2023基于自治域BGP路由分析的地区网络抗毁性测量报告

概述

互联网已成为人们生活各个方面所依赖的关键基础设施之一。网络安全性作为保证互联网正常通信的基础，其重要性日益提高。目前，国家或区域的网络拓扑受到多方面的安全攻击和威胁，包括各种类型的恶意行为或特定的自然灾害，国家或区域网络可能会变得不可用，或者与互联网断开。

已有大量工作对网络和节点的抗毁性进行了分析。其中，部分工作根据节点的重要性和网络的脆弱点，提出一些量化指标。一些工作通过定义度中心性、介数中心性来表征节点的中心性。许进和王梓行分别提出核与核度、冗余度，表征系统节点的重要性。虽然这些指标具有可比性，但是仅针对复杂网络，并未加入互联网的路由策略。此外，还有针对区域进行横向比较的工作，但是均从某些特殊角度切入。互联网是一个分布自治的网络，目前由近8万个自治域组成。Leyba定义了NCP(National Chokepoint Potential)，通过NCP评估边界AS在区域拓扑的影响力，横向对比了8个区域，并分析了NCP的变化与差异。Alexander研究传输运营商在区域层面的影响力，发现哪些区域的流量更不易被其他区域的传输运营商观察和操控流量，具有更高的安全性。

但是，BGP自治域之间的路由是遵从商业互联关系进行选择的。自治域之间的BGP连接一般有3种商业关系，即提供者和客户（provider to customer，P2C）、客户和提供者（customer to provider, C2P）、个人和个人（peer to peer，P2P）。商业关系决定网络实际通信路径，BGP路由路径的选择遵从无谷原则，即客户不能为提供者提供穿越服务，个人和个人关系也不能提供穿越服务。因此，基于复杂网络的分析方法不能评估基于BGP路由自治域的抗毁性。

为了衡量区域受到不同攻击的整体影响，捕捉区域网络拓扑之间的抗毁性差异，我们提出一种区域抗毁性评估算法，从自治域之间的商业互联关系，以及区域内部和区域外部出发，分析区域内部自身抗毁性和区域之间通信拓扑的抗毁性。基于分层概率采样，多次模拟破坏以逼近真实情况下区域的受破坏情况。实现显著性检验器，分别从整体水平和特殊薄弱点衡量区域受破坏的影响，发现区域之间受破坏情况的差异，计算区域抗毁性排名，并给出其排名和聚类结果。

根据区域抗毁性，对区域进行排名，因此排名方法设计的合理性至关重要。我们借鉴经济、社会等领域进行量化排名的已有工作的思路，以量化和比较为目的，并增加了互联网资源的权重度量等因素，提出区域抗毁性度量，使排名具有多个角度和更大的灵活性。下面具体说明该方法考虑的因素及其合理性。

（1）从整体水平和波动水平的角度共同衡量区域抗毁性。因为通过K-S正态检验发现区域的破坏结果数据服从正态分布，而正态分布仅由均值和方差决定，所以整体水平和波动水平一起能捕捉到正态分布数据完整特性。此外，均值和方差在统计学具有重要地位，也应用于各个方面，如Markowitz均值-方差模型用来求解最优资产配置的比例，从整体水平和波动水平（基尼系数）讨论社会收入。此类工作从不同分析角度出发，评价区域的差异性，对我们的工作具有借鉴意义。

（2）用分层概率破坏模拟破坏结果性。大量的文献在研究网络抗毁性时会使用随机破坏的方法，由于随机模拟的无差异性和宏观性，对各个区域的模拟方法相同，可以使抗毁性比较更具客观性，抗毁性结果更具可比性。我们在进行破坏时充分考虑了事件发生的概率，根据事件发生概率模拟破坏事件，符合互联网运行规律。

（3）区域抗毁性计算包含多种权重的定义，通过定义区域节点的资源权重，衡量不同节点被破坏的差异性。多角度定义的权重支持模型的可扩展性，可以提供多个角度的抗毁性结果，增加说服力，同时让抗毁性结果更加丰富。

（4）聚类并进行分组分析。利用整体水平和波动水平下区域抗毁性的排名，对区域进行聚类分组。聚类算法应用广泛，如构建用户画像、进行恶意流量识别、搜索引擎流量推荐等。通过聚类发现组内区域之间的相似性和组间区域之间的差异性。

方法

图1所示为区域抗毁性的计算流程。对于每个区域，选择重要的AS集合，并计算每个AS的抗毁性采样。通过加权采样，将区域内AS抗毁性采样转换为区域的抗毁性加权采样。最后，通过显著性检验器比较不同区域抗毁性加权采样的差异，得到区域抗毁性度量。

