实验室论文荣获 USENIX Security 2024 杰出论文奖和互联网防御奖

今天为大家介绍一篇清华大学吴建平院士团队的研究论文，论文的第一作者为计算机系博士生陈熠豪，参与老师包括李琦，刘卓涛，徐恪，徐明伟等，论文由清华大学和中国电信合作完成，题目是“语义驱动的互联网路由异常检测系统”（Learning with Semantics: Towards a Semantics-Aware Routing Anomaly Detection System）。该工作录用于国际网络安全四大顶级会议之一的 USENIX Security 2024，并同时获得杰出论文奖（Distinguished Paper Award）和互联网防御奖（Internet Defense Prize）。这是本次大会颁出的唯一的互联网防御奖，也是自 2014 年 USENIX Security 设立互联网防御奖以来首次颁发给中国研究机构及学者的研究成果。同时，这是实验室连续第二年获得该会议杰出论文奖。

Learning with Semantics: Towards a Semantics-Aware Routing Anomaly Detection System

Yihao Chen, Qilei Yin, Qi Li, Zhuotao Liu, Ke Xu, Yi Xu, Mingwei Xu, Ziqian Liu, Jianping Wu

研究背景

域间路由系统是互联网重要的基础设施，是全球互联网互联互通的核心。边界网关协议（BGP）是实质上的域间路由标准，支撑了海量上层应用，对互联网经济乃至国家利益产生直接影响。截至目前，BGP 的部署达到了相当大的规模，其路由表项已逾 96 万条，涵盖超 75,000 个自治系统。

然而，当今互联网面临着 BGP 路由异常带来的严重安全威胁，究其原因是 BGP 协议本身缺乏安全设计，无法保证路由宣告真实性。BGP 路由异常，包括前缀劫持、路径劫持、路由泄露等等，容易造成应用服务中断，产生严重经济损失。比如，知名的加密货币钱包 myetherwallet 的域名服务器就曾遭受 BGP 劫持攻击，导致严重的服务中断。近年来也越来越多地出现了国家级对抗下的 BGP 攻击事件，引发了国际关注。

研究现状

针对 BGP 路由异常防御的研究可分为协议安全拓展和路由异常检测。

协议安全拓展

协议安全拓展通过引入新技术和新机制以加强 BGP 协议的安全性。当前已提出了多种 BGP 协议安全扩展方案，如 BGPsec、psBGP 和 S-BGP，但这些方案尚未得到广泛部署，因而防御效果有限。此外，互联网社区积极推动了 RPKI 的标准化和部署。RPKI 是一种基于密码学证书的路由信息认证机制，可以保障 IP 前缀所有权信息的真实性。然而，RPKI 的有效性仍受到 ROV 部署率的影响，且 RPKI 无法防御路径劫持和路由泄漏。

路由异常监测

路由异常检测通过分析路由数据来及时检测异常。当前已有大量路由异常检测相关研究。然而，现有方法往往依赖于大规模权威配置信息或数据面探测，受限于特定异常类型，且通常需要人工监督才能得出合理的结果。机器学习技术可以自动化路由异常检测，通过识别路由宣告模式来提高检测效率。然而，当前基于机器学习的方法通常依赖于大规模人工标注数据和以及复杂的特征构造，有较高的数据收集和模型更新成本。此外，许多方法通过深度学习提取潜在特征进行分类，产生的结果难以解释，无法为网络运营商提供实际有效的指导。

论文工作：BEAM模型

我们提出了 BEAM（BGP Semantics-Aware Network Embedding），一种 BGP 语义感知的新型网络表示学习模型，来解决 BGP 路由异常检测的问题。BEAM 模型的设计核心在于准确学习互联网中每个自治系统（AS）的路由角色。路由角色是保留 BGP 语义的向量化表示，反映了一个 AS 在其固有路由策略下的核心路由特征。路由异常进而呈现为伴随剧烈路由角色变化的路由变动。具体来说，我们的研究包含以下内容：

