)的監(jiān)測(cè)和判定，之后利用僵尸網(wǎng)絡(luò)對(duì)關(guān)鍵節(jié)點(diǎn)及其周邊節(jié)點(diǎn)進(jìn)行低速拒絕服務(wù)攻擊。為了防范BGP-LDoS攻擊者對(duì)于域間路由系統(tǒng)中自治系統(tǒng)(autonomous system，也稱自治域)通信行為的窺測(cè)，學(xué)者們已開(kāi)展了諸多研究[1-3]。

目前，大多數(shù)研究關(guān)注于如何監(jiān)測(cè)和發(fā)現(xiàn)BGP-LDoS攻擊跡象，屬于被動(dòng)防御范疇，研究往往受到攻擊方案和技術(shù)變化的制約。因此，借鑒主動(dòng)防御的思想，本研究提出了一種基于多域聯(lián)盟的域間路由隱蔽通信(covert communication)技術(shù)，通過(guò)構(gòu)建并維持多自治系統(tǒng)的聯(lián)盟關(guān)系，以協(xié)同配合的方式重新配置對(duì)外Update數(shù)據(jù)包的AS-Path屬性，達(dá)到隱藏聯(lián)盟內(nèi)域間路由通信的目標(biāo)。

1 網(wǎng)絡(luò)隱蔽通信

網(wǎng)絡(luò)隱蔽通信技術(shù)是指在網(wǎng)絡(luò)環(huán)境中利用信息載體的不同特性或模式完成信息的隱蔽傳輸，這一概念自誕生起，其相關(guān)研究逐步涉及信息安全的多個(gè)領(lǐng)域。從最初基于TCP協(xié)議的網(wǎng)絡(luò)隱蔽通道，到基于HTTP報(bào)文的隱蔽通道，甚至還有研究者利用第一人稱射擊網(wǎng)絡(luò)游戲來(lái)承載隱蔽通信[4]，應(yīng)用非常廣泛。

(1)基于動(dòng)態(tài)路由的隱蔽通信技術(shù)[5]是指利用隨機(jī)方式選擇通信的下一跳，使得整個(gè)通信路徑上的節(jié)點(diǎn)均是隨機(jī)抉擇，進(jìn)而規(guī)避了受到潛在攻擊者監(jiān)控和預(yù)測(cè)的風(fēng)險(xiǎn)。

(2)基于多協(xié)議的隱蔽通信技術(shù)[6]是指事先預(yù)備多種通信協(xié)議，將數(shù)據(jù)載荷(payload)經(jīng)過(guò)分片置于多種不同的協(xié)議報(bào)文中，使得第三方難以截獲所有協(xié)議下的全部報(bào)文，從而提高了通信的隱蔽性。

(3)基于調(diào)頻通信的隱蔽通信技術(shù)[7]是指通過(guò)預(yù)先設(shè)定調(diào)頻序列與多種協(xié)議構(gòu)成的隱蔽信道，利用偽隨機(jī)碼生成跳轉(zhuǎn)指令，從而使通信雙方的頻率保持一致，同步在不同協(xié)議下的隱蔽通信中予以轉(zhuǎn)換。

(4)基于多連接的隱蔽通信技術(shù)[8]是指通信雙方事先建立多條活躍的連接，以發(fā)送順序與傳輸模式的不同來(lái)發(fā)送數(shù)據(jù)包，使得該隱蔽通信脫離了固定的信道條件，同時(shí)不涉及特定的統(tǒng)計(jì)特征。

然而，目前仍缺乏針對(duì)域間路由系統(tǒng)中隱蔽通道技術(shù)的研究，需要結(jié)合域間路由系統(tǒng)通信的特點(diǎn)，在不影響自治系統(tǒng)之間正常通信的情況下，建立隱蔽通信模型，從而減少惡意自治系統(tǒng)發(fā)起B(yǎng)GP-LDoS攻擊的可能。

2 Update報(bào)文的AS-Path屬性

BGP即邊界網(wǎng)關(guān)協(xié)議，負(fù)責(zé)在自治系統(tǒng)之間傳遞并選擇最佳路由。BGP協(xié)議包含5種報(bào)文類型：Open、Keepalive、Update、Notification、Route-refresh。其中，若BGP報(bào)文頭中的Type為2，則為Update類型報(bào)文可用于通告路由。Update報(bào)文中的內(nèi)容如圖1所示。