图1 区域抗毁性的计算流程

考虑不同节点在网络中的重要程度、持有的资源比例的不同，以及与不同节点的通信中断对互联网和用户的影响也是不一样的，因此使用节点资源权重衡量节点的重要程度，进一步衡量一次破坏的影响。

对于节点AS_𝑖，分别从3个角度定义该节点的资源权重𝑟_𝑖，即从连通性角度，𝑟_𝑖恒为 1；从用户影响力角度，𝑟_𝑖为AS_i的用户数量；从域名影响力角度，𝑟_𝑖为AS_i的域名重要性度量。

其中，连通性角度默认所有AS的资源权重相同且恒为1，关注的是连通的AS数量。考虑网络中各个AS的用户数量并不相同，从用户影响力角度计算AS在全区域的用户数量。使用前缀顶级列表，将基于域的顶级列表聚合到网络前缀，得到各个AS基于域名重要性的影响度量，作为域名重要性度量。

加权采样的输入为区域中AS抗毁性采样，输出为区域的抗毁性采样。我们将AS的路由影响力作为该AS对应的采样权重。AS_x的路由影响力越高，区域内依赖其通信的AS数量越多，且实际路由中需要经过AS_x进行路由转发的次数越高，AS_x的抗毁性直接影响这些依赖它进行路由转发的AS的连通性。

显著性检验器旨在发现区域抗毁性采样的相对差异，排除随机模拟破坏对抗毁性采样结果造成的波动，发现不同区域抗毁性的真实差异。我们从两个角度出发，设计两个显著性检验器。第一个角度是破坏结果的整体水平，该角度反映多次随机破坏下区域拓扑的受破坏情况，经典的统计量有平均值和中位数。第二个角度是破坏结果的波动程度，波动较大表明存在某些薄弱区域，经典的统计量有方差。

我们分别从整体水平和波动水平实现两个显著性检验器。整体水平下的显著性检验器使用Kruskal-Wallis检验，判断中位数是否具有显著性差异。当具有显著性差异时，使用Steel-Dwass事后检验获得两两比较的结果。波动水平下的显著性检验器使用方差齐性Hartley检验，两两比较区域抗毁性采样，检验两个区域抗毁性采样的方差差值是否有显著性差异。把所有区域排序后可以得到各个区域在整体水平和波动水平的抗毁性度量。由于抗毁性度量为排名结果，我们将区域抗毁性度量称为区域抗毁性排名。区域抗毁性度量不是确定值，而是经过显著性检验器处理后的区域抗毁性的排名。

学术界有很多推测AS关系的工作，大多都公开了推测得到的AS关系。ASRank假设互联网顶层的几个AS形成一个集团，两两之间均建立P2P连接。该工作基于经验提出一些互联网AS的重要特征，如过境度和客户锥体。Problink首次将可解释的概率模型引入AS关系推理，使用通用朴素贝叶斯框架合并多个AS连接，发现有一类连接很难分类。该模型在这类连接上能获得最优的结果。相比AS关系推理的其他工作，Problink在部分应用程序上有更好的性能。Toposcope观察到测量点的偏差和局限，其原因一方面是单个探测点得到的探测数据具有局限性，另一方面是探测点的部署位置是不均匀分布的。该工作使用集成学习和贝叶斯网络来减轻观察偏差，发现相邻连接之间的内在相似性，并推断出无法直接观察到的隐藏连接，以及对应的AS关系。

我们使用上述三个工作的公开结果数据，称为AS Rank、Problink、Toposcope。由于Toposcope发布了推测出的隐藏连接，因此加入这部分连接，称为h-Toposcope。

我们选择48个区域作为评估对象，研究其抗毁性，其中欧洲区域24个、亚洲区域13个、非洲区域2个、北美洲区域3个、南美洲区域4个、大洋洲区域2个。

代码区域如表1所示。

表1代码区域

2022和2023年的抗毁性比较

图2-图49所示为是在ASRank 2022 和2023年拓扑数据集的基础上计算的抗毁性数据累积分布函数（cumulative distribution function，CDF）分布图。可以看出，相对于2022年，大部分地区2023年的抗毁性都有一定提高。

