域间路由系统是互联网的关键基础设施。随着网络规模的不断增大,域间路由系统已然成为了复杂巨系统。域间路由系统的控制平面和数据平面存在耦合关系,多条链路失效可能造成其他节点和链路的级联失效,从而导致互联网的可用性下降,甚至整个互联网的崩溃。因此,检测、定位并预测域间路由系统多链路失效对于保障互联网的可靠运行具有重要意义,为此本文首先从域间路由系统安全性度量和威胁分类问题入手,研究多链路失效安全威胁的识别方法;接着在分析单失效链路定位方法不足的基础之上,对多链路失效下的失效链路定位方法开展研究;然后研究域间路由系统级联失效建模与实验环境多仿真规划方法;最后,研究面向级联失效的域间路由系统安全趋势预测方法。本文的主要研究包括:1.针对安全威胁分类中域间路由系统异常状态建模困难的问题,提出了一种基于均值偏离比较矩阵的系统状态模型,通过定性分析系统遭受不同安全威胁时安全性指标的相对变化,对系统的异常状态进行建立定性模型。在此基础之上,综合考虑系统当前状态与系统正常态和特定异常态的相似性,定义威胁指数量化系统的安全性并指示安全威胁的类型。基于SMW-4光缆故障事件和马来西亚路由泄露事件的实验表明,该方法可准确识别多链路失效威胁。2.针对域间路由系统多失效链路定位方法精度不高的问题,提出了一种基于加权统计匹配得分的多失效链路定位方法。在分析级联失效攻击的目标链路选择策略的基础上,对撤销路径包含的失效链路数进行估计,最终使用路径长度的倒数对其进行加权。基于真实网络拓扑的仿真实验表明,该方法相比于目前最优的典型单失效链路定位方法,平均准确率可提高5.45%。3.针对域间路由系统级联失效建模中失效原因单一、因素刻画缺失的问题,提出了一种基于节点/链路混合失效的域间路由系统级联失效模型HCFM。HCFM对节点失效与链路失效的失效条件进行区分,并考虑节点失效与链路失效的相互影响。HCFM可模拟级联失效过程中被分割的网络间UPDATE消息传播受阻和流量消失的现象,相比于经典的CFM模型模拟结果更为合理。混合因素模型和单失效因素模型的对比实验结果表明两种单因素模型之间、混合因素模型与单因素模型之间不存在可替代的关系。4.针对域间路由系统级联失效实验网络构建中多仿真规划方法缺失的问题,提出了一种基于能力度量的实验环境多仿真规划方法。首先基于仿真能力定义逼真度需求,然后给出逼真度需求的可满足判定,最后通过仿真代价最优化求解多仿真方案。基于域间路由系统级联失效实验场景构建的实例分析表明,以该方法求解的仿真方案相比于两种单一仿真方案可在满足逼真度需求的前提下具有最低的资源开销。5.针对域间路由系统安全态势感知中面向级联失效的安全趋势预测研究缺失问题,提出了一种面向级联失效的域间路由系统安全趋势预测方法DLP。该方法建立在复杂系统级联失效变化服从模型规律的认知基础上,通过确定初始的失效链路,运行级联失效模型可提前获知系统未来的状态。以对域间路由系统级联失效各阶段持续时间的分析为基础,开展DLP方法的时间复杂度分析以及性能实验。针对基于HCFM的级联失效范围预测环节复杂度较高带来的耗时过长问题,引入并行化方法减少时间消耗。性能实验表明,在单工作站上运行DLP可在一小时内完成对系统状态的预测,满足防御决策对预测结果的时效性要求。