伴随着社会的发展进步,互联网在人们的日常生活中发挥着越来越重要的作用,大量的应用服务在互联网上迅速推广,为人们的日常生活带来了便利。然而,作为互联网核心基础设施的域间路由系统却缺乏应有的安全机制,近年来发生的多起路由安全事件对互联网的安全稳定造成了严重的冲击,引起了业界的广泛关注。为了保障域间路由系统的安全和稳定,学术界提出了两种解决方案。一种解决方案是设计、开发和部署新的域间路由协议;另一种解决方案是对现行的域间路由系统进行安全监测。设计、开发和部署新的路由安全协议方案需要更新现有路由系统,耗费大量资源,因此没有获得推广应用。域间路由安全监测方案已经得到应用,然而现有的域间路由安全监测系统在方法上存在不足。为了满足国内对域间路由安全监测的迫切需求,我们设计并开发了域间路由安全监测系统。我们所开发的域间路由安全监测系统是基于控制平面进行路由监测,然而该系统在判断准确性、异常验证和遏制异常上仍存在一些不足。本文针对现有域间路由安全监测系统存在的不足,开展了基于多平面的安全监测研究。本文从知识平面、数据平面和管理平面出发,配合控制平面的异常检测,对现有域间路由安全监测系统进行了进一步完善,具体开展了以下工作。1.知识平面上,域间路由安全监测系统知识库在准确度和完善性上存在不足。本文基于系统采集到的路由表数据,提出了基于平方权值的宣告关系知识库构建方法,构建了较为完善的宣告关系知识库。经检验,采用该方法构建的宣告关系知识库准确度较高,易用性较好,并能及时检测发现大规模网络前缀劫持。2.数据平面上,域间路由安全监测系统检测发现了大量的路由异常,然而却缺乏在真实网络中对路由异常进行验证的功能。本文设计了基于traceroute的域间路由异常验证模块,同时针对部分与路径信息紧密相关的异常,采用Google Maps进行了地图展示。通过为系统增加异常验证模块,可以有效提高系统检测路由异常的可信度,并能实现重大路由异常事件的图形化验证。3.管理平面上,域间路由安全监测系统缺乏异常的反馈处理机制,只能将发现的异常通过网络页面展示,等待用户查看。本文实现了路由异常邮件反馈机制,可以将用户关注的异常有选择性地进行推送。本文初步测试了基于路由异常的路由器自动配置模块,该模块可以结合系统发现的路由异常,对控制范围内的路由器进行修复性设置。通过为系统部署异常反馈处理模块,大幅度提高了系统的实用性。本文所做的三个平面上的工作是相辅相成的,彼此构成一个整体。知识平面上构建的知识库可以用于实现异常验证;数据平面上异常验证确认了异常后,系统可以更好地实现管理平面上的异常处理;系统对异常处理结果进行统计分析,可以进一步完善知识平面上的知识库。本文所做的工作已经在我们BGP研究小组研发的域间路由安全监测系统上部署运行。从运行反馈情况上看,基于本文所提出的方法构建的知识库数据较为准确可靠,验证确认的路由异常易于被网络运营商接受,异常反馈方法也得到了网络管理者的认可。