图2 阿根廷的抗毁性CDF图

图3 奥地利的抗毁性CDF图

图4 澳大利亚的抗毁性CDF图

图5 孟加拉的抗毁性CDF图

图6 保加利亚的CDF图

图7 巴西的CDF图

图8 加拿大的抗毁性CDF图

图9 瑞士的抗毁性CDF图

图10 智利的抗毁性CDF图

图11 中国的抗毁性CDF图

图12 哥伦比亚的抗毁性CDF图

图13 捷克的抗毁性CDF图

图14 德国的抗毁性CDF图

图15 丹麦的抗毁性CDF图

图16 西班牙的抗毁性CDF图

图17 芬兰的抗毁性CDF图

图18 法国的抗毁性CDF图

图19 英国的抗毁性CDF图

图20 匈牙利的抗毁性CDF图

图21 印尼的抗毁性CDF图

图22 爱尔兰的抗毁性CDF图

图23 印度的抗毁性CDF图

图24 伊朗的抗毁性CDF图

图25 意大利的抗毁性CDF图

图26 日本的抗毁性CDF图

图27 柬埔寨的抗毁性CDF图

图28 韩国的抗毁性CDF图

图29 卢森堡的抗毁性CDF图

图30 拉脱维亚的抗毁性CDF图

图31 墨西哥的抗毁性CDF图

图32 马来西亚的抗毁性CDF图

图33 尼日利亚的抗毁性CDF图

图34 荷兰的抗毁性CDF图

图35 挪威的抗毁性CDF图

图36 新西兰的抗毁性CDF图

图37 菲律宾的抗毁性CDF图

图38 波兰的抗毁性CDF图

图39 葡萄牙的抗毁性CDF图

图40 罗马尼亚的抗毁性CDF图

图41 俄罗斯的抗毁性CDF图

图42 瑞典的抗毁性CDF图

图43 新加坡的抗毁性CDF图

图44 斯洛伐克的抗毁性CDF图

图45 泰国的抗毁性CDF图

图46 土耳其的抗毁性CDF图

图47 乌克兰的抗毁性CDF图

图48 美国的抗毁性CDF图

图49 南非的抗毁性CDF图

抗毁性排名

在抽样值的基础上，通过显著性检验器，对不同地区的抗毁性进行显著性比较，得到的抗毁性排名如图50图51所示。

图50 2023年整体水平下抗毁性排名

图51 2023年波动水平下抗毁性排名

图52 2022年整体和波动水平下抗毁性排名

图50和图51分别描述整体水平和波动水平下，各个区域的抗毁性排名。排名值越小，区域抗毁性越好，热力图中颜色越红代表着排名值越大，颜色越蓝代表着排名值越小。热力图的横坐标表示48个区域，将区域用区域代码表示，纵坐标表示不同的AS关系数据集和资源权重组合，4个数据集，即AS Rank、Problink、Toposcope、h-Toposcope数据，组合3种资源权重，即连通性（basic）、用户数量（user）、域名（domain）重要性。

图50展示在整体水平下区域抗毁性排名。在12种组合下，美国、巴西、俄罗斯的抗毁性排在前列。图51展示波动水平下的区域抗毁性排名。可以看到，该排名和整体性水平存在相关性但又有一些差异。

图52展示了2022年的抗毁性排名，与2022年相比，德国、印尼、波兰整体水平下抗毁性排名提高，加拿大、阿根廷、乌克兰波动水平下抗毁性排名提高。

综合两个角度下的区域抗毁性度量，对区域进行聚类。取横坐标和纵坐标分别是整体水平（中位数角度）和波动水平（方差角度）,每个类别按照横坐标由小到大排序。图53(a)展示了资源权重为连通性的聚类结果,可以看到类别1、2在两个角度下都表现较好，在整体水平和波动水平下都有较高的抗毁性。类别3、4抗毁性处于中等，类别5、6表现较差，与其他类别相比，该类别区域内部拓扑对随机破坏更敏感，抗毁性较差。

不同资源权重下的结果也有一些区别。图53(b)和图53(c)分别展示了资源权重为用户数量和域名重要性的聚类结果，二者与图53(a)存在一些差异。

图53 区域抗毁性聚类结果

从不同度量下的聚类结果可以看出，超过一半的区域有较高的抗毁性。不同资源权重下区域的排名有些变化，原因是一些区域有部分较脆弱的节点集合，在某些破坏事件下无法连通，但是这些节点集合在用户或者域名方面的影响力很小。从多个资源权重评价是合理且很有意义的，连通性度量更能捕捉网络的差异性，发现网络的轻微变化，但是也会导致一些影响结果的“误判”，无法分辨破坏的真实影响力，增加用户数量、域名重要性作为资源度量可以有效避免该问题。

小结

全球互联网的重要性与日俱增，网络拓扑是互联网通信的基础。我们引入抗毁性的定义，从量化角度评估不同区域网络拓扑的抗毁性，这在互联网成为国家关键基础设施的情况下，具有重要意义。