图：BEAM 模型架构

定义路由角色：提出了自治系统的路由角色概念，从而有意义且可量化地描述 BGP 路由宣告中的 AS 特性。

构建AS图：利用 CAIDA AS 关系数据集构建了一个 AS 图，该图基于 AS 之间的商业关系，这些关系决定了 AS 如何更新从邻居接收到的路由路径以及如何传播新生成的路由宣告。

设计距离函数：BEAM 设计了两个距离函数来衡量 AS 之间的临近性（proximity）和层次性（hierarchy）。临近性函数用于衡量 AS 之间在直接连接和邻居结构上的相似性，而层次性函数用于量化 AS 之间的在互联网层次上的差异。

优化目标：BEAM 通过一个联合优化目标来同时保持临近性和层次性，使用负采样技术，并利用梯度下降法进行优化。

无监督学习：BEAM 不需要带标注的路由数据或特征工程，而是通过无监督学习的方式来训练模型，降低了数据收集和模型更新的开销。

实现异常检测系统：基于 BEAM 模型，我们实现了一个路由异常检测系统，该系统包括路由监控模块、BEAM 引擎模块和异常检测模块。系统能够实时捕获路由变动，计算路径差异分数，并识别可疑的异常路由变动。系统最终输出聚合后的异常路由事件及根因定位结果，提供可解释的告警报告。

图：检测系统工作流

评估和部署：论文通过在 18 个真实世界的 RouteViews 数据集上进行广泛的性能评估，并在一个大型 ISP 中部署系统一个月，验证了系统的有效性。实验结果表明，系统能够在引入极少误报的情况下检测到所有可确认的路由异常。

我们提出的系统不仅能够自动化、无监督地检测多类 BGP 路由异常，而且能够以可解释的方式提供检测结果，为网络运营商解决路由异常提供了实用的指导。

实验结果

我们通过 3D 可视化展示了 BEAM 学习到的路由角色。整体上，AS 路由角色形成了一个金字塔结构：Tier-1 的 AS 由于其相似的全球转发能力，聚集在顶部，而 Stub AS 则分布在金字塔的底部且更加分散。此外，我们还通过采样的 AS 对来评估路由角色的两两差异。这些结果证实了 BEAM 能够有效捕捉到内在的路由特征。

图：可视化实验结果

我们使用 18 个真实世界的 BGP 路由数据集来分析正常和异常路由变动的路径差异分数。这些数据集包含了从 2008 年到 2021 年的历史路由异常事件。可以看到，异常路由变动的路径差异显著大于合法路由变动的差异。这表明，BEAM 能够通过基于 AS 路由角色的路径差异分数，有效地区分异常和合法的路由变动。

图：合法和异常路由变动的路径差异分数

我们重放了 18 个历史数据集中的路由宣告，以评估系统的检测性能。我们的系统能在数十个告警中检测到全部 18 个可确认的异常，且在其中 6 个数据集上没有产生任何误报，最差情况下仅出现了 5 个误报。相比之下，基线方法不仅漏报了异常，还生成了更多的误报。

图：异常检测实验验证结果

我们还将系统部署在中国电信真实自治系统中进行检测。我们分析了 2023 年 1 月 1 日至 2 月 1 日期间生成的检测结果。在一个月的时间里，系统处理了超过 1.5 亿条实时路由宣告，检测到超过 500 万次路由变动，并最终触发了 548 个告警。我们的系统平均每天识别出约 17.68 次告警。ISP 的领域专家对每个告警进行了验证，发现 548 个告警中有 497 个反映了真实的路由异常。这意味着系统每天平均仅产生 1.65 次误报。这些结果证明了系统在实际环境中检测路由异常的有效性和准确性。

图：中国电信实际部署检测结果

论文原文可以通过“阅读原文”获取，欢迎大家阅读！

http://www.thucsnet.com/wp-content/papers/Sibo_arXiv2024.pdfhttps://www.usenix.org/system/files/sec24summer-prepub-670-chen-yihao.pdf