CN107302518A - 基于加权相似度的域间路由系统安全状态感知方法和装置 - Google Patents
基于加权相似度的域间路由系统安全状态感知方法和装置 Download PDFInfo
- Publication number
- CN107302518A CN107302518A CN201610235950.1A CN201610235950A CN107302518A CN 107302518 A CN107302518 A CN 107302518A CN 201610235950 A CN201610235950 A CN 201610235950A CN 107302518 A CN107302518 A CN 107302518A
- Authority
- CN
- China
- Prior art keywords
- inter
- safe condition
- collection
- routing system
- mrow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于加权相似度的域间路由系统安全状态感知方法和装置。所述方法包括:获取域间路由系统安全状态特征的数据;生成域间路由系统安全状态的标准特征集;生成域间路由系统安全状态的实时特征集;根据预设的规则,计算实时特征集与标准特征集之间的相似度;根据计算出的相似度,计算实时特征集与标准特征集之间的特征偏差;当计算出的特征偏差小于预设阀值时,判断域间路由系统运行正常。本发明通过自行部署的监测节点获取,也可以从Route Views等公共项目来获取域间路由系统安全状态特征的数据,克服了对异常路由集的完备性的依赖,而且该方法能对域间路由系统的安全状态进行实时判断,实时性强,且判断结果准确性高。
Description
技术领域
本发明涉及域间路由安全监测技术领域,特别涉及一种基于加权相似度的域间路由系统安全状态感知方法和装置。
背景技术
伴随着互联网安全形势的日益严峻,以边界网关协议(Border GatewayProtocol,简称“BGP”)为通信机制、负责整个网络不同自治域间路由信息交换的域间路由系统面临的安全问题也越来越凸显,其中,域间路由系统安全监测方案由于不需要修改原有路由协议,不需要部署覆盖全网的密钥管理基础设施,可以根据用户需求增量式布置监测节点,实现成本低且可扩展性强,并且在仅对少数BGP核心节点实施监测的情况下,即可大幅提高域间路由系统整体的安全性,是目前较为有效且可行的域间路由系统安全解决方案。
现有的域间路由系统安全监测方案大多是对已检测出的异常路由数据集进行融合处理,由此得到域间路由系统的安全状态。显然,这类方法的有效性高度依赖于异常路由集的完备性,而异常路由集的获取本身就是域间路由系统安全监测的难点,其完备性更是无法保证,进而严重影响了此类方法所得结果的可靠性。
发明内容
为了解决现有的域间路由系统安全监测方案监测结果可靠性不高的问题,本发明实施例提供了一种基于加权相似度的域间路由系统安全状态感知方法和装置。所述技术方案如下:
一方面,本发明提供了一种基于加权相似度的域间路由系统安全状态感知方法,所述方法包括:
获取域间路由系统安全状态特征的数据,所述域间路由系统的安全状态特征包括:路由事件发生频度、平均路径长度、以及路径编辑距离;
生成所述域间路由系统安全状态的标准特征集,所述标准特征集为正常运行状态下所述域间路由系统对应的安全状态特征数据的集合;
生成所述域间路由系统安全状态的实时特征集,所述实时特征集为所述域间路由系统的实时安全状态特征数据的集合;
根据预设的规则,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度;
根据计算出的相似度,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差;
当计算出的特征偏差小于预设阀值时,判断所述域间路由系统运行正常。
本发明上述的方法中,所述根据预设的规则,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度,包括:
根据如下公式,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度Sim(I,S):
其中,I均为所述实时特征集,Iij为所述实时特征集I中第j次获取第i个安全状态特征的值,
S均为所述标准特征集,Sij为标准特征集S中第j次获取第i个安全状态特征的值,j为范围为1至m的正整数,m为大于1的正整数,
Wi表示第i个安全状态特征对应的权值,第1个安全状态特征为路由事件发生频度,第2个安全状态特征为平均路径长度,第3个安全状态特征为路径编辑距离。
本发明上述的方法中,初始时,W1=0.4,W2=0.3,W3=0.3;
如果近期发生的异常主要为跨平面攻击,则通过如下方式调整权值:W1``=W1`+Δ,W2``=W2`-Δ/2,W3``=W3`-Δ/2;
如果近期发生的异常主要为基于无效信息的路由攻击,则通过如下方式调整权值:W1``=W1`-Δ,W2``=W2`+Δ/2,W3``=W3`+Δ/2;
其中,W1`、W2`、W3`为调整前采用的权值,W1``、W2``、W3``为调整后被采用的权值,Δ的范围为0至0.4。
本发明上述的方法中,所述根据计算出的相似度,计算实所述域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差,包括:
根据如下公式,计算所述特征偏差Dev(I,S):
Dev(I,S)=1-Sim(I,S)。
本发明上述的方法中,所述方法还包括:
如果判断所述域间路由系统的正常运行,则将所述实时特征集与所述标准特征集进行加权平均处理,得到新的标准特征集。
另一方面,本发明提供了一种基于加权相似度的域间路由系统安全状态感知装置,所述装置包括:
获取模块,用于获取域间路由系统安全状态特征的数据,所述域间路由系统的安全状态特征包括:路由事件发生频度、平均路径长度、以及路径编辑距离;
生成模块,用于生成所述域间路由系统安全状态的标准特征集,所述标准特征集为正常运行状态下所述域间路由系统对应的安全状态特征数据的集合;