圖1 Update報(bào)文結(jié)構(gòu)Fig.1 Structure of Update

路徑屬性(path attributes)是對(duì)BGP路由的特定描述，是每個(gè)BGP數(shù)據(jù)包的一部分，描述了前綴的路徑信息。BGP路由表中有可能包含到達(dá)同一目的地的多條路由，此時(shí)BGP協(xié)議需要選擇其中一條路由作為最佳路由。

BGP決策進(jìn)程將屬性和所描述的前綴路由結(jié)合在一起，根據(jù)BGP的路由優(yōu)選規(guī)則，對(duì)所有可達(dá)目的的網(wǎng)絡(luò)備選路徑屬性予以比較，經(jīng)過(guò)判定和篩選得到最佳路由，據(jù)此進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，并在該時(shí)間階段將此路由告知其對(duì)等體。

BGP作為一種路徑向量協(xié)議，以自治系統(tǒng)(autonomous system, AS)為節(jié)點(diǎn)，通過(guò)記錄數(shù)據(jù)包的轉(zhuǎn)發(fā)軌跡，形成一個(gè)AS列表。因此，該列表包含了數(shù)據(jù)包從起始AS至終點(diǎn)AS過(guò)程中所經(jīng)過(guò)的所有節(jié)點(diǎn)，BGP路由生成的這一列表被稱為AS-Path序列。

需要注意的是，數(shù)據(jù)包在本地AS內(nèi)傳輸時(shí)，不會(huì)對(duì)AS-Path屬性內(nèi)容做任何修改。當(dāng)數(shù)據(jù)包離開(kāi)本地AS時(shí)，當(dāng)前自治系統(tǒng)編號(hào)(autonomous system number, ASN)會(huì)被自動(dòng)添加到AS-Path序列的最前端位置。任何路由設(shè)備在接收Update數(shù)據(jù)包時(shí)，均會(huì)檢查AS-Path屬性內(nèi)容，倘若該AS-Path序列中含有接收者路由器所在的AS號(hào)，則丟棄這一路由從而避免環(huán)路。此外，路由設(shè)備可以根據(jù)AS-Path的長(zhǎng)度來(lái)制定最佳路由的選取策略。

因此，AS-Path路徑屬性作為公認(rèn)必遵屬性，主要作用為記錄路由沿途所經(jīng)過(guò)的自治系統(tǒng)，BGP對(duì)等體之間傳遞的每條路由都會(huì)攜帶這份AS編號(hào)列表繼續(xù)傳遞和更新路由。

3 基于AS-Path混淆的路由隱蔽

考慮到互聯(lián)網(wǎng)中自治系統(tǒng)間的正常通信需求，為了能夠抵御BGP-LDoS等攻擊對(duì)于關(guān)鍵自治系統(tǒng)節(jié)點(diǎn)的監(jiān)聽(tīng)、分析與判別，借鑒移動(dòng)目標(biāo)防御技術(shù)的主要思想，針對(duì)多自治系統(tǒng)聯(lián)盟的路由行為實(shí)施隱蔽。

首先需要構(gòu)建多自治系統(tǒng)聯(lián)盟框架，以聯(lián)盟為整體單元提升其內(nèi)部路由的隱蔽性，然后依靠聯(lián)盟內(nèi)部各自治系統(tǒng)之間的協(xié)同配合，通過(guò)重新配置聯(lián)盟對(duì)外Update數(shù)據(jù)包的AS-Path屬性，最終達(dá)到迷惑外部潛在攻擊者的目標(biāo)。

3.1 基于社團(tuán)特征的多自治系統(tǒng)聯(lián)盟

諸多研究已經(jīng)證明，互聯(lián)網(wǎng)中的AS級(jí)域間路由系統(tǒng)具有顯著的社團(tuán)特性[9-10]，主要表現(xiàn)如下：社團(tuán)內(nèi)部各組織聯(lián)系緊密，社團(tuán)外部聯(lián)系松散；社團(tuán)內(nèi)AS節(jié)點(diǎn)的地理位置靠近；社團(tuán)內(nèi)AS節(jié)點(diǎn)通常具有較為一致的利益關(guān)系。

