CN104796291B

CN104796291B - 核心路由区域内路由器转发行为规范的检测方法及系统

Info

Publication number: CN104796291B
Application number: CN201510203080.5A
Authority: CN
Inventors: 徐恪; 杨帆; 沈蒙; 陈文龙; 赵有健
Original assignee: Tsinghua University
Current assignee: Tsinghua University
Priority date: 2015-04-27
Filing date: 2015-04-27
Publication date: 2018-05-29
Anticipated expiration: 2035-04-27
Also published as: US20160315846A1; CN104796291A; US9912576B2

Abstract

本发明提供了一种核心路由区域内路由器转发行为规范的检测方法及系统，该方法包括：获取待检测核心路由器直连周边网络设备各端口接收到的数据流，并作为待检测数据流；初始生成数据流状态表，读取并根据数据流状态表对待检测数据流进行匹配检查；若不匹配，则对待检测数据流进行状态探查以生成状态探查结果S(i)；检查数据流状态表是否需要更新，如果是，则执行该状态表更新操作；判断状态探查结果是否为触发状态，如果是，则联合待检测核心路由器各周边网络设备，计算待检测核心路由器转发行为状态r，并根据转发行为状态r判定是否存在转发行为异常，若存在，则产生告警日志结果。该检测方法可以有效检测出路由器是否存在转发行为异常。

Description

核心路由区域内路由器转发行为规范的检测方法及系统

技术领域

本发明涉及计算机技术领域，尤其涉及一种核心路由区域内路由器转发行为规范的检测方法及系统。

背景技术

路由器(Router)，是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。路由器承载着整个网络互联共享、数据分组处理转发、数据流过滤控制等诸多功能，是网络中的核心设备。由于路由器生产商无法保证其提供数据服务的安全性、可靠性可以满足用户需求，使得开放网络传输存在一定的安全隐患。如何保护用户数据经过路由器转发、源端到目的端方向正确且数据载荷内容完整是路由器的可信性检测的重点，也就是说，路由器能否按照用户的期望采取对应的行为是路由器的可信性检测的关键。

目前，对路由器行为可信性研究成为网络安全,特别是路由安全的关注热点。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明第一方面实施例在于提出一种核心路由区域内路由器转发行为规范的检测方法，该方法可有效检测出路由器是否存在转发行为异常。

本发明第二方面实施例在于提出一种核心路由区域内路由器转发行为规范的检测系统。

为了实现上述目的，本发明第一方面实施例的核心路由区域内路由器转发行为规范的检测方法，包括：S1、针对待检测核心路由器，分别获取所述待检测核心路由器直连周边网络设备各端口接收到的数据流，并作为待检测数据流；S2、初始生成数据流状态表，读取并根据所述数据流状态表对所述待检测数据流进行匹配检查；S3、如果所述待检测数据流与所述数据流状态表不匹配，则对所述待检测数据流进行状态探查，通过获取数据流各项特征参数计算出相应状态探查结果S(i)；S4、检查所述数据流状态表是否需要更新，如果需要，则执行该状态表更新操作；S5、判断所述状态探查结果是否为告警触发，如果是，则联合核心路由器各周边网络设备，计算核心路由器转发行为状态r，并最终根据转发行为状态r判定是否存在转发行为异常，若存在，则产生告警日志结果。

根据本发明实施例的核心路由区域内路由器转发行为规范的检测方法，在路由协议工作正常情况下，通过对核心路由器各周边网络设备收发数据流进行状态探查，完成数据流包括输入端口、查询入端口和输出端口等特征参数的判断计算，联合触发核心路由器不规范转发行为告警，该方法可有效检测出路由器是否存在转发行为异常。由于在状态探查过程中考虑了链路故障等原因路由动态变化因素，同时建立了数据流状态表有效减少探查处理次数，保证了本检测方法的可信性和灵活性，该方法可有效检测出路由器是否存在转发行为异常，为监控诊断路由器行为规范提供了重要手段。