所述生成模块,还用于生成所述域间路由系统安全状态的实时特征集,所述实时特征集为所述域间路由系统的实时安全状态特征数据的集合;
计算模块,用于根据预设的规则,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度;
所述计算模块,还用于根据计算出的相似度,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差;
处理模块,用于当计算出的特征偏差小于预设阀值时,判断所述域间路由系统运行正常。
本发明上述的装置中,所述计算模块,还用于根据如下公式,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度Sim(I,S):
其中,I均为所述实时特征集,Iij为所述实时特征集I中第j次获取第i个安全状态特征的值,
S均为所述标准特征集,Sij为标准特征集S中第j次获取第i个安全状态特征的值,j为范围为1至m的正整数,m为大于1的正整数,
Wi表示第i个安全状态特征对应的权值,第1个安全状态特征为路由事件发生频度,第2个安全状态特征为平均路径长度,第3个安全状态特征为路径编辑距离。
本发明上述的装置中,初始时,W1=0.4,W2=0.3,W3=0.3;
如果近期发生的异常主要为跨平面攻击,则通过如下方式调整权值:W1``=W1`+Δ,W2``=W2`-Δ/2,W3``=W3`-Δ/2;
如果近期发生的异常主要为基于无效信息的路由攻击,则通过如下方式调整权值:W1``=W1`-Δ,W2``=W2`+Δ/2,W3``=W3`+Δ/2;
其中,W1`、W2`、W3`为调整前采用的权值,W1``、W2``、W3``为调整后被采用的权值,Δ的范围为0至0.4。
本发明上述的装置中,所述计算模块还用于根据如下公式,计算所述特征偏差Dev(I,S):
Dev(I,S)=1-Sim(I,S)。
本发明上述的装置中,所述处理模块,还用于当判断所述域间路由系统的正常运行时,将所述实时特征集与所述标准特征集进行加权平均处理,得到新的标准特征集。
本发明实施例提供的技术方案带来的有益效果是:
通过获取域间路由系统安全状态特征的数据,该域间路由系统的安全状态特征包括:路由事件发生频度、平均路径长度、以及路径编辑距离,上述安全状态特征既可以通过自行部署的监测节点获取,也可以从Route Views等公共项目得到,大大降低了数据获取的难度,同时也克服了对异常路由集的完备性的依赖,而且该方法通过根据预设的规则,计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度,然后,根据计算出的相似度,计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差,该特征偏差可以用于供管理员判断域间路由系统的安全状态,这样能对域间路由系统的安全状态进行实时判断,实时性强,且判断结果准确性高。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种基于加权相似度的域间路由系统安全状态感知方法流程图;
图2是本发明实施例一提供的一种基于加权相似度的域间路由系统安全状态感知方法流程图;
图3是本发明实施例二提供的一种基于加权相似度的域间路由系统安全状态感知装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明实施例提供了一种基于加权相似度的域间路由系统安全状态感知方法,参见图1,该方法包括:
步骤S11,获取域间路由系统安全状态特征的数据,该域间路由系统的安全状态特征包括:路由事件发生频度、平均路径长度、以及路径编辑距离。
需要说明的是,能够反映域间路由系统的安全状态特征并不仅仅包括上述三个,但是,采用的安全状态特征越多也就意味着安全状态的计算越复杂,所要耗费的时间也越多,考虑到域间路由系统安全状态评估在实时性方面的严格要求,故只采用了上述三个特征。
在本实施例中,更新报文是BGP协议的核心内容,用于向其它路由器宣告路由信息的更新,包括新路由的增添和废旧路由的撤消。在更新报文的所有属性中,AS_PATH是公认必选属性,它用带有顺序的AS号序列来描述AS间的路径或到某个具体NLRI的路由,是反映域间路由系统运行状况及特性的关键信息。AS_PATH的本质就是一个字符串,所以通常采用平均长度和路径编辑距离来度量不同时刻AS_PATH的差异。另外,通过对采集到的大量域间路由历史数据的分析,发现域间路由事件发生频率直接反映域间路由系统的稳定状况,其值越高,域间路由系统越倾向于不稳定状态。因为一旦有节点失效或更优路径被宣告,在域间路由系统内将产生大量的相关BGP更新报文,所以说路由事件发生频率也反映域间路由系统的稳定状况。
在实际应用中,路由事件发生频度(Frequency of Routing Events,简称“FRE”)、平均路径长度(Average Path Length,简称“APL”)以及路径编辑距离(Path Edit Distance,简称“PED”)的数据,既可以通过自行部署的监测节点获取,也可以从Route Views等公共项目得到(具体地,通过对自行部署的监测节点或者Route Views等公共项目采集的原始数据进行统计分析,得到域间路由系统安全状态特征的数据),大大降低了数据获取的难度,同时也克服了对异常路由集的完备性的依赖。
步骤S12,生成域间路由系统安全状态的标准特征集,该标准特征集为正常状态下域间路由系统对应的安全状态特征数据的集合。
在本实施例中,也可以采用矩阵的形式来存储标准特征集S,例如:
其中,Sij为标准特征集S中第j次获取第i个安全状态特征的值(在本实施例中,第1个安全状态特征为FRE,第2个安全状态特征为APL,第3个安全状态特征为PED,在实际应用中上述顺序可以更改,这里不做限制),j的取值范围为1至m的正整数,m为大于1的正整数,其中,m的大小取决于采样的总时间除去采样的时间间隔。
步骤S13,生成域间路由系统安全状态的实时特征集,该实时特征集为域间路由系统的实时安全状态特征数据的集合。
在本实施例中,可以采用矩阵的形式来存储实时特征集I,例如:
其中,Iij为实时特征集I中第j次获取第i个安全状态特征的值(在本实施例中,第1个安全状态特征为FRE,第2个安全状态特征为APL,第3个安全状态特征为PED,在实际应用中上述顺序可以更改,这里不做限制),j的取值范围为1至m的正整数,m为大于1的正整数,其中,m的大小取决于采样的总时间除去采样的时间间隔。需要说明的是,在生成实时特征集I时,如果获取到的安全状态特征的值不够,则可以在相应的位置补零。
步骤S14,根据预设的规则,计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度。
具体,上述步骤S14可以通过如下方式实现:
根据如下公式,计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度:
其中,Sim(I,S)为实时特征集I与标准特征集S之间的相似度,W为上述三个安全状态特征对应的权值集合,Wi为第i个安全状态特征的权值(本实施例中,第1个安全状态特征为FRE,第2个安全状态特征为APL,第3个安全状态特征为PED)。
需要说明的是,采用上述公式可以将相似度的范围控制在0至1的范围内,这样便于后续计算和处理。
进一步地,初始时,W1=0.4,W2=0.3,W3=0.3;
如果近期发生的异常主要为跨平面攻击,则通过如下方式调整权值:W1``=W1`+Δ,W2``=W2`-Δ/2,W3``=W3`-Δ/2;
如果近期发生的异常主要为基于无效信息的路由攻击,则通过如下方式调整权值:W1``=W1`-Δ,W2``=W2`+Δ/2,W3``=W3`+Δ/2;
其中,W1`、W2`、W3`为调整前采用的权值,W1``、W2``、W3``为调整后被采用的权值。
在本实施例中,Δ可以由管理员根据实际需要取值,其取值范围可以为0至0.4。
在本实施例中,通过对三个安全状态特征的数据进行权重修正,可以更准确的反映实时特征集与标准特征集之间的相似度,以保障后续计算结果的准确性。
步骤S15,根据计算出的相似度,计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差,该特征偏差可以用于供管理员判断域间路由系统的安全状态。
在本实施例中,特征偏差Dev(I,S)可以通过如下公式计算:Dev(I,S)=1-Sim(I,S)。
步骤S16,当计算出的特征偏差小于预设阀值时,判断该域间路由系统运行正常。
在实际应用中,该特征偏差可以用于供管理员判断域间路由系统的安全状态,例如:通过特征偏差与预设阀值进行比较,如果特征偏差高于预设阈值,则说明域间路由系统的安全状态较差或者出现异常,需要向管理员发送异常报警;如果特征偏差不高于预设阈值,则说明域间路由系统的安全状态处于正常水平。需要说明的是,关于上述预设阀值的选取,如果管理员对网络发生异常较为敏感,可以取较小阈值,如:0.3;如果管理员只想关注较大规模的异常,则可以选取较大阈值,如:0.5。
参见图2,在本实施例中,如果特征偏差低于上述预设阈值,则执行步骤S17。
步骤S17,如果判断域间路由系统的正常运行,则将实时特征集与标准特征集进行加权平均处理,得到新的标准特征集。
在本实施例中,新的标准特征集S`=(S+I)/2,如果通过特征偏差判断出此时域间路由系统正常运行,则可以根据上述方法来更新标准特征集S,这样可以使得判断结果更加准确可靠。
需要说明的是,该域间路由系统安全状态感知方法可以实时监测域间路由系统的安全状态,可为网络管理员掌握全局网络的运行情况,适时制定、调整合理的路由策略提供量化的数据参考(例如:特征偏差)。因为域间路由系统的安全状态直接反映是否有异常域间路由事件发生,如果域间路由系统的安全状态较差,即表明有异常事件发生,由此网络管理员就可以快速做出反应,调整路由策略。
本发明实施例通过获取域间路由系统安全状态特征的数据,该域间路由系统的安全状态特征包括:路由事件发生频度、平均路径长度、以及路径编辑距离,上述安全状态特征既可以通过自行部署的监测节点获取,也可以从RouteViews等公共项目得到,大大降低了数据获取的难度,同时也克服了对异常路由集的完备性的依赖,而且该方法通过根据预设的规则,计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度,然后,根据计算出的相似度,计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差,该特征偏差可以用于供管理员判断域间路由系统的安全状态,这样能对域间路由系统的安全状态进行实时判断,实时性强,且判断结果准确性高。
实施例二
本发明实施例提供了一种基于加权相似度的域间路由系统安全状态感知装置,参见图3,该装置包括:获取模块10、生成模块20、计算模块30、以及处理模块40。
获取模块10,用于获取域间路由系统安全状态特征的数据,该域间路由系统的安全状态特征包括:路由事件发生频度、平均路径长度、以及路径编辑距离。
需要说明的是,能够反映域间路由系统的安全状态特征并不仅仅包括上述三个,但是,采用的安全状态特征越多也就意味着安全状态的计算越复杂,所要耗费的时间也越多,考虑到域间路由系统安全状态评估在实时性方面的严格要求,故只采用了上述三个特征。
在本实施例中,更新报文是BGP协议的核心内容,用于向其它路由器宣告路由信息的更新,包括新路由的增添和废旧路由的撤消。在更新报文的所有属性中,AS_PATH是公认必选属性,它用带有顺序的AS号序列来描述AS间的路径或到某个具体NLRI的路由,是反映域间路由系统运行状况及特性的关键信息。AS_PATH的本质就是一个字符串,所以通常采用平均长度和路径编辑距离来度量不同时刻AS_PATH的差异。另外,通过对采集到的大量域间路由历史数据的分析,发现域间路由事件发生频率直接反映域间路由系统的稳定状况,其值越高,域间路由系统越倾向于不稳定状态。因为一旦有节点失效或更优路径被宣告,在域间路由系统内将产生大量的相关BGP更新报文,所以说路由事件发生频率也反映域间路由系统的稳定状况。