張國(guó)強(qiáng)等[11]從社團(tuán)分解的角度，利用CNM算法獲得互聯(lián)網(wǎng)中的多個(gè)社團(tuán)。CAIDA對(duì)2012年1月至8月每日的域間系統(tǒng)路由數(shù)據(jù)進(jìn)行了分析和統(tǒng)計(jì)[12]，依照社團(tuán)特性予以社團(tuán)劃分。其中：這7個(gè)月內(nèi)社團(tuán)模塊度的平均值為0.681，最小值為0.675；在社團(tuán)數(shù)量方面，由于不同時(shí)間段內(nèi)路由的變化，以及AS節(jié)點(diǎn)連接信息采集得不完整，故社團(tuán)數(shù)量出現(xiàn)一定的波動(dòng)，為43～54。綜合上述文獻(xiàn)發(fā)現(xiàn)，60%以上的社團(tuán)規(guī)模小于100個(gè)節(jié)點(diǎn)。

考慮到域間路由系統(tǒng)在AS級(jí)拓?fù)浣Y(jié)構(gòu)上存在典型的社團(tuán)特性，為了更好地應(yīng)對(duì)域間路由系統(tǒng)攻擊，尤其是BGP-LDoS對(duì)于拓?fù)潢P(guān)系的探測(cè)，本研究提出了一種輕量級(jí)的方法，結(jié)合互聯(lián)網(wǎng)中實(shí)際業(yè)務(wù)和商業(yè)利益的需求，將域間路由系統(tǒng)中已經(jīng)具備典型社團(tuán)特性的多個(gè)自治系統(tǒng)組建成面向域間路由安全的自治系統(tǒng)聯(lián)盟(見(jiàn)圖2)，通過(guò)自治系統(tǒng)節(jié)點(diǎn)間的相互配合，對(duì)聯(lián)盟外部路由設(shè)備及節(jié)點(diǎn)隱藏真實(shí)的路由信息，從而提升整個(gè)聯(lián)盟的攻擊抵御能力。

圖2 自治系統(tǒng)聯(lián)盟示例Fig.2 Example of AS alliance

以圖2為例，將本身具有社團(tuán)特征的、編號(hào)為1～10的自治系統(tǒng)組織為聯(lián)盟。假設(shè)該聯(lián)盟的邊界節(jié)點(diǎn)是編號(hào)為1、2、8、9的4個(gè)自治系統(tǒng)，聯(lián)盟外部連接的自治系統(tǒng)包括A、B、C、D、E等。

3.2 AS-Path屬性重配置

正常情況下，AS-Path屬性中包含的序列是有序的，體現(xiàn)了數(shù)據(jù)包通信的整個(gè)過(guò)程，不應(yīng)對(duì)該路徑實(shí)施任何修改或刪除行為，以保護(hù)AS-Path的完整性與無(wú)環(huán)性。然而，有時(shí)網(wǎng)絡(luò)運(yùn)維管理人員為了增加序列的長(zhǎng)度，進(jìn)而影響遠(yuǎn)端路由設(shè)備的路徑選擇，會(huì)刻意添加重復(fù)的AS號(hào)。

針對(duì)域間路由系統(tǒng)中路由行為隱蔽的問(wèn)題，同樣可以參考網(wǎng)絡(luò)運(yùn)維管理人員的方法，通過(guò)重新配置AS-Path列表，對(duì)多自治系統(tǒng)聯(lián)盟外暴露出虛假AS序列，使得外部自治系統(tǒng)，尤其是惡意者，無(wú)法獲知聯(lián)盟內(nèi)部通信的方向，從而掩蓋聯(lián)盟內(nèi)自治系統(tǒng)的拓?fù)潢P(guān)系、關(guān)鍵自治系統(tǒng)的位置、鏈路權(quán)重等重要信息。為了兼顧計(jì)算性能和隱蔽效果，本研究提出了基于AS-Path序列混淆的域間路由系統(tǒng)路由隱蔽方法，通過(guò)對(duì)AS-Path序列的重配置實(shí)現(xiàn)欺騙效果。