为了实现上述目的，本发明第二方面实施例的核心路由区域内路由器转发行为规范的检测系统，包括：采集模块，用于所述核心路由区域内各待检测路由器端口状态P(j)的采集，所述核心路由区域内不同路由器之间可以互为周边网络设备，所有周边网络设备均采用第一方面实施例的检测方法进行接收数据流匹配检测，进而生成转发行为异常的路由器端口状态供采集模块提取；判断模块，用于对所述核心路由区域内每一待检测路由器分别计算转发行为状态r(k)，判断r(k)是否为0，如果不为0，则判定路由器k存在转发行为异常；以及处理模块，用于处理计算所述核心路由区域的转发行为状态R，并根据转发行为状态R判定该区域是否存在转发行为异常，若存在，则产生告警日志结果。

根据本发明实施例的核心路由区域内路由器转发行为规范的检测系统，针对覆盖一个或多个待检测路由器不同场景下规模可扩展的核心路由区域，借助部署各待检测路由器互为周边网络设备的策略，最终能够实现对该核心路由区域的转发行为联合规范性检测，输出异常行为告警结果，进一步提升了本发明的应用效果，同时为增强核心路由区域数据服务可信性提供了有力支撑。

附图说明

图1是根据本发明一个实施例的核心路由区域内路由器转发行为规范的检测方法的执行流程图。

图2是根据本发明一个实施例的核心路由器r1与周边网络设备r2和r3构成的简单拓扑结构及相关信息示意图。

图3是根据本发明一个实施例的核心路由区域中路由器转发行为规范的检测系统的结构示意图。

图4是根据本发明一个实施例的覆盖核心路由器r1、r2、r3和r4的核心路由区域的简单拓扑结构及相关信息示意图。

图5是根据本发明一个实施例的核心路由区域不规范转发行为检测示意图一。

图6是根据本发明一个实施例的核心路由区域不规范转发行为检测示意图二。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参考附图描述本发明实施例的核心路由区域内路由器转发行为规范的检测方法及系统。

图1是根据本发明一个实施例的核心路由区域内路由器转发行为规范的检测方法的执行流程图，需要说明的是，该方法中数据流状态的判断依据与所使用的路由协议有关，在这里我们以路由协议为开放式最短路径优先(Open Shortest Path First，OSPF)为例进行说明，如图1所示，该核心路由区域内路由器转发行为规范的检测方法包括：

S1、针对待检测核心路由器，分别获取待检测核心路由器直连周边网络设备各端口接收到的数据流，并作为待检测数据流。

S2、初始生成数据流状态表，读取并根据所述数据流状态表对所述待检测数据流进行匹配检查。

具体地，初始生成数据流状态表包括六项：源网段地址(源地址)、目的网段地址(目的地址)、输入端口、查询入端口、输出端口和状态探查结果S(i)。其中，源/目的网段地址是指某数据流首个数据分组中，源/目的网段地址二元组对应路由表所属于的网络前缀地址；输入端口是指该数据流输入这一周边网络设备的实际入端口；查询入端口是指如果以该数据流源地址作为逆向目的地址，查询路由表得到的输出端口记为查询入端口；输出端口是指以该数据流目的地址查询路由表后得到的输出端口；状态探查结果S(i)是指该数据流状态探查结果记录，分为S(i)＝0正常状态和S(i)＝1触发状态两种，数据流状态探查结果为正常状态表示路由器不存在异常转发行为。

后续检测直接读取已有数据流状态表，并根据该数据流状态表首先对待检测数据流的源地址、目的地址进行匹配检查，若待检测数据流的上述两项与数据流状态表中某条目的源地址、目的地址均匹配成功，则直接按照数据流状态表该条目中记录的状态探查结果给出待检测数据流的状态探查结果S(i)。

S3、若不匹配，则对待检测数据流进行状态探查，通过获取数据流各项特征参数计算出相应状态探查结果S(i)。

若未匹配成功，即待检测数据流的源地址与数据流状态表中的源网段地址不匹配，或者待检测数据流的目的地址与数据流状态表中的目的网段地址不匹配，或者待检测数据流的源地址和目的地址与数据流状态表中的源网段地址和目的网段地址均不匹配，此时，需要对待检测数据流进行状态探查以生成状态探查结果。