在实际应用中,路由事件发生频度(Frequency of Routing Events,简称“FRE”)、平均路径长度(Average Path Length,简称“APL”)以及路径编辑距离(Path Edit Distance,简称“PED”)的数据,既可以通过自行部署的监测节点获取,也可以从Route Views等公共项目得到(具体地,通过对自行部署的监测节点或者Route Views等公共项目采集的原始数据进行统计分析,得到域间路由系统安全状态特征的数据),大大降低了数据获取的难度,同时也克服了对异常路由集的完备性的依赖。
生成模块20,用于生成域间路由系统安全状态的标准特征集,该标准特征集为正常状态下域间路由系统对应的安全状态特征数据的集合。
在本实施例中,也可以采用矩阵的形式来存储标准特征集S,例如:
其中,Sij为标准特征集S中第j次获取第i个安全状态特征的值(在本实施例中,第1个安全状态特征为FRE,第2个安全状态特征为APL,第3个安全状态特征为PED,在实际应用中上述顺序可以更改,这里不做限制),j的取值范围为1至m的正整数,m为大于1的正整数,其中,m的大小取决于采样的总时间除去采样的时间间隔。
生成模块20,还用于生成域间路由系统安全状态的实时特征集,该实时特征集为域间路由系统的实时安全状态特征数据的集合。
在本实施例中,可以采用矩阵的形式来存储实时特征集I,例如:
其中,Iij为实时特征集I中第j次获取第i个安全状态特征的值(在本实施例中,第1个安全状态特征为FRE,第2个安全状态特征为APL,第3个安全状态特征为PED,在实际应用中上述顺序可以更改,这里不做限制),j的取值范围为1至m的正整数,m为大于1的正整数,其中,m的大小取决于采样的总时间除去采样的时间间隔。需要说明的是,在生成实时特征集I时,如果获取到的安全状态特征的值不够,则可以在相应的位置补零。
计算模块30,用于根据预设的规则,计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度。
具体地,该计算模块30,用于根据如下公式,计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度:
其中,Sim(I,S)为实时特征集I与标准特征集S之间的相似度,W为上述三个安全状态特征对应的权值集合,Wi为第i个安全状态特征的权值(本实施例中,第1个安全状态特征为FRE,第2个安全状态特征为APL,第3个安全状态特征为PED)。
需要说明的是,采用上述公式可以将相似度的范围控制在0至1的范围内,这样便于后续计算和处理。
进一步地,初始时,W1=0.4,W2=0.3,W3=0.3;
如果近期发生的异常主要为跨平面攻击,则通过如下方式调整权值:W1``=W1`+Δ,W2``=W2`-Δ/2,W3``=W3`-Δ/2;
如果近期发生的异常主要为基于无效信息的路由攻击,则通过如下方式调整权值:W1``=W1`-Δ,W2``=W2`+Δ/2,W3``=W3`+Δ/2;
其中,W1`、W2`、W3`为调整前采用的权值,W1``、W2``、W3``为调整后被采用的权值。
在本实施例中,Δ可以由管理员根据实际需要取值,其取值范围可以为0至0.4。
在本实施例中,通过对三个安全状态特征的数据进行权重修正,可以更准确的反映实时特征集与标准特征集之间的相似度,以保障后续计算结果的准确性。
计算模块30,还用于根据计算出的相似度,计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差,该特征偏差可以用于供管理员判断域间路由系统的安全状态。
在本实施例中,特征偏差Dev(I,S)可以通过如下公式计算:Dev(I,S)=1-Sim(I,S)。
处理模块40,用于当计算出的特征偏差小于预设阀值时,判断该域间路由系统运行正常。
在实际应用中,该特征偏差可以用于供管理员判断域间路由系统的安全状态,例如:通过特征偏差与预设阀值进行比较,如果特征偏差高于预设阈值,则说明域间路由系统的安全状态较差或者出现异常,需要向管理员发送异常报警;如果特征偏差不高于预设阈值,则说明域间路由系统的安全状态处于正常水平。需要说明的是,关于上述预设阀值的选取,如果管理员对网络发生异常较为敏感,可以取较小阈值,如:0.3;如果管理员只想关注较大规模的异常,则可以选取较大阈值,如:0.5。
处理模块40,还用于当判断域间路由系统的正常运行时,将实时特征集与标准特征集进行加权平均处理,得到新的标准特征集。
在本实施例中,新的标准特征集S`=(S+I)/2,如果通过特征偏差判断出此时域间路由系统正常运行,则可以根据上述方法来更新标准特征集S,这样可以使得判断结果更加准确可靠。
本发明实施例通过获取模块获取域间路由系统安全状态特征的数据,该域间路由系统的安全状态特征包括:路由事件发生频度、平均路径长度、以及路径编辑距离,上述安全状态特征既可以通过自行部署的监测节点获取,也可以从Route Views等公共项目得到,大大降低了数据获取的难度,同时也克服了对异常路由集的完备性的依赖,而且该装置通过计算模块,根据预设的规则,计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度,然后,根据计算出的相似度,计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差,该特征偏差可以用于供管理员判断域间路由系统的安全状态,这样能对域间路由系统的安全状态进行实时判断,实时性强,且判断结果准确性高。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是:上述实施例提供的基于加权相似度的域间路由系统安全状态感知装置在实现基于加权相似度的域间路由系统安全状态感知方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的基于加权相似度的域间路由系统安全状态感知装置与基于加权相似度的域间路由系统安全状态感知方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于加权相似度的域间路由系统安全状态感知方法,其特征在于,所述方法包括:
获取域间路由系统安全状态特征的数据,所述域间路由系统的安全状态特征包括:路由事件发生频度、平均路径长度、以及路径编辑距离;