目前，眾多混淆算法的核心思想是將有序數(shù)列按照隨機(jī)化的方式重新進(jìn)行排序，其優(yōu)勢(shì)在于計(jì)算復(fù)雜度低、反應(yīng)迅速。結(jié)合已有的混淆算法，本研究提出的面向自治系統(tǒng)聯(lián)盟內(nèi)AS-Path序列混淆算法如下所示：

輸入：原始的真實(shí)AS-Path序列AP_Org；輸出：經(jīng)過(guò)重配置的AS-Path序列AP_Ult。

步驟如下：

①假定原始序列AP_Org的長(zhǎng)度為n，其中AP_Org[0]為首自治系統(tǒng)編號(hào)，AP_Org[n-1]為末端AS編號(hào)，二者不介入混淆；

②復(fù)制AP_Org至AP_Ult，目的是保證之后的操作不改變?cè)夹蛄校?/p>

③將AP_Ult索引為i的AS編號(hào)隨機(jī)覆蓋至索引k處；

④將AP_Org索引為k的AS編號(hào)拷貝至AP_Ult索引i處；

⑤重復(fù)第③～④步驟n-2次，直至所有AS編號(hào)完成初始混淆；

⑥對(duì)AP_Ult中的AS編號(hào)進(jìn)行隨機(jī)丟棄，數(shù)量控制在[1,n/2]。

該算法能夠保持真實(shí)AS-Path路徑的入口和出口，同時(shí)以時(shí)間復(fù)雜度為O(n)、空間復(fù)雜度為O(n)計(jì)算獲得混淆后的序列。為了防止?jié)撛诠粽邔?duì)序列進(jìn)行大量采樣和分析，需要在最后一個(gè)步驟中隨機(jī)缺省若干AS編號(hào)，進(jìn)而提高隱蔽效果。

圖3 基于序列混淆的AS-Path重配置示例Fig.3 Example of AS-Path reconfiguration based on sequence confusion

基于序列混淆的AS-Path重配置示例見(jiàn)圖3。如圖3所示，假如以AS編號(hào)2為流量入口、以AS編號(hào)9為流量出口，該原始AS-Path序列應(yīng)為[2,10,5,3,4,6,7,9]。由于多自治系統(tǒng)聯(lián)盟具有相對(duì)程度的黑箱特性，所以利用上述混淆算法，外圍觀測(cè)者最終得到的AS-Path結(jié)果同真實(shí)的序列在ASN順序和數(shù)量上均不相同。并且，由于隨機(jī)數(shù)的變換，具有相同入口和出口的重配置AS-Path也不盡相同，從而實(shí)現(xiàn)了對(duì)聯(lián)盟外部的隱蔽功能。

4 仿真實(shí)驗(yàn)

4.1 時(shí)間耗費(fèi)測(cè)試

利用基于AS-Path混淆的路由隱蔽算法，生成混淆AS-Path序列，對(duì)聯(lián)盟外攻擊者實(shí)施隱蔽。Avramopoulos等[13]研究表明，多自治域社團(tuán)具有小規(guī)模數(shù)量的特征，以此來(lái)構(gòu)建區(qū)域性域間路由系統(tǒng)聯(lián)盟，能夠較好地滿足通信隱蔽性。

圖4 基于序列混淆的AS-Path屬性重配置計(jì)算時(shí)間Fig.4 Duration of AS-Path reconfiguration based on sequence confusion

在AS-Path序列長(zhǎng)度分別為20、50、100、200、400、600的情況下，計(jì)算100次后的平均混淆計(jì)算時(shí)長(zhǎng)，結(jié)果見(jiàn)圖4。由圖4可知，整體上其耗費(fèi)的時(shí)間呈線性分布，符合預(yù)期的計(jì)算時(shí)間復(fù)雜度O(n)。在上述情況下，僅當(dāng)序列長(zhǎng)度為50時(shí)，計(jì)算時(shí)長(zhǎng)的增長(zhǎng)幅度略微下降，但總體增長(zhǎng)趨勢(shì)非常顯著。