其中，计算状态探查结果S(i)的公式：

初始时f_a＝0,f_b＝1,f_c＝0。

具体地，针对输入的某个数据流，可先获取该数据流首个数据分组的相关信息，包括输入端口、源地址、查询入端口三个字段值，将输入端口值赋给参数x₁，查询入端口值赋给参数x₂；查询路由表的相应表项获得路由器的查询状态，例如，可查询路由器是否由于链路故障等不可达原因在进行路由重算，并将查询状态赋给参数x₃，然后可继续获取该数据流首个数据分组的相关信息，包括目的地址、输出端口两个字段值，将输出端口是否为空状态赋给参数x₄(这里当目的地址查询路由表没有匹配条目，以及匹配条目是逆向路径或者对照默认路由下一跳网关地址属于不同网段情况下输出端口为空)。

在获得参数x₁、x₂、x₃和x₄后，可通过函数f_a(x₁,x₂)判断两个参数x₁与x₂是否相同，若参数x₁与x₂相同，则函数f_a(x₁,x₂)的值等于1，若参数x₁与x₂不相同，则函数f_a(x₁,x₂)的值等于0。对应地，函数表示在满足条件f_a下判断参数x₃是否符合状态b，其中，b表示路由器处于未更新状态，若参数x₃符合状态b，则函数的值等于1，否则函数的值等于0。函数表示在满足条件f_a下判断参数x₄是否符合状态c，其中，c表示输出端口非空，若参数x₄符合状态c，则函数的值等于1，否则函数的值等于0。需要说明的是，当函数的条件f_a不满足情况下，函数代初值f_b＝1进行计算，或者当函数的条件f_a不满足情况下，函数代初值f_c＝0进行计算。

根据上述公式可以计算出待检测数据流的状态探查结果S(i)的取值。

S4、检查数据流状态表是否需要更新，如果需要，则执行该状态表更新操作。

在本发明的实施例中，当出现以下情况时对数据流状态表进行更新：

1)在步骤S3中，除去得到的状态探查结果为f_a＝0且S(i)＝0的情况，其它情况下如果产生了数据流状态表更新条目，对相应新增条目进行存储；2)由于数据流状态表需要与路由表动态变化相同步，如果因链路故障等不可达原因路由表表项更新，数据流状态表中相应的条目应该被删除；3)数据流状态表预设存储条目数达到上限，例如，可将新增条目覆盖匹配频率最低的条目。

S5、判断状态探查结果S(i)是否为触发状态，如果是触发状态，则联合待检测核心路由器各周边网络设备，计算待检测核心路由器转发行为状态r，并最终根据转发行为状态r判定是否存在转发行为异常，若存在异常，则产生告警日志结果，并输出告警日志结果。

其中，计算核心路由区域中核心路由器的转发行为状态r的公式为：

其中，p(j)表示该核心路由器所属各端口j(j＝0,1,2,…n)对应的状态，p(j)初始化为0。具体地，在步骤S3中，一旦出现某一周边网络设备产生某待检测数据流状态探查结果S(i)＝1，即为触发状态，那么需要比较该数据流“查询入端口”对应下一跳网关地址字段值与已知待检测核心路由器各端口地址字段值是否相同，若与核心路由器端口j地址相同，将p(j)置为1。联合待检测核心路由器各周边网络设备，计算待检测核心路由器转发行为状态r的值,如果其中则可以确定r≠0，此时，可判定核心路由器存在转发行为异常，产生告警日志结果输出。

本发明实施例的核心路由区域内路由器转发行为规范的检测方法，在路由协议工作正常情况下，通过对核心路由器各周边网络设备收发数据流进行状态探查，完成数据流包括输入端口、查询入端口和输出端口等特征参数的判断计算，联合触发核心路由器不规范转发行为告警，该方法可有效检测出路由器是否存在转发行为异常。由于在状态探查过程中考虑了链路故障等原因路由动态变化因素，同时建立了数据流状态表有效减少探查处理次数，保证了本检测方法的可信性和灵活性，并为监控诊断路由器行为规范提供了重要手段。

