Despite the robust structure of the Internet, it is still susceptible to disruptive routing updates that prevent network traffic from reaching its destination. Our research shows that BGP announcements that are associated with disruptive updates tend to occur in groups of relatively high frequency, followed by periods of infrequent activity. We hypothesize that we may use these bursty characteristics to detect anomalous routing incidents. In this work, we use manually verified ground truth metadata and volume of announcements as a baseline measure, and propose a burstiness measure that detects prior anomalous incidents with high recall and better precision than the volume baseline. We quantify the burstiness of inter-arrival times around the date and times of four large-scale incidents: the Indosat hijacking event in April 2014, the Telecom Malaysia leak in June 2015, the Bharti Airtel Ltd. hijack in November 2015, and the MainOne leak in November 2018; and three smaller scale incidents that led to traffic interception: the Belarusian traffic direction in February 2013, the Icelandic traffic direction in July 2013, and the Russian telecom that hijacked financial services in April 2017. Our method leverages the burstiness of disruptive update messages to detect these incidents. We describe limitations, open challenges, and how this method can be used for routing anomaly detection.

尽管Internet具有健壮的结构，但它仍然容易受到破坏性路由更新的影响，从而阻止网络流量到达其目的地。我们的研究表明，与破坏性更新相关的BGP公告倾向于以相对较高的频率组出现，随后是不频繁的活动。我们假设我们可以使用这些突发性特征来检测异常路由事件。在这项工作中，我们使用人工验证的地面事实元数据和公告数量作为基准度量，并提出一种突发性度量，以比数量基准更高的召回率和更好的精度来检测以前的异常事件。我们对四次大规模事件的发生日期和时间前后到达时间的突发性进行了量化：2014年4月的Indosat劫机事件，2015年6月的马来西亚电信泄漏，2015年11月的Bharti Airtel Ltd.劫持和2018年11月的MainOne泄漏; 以及导致交通拦截的三个较小规模的事件：2013年2月的白俄罗斯交通方向，2013年7月的冰岛交通方向以及2017年4月劫持金融服务的俄罗斯电信。我们的方法利用破坏性更新消息的突发性来检测这些事件。我们描述了局限性，未解决的挑战以及如何将此方法用于路由异常检测。以及2017年4月劫持金融服务的俄罗斯电信。我们的方法利用破坏性更新消息的突发性来检测这些事件。我们描述了局限性，未解决的挑战以及如何将此方法用于路由异常检测。以及2017年4月劫持金融服务的俄罗斯电信。我们的方法利用破坏性更新消息的突发性来检测这些事件。我们描述了局限性，未解决的挑战以及如何将此方法用于路由异常检测。