生成所述域间路由系统安全状态的标准特征集,所述标准特征集为正常运行状态下所述域间路由系统对应的安全状态特征数据的集合;
生成所述域间路由系统安全状态的实时特征集,所述实时特征集为所述域间路由系统的实时安全状态特征数据的集合;
根据预设的规则,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度;
根据计算出的相似度,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差;
当计算出的特征偏差小于预设阀值时,判断所述域间路由系统运行正常。
2.根据权利要求1所述的方法,其特征在于,所述根据预设的规则,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度,包括:
根据如下公式,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度Sim(I,S):
<mrow>
<mi>S</mi>
<mi>i</mi>
<mi>m</mi>
<mrow>
<mo>(</mo>
<mi>I</mi>
<mo>,</mo>
<mi>S</mi>
<mo>)</mo>
</mrow>
<mo>=</mo>
<mfrac>
<mn>1</mn>
<mrow>
<mn>1</mn>
<mo>+</mo>
<msqrt>
<mrow>
<munderover>
<mo>&Sigma;</mo>
<mrow>
<mi>i</mi>
<mo>=</mo>
<mn>1</mn>
</mrow>
<mn>3</mn>
</munderover>
<munderover>
<mo>&Sigma;</mo>
<mrow>
<mi>j</mi>
<mo>=</mo>
<mn>1</mn>
</mrow>
<mi>m</mi>
</munderover>
<msub>
<mi>W</mi>
<mi>i</mi>
</msub>
<msup>
<mrow>
<mo>(</mo>
<msub>
<mi>I</mi>
<mrow>
<mi>i</mi>
<mi>j</mi>
</mrow>
</msub>
<mo>-</mo>
<msub>
<mi>S</mi>
<mrow>
<mi>i</mi>
<mi>j</mi>
</mrow>
</msub>
<mo>)</mo>
</mrow>
<mn>2</mn>
</msup>
</mrow>
</msqrt>
</mrow>
</mfrac>
</mrow>
其中,I均为所述实时特征集,Iij为所述实时特征集I中第j次获取第i个安全状态特征的值,
S均为所述标准特征集,Sij为标准特征集S中第j次获取第i个安全状态特征的值,j为范围为1至m的正整数,m为大于1的正整数,
Wi表示第i个安全状态特征对应的权值,第1个安全状态特征为路由事件发生频度,第2个安全状态特征为平均路径长度,第3个安全状态特征为路径编辑距离。
3.根据权利要求2所述的方法,其特征在于,初始时,W1=0.4,W2=0.3,W3=0.3;
如果近期发生的异常主要为跨平面攻击,则通过如下方式调整权值:W1``=W1`+Δ,W2``=W2`-Δ/2,W3``=W3`-Δ/2;
如果近期发生的异常主要为基于无效信息的路由攻击,则通过如下方式调整权值:W1``=W1`-Δ,W2``=W2`+Δ/2,W3``=W3`+Δ/2;
其中,W1`、W2`、W3`为调整前采用的权值,W1``、W2``、W3``为调整后被采用的权值,Δ的范围为0至0.4。
4.根据权利要求2所述的方法,其特征在于,所述根据计算出的相似度,计算实所述域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差,包括:
根据如下公式,计算所述特征偏差Dev(I,S):
Dev(I,S)=1-Sim(I,S)。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
如果判断所述域间路由系统的正常运行,则将所述实时特征集与所述标准特征集进行加权平均处理,得到新的标准特征集。
6.一种基于加权相似度的域间路由系统安全状态感知装置,其特征在于,所述装置包括:
获取模块,用于获取域间路由系统安全状态特征的数据,所述域间路由系统的安全状态特征包括:路由事件发生频度、平均路径长度、以及路径编辑距离;
生成模块,用于生成所述域间路由系统安全状态的标准特征集,所述标准特征集为正常运行状态下所述域间路由系统对应的安全状态特征数据的集合;
所述生成模块,还用于生成所述域间路由系统安全状态的实时特征集,所述实时特征集为所述域间路由系统的实时安全状态特征数据的集合;
计算模块,用于根据预设的规则,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度;
所述计算模块,还用于根据计算出的相似度,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差;
处理模块,用于当计算出的特征偏差小于预设阀值时,判断所述域间路由系统运行正常。
7.根据权利要求6所述的装置,其特征在于,所述计算模块,还用于根据如下公式,计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度Sim(I,S):
<mrow>
<mi>S</mi>
<mi>i</mi>
<mi>m</mi>
<mrow>
<mo>(</mo>
<mi>I</mi>
<mo>,</mo>
<mi>S</mi>
<mo>)</mo>
</mrow>
<mo>=</mo>
<mfrac>
<mn>1</mn>
<mrow>
<mn>1</mn>
<mo>+</mo>
<msqrt>
<mrow>
<munderover>
<mo>&Sigma;</mo>
<mrow>
<mi>i</mi>
<mo>=</mo>
<mn>1</mn>
</mrow>
<mn>3</mn>
</munderover>
<munderover>