下面通过一个具体实施例对单一核心路由器场景下的转发行为规范检测方法的具体过程进行介绍。

假定核心路由器r1与周边网络设备r2和r3构成的简单拓扑结构及相关信息示意图，如图2所示，所使用的路由协议为OSPF(Open Shortest Path First，开放式最短路径优先)，源端S(源地址202.112.7.13)发向目的端D(目的地址168.111.4.23)的数据流经路由协议计算正常转发路径为S→r₁→r₂→D(假设路由双向对称)。若核心路由器r1出现了不符合协议要求的异常转发行为将数据流转发给另一周边网络设备r3，网络设备r3查询路由表后将数据流正常转发给网络设备r2，实现向目的端D的数据传输，那么实际转发路径变化为S→r₁→r₃→r₂→D。针对这种情况具体介绍周边网络设备r2和r3内部路由转发行为规范检测方法的执行过程及联合产生告警日志的过程。

a)网络设备r3

①收到核心路由器r1的1端口发出数据流(源地址202.112.7.13→目的地址168.111.4.23)，将该数据流旁路作为待检测数据流。

②根据数据流状态表对待检测数据流进行匹配检查，当前数据流状态表条目记录见表1，该数据流源地址与数据流状态表已有记录的源网段地址均不匹配，检查失败后转入下步数据流状态探查。

表1 网络设备r3数据流状态表记录表

③数据流状态探查需获取参数x₁、x₂，通过分析该数据流首个数据分组头部字段信息可以获得参数x₁为端口5(这是该数据流在r3的实际入端口)，参数x₂为端口5(查询r3路由表以202.112.7.13为逆向目的地址，其输出端口记为查询入端口是端口5)，计算f_a(x₁,x₂)＝1，再获取参数x₄为端口6非空(查询r3路由表以168.111.4.23为目的地址，输出端口是端口6)，计算因条件f_a＝0不满足取初始值1，综合以上结果完成表达式计算：判断不满足f_a＝0且S(i)＝0后，转入下步数据流状态表更新。

④更新后的数据流状态表条目记录，如表2所示。

表2 网络设备r3数据流状态表记录表

源网段地址	目的网段地址	输入端口	查询入端口	输出端口	告警状态S(i)
						167.111.3.0/24	201.111.6.0/24	7	7	9	0
202.112.7.0/24	168.111.4.0/24	5	5	6	0

该数据流的后续分组到达将会成功匹配最新数据流状态表，不用再进行重复状态探查。

⑤由于该数据流告警状态S(i)＝0不触发告警，检测结束。

b)网络设备r2

①由于收到网络设备r3的6端口发出数据流(源地址202.112.7.13→目的地址168.111.4.23)，将该数据流旁路作为待检测数据流。

②根据数据流状态表对待检测数据流进行匹配检查，当前数据流状态表条目记录见表3，该数据流源地址与数据流状态表已有记录的源网段地址均不匹配，检查失败后转入下步数据流状态探查。

表3 网络设备r2数据流状态表记录表

源网段地址	目的网段地址	输入端口	查询入端口	输出端口	告警状态S(i)
						166.111.2.0/24	200.111.5.0/24	8	8	2	0

③数据流状态探查需获取参数x₁、x₂，分析该数据流首个数据分组头部字段信息，得到参数x₁为端口3，参数x₂为端口2，计算f_a(x₁,x₂)＝0，再获取参数x₃为当前未在进行与该数据流对应路由更新，计算因条件f_a＝0不满足取初始值0，综合以上结果完成表达式计算：

判断不满足f_a＝0且S(i)＝0后，转入下步数据流状态表更新。

④更新后的数据流状态表条目记录，如表4所示。

表4 网络设备r2数据流状态表记录表

源网段地址	目的网段地址	输入端口	查询入端口	输出端口	告警状态S(i)
						166.111.2.0/24	200.111.5.0/24	8	8	2	0
202.112.7.0/24	168.111.4.0/24	3	2	4	1

⑤由于该数据流告警状态S(i)＝1触发告警，查询r2路由表2端口下一跳网关地址与已知核心路由器r1的0端口地址相同，将P₁(0)置为1并输出这一结果。联合核心路由器r1的周边网络设备r2和r3输出的结果，计算核心路由器转发行为状态其中p₁(0)＝1，即r(1)≠0判定核心路由器转发行为异常，产生告警日志结果输出。