4.2 相似度測(cè)試

為了驗(yàn)證所提基于序列混淆的AS-Path重配置算法的有效性、判別混淆程度和影響，擬利用Levenshtein算法計(jì)算混淆前與混淆后兩個(gè)AS-Path序列的編輯距離，進(jìn)而獲得前后序列之間的相似度。

原始序列記為APs，長(zhǎng)度為m，混淆后序列記為APf，長(zhǎng)度為n，令A(yù)Ps[i]表示原始序列中第i個(gè)ASN，APf[j]表示混淆后序列中第j個(gè)ASN，編輯距離記為Dist(APs,APf)。

利用Levenshtein算法，計(jì)算APs與APf序列的相似度，記為similar(APs,APf)，計(jì)算公式為

(1)

在AS-Path序列長(zhǎng)度分別為20、50、100、200、400、600的情況下，計(jì)算100次后的平均相似度，結(jié)果見(jiàn)圖5。

圖5 基于序列混淆的AS-Path序列相似度比較Fig.5 Similarity comparison of AS-Path based on sequence confusion

由圖5可知，隨著序列長(zhǎng)度的增加，混淆前和混淆后AS-Path的相似度在不斷降低。例如：當(dāng)序列長(zhǎng)度為20時(shí)，混淆100次，得到平均相似度為0.653；當(dāng)序列長(zhǎng)度達(dá)到600時(shí)，運(yùn)行100次得到平均相似度為0.317?？梢缘贸?，混淆后的AS-Path能夠顯著區(qū)別于原始序列。

4.3 方法比較

由上述內(nèi)容可知，基于AS-Path混淆的域間路由隱蔽通信方法(簡(jiǎn)稱APR)針對(duì)原始序列具有較好的相似度差異特性，擬將該方法同已有方法進(jìn)行比較，挖掘其優(yōu)勢(shì)與劣勢(shì)。文獻(xiàn)[14]提出了一種典型的亂序方法RL，可在不同的序列長(zhǎng)度下比較二者的相似度，具體見(jiàn)圖6。

圖6 兩種方法的相似度比較Fig.6 Similarity comparisons between two methods

如圖6所示，當(dāng)AS-Path序列長(zhǎng)度分別為100、200、400、600時(shí)，給出了實(shí)施APR方法和RL方法100次之后的平均相似度值，可以看出：在AS-Path序列較短時(shí)，APR方法計(jì)算的相似度較大，而RL方法計(jì)算的相似度較??；當(dāng)AS-Path序列長(zhǎng)度為100時(shí)，APR方法的相似度為0.53，RL方法的相似度為0.34；隨著AS-Path序列長(zhǎng)度的增加，APR方法的性能優(yōu)勢(shì)逐步顯著。例如，當(dāng)AS-Path序列長(zhǎng)度為600時(shí)，APR方法的相似度為0.317，RL方法的相似度為0.482。

通過(guò)對(duì)兩種方法的比較可知，在AS-Path序列較大的情形下，依據(jù)基于AS-Path混淆的域間路由隱蔽通信方法，同原始序列相比，計(jì)算出的混淆序列具有較低的相似度，能夠滿足對(duì)于聯(lián)盟域外惡意者的偽裝欺騙。

5 結(jié)語(yǔ)

在互聯(lián)網(wǎng)域間路由系統(tǒng)中實(shí)施安全防護(hù)具有較大難度，一方面是由于路由系統(tǒng)本身具備的開(kāi)放特性，攻擊者始終躲在暗處，雙方掌握的信息極其不對(duì)等，另一方面是因?yàn)楣粽吣軌虿捎玫氖侄魏头椒ㄓ佣鄻踊?，能夠利用各種方法不斷嘗試并實(shí)施威脅。由此，以主動(dòng)防御思想為指導(dǎo)，本研究提出了一種基于AS-Path屬性重配置的路由隱蔽方法，在構(gòu)建多自治系統(tǒng)的基礎(chǔ)上，通過(guò)對(duì)AS-Path屬性進(jìn)行重新配置達(dá)到欺騙潛在攻擊者的目標(biāo)，仿真實(shí)驗(yàn)和比較結(jié)果顯示該方案具有較好的效果。