<mo>&Sigma;</mo>
<mrow>
<mi>j</mi>
<mo>=</mo>
<mn>1</mn>
</mrow>
<mi>m</mi>
</munderover>
<msub>
<mi>W</mi>
<mi>i</mi>
</msub>
<msup>
<mrow>
<mo>(</mo>
<msub>
<mi>I</mi>
<mrow>
<mi>i</mi>
<mi>j</mi>
</mrow>
</msub>
<mo>-</mo>
<msub>
<mi>S</mi>
<mrow>
<mi>i</mi>
<mi>j</mi>
</mrow>
</msub>
<mo>)</mo>
</mrow>
<mn>2</mn>
</msup>
</mrow>
</msqrt>
</mrow>
</mfrac>
</mrow>
其中,I均为所述实时特征集,Iij为所述实时特征集I中第j次获取第i个安全状态特征的值,
S均为所述标准特征集,Sij为标准特征集S中第j次获取第i个安全状态特征的值,j为范围为1至m的正整数,m为大于1的正整数,
Wi表示第i个安全状态特征对应的权值,第1个安全状态特征为路由事件发生频度,第2个安全状态特征为平均路径长度,第3个安全状态特征为路径编辑距离。
8.根据权利要求7所述的装置,其特征在于,初始时,W1=0.4,W2=0.3,W3=0.3;
如果近期发生的异常主要为跨平面攻击,则通过如下方式调整权值:W1``=W1`+Δ,W2``=W2`-Δ/2,W3``=W3`-Δ/2;
如果近期发生的异常主要为基于无效信息的路由攻击,则通过如下方式调整权值:W1``=W1`-Δ,W2``=W2`+Δ/2,W3``=W3`+Δ/2;
其中,W1`、W2`、W3`为调整前采用的权值,W1``、W2``、W3``为调整后被采用的权值,Δ的范围为0至0.4。
9.根据权利要求7所述的装置,其特征在于,所述计算模块还用于根据如下公式,计算所述特征偏差Dev(I,S):
Dev(I,S)=1-Sim(I,S)。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述处理模块,还用于当判断所述域间路由系统的正常运行时,将所述实时特征集与所述标准特征集进行加权平均处理,得到新的标准特征集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610235950.1A CN107302518B (zh) | 2016-04-15 | 2016-04-15 | 基于加权相似度的域间路由系统安全状态感知方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610235950.1A CN107302518B (zh) | 2016-04-15 | 2016-04-15 | 基于加权相似度的域间路由系统安全状态感知方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107302518A true CN107302518A (zh) | 2017-10-27 |
CN107302518B CN107302518B (zh) | 2020-02-14 |
Family
ID=60137844
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610235950.1A Active CN107302518B (zh) | 2016-04-15 | 2016-04-15 | 基于加权相似度的域间路由系统安全状态感知方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107302518B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110245845A (zh) * | 2019-05-28 | 2019-09-17 | 深圳市德塔防爆电动汽车有限公司 | 一种电动车辆的参数偏差分析方法以及电动车辆 |
WO2020135190A1 (zh) * | 2018-12-28 | 2020-07-02 | 华为技术有限公司 | 一种安全路由识别方法及装置 |
CN113259324A (zh) * | 2021-04-21 | 2021-08-13 | 深圳供电局有限公司 | 数据攻击检测方法、装置、计算机设备和可读存储介质 |
CN115665025A (zh) * | 2022-09-23 | 2023-01-31 | 中国人民解放军63893部队 | 一种域间路由系统关键节点序列检测方法与装置 |
Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101136880A (zh) * | 2007-10-12 | 2008-03-05 | 中兴通讯股份有限公司 | 边界网关支持终端以ip地址形式注册的方法 |
CN101155080A (zh) * | 2006-09-30 | 2008-04-02 | 联想(北京)有限公司 | 一种网络相似域划分和路由信息复用方法 |
CN101917332A (zh) * | 2010-05-24 | 2010-12-15 | 宁波东海蓝帆科技有限公司 | 一种降低消息中间件网络负载的消息传递方法 |
CN102238090A (zh) * | 2011-07-08 | 2011-11-09 | 清华大学 | 匿名通信系统的分组重路由方法 |
CN102253375A (zh) * | 2011-04-02 | 2011-11-23 | 海华电子企业(中国)有限公司 | 雷达多目标数据互联方法 |
CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
US20110320202A1 (en) * | 2010-06-24 | 2011-12-29 | Kaufman John D | Location verification system using sound templates |