为了实现上述实施例，本发明还提出一种核心路由区域内路由器转发行为规范的检测系统。

图3是根据本发明一个实施例的核心路由区域内路由器转发行为规范的检测系统的结构示意图。

如图3所示，该可扩展的核心路由区域内路由器转发行为规范的检测系统包括采集模块10、判断模块20、处理模块30，其中：

采集模块10，用于核心路由区域内各待检测路由器端口状态P(j)的采集，并且核心路由区域内不同路由器之间可以互为周边网络设备，所有周边网络设备均采用如上述实施例检测方法进行接收数据流匹配检测，进而生成转发行为异常的路由器端口状态供采集模块提取；判断模块20用于对核心路由区域内每一待检测路由器分别计算转发行为状态r(k)，判断r(k)是否为0，如果不为0，则判定存在某路由器k转发行为异常，触发处理模块30进一步生成结果；处理模块30用于处理计算核心路由区域的转发行为状态R，并根据转发行为状态R判定该区域是否存在转发行为异常，产生告警日志结果。

具体地，由多个核心路由器构成的核心路由区域内，不同路由器之间互为周边网络设备，并且整个核心路由区域内所有周边网络设备均采用如上述实施例检测方法进行接收数据流匹配检测，一旦出现告警触发将生成某核心路由器k端口j状态值P_k(j)被置为1，上述采集模块10，分别完成各待检测路由器所属端口状态P_k(j)的采集提取，也就是说，采集模块10会采集到某路由器k其P_k(j)＝1的异常值；判断模块20会接收所有采集模块10上报的异常值，分别完成各待检测路由器的转发行为状态r(k)计算，判断r(k)是否为0，如果为0，则表示正常状态路由器不存在异常转发行为，如果不为0，则判定路由器k存在转发行为异常，触发处理模块30进一步产生结果。

其中，计算待检测路由器转发行为状态r(k)的公式为：

初始时r(k)＝0

上述公式中的P_k(j)表示第k个待检测路由器的j端口状态。

在判断模块20上报异常状态后，上述处理模块30接收判断模块20上报的异常状态，处理计算核心路由区域转发行为状态R的值。

其中，计算核心路由区域转发行为状态R的公式为：

初始时R＝0

如果其中则可以确定R≠0，此时，上述处理模块30可判定该核心路由区域(包含m个核心路由器的核心区域)存在转发行为异常，产生告警日志结果。特别说明的是，因为核心路由区域覆盖的待检测核心路由器数目可按需求增加或变化，即核心路由区域支持灵活扩展，且在原有如上述实施例检测系统基础上，通过相应调整采集模块数量，能够实现到新检测系统的平稳过渡。

下面通过一个具体示例对多个核心路由器场景下形成的核心路由区域的转发行为规范检测系统的具体工作过程进行介绍。

假设核心路由器分别为r1、r2、r3和r4形成核心路由区域R，其构成的简单拓扑结构及相关信息示意图，如图4所示。两条数据流分别从源端S发向目的端D正常转发路径为S→r₁→r₂→r₄→D以及从源端S发向目的端E正常转发路径为S→r₁→r₃→r₄→E(假设路由双向对称)。

首先，若核心路由器r1出现了不符合协议要求的异常转发行为，S→D的实际转发路径变化为S→r₁→r₃→r₂→r₄→D(如图5所示)，那么按照上述实施例演示过程，r1端口0对应的状态为P₁(0)＝1并联合产生路由转发行为状态r(1)≠0、即判定核心路由区域转发行为异常，产生标明不规范行为路由器及端口信息(例如标明P₁(0)＝1)的告警日志结果输出。第二，若核心路由器r3出现了不符合协议要求的异常转发行为，S→E实际转发路径变化为S→r₁→r₃→r₂→r₄→E(如图6所示)，同样地r3端口7对应的状态P₃(7)＝1并联合产生路由转发行为状态r(3)≠0、即判定核心路由区域转发行为异常，产生标明不规范行为路由器及端口信息(例如标明P₃(7)＝1)的告警日志结果输出。

本发明实施的核心路由区域中路由器转发行为规范的检测系统，针对覆盖一个或多个待检测路由器不同场景下规模可扩展的核心路由区域，借助部署各待检测路由器互为周边网络设备的策略，最终能够实现对该核心路由区域的转发行为联合规范性检测，输出异常行为告警结果，进一步提升了本发明的应用效果，同时为增强核心路由区域数据服务可信性提供了有力支撑。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims

1.一种核心路由区域内路由器转发行为规范的检测方法，其特征在于，包括以下步骤：

S1、针对待检测核心路由器，分别获取所述待检测核心路由器直连周边网络设备各端口接收到的数据流，并作为待检测数据流；

S2、初始生成数据流状态表，读取并根据所述数据流状态表对所述待检测数据流进行匹配检查；

S3、如果所述待检测数据流与所述数据流状态表不匹配，则对所述待检测数据流进行状态探查，通过获取数据流各项特征参数计算出相应状态探查结果S(i)，其中，所述状态探查结果初始时f_a＝0,f_b＝1,f_c＝0，其中，x₁表示所述待检测数据流首个数据分组的输入端口字段值，x₂表示所述待检测数据流首个数据分组的查询入端口字段值，x₃表示查询所述待检测核心路由器是否存在路由表更新的参数值，x₄表示查询所述待检测核心路由器路由表获得的所述待检测数据流首个数据分组的输出端口是否为空的参数值，函数f_a(x₁,x₂)的功能是比较参数x₁与x₂是否相同，函数的功能是在函数f_a(x₁,x₂)计算结果为0条件下，判断参数x₃是否为不存在路由表更新状态，函数的功能是在函数f_a(x₁,x₂)计算结果为1条件下，判断参数x₄是否为输出端口非空状态；

S4、检查所述数据流状态表是否需要更新，如果需要，则执行该状态表更新操作；以及

S5、判断所述状态探查结果是否为触发状态，如果是，则联合所述待检测核心路由器各周边网络设备，计算所述待检测核心路由器转发行为状态r，并最终根据转发行为状态r判定是否存在转发行为异常，若存在，则产生告警日志结果，其中，当r≠0时判定所述核心路由器存在转发行为异常。

2.如权利要求1所述的核心路由区域内路由器转发行为规范的检测方法，其特征在于，其中，所述数据流状态表包括：源网段地址、目的网段地址、输入端口、查询入端口、输出端口、状态探查结果S(i)。

3.如权利要求1所述的核心路由区域内路由器转发行为规范的检测方法，其特征在于，其中，所述核心路由区域中核心路由器的转发行为状态p(j)表示该核心路由器所属各端口j对应的状态，p(j)初始化为0，且p(j)基于状态探查结果S(i)判断得到，j＝0,1,2,…n。

4.如权利要求1所述的核心路由区域内路由器转发行为规范的检测方法，其中，还包括：

当出现以下情况时对所述数据流状态表进行更新：

1)在所述步骤S3中产生了数据流状态表更新条目，对相应新增条目进行存储；

2)需要与路由表动态变化相同步时；

3)数据流状态表预设存储条目数达到上限时。

5.一种核心路由区域内路由器转发行为规范的检测系统，其特征在于，包括：

采集模块，用于所述核心路由区域内各待检测路由器端口状态P(j)的采集，所述核心路由区域内不同路由器之间可以互为周边网络设备，所有周边网络设备均采用如权利要求1所述检测方法进行接收数据流匹配检测，进而生成转发行为异常的路由器端口状态供采集模块提取；

判断模块，用于对所述核心路由区域内每一待检测路由器分别计算转发行为状态r(k)，判断r(k)是否为0，如果不为0，则判定路由器k存在转发行为异常；以及

处理模块，用于处理计算所述核心路由区域的转发行为状态R，并根据转发行为状态R判定该区域是否存在转发行为异常，若存在，则产生告警日志结果，其中，当R≠0时判定所述核心路由区域存在转发行为异常。

6.如权利要求5所述的核心路由区域内路由器转发行为规范的检测系统，其特征在于，其中，所述核心路由区域内每一待检测路由器各自的转发行为状态P_k(j)表示第k个待检测路由器的j端口状态，初始时r(k)＝0。

7.如权利要求5所述的核心路由区域内路由器转发行为规范的检测系统，其特征在于，其中，所述核心路由区域的转发行为状态初始时R＝0，经处理如果R不为0，则判定所述核心路由区域存在转发行为异常，产生告警日志结果，所述核心路由区域包含m个核心路由器的核心区域。