EP2403164A1 (fr) * | 2010-07-01 | 2012-01-04 | France Telecom | Procédé et dispositif de détermination d'un risque de coupure d'une fibre optique |
CN102868756A (zh) * | 2012-09-27 | 2013-01-09 | 浙江财经学院 | 一种自组织p2p架构的服务共享方法及其系统 |
CN103297962A (zh) * | 2013-04-27 | 2013-09-11 | 中国科学院计算技术研究所 | 一种基于加密模糊关键字的机会网络路由方法及系统 |
CN103326900A (zh) * | 2013-06-24 | 2013-09-25 | 中国科学院信息工程研究所 | 一种面向虚拟网络的流量回放方法及系统 |
CN103347011A (zh) * | 2013-06-21 | 2013-10-09 | 北京工业大学 | 基于信任机制的Ad hoc网络安全路由方法 |
CN103780430A (zh) * | 2014-01-20 | 2014-05-07 | 华为技术有限公司 | 监控网络设备的方法和装置 |
CN104125209A (zh) * | 2014-01-03 | 2014-10-29 | 腾讯科技(深圳)有限公司 | 恶意网址提示方法和路由器 |
CN104331479A (zh) * | 2014-11-07 | 2015-02-04 | 浪潮通用软件有限公司 | 一种基于相似度计算方法的数据排列方法 |
CN105205394A (zh) * | 2014-06-12 | 2015-12-30 | 腾讯科技(深圳)有限公司 | 用于入侵检测的数据检测方法和装置 |
US20160041070A1 (en) * | 2014-08-05 | 2016-02-11 | 01dB-METRAVIB, Société par Actions Simplifiée | Automatic Rotating-Machine Fault Diagnosis With Confidence Level Indication |
-
2016
- 2016-04-15 CN CN201610235950.1A patent/CN107302518B/zh active Active
Patent Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101155080A (zh) * | 2006-09-30 | 2008-04-02 | 联想(北京)有限公司 | 一种网络相似域划分和路由信息复用方法 |
CN101136880A (zh) * | 2007-10-12 | 2008-03-05 | 中兴通讯股份有限公司 | 边界网关支持终端以ip地址形式注册的方法 |
CN101917332A (zh) * | 2010-05-24 | 2010-12-15 | 宁波东海蓝帆科技有限公司 | 一种降低消息中间件网络负载的消息传递方法 |
US20110320202A1 (en) * | 2010-06-24 | 2011-12-29 | Kaufman John D | Location verification system using sound templates |
EP2403164A1 (fr) * | 2010-07-01 | 2012-01-04 | France Telecom | Procédé et dispositif de détermination d'un risque de coupure d'une fibre optique |
CN102253375A (zh) * | 2011-04-02 | 2011-11-23 | 海华电子企业(中国)有限公司 | 雷达多目标数据互联方法 |
CN102238090A (zh) * | 2011-07-08 | 2011-11-09 | 清华大学 | 匿名通信系统的分组重路由方法 |
CN102271068A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种dos/ddos攻击检测方法 |
CN102868756A (zh) * | 2012-09-27 | 2013-01-09 | 浙江财经学院 | 一种自组织p2p架构的服务共享方法及其系统 |
CN103297962A (zh) * | 2013-04-27 | 2013-09-11 | 中国科学院计算技术研究所 | 一种基于加密模糊关键字的机会网络路由方法及系统 |
CN103347011A (zh) * | 2013-06-21 | 2013-10-09 | 北京工业大学 | 基于信任机制的Ad hoc网络安全路由方法 |
CN103326900A (zh) * | 2013-06-24 | 2013-09-25 | 中国科学院信息工程研究所 | 一种面向虚拟网络的流量回放方法及系统 |
CN104125209A (zh) * | 2014-01-03 | 2014-10-29 | 腾讯科技(深圳)有限公司 | 恶意网址提示方法和路由器 |
CN103780430A (zh) * | 2014-01-20 | 2014-05-07 | 华为技术有限公司 | 监控网络设备的方法和装置 |
CN105205394A (zh) * | 2014-06-12 | 2015-12-30 | 腾讯科技(深圳)有限公司 | 用于入侵检测的数据检测方法和装置 |
US20160041070A1 (en) * | 2014-08-05 | 2016-02-11 | 01dB-METRAVIB, Société par Actions Simplifiée | Automatic Rotating-Machine Fault Diagnosis With Confidence Level Indication |
CN104331479A (zh) * | 2014-11-07 | 2015-02-04 | 浪潮通用软件有限公司 | 一种基于相似度计算方法的数据排列方法 |
Non-Patent Citations (1)
Title |
---|
金莉: "面向多域的安全互操作机制研究", 《中国学术期刊》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020135190A1 (zh) * | 2018-12-28 | 2020-07-02 | 华为技术有限公司 | 一种安全路由识别方法及装置 |
US11388083B2 (en) | 2018-12-28 | 2022-07-12 | Huawei Technologies Co., Ltd. | Secure route identification method and apparatus |
CN110245845A (zh) * | 2019-05-28 | 2019-09-17 | 深圳市德塔防爆电动汽车有限公司 | 一种电动车辆的参数偏差分析方法以及电动车辆 |
CN113259324A (zh) * | 2021-04-21 | 2021-08-13 | 深圳供电局有限公司 | 数据攻击检测方法、装置、计算机设备和可读存储介质 |
CN115665025A (zh) * | 2022-09-23 | 2023-01-31 | 中国人民解放军63893部队 | 一种域间路由系统关键节点序列检测方法与装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107302518B (zh) | 2020-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107302518A (zh) | 基于加权相似度的域间路由系统安全状态感知方法和装置 | |
CN110402573B (zh) | 用于过滤不可能的用户行进指示符的系统 | |
CN103840967B (zh) | 一种电力通信网中故障定位的方法 | |
CN106293892A (zh) | 分布式流计算系统、方法和装置 | |
Hu et al. | Quantitative method for network security situation based on attack prediction | |
CN108900541A (zh) | 一种针对云数据中心sdn安全态势感知系统及方法 | |
US10367838B2 (en) | Real-time detection of abnormal network connections in streaming data | |
CN111586046A (zh) | 一种结合威胁情报和机器学习的网络流量分析方法及系统 | |
Wei et al. | Federated learning empowered end-edge-cloud cooperation for 5G HetNet security | |
CN106778260A (zh) | 攻击检测方法和装置 | |
Li et al. | Research on secure localization model based on trust valuation in wireless sensor networks | |
CN108259202A (zh) | 一种ca监测预警方法和ca监测预警系统 | |
Clark et al. | Secure monitoring of service level agreements | |
CN106209856A (zh) | 基于可信计算的大数据安全态势地图生成方法 | |
Hu et al. | Security risk situation quantification method based on threat prediction for multimedia communication network | |
CN106254137A (zh) | 监管系统的告警根源分析系统及方法 | |
US20190007285A1 (en) | Apparatus and Method for Defining Baseline Network Behavior and Producing Analytics and Alerts Therefrom | |
Jakobson | Extending situation modeling with inference of plausible future cyber situations | |
CN106663040A (zh) | 用于计算机网络业务中的信任异常检测的方法及系统 | |
CN110493043A (zh) | 一种分布式态势感知调用方法和装置 | |
Kanovich et al. | Discrete vs. dense times in the analysis of cyber-physical security protocols | |
Zonouz et al. | EliMet: Security metric elicitation in power grid critical infrastructures by observing system administrators' responsive behavior | |
Evang et al. | Crosslayer network outage classification using machine learning | |
CN110471975A (zh) | 一种物联网态势感知调用方法和装置 | |
Chang et al. | Implementation of ransomware prediction system based on weighted-KNN and real-time isolation architecture on SDN Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |