CN113225194A - 路由异常检测方法、装置及系统、计算机存储介质 - Google Patents

路由异常检测方法、装置及系统、计算机存储介质 Download PDF

Info

Publication number
CN113225194A
CN113225194A CN202010069782.XA CN202010069782A CN113225194A CN 113225194 A CN113225194 A CN 113225194A CN 202010069782 A CN202010069782 A CN 202010069782A CN 113225194 A CN113225194 A CN 113225194A
Authority
CN
China
Prior art keywords
routing
path
target
bgp
historical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010069782.XA
Other languages
English (en)
Other versions
CN113225194B (zh
Inventor
谢于明
赵宇萍
李野
丁善明
王仲宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010069782.XA priority Critical patent/CN113225194B/zh
Priority to PCT/CN2020/112147 priority patent/WO2021147320A1/zh
Publication of CN113225194A publication Critical patent/CN113225194A/zh
Application granted granted Critical
Publication of CN113225194B publication Critical patent/CN113225194B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种路由异常检测方法、装置及系统、计算机存储介质,属于网络技术领域。网络设备在接收到BGP更新消息后,该网络设备确定BGP更新消息对应的BGP路由特征。然后,网络设备向分析设备发送目标路由信息。该目标路由信息中包括BGP路由特征和/或路由异常检测结果。路由异常检测结果基于BGP路由特征得到,该路由异常检测结果用于指示BGP更新消息正常或异常。由于BGP路由特征以及路由异常检测结果与BGP更新消息相比,数据量较小,因此减少了网络设备与分析设备之间的数据传输量,从而降低了网络开销。

Description

路由异常检测方法、装置及系统、计算机存储介质
技术领域
本申请涉及网络技术领域,特别涉及一种路由异常检测方法、装置及系统、计算机存储介质。
背景技术
随着互联网的迅速发展,边界网关协议(Border Gateway Protocol,BGP)网络中的自治系统(autonomous system,AS)节点数量不断扩增,网络拓扑愈加复杂,导致BGP网络中频繁发生异常事件。BGP网络中常见的异常事件包括路由劫持和路由泄露。路由劫持也可称为前缀劫持,是一种网络攻击方式,攻击者非法宣告互联网协议(Internet Protocol,IP)前缀,导致到达原来AS的流量被重定向到攻击者所在的AS,造成路由劫持。路由泄露通常是由于配置错误,导致路由转发策略违反了AS之间的业务关系。例如,一个消费者AS错误地将一个提供者AS的BGP更新(英文:update)消息转发给另一个提供者AS,导致路由泄露。其中,BGP update消息用于通告路由。
目前,通常在云服务中对BGP网络中运行的路由进行异常检测。云服务的路由数据库中存储有BGP网络中全局的IP前缀。云服务实时收集、存储和解析网络设备采集的BGPupdate消息,以跟踪BGP网络中路由的运行状况以及IP前缀的状态,并基于路由数据库的协商一致性,进行路由异常检测。
但是,由于目前云服务需要实时收集BGP网络中各个网络设备采集的BGP update消息,即每当网络设备接收到新的BGP update消息,则需向云服务发送该BGP update消息,云服务与网络设备之间的数据传输量较大,导致网络开销较大。
发明内容
本申请提供了一种路由异常检测方法、装置及系统、计算机存储介质,可以解决目前路由异常检测过程中网络开销较大的问题。
第一方面,提供了一种路由异常检测方法。该方法包括:网络设备接收BGP更新消息。网络设备确定BGP更新消息对应的BGP路由特征。网络设备向分析设备发送目标路由信息。该目标路由信息中包括BGP路由特征和/或路由异常检测结果。路由异常检测结果基于BGP路由特征得到,该路由异常检测结果用于指示BGP更新消息正常或异常。
本申请中,网络设备在接收到BGP路由信息后,确定BGP路由信息对应的BGP路由特征,并向分析设备发送BGP路由特征和/或路由异常检测结果,由于BGP路由特征以及路由异常检测结果与BGP更新消息相比,数据量较小,因此减少了网络设备与分析设备之间的数据传输量,从而降低了网络开销。另外,在网络设备侧对BGP更新消息进行特征提取和/或路由异常检测,减少了分析设备的计算量,节约了分析设备的计算资源。
可选地,网络设备确定BGP更新消息对应的BGP路由特征的过程,包括:网络设备根据BGP更新消息,获取目标路由前缀以及目标AS路径,该目标路由前缀为发布该BGP更新消息的目标源AS宣告的IP前缀,该目标AS路径为从目标源AS到网络设备所在AS的AS路径。网络设备获取携带有目标路由前缀的历史BGP更新消息。网络设备根据历史BGP更新消息,获取历史AS路径。网络设备根据目标AS路径以及历史AS路径,确定BGP路由特征。
网络设备接收到的BGP更新消息中包括发布该BGP更新消息的源AS宣告的IP前缀,以及从源AS到该网络设备所在AS的AS路径,因此,网络设备可以从接收到的BGP更新消息中获取目标AS路径,并从历史BGP更新消息中获取历史AS路径。
网络设备可以在该网络设备存储的历史BGP更新消息中,获取一条或多条携带有目标路由前缀的历史BGP更新消息。网络设备获取的携带有目标路由前缀的历史BGP更新消息的数量可以根据分析设备发送的消息分析配置参数确定。或者,网络设备还可以获取该网络设备中存储的所有携带有目标路由前缀的历史BGP更新消息。
可选地,BGP路由特征包括以下一个或多个:
目标AS路径与历史AS路径的路径相似度;目标AS路径与历史AS路径的霸权相似度,该霸权相似度基于目标AS路径上各个AS的中心度以及历史AS路径上各个AS的中心度确定;目标AS路径上的AS的罕见度,AS的罕见度等于该AS在历史AS路径中的出现次数与历史AS路径的数量的比值;目标AS路径的罕见度,该目标AS路径的罕见度等于目标AS的罕见度,目标AS为目标AS路径上罕见度最小的AS;历史AS路径上不同于目标源AS的源AS的数量;目标源AS的出现概率值,该出现概率值等于目标源AS在历史AS路径中的出现次数与历史AS路径的数量的比值;以及,目标源AS的稳定性,目标源AS的稳定性与历史AS路径上不同于目标源AS的源AS的数量负相关,且与网络设备所在AS在历史AS路径上的邻居AS不同于网络设备所在AS在目标AS路径上的邻居AS的数量负相关。其中,网络设备所在AS在AS路径上的邻居AS,指该网络设备所在AS在AS路径上的前一个AS。
其中,目标AS路径与历史AS路径的路径相似度、目标AS路径与历史AS路径的霸权相似度、目标AS路径上的AS的罕见度以及目标AS路径的罕见度主要用于确定是否发生路由泄露;历史AS路径上不同于目标源AS的源AS的数量、目标源AS的出现概率值以及目标源AS的稳定性主要用于确定是否发生路由劫持。当然,BGP路由特征还可以包括其它能够反映路由泄露、路由劫持和/或路由伪造的相关特征,本申请对此不做限定。
可选地,BGP路由特征包括目标AS路径与历史AS路径的霸权相似度,则网络设备根据目标AS路径以及历史AS路径,确定BGP路由特征的过程,包括:
网络设备获取目标AS路径对应的第一中心度向量,该第一中心度向量中包括目标AS路径上各个AS的中心度;网络设备获取历史AS路径对应的第二中心度向量,该第二中心度向量中包括历史AS路径上各个AS的中心度;网络设备将第一中心度向量与第二中心度向量之间的相似度作为目标AS路径与历史AS路径的霸权相似度。
可选地,在网络设备根据目标AS路径以及历史AS路径,确定BGP路由特征之前,网络设备还接收分析设备发送的AS中心度列表,该中心度列表中包括网络中各个AS的中心度。网络设备获取目标AS路径对应的第一中心度向量的过程,包括:网络设备根据目标AS路径上各个AS的标识,从AS中心度列表中获取目标AS路径上各个AS的中心度,生成第一中心度向量。网络设备获取历史AS路径对应的第二中心度向量的过程,包括:网络设备根据历史AS路径上各个AS的标识,从AS中心度列表中获取历史AS路径上各个AS的中心度,生成第二中心度向量。
可选地,BGP路由特征包括目标AS路径上的AS的罕见度,在网络设备根据目标AS路径以及历史AS路径,确定BGP路由特征之前,网络设备还接收分析设备发送的AS标识列表,该AS标识列表中包括运营商AS的标识。网络设备根据目标AS路径以及历史AS路径,确定BGP路由特征的过程,包括:网络设备确定目标AS路径上除运营商AS以外的其它AS的罕见度,目标AS路径上的AS的罕见度等于该AS在历史AS路径中的出现次数与历史AS路径的数量的比值。
可选地,目标路由信息中包括路由异常检测结果,在网络设备确定BGP更新消息对应的BGP路由特征之后,网络设备根据BGP路由特征,确定路由异常检测结果。
本申请中,通过网络设备根据BGP路由特征生成路由异常检测结果,再向分析设备发送该路由异常检测结果,可以进一步减少分析设备的计算量。
可选地,网络设备可以接收分析设备发送的路由异常检测模型。则网络设备根据BGP路由特征,生成路由异常检测结果的过程,包括:网络设备向路由异常检测模型输入BGP路由特征,以获取路由异常检测模型输出的路由异常检测结果。
可选地,当BGP更新消息异常时,该路由异常检测结果还用于指示BGP更新消息的路由异常类型。
可选地,路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。当然,路由异常类型还可以是其它异常类型,本申请对此不做限定。
第二方面,提供了一种路由异常检测方法。该方法包括:分析设备接收网络设备发送的目标路由信息,该目标路由信息中包括网络设备接收到的BGP更新消息对应的BGP路由特征和/或路由异常检测结果,该路由异常检测结果基于BGP路由特征得到,该路由异常检测结果用于指示BGP更新消息正常或异常。分析设备根据目标路由信息对BGP更新消息进行异常分析。
可选地,目标路由信息中包括BGP路由特征,分析设备根据目标路由信息对BGP更新消息进行异常分析的过程,包括:分析设备根据BGP路由特征,确定路由异常检测结果;分析设备根据该路由异常检测结果对BGP更新消息进行异常分析。
可选地,在分析设备根据目标路由信息对BGP更新消息进行异常分析之后,当分析设备确定BGP更新消息异常时,分析设备输出BGP更新消息的路由异常类型。
可选地,路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。
本申请中,通过分析设备输出BGP更新消息的路由异常类型,供运维人员查看,以便于运维人员快速确定通信网络中的路由异常事件并进行维护,从而保证通信网络的运行安全性和可靠性。
可选地,分析设备还可以向网络设备发送网络级BGP信息、路由异常检测模型和消息分析配置参数中的一个或多个。网络级BGP信息包括AS中心度列表和/或AS标识列表。该AS中心度列表中包括网络中各个AS的中心度,该AS标识列表中包括运营商AS的标识。路由异常检测模型用于基于输入的BGP路由特征输出路由异常检测结果。消息分析配置参数包括BGP更新消息分析窗口的大小。
第三方面,提供了一种路由异常检测装置。所述装置包括多个功能模块,所述多个功能模块相互作用,实现上述第一方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现,且所述多个功能模块可以基于具体实现进行任意组合或分割。
第四方面,提供了一种路由异常检测装置。所述装置包括多个功能模块,所述多个功能模块相互作用,实现上述第二方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现,且所述多个功能模块可以基于具体实现进行任意组合或分割。
第五方面,提供了一种路由异常检测系统,包括:网络设备和分析设备;
所述网络设备包括如第三方面所述的路由异常检测装置,所述分析设备包括如第四方面所述的路由异常检测装置。
第六方面,提供了一种网络设备,包括:处理器和存储器;
所述存储器,用于存储计算机程序,所述计算机程序包括程序指令;
所述处理器,用于调用所述计算机程序,实现如第一方面任一所述的路由异常检测方法。
第七方面,提供了一种分析设备,包括:处理器和存储器;
所述存储器,用于存储计算机程序,所述计算机程序包括程序指令;
所述处理器,用于调用所述计算机程序,实现如第二方面任一所述的路由异常检测方法。
第八方面,提供了一种计算机存储介质,所述计算机存储介质上存储有指令,当所述指令被网络设备的处理器执行时,实现如第一方面任一所述的路由异常检测方法;当所述指令被分析设备的处理器执行时,实现如第二方面任一所述的路由异常检测方法。
第九方面,提供了一种芯片,芯片包括可编程逻辑电路和/或程序指令,当芯片运行时,实现上述第一方面及其各实施方式中的方法或第二方面及其各实施方式中的方法。
本申请提供的技术方案带来的有益效果至少包括:
网络设备在接收到BGP路由信息后,确定BGP路由信息对应的BGP路由特征,并向分析设备发送BGP路由特征和/或路由异常检测结果,由于BGP路由特征以及路由异常检测结果与BGP更新消息相比,数据量较小,因此减少了网络设备与分析设备之间的数据传输量,从而降低了网络开销。另外,在网络设备侧对BGP更新消息进行特征提取和/或路由异常检测,减少了分析设备的计算量,节约了分析设备的计算资源。其中,通过网络设备根据BGP路由特征生成路由异常检测结果,再向分析设备发送该路由异常检测结果,可以进一步减少分析设备的计算量。另外,通过分析设备输出BGP更新消息的路由异常类型,供运维人员查看,以便于运维人员快速确定通信网络中的路由异常事件并进行维护,从而保证通信网络的运行安全性和可靠性。
附图说明
图1是本申请实施例提供的一种路由异常检测系统的结构示意图;
图2是本申请实施例提供的一种路由异常检测方法的流程示意图;
图3是本申请实施例提供的一种网络设备确定BGP路由特征的方法流程图;
图4是本申请实施例提供的一种路由异常检测装置的结构示意图;
图5是本申请另一实施例提供的一种路由异常检测装置的结构示意图;
图6是本申请另一实施例提供的另一种路由异常检测装置的结构示意图;
图7是本申请另一实施例提供的又一种路由异常检测装置的结构示意图;
图8是本申请实施例提供的一种路由异常检测装置的框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
图1是本申请实施例提供的一种路由异常检测系统的结构示意图。如图1所示,该系统中包括分析设备101以及通信网络中的网络设备102a-102f(统称为网络设备102)。其中,网络设备102a属于AS1,网络设备102b和网络设备102c属于AS2,网络设备102d属于AS3,网络设备102e属于AS4,网络设备102f属于AS5。图1中网络设备的数量以及所属AS的划分方式仅用作示意,不作为对本申请实施例提供的通信网络的限制。
可选地,分析设备101可以是一台服务器,或者由若干台服务器组成的服务器集群,或者是一个云计算服务中心。网络设备102可以是路由器或交换机等。分析设备101与网络设备102之间通过有线网络或无线网络连接。
同一个AS中的所有网络设备相互连接,运行相同的路由协议,同时分配同一个自治系统编号。AS之间的链接使用外部路由协议,例如本申请实施例提供的通信网络可以运行BGP,通过BGP实现AS之间的路由可达,运行BGP的通信网络也可称为BGP网络。可选地,该通信网络可以是数据中心网络(data center network,DCN)、城域网络、广域网络、园区网络、虚拟局域网(virtual local area network,VLAN)或虚拟扩展局域网(virtualextensible local area network,VXLAN)等,本申请实施例对通信网络的类型不做限定。
图2是本申请实施例提供的一种路由异常检测方法的流程示意图。该方法可以应用于如图1所示的路由异常检测系统中。如图2所示,该方法包括:
步骤201、分析设备向网络设备发送网络级BGP信息、路由异常检测模型和消息分析配置参数中的一个或多个。
网络级BGP信息包括AS中心度列表和/或AS标识列表。AS中心度列表中包括网络中各个AS的中心度。AS的中心度用于反映该AS在通信网络中的重要程度,AS的中心度越大,表示该AS在通信网络中的位置越重要。AS标识列表中包括运营商AS的标识。示例地,该AS标识列表包括Tier1运营商的AS标识列表和/或Tier2运营商的AS标识列表。Tier1和Tier2为数据中心电信基础设施标准(Telecommunications Infrastructure Standard for DataCenters)中定义的数据中心基础设施分级认证的标准,本申请实施例对此不再赘述。
示例地,表1示出了一种AS中心度列表,该AS中心度列表中包括如图1所示的路由异常检测系统中AS1-AS5的中心度。
表1
AS标识 中心度
AS1 0.1
AS2 0.3
AS3 0.4
AS4 0.2
AS5 0.1
其中,AS标识可以是AS号(ASN),该AS号通常为全局唯一的16位号码。
路由异常检测模型用于基于输入的BGP路由特征输出路由异常检测结果。可选地,路由异常检测模型基于决策树算法、梯度提升决策树(Gradient Boosting DecisionTree,GBDT)算法和/或极端梯度提升(eXtreme Gradient Boosting,XGBoost)算法生成。
示例地,分析设备采用决策树算法生成路由异常检测模型。决策树(decisiontree)是一种树形结构,例如可以是二叉树或非二叉树,其中每个非叶节点表示一个特征属性上的测试,每个分支代表特征属性在某个值域上的测试输出,每个叶节点存放一种类别。使用决策树进行决策的过程包括:从根节点开始,测试待分类项中相应的特征属性,并按照其值选择输出分支,直至到达叶节点,将叶节点中存放的类别作为决策结果。用于生成路由异常检测模型的决策树的待分类项包括BGP路由特征。该决策树可以包括四个叶节点,该三个叶节点存放的类别分别为路由正常、路由泄露、路由劫持和路由伪造。则路由异常检测模型可以根据输入的BGP路由特征,输出四种可能的路由异常检测结果,包括路由正常、路由泄露、路由劫持或路由伪造。其中,路由劫持也可称为前缀劫持。或者,该决策树也可以包括两个叶节点,该两个叶节点存放的类别分别为路由正常和路由异常。则路由异常检测模型可以根据输入的BGP路由特征,输出两种可能的路由异常检测结果,包括路由正常或路由异常。
消息分析配置参数包括BGP更新消息分析窗口的大小。BGP更新消息分析窗口的大小的取值为正整数,示例地,该BGP更新消息分析窗口的大小可以为5。
可选地,分析设备周期性地向网络设备发送网络级BGP信息、路由异常检测模型和消息分析配置参数中的一个或多个。或者,当网络级BGP信息发生更新时,分析设备向网络设备发送更新后的网络级BGP信息;当路由异常检测模型发生更新时,分析设备向网络设备发送更新后的路由异常检测模型;当消息分析配置参数发生更新时,分析设备向网络设备发送更新后的消息分析配置参数。
步骤202、网络设备接收BGP更新消息。
BGP更新消息用于通告路由。可选地,BGP更新消息中包括发布该BGP更新消息的目标源AS宣告的IP前缀,以及从目标源AS到该网络设备所在AS的AS路径。源AS宣告的IP前缀通常为网段地址。
示例地,参考如图1所示的路由异常检测系统,假设该网络设备为属于AS5的网络设备102f,目标源AS为AS1,AS1宣告的IP前缀为1.1.1.0/24,AS1发布的BGP更新消息依次经过AS2、AS3和AS4后到达AS5中的网络设备102f,则网络设备102f接收到的BGP更新消息中携带的IP前缀为1.1.1.0/24,AS路径为:AS1-AS2-AS3-AS4-AS5。
可选地,网络设备每接收到BGP更新消息,可以在该网络设备中存储该BGP更新消息,以便用于后续的路由异常检测。通过在网络设备中设置上限值M,使网络设备中最多可存储M条历史BGP更新消息,例如可以采用长度为M的队列存储历史BGP更新消息,M为大于1的正整数,例如M的取值可以为100,可以避免占用过多的内存资源。当网络设备接收到新的BGP更新消息时,可以删除已存储的最早的历史BGP更新消息,并存储该新的BGP更新消息。
步骤203、网络设备确定BGP更新消息对应的BGP路由特征。
可选地,图3是本申请实施例提供的一种网络设备确定BGP路由特征的方法流程图。如图3所示,该方法包括以下步骤2031至步骤2034:
步骤2031、网络设备根据BGP更新消息,获取目标路由前缀以及目标AS路径。
目标路由前缀为发布该BGP更新消息的目标源AS宣告的IP前缀,目标AS路径为从该目标源AS到该网络设备所在AS的AS路径。
示例地,参考步骤202中的例子,上述目标路由前缀为1.1.1.0/24,目标AS路径为:AS1-AS2-AS3-AS4-AS5。
步骤2032、网络设备获取携带有目标路由前缀的历史BGP更新消息。
可选地,网络设备在该网络设备存储的历史BGP更新消息中,获取一条或多条携带有目标路由前缀的历史BGP更新消息。网络设备获取的携带有目标路由前缀的历史BGP更新消息的数量可以根据分析设备发送的消息分析配置参数确定,例如消息分析配置参数中BGP更新消息分析窗口的大小为5,则网络设备获取5条携带有目标路由前缀的历史BGP更新消息。或者,网络设备还可以获取该网络设备中存储的所有携带有目标路由前缀的历史BGP更新消息。本申请实施例对网络设备获取携带有目标路由前缀的历史BGP更新消息的数量不做限定。
示例地,参考步骤2031中的例子,假设网络设备获取携带有IP前缀为1.1.1.0/24的5条历史BGP更新消息。该5条历史BGP更新消息中携带的AS路径分别为:AS1-AS2-AS3-AS5,AS1-AS2-AS3-AS4-AS5,AS2-AS3-AS4-AS5,AS1-AS2-AS4-AS5和AS2-AS3-AS5。
步骤2033、网络设备根据历史BGP更新消息,获取历史AS路径。
历史BGP更新消息中包括源AS到网络设备所在AS的历史AS路径,步骤2033,也即是,网络设备获取历史BGP更新消息中携带的历史AS路径。该历史AS路径与上述目标AS路径可称为同前缀AS路径。
示例地,参考步骤2032中的例子,网络设备根据携带有IP前缀为1.1.1.0/24的5条历史BGP更新消息,分别获取5条历史AS路径,包括:AS1-AS2-AS3-AS5,AS1-AS2-AS3-AS4-AS5,AS2-AS3-AS4-AS5,AS1-AS2-AS4-AS5和AS2-AS3-AS5。
步骤2034、网络设备根据目标AS路径以及历史AS路径,确定BGP路由特征。
可选地,BGP路由特征包括以下一个或多个:目标AS路径与历史AS路径的路径相似度、目标AS路径与历史AS路径的霸权(英文:hegemony)相似度、目标AS路径上的AS的罕见度、目标AS路径的罕见度、历史AS路径上不同于目标源AS的源AS的数量、目标源AS的出现概率值以及目标源AS的稳定性。目标AS路径与历史AS路径的霸权相似度基于目标AS路径上各个AS的中心度以及历史AS路径上各个AS的中心度确定。AS的罕见度等于该AS在历史AS路径中的出现次数与历史AS路径的数量的比值。目标AS路径的罕见度等于目标AS的罕见度,目标AS为目标AS路径上罕见度最小的AS。目标源AS的出现概率值等于目标源AS在历史AS路径中的出现次数与历史AS路径的数量的比值。目标源AS的稳定性与历史AS路径上不同于目标源AS的源AS的数量负相关,且与网络设备所在AS在历史AS路径上的邻居AS不同于网络设备所在AS在目标AS路径上的邻居AS的数量负相关。
其中,目标AS路径与历史AS路径的路径相似度、目标AS路径与历史AS路径的霸权相似度、目标AS路径上的AS的罕见度以及目标AS路径的罕见度主要用于确定是否发生路由泄露;历史AS路径上不同于目标源AS的源AS的数量、目标源AS的出现概率值以及目标源AS的稳定性主要用于确定是否发生路由劫持。当然,BGP路由特征还可以包括其它能够反映路由泄露、路由劫持和/或路由伪造的相关特征,本申请实施例对此不做限定。
本申请以下实施例分别对上述各种BGP路由特征的获取方式进行说明。
在第一种实现方式中,BGP路由特征包括目标AS路径与历史AS路径的路径相似度。
可选地,网络设备可以分别计算目标AS路径与获取的各条历史AS路径(同前缀)的路径相似度,或者,网络设备可以计算目标AS路径与获取的上条历史AS路径(同前缀)的路径相似度。目标AS路径和历史AS路径均可以采用路径向量表示。
示例地,参考步骤2031至步骤2033中的例子,目标AS路径的路径向量可以表示为[AS1,AS2,AS3,AS4,AS5],历史AS路径AS2-AS3-AS5的路径向量可以表示为[AS2,AS3,AS5],本申请实施例中将目标AS路径的路径向量与历史AS路径的路径向量的相似度作为目标AS路径与历史AS路径的路径相似度。
在第二种实现方式中,BGP路由特征包括目标AS路径与历史AS路径的霸权相似度。
可选地,网络设备可以分别计算目标AS路径与获取的各条历史AS路径(同前缀)的霸权相似度,或者,网络设备可以计算目标AS路径与获取的上条历史AS路径(同前缀)的霸权相似度。步骤2034的实现过程包括步骤S11至步骤S13:
在步骤S11中,网络设备获取目标AS路径对应的第一中心度向量,该第一中心度向量中包括目标AS路径上各个AS的中心度。
可选地,网络设备根据目标AS路径上各个AS的标识,从分析设备发送的AS中心度列表中获取目标AS路径上各个AS的中心度,生成第一中心度向量。
示例地,参考表1以及步骤2031至步骤2033中的例子,网络设备可以获取目标AS路径上AS1的中心度为0.1,AS2的中心度为0.3,AS3的中心度为0.4,AS4的中心度为0.2,AS5的中心度为0.1,目标AS路径对应的第一中心度向量可以表示为[0.1,0.3,0.4,0.2,0.1]。
在步骤S12中,网络设备获取历史AS路径对应的第二中心度向量,该第二中心度向量中包括历史AS路径上各个AS的中心度。
可选地,网络设备根据历史AS路径上各个AS的标识,从分析设备发送的AS中心度列表中获取历史AS路径上各个AS的中心度,生成第二中心度向量。
示例地,参考表1以及步骤2031至步骤2033中的例子,网络设备可以获取历史AS路径AS2-AS3-AS5上AS2的中心度为0.3,AS3的中心度为0.4,AS5的中心度为0.1,该历史AS路径对应的第二中心度向量可以表示为[0.3,0.4,0.1]。
在步骤S13中,网络设备将第一中心度向量与第二中心度向量之间的相似度作为目标AS路径与历史AS路径的霸权相似度。
示例地,参考步骤S11和步骤S12中的例子,目标AS路径与历史AS路径AS2-AS3-AS5的霸权相似度即第一中心度向量[0.1,0.3,0.4,0.2,0.1]与第二中心度向量[0.3,0.4,0.1]的相似度。
在第三种实现方式中,BGP路由特征包括目标AS路径上的AS的罕见度。步骤2034的实现过程包括:网络设备对目标AS路径上的AS执行罕见度计算流程,该罕见度计算流程包括:网络设备确定目标AS路径上的AS在历史AS路径中的出现次数;网络设备将该出现次数与历史AS路径的数量的比值作为该AS的罕见度。
示例地,参考步骤2031至步骤2033中的例子,网络设备共获取5条历史BGP更新消息。目标AS路径上的AS1的罕见度等于3/5;目标AS路径上的AS2的罕见度等于1;目标AS路径上的AS3的罕见度等于4/5;目标AS路径上的AS4的罕见度等于3/5;目标AS路径上的AS5的罕见度等于1。
可选地,当网络设备接收到分析设备发送的包含运营商AS的标识的AS标识列表时,网络设备可以对目标AS路径上除运营商AS以外的其它所有AS分别执行罕见度计算流程。也即是,网络设备无需计算目标AS路径中运营商AS的罕见度。可选地,网络设备可以将运营商AS的罕见度设置为1。
在第四种实现方式中,BGP路由特征包括目标AS路径的罕见度。步骤2034的实现过程包括:网络设备将目标AS的罕见度作为目标AS路径的罕见度,该目标AS为目标AS路径上罕见度最小的AS。
可选地,网络设备先计算出目标AS路径上各个AS的罕见度,再将罕见度最小的目标AS的罕见度作为该目标AS路径的罕见度。目标AS路径上各个AS的罕见度的计算方式可参考上述第三种实现方式,本申请实施例在此不再赘述。
示例地,参考上述第三种实现方式中的例子,目标AS路径的罕见度等于3/5。
在第五种实现方式中,BGP路由特征包括历史AS路径上不同于目标源AS的源AS的数量。
示例地,参考步骤2031至步骤2033中的例子,网络设备共获取5条历史AS路径。该5条历史AS路径的源AS分别为AS1、AS1、AS2、AS1和AS2,目标源AS为AS1,该5条历史AS路径上不同于目标源AS的源AS仅包括AS2,因此该5条历史AS路径上不同于目标源AS的源AS的数量为1。
在第六种实现方式中,BGP路由特征包括目标源AS的出现概率值。步骤2034的实现过程包括:网络设备确定目标源AS在历史AS路径中的出现次数;网络设备将该出现次数与历史AS路径的数量的比值作为目标源AS的出现概率值。
示例地,参考步骤2031至步骤2033中的例子,网络设备共获取5条历史AS路径。目标源AS在该5条历史AS路径中的出现次数为3,因此目标源AS的出现概率值等于3/5。
在第七种实现方式中,BGP路由特征包括目标源AS的稳定性。步骤2034的实现过程包括:网络设备获取历史AS路径上不同于目标源AS的源AS的数量(简称:第一数量);网络设备获取该网络设备所在AS在历史AS路径上的邻居AS不同于网络设备所在AS在目标AS路径上的邻居AS的数量(简称:第二数量);网络设备根据第一数量和第二数量确定目标源AS的稳定性。其中,网络设备所在AS在AS路径上的邻居AS,指该网络设备所在AS在AS路径上的前一个AS。网络设备获取第一数量的过程可参考上述第五种实现方式,本申请实施例在此不再赘述。
示例地,参考步骤2031至步骤2033中的例子,网络设备共获取5条历史AS路径,网络设备所在AS为AS5,网络设备所在AS在该5条历史AS路径上的邻居AS分别为AS3、AS4、AS4、AS4和AS3,网络设备所在AS在目标AS路径上的邻居AS为AS4,网络设备所在AS在该5条历史AS路径上的邻居AS不同于该网络设备所在AS在目标AS路径上的邻居AS仅包括AS3,因此上述第二数量为1。
步骤204、网络设备向分析设备发送目标路由信息。
目标路由信息中包括BGP路由特征和/或路由异常检测结果。路由异常检测结果基于BGP路由特征得到,路由异常检测结果用于指示BGP更新消息正常或异常。
可选地,路由异常检测结果可以采用标识值表示。示例地,当路由异常检测结果为0时,表示BGP更新消息正常;当路由异常检测结果为1时,表示BGP更新消息异常。当然,路由异常检测结果还可以采用其它数字、字母或字符串等表示,本申请实施例对此不做限定。
本申请实施例中,网络设备在接收到BGP路由信息后,确定BGP路由信息对应的BGP路由特征,并向分析设备发送BGP路由特征和/或路由异常检测结果,由于BGP路由特征以及路由异常检测结果与BGP更新消息相比,数据量较小,因此减少了网络设备与分析设备之间的数据传输量,从而降低了网络开销。另外,在网络设备侧对BGP更新消息进行特征提取和/或路由异常检测,减少了分析设备的计算量,节约了分析设备的计算资源。
可选地,当BGP更新消息异常时,路由异常检测结果还用于指示该BGP更新消息的路由异常类型,该路由异常类型包括路由泄露、路由劫持和路由伪造中的一个或多个,该路由异常类型还可以是其它异常类型,本申请实施例对此不作限定。示例地,当路由异常检测结果为1时,表示BGP更新消息异常,且路由异常类型为路由泄露;当路由异常检测结果为2时,表示BGP更新消息异常,且路由异常类型为路由劫持;当路由异常检测结果为3时,表示BGP更新消息异常,且路由异常类型为路由伪造;当路由异常检测结果为4时,表示BGP更新消息异常,且路由异常类型为路由泄露以及路由劫持;等等。
可选地,当网络设备向分析设备发送的目标路由信息中包括路由异常检测结果时,网络设备在确定BGP更新消息对应的BGP路由特征之后,需要先根据该BGP路由特征确定路由异常检测结果。网络设备可以根据目标AS路径与历史AS路径的路径相似度、目标AS路径与历史AS路径的霸权相似度、目标AS路径上的AS的罕见度和/或目标AS路径的罕见度,确定BGP更新消息是否发生路由泄露;网络设备还可以根据历史AS路径上不同于目标源AS的源AS的数量、目标源AS的出现概率值和/或目标源AS的稳定性,确定BGP更新消息是否发生路由劫持。示例地,当目标AS路径与历史AS路径的路径相似度小于路径相似度阈值、目标AS路径与历史AS路径的霸权相似度小于霸权相似度阈值、目标AS路径上存在AS的罕见度低于AS罕见度阈值和/或目标AS路径的罕见度低于AS路径罕见度阈值时,网络设备确定该BGP更新消息异常,且该BGP更新消息的路由异常类型为路由泄露。当历史AS路径上不同于目标源AS的源AS的数量大于目标数值、目标源AS的出现概率值小于概率阈值和/或目标源AS的稳定性低于稳定性阈值时,网络设备确定该BGP更新消息异常,且该BGP更新消息的路由异常类型为路由劫持。
可选地,网络设备采用决策树算法、GBDT算法和/或XGBoost算法,根据上述BGP路由特征确定路由异常检测结果。
可选地,当网络设备接收到分析设备发送的路由异常检测模型时,网络设备根据BGP路由特征生成路由异常检测结果的过程,包括:网络设备向路由异常检测模型输入BGP路由特征,以获取路由异常检测模型输出的路由异常检测结果。
本申请实施例中,通过网络设备根据BGP路由特征生成路由异常检测结果,再向分析设备发送该路由异常检测结果,可以进一步减少分析设备的计算量。
可选地,路由异常检测结果中还包括BGP更新消息中携带的IP前缀。
步骤205、分析设备根据目标路由信息对BGP更新消息进行异常分析。
可选地,当目标路由信息中包括BGP路由特征时,步骤205的实现过程包括:分析设备根据BGP路由特征,确定路由异常检测结果;分析设备根据路由异常检测结果对BGP更新消息进行异常分析。分析设备根据BGP路由特征确定路由异常检测结果的实现过程可参考步骤204中网络设备根据BGP路由特征确定路由异常检测结果的实现过程,本申请实施例在此不再赘述。
示例地,当路由异常检测结果指示BGP更新消息异常,且路由异常类型为路由劫持时,分析设备基于BGP数据库,确定目标源AS是否正常发布过目标路由前缀。若目标源AS正常发布过目标路由前缀,则分析设备确定该BGP更新消息正常;若目标源AS未正常发布过目标路由前缀,则分析设备确定该BGP更新消息异常,且路由异常类型为路由劫持。
可选地,分析设备的BGP数据库中包括AS中心度列表、AS标识列表以及接收到的历史目标路由信息中的一个或多个。
本申请实施例中,当路由异常检测结果指示BGP更新消息异常时,分析设备还可以基于BGP数据库,根据目标路由信息进行故障定位等。
步骤206、当分析设备确定BGP更新消息异常时,分析设备输出BGP更新消息的路由异常类型。
可选地,当分析设备确定BGP更新消息异常时,分析设备向运维支撑系统(operations support system,OSS)或其它与分析设备连接的终端设备输出BGP更新消息的路由异常类型,供OSS或终端设备显示。当然,若分析设备自身具有显示功能,则分析设备也可以直接在自身的显示界面上显示BGP更新消息的路由异常类型。
本申请实施例中,通过分析设备输出BGP更新消息的路由异常类型,供运维人员查看,以便于运维人员快速确定通信网络中的路由异常事件并进行维护,从而保证通信网络的运行安全性和可靠性。
本申请实施例提供的故障根因定位方法的步骤先后顺序可以进行适当调整,步骤也可以根据情况进行相应增减,例如步骤201也可以不执行。任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化的方法,都应涵盖在本申请的保护范围之内,因此不再赘述。
综上所述,在本申请实施例提供的路由异常检测方法中,网络设备在接收到BGP路由信息后,确定BGP路由信息对应的BGP路由特征,并向分析设备发送BGP路由特征和/或路由异常检测结果,由于BGP路由特征以及路由异常检测结果与BGP更新消息相比,数据量较小,因此减少了网络设备与分析设备之间的数据传输量,从而降低了网络开销。另外,在网络设备侧对BGP更新消息进行特征提取和/或路由异常检测,减少了分析设备的计算量,节约了分析设备的计算资源。其中,通过网络设备根据BGP路由特征生成路由异常检测结果,再向分析设备发送该路由异常检测结果,可以进一步减少分析设备的计算量。另外,通过分析设备输出BGP更新消息的路由异常类型,供运维人员查看,以便于运维人员快速确定通信网络中的路由异常事件并进行维护,从而保证通信网络的运行安全性和可靠性。
图4是本申请实施例提供的一种路由异常检测装置的结构示意图。该装置可以应用于如图1所示的路由异常检测系统中的网络设备102。如图4所示,该装置40包括:
接收模块401,用于接收BGP更新消息。
处理模块402,用于确定BGP更新消息对应的BGP路由特征。
发送模块403,用于向分析设备发送目标路由信息,该目标路由信息包括BGP路由特征和/或路由异常检测结果,路由异常检测结果基于BGP路由特征得到,路由异常检测结果用于指示BGP更新消息正常或异常。
综上所述,本申请实施例提供的路由异常检测装置中,网络设备在通过接收模块接收到BGP路由信息后,通过处理模块确定BGP路由信息对应的BGP路由特征,并通过发送模块向分析设备发送BGP路由特征和/或路由异常检测结果,由于BGP路由特征以及路由异常检测结果与BGP更新消息相比,数据量较小,因此减少了网络设备与分析设备之间的数据传输量,从而降低了网络开销。另外,在网络设备侧对BGP更新消息进行特征提取和/或路由异常检测,减少了分析设备的计算量,节约了分析设备的计算资源。
可选地,处理模块,用于:
根据BGP更新消息,获取目标路由前缀以及目标AS路径,目标路由前缀为发布该BGP更新消息的目标源AS宣告的互联网协议IP前缀,目标AS路径为从目标源AS到网络设备所在AS的AS路径。获取携带有目标路由前缀的历史BGP更新消息。根据历史BGP更新消息,获取历史AS路径。根据目标AS路径以及历史AS路径,确定BGP路由特征。
可选地,BGP路由特征包括以下一个或多个:
目标AS路径与历史AS路径的路径相似度;目标AS路径与历史AS路径的霸权相似度,霸权相似度基于目标AS路径上各个AS的中心度以及历史AS路径上各个AS的中心度确定;目标AS路径上的AS的罕见度,AS的罕见度等于AS在历史AS路径中的出现次数与历史AS路径的数量的比值;目标AS路径的罕见度,目标AS路径的罕见度等于目标AS的罕见度,目标AS为目标AS路径上罕见度最小的AS;历史AS路径上不同于目标源AS的源AS的数量;目标源AS的出现概率值,出现概率值等于目标源AS在历史AS路径中的出现次数与历史AS路径的数量的比值;以及目标源AS的稳定性,稳定性与历史AS路径上不同于目标源AS的源AS的数量负相关,且与网络设备所在AS在历史AS路径上的邻居AS不同于网络设备所在AS在目标AS路径上的邻居AS的数量负相关。
可选地,BGP路由特征包括目标AS路径与历史AS路径的霸权相似度,处理模块,用于:获取目标AS路径对应的第一中心度向量,第一中心度向量中包括目标AS路径上各个AS的中心度;获取历史AS路径对应的第二中心度向量,第二中心度向量中包括历史AS路径上各个AS的中心度;将第一中心度向量与第二中心度向量之间的相似度作为霸权相似度。
可选地,接收模块,还用于接收分析设备发送的AS中心度列表,中心度列表中包括网络中各个AS的中心度;处理模块,还用于根据目标AS路径上各个AS的标识,从AS中心度列表中获取目标AS路径上各个AS的中心度,生成第一中心度向量;处理模块,还用于根据历史AS路径上各个AS的标识,从AS中心度列表中获取历史AS路径上各个AS的中心度,生成第二中心度向量。
可选地,BGP路由特征包括目标AS路径上的AS的罕见度;接收模块,还用于接收分析设备发送的AS标识列表,AS标识列表中包括运营商AS的标识;处理模块,还用于确定目标AS路径上除运营商AS以外的其它AS的罕见度,目标AS路径上的AS的罕见度等于AS在历史AS路径中的出现次数与历史AS路径的数量的比值。
可选地,目标路由信息中包括路由异常检测结果;处理模块,还用于根据BGP路由特征,确定路由异常检测结果。
可选地,接收模块,还用于接收分析设备发送的路由异常检测模型;处理模块,还用于向路由异常检测模型输入BGP路由特征,以获取路由异常检测模型输出的路由异常检测结果。
可选地,当BGP更新消息异常时,路由异常检测结果还用于指示BGP更新消息的路由异常类型。
可选地,路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。
综上所述,本申请实施例提供的路由异常检测装置中,网络设备在通过接收模块接收到BGP路由信息后,通过处理模块确定BGP路由信息对应的BGP路由特征,并通过发送模块向分析设备发送BGP路由特征和/或路由异常检测结果,由于BGP路由特征以及路由异常检测结果与BGP更新消息相比,数据量较小,因此减少了网络设备与分析设备之间的数据传输量,从而降低了网络开销。另外,在网络设备侧对BGP更新消息进行特征提取和/或路由异常检测,减少了分析设备的计算量,节约了分析设备的计算资源。其中,通过网络设备根据BGP路由特征生成路由异常检测结果,再向分析设备发送该路由异常检测结果,可以进一步减少分析设备的计算量。
图5是本申请另一实施例提供的一种路由异常检测装置的结构示意图。该装置可以应用于如图1所示的路由异常检测系统中的分析设备101。如图5所示,该装置50包括:
接收模块501,用于接收网络设备发送的目标路由信息,目标路由信息中包括网络设备接收到的BGP更新消息对应的BGP路由特征和/或路由异常检测结果,路由异常检测结果基于BGP路由特征得到,路由异常检测结果用于指示BGP更新消息正常或异常。
处理模块502,用于根据目标路由信息对BGP更新消息进行异常分析。
综上所述,本申请实施例提供的路由异常检测装置中,分析设备在通过接收模块接收到网络设备发送的目标路由信息后,通过处理模块根据目标路由信息对BGP更新消息进行异常分析。由于目标路由信息中的BGP路由特征和/或路由异常检测结果与BGP更新消息相比,数据量较小,因此减少了网络设备与分析设备之间的数据传输量,从而降低了网络开销。另外,在网络设备侧对BGP更新消息进行特征提取和/或路由异常检测,减少了分析设备的计算量,节约了分析设备的计算资源。
可选地,处理模块,还用于:根据BGP路由特征,确定路由异常检测结果;根据路由异常检测结果对BGP更新消息进行异常分析。
可选地,如图6所示,装置50还包括:
输出模块503,用于当分析设备确定BGP更新消息异常时,输出BGP更新消息的路由异常类型。
可选地,路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。
可选地,如图7所示,装置50还包括:
发送模块504,用于向网络设备发送网络级BGP信息、路由异常检测模型和消息分析配置参数中的一个或多个,网络级BGP信息包括AS中心度列表和/或AS标识列表,AS中心度列表中包括网络中各个AS的中心度,AS标识列表中包括运营商AS的标识,路由异常检测模型用于基于输入的BGP路由特征输出路由异常检测结果,消息分析配置参数包括BGP更新消息分析窗口的大小。
综上所述,本申请实施例提供的路由异常检测装置中,分析设备在通过接收模块接收到网络设备发送的目标路由信息后,通过处理模块根据目标路由信息对BGP更新消息进行异常分析。由于目标路由信息中的BGP路由特征和/或路由异常检测结果与BGP更新消息相比,数据量较小,因此减少了网络设备与分析设备之间的数据传输量,从而降低了网络开销。另外,在网络设备侧对BGP更新消息进行特征提取和/或路由异常检测,减少了分析设备的计算量,节约了分析设备的计算资源。另外,通过分析设备输出BGP更新消息的路由异常类型,供运维人员查看,以便于运维人员快速确定通信网络中的路由异常事件并进行维护,从而保证通信网络的运行安全性和可靠性。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本申请实施例还提供了一种路由异常检测系统。包括:网络设备和分析设备。该网络设备包括如图4所示的路由异常检测装置,该分析设备包括如图5至图7任一所示的路由异常检测装置。
本申请实施例提供了一种网络设备,包括:处理器和存储器;
所述存储器,用于存储计算机程序,所述计算机程序包括程序指令;
所述处理器,用于调用所述计算机程序,实现上述方法实施例中网络设备执行的步骤。
本申请实施例提供了一种分析设备,包括:处理器和存储器;
所述存储器,用于存储计算机程序,所述计算机程序包括程序指令;
所述处理器,用于调用所述计算机程序,实现上述方法实施例中分析设备执行的步骤。
示例地,图8是本申请实施例提供的一种路由异常检测装置的框图。该路由异常检测装置可以是网络设备或分析设备。如图8所示,该装置80包括:处理器801和存储器802。
存储器802,用于存储计算机程序,所述计算机程序包括程序指令;
处理器801,用于调用所述计算机程序,实现上述方法实施例中网络设备执行的步骤或分析设备执行的步骤。
可选地,该装置80还包括通信总线803和通信接口804。
其中,处理器801包括一个或者一个以上处理核心,处理器801通过运行计算机程序,执行各种功能应用以及数据处理。
存储器802可用于存储计算机程序。可选地,存储器可存储操作系统和至少一个功能所需的应用程序单元。操作系统可以是实时操作系统(Real Time eXecutive,RTX)、LINUX、UNIX、WINDOWS或OS X之类的操作系统。
通信接口804可以为多个,通信接口804用于与其它存储设备或网络设备进行通信。例如在本申请实施例中,网络设备的通信接口804可以用与分析设备进行通信。可选地,该通信网络可以是软件定义网络(software define network,SDN)或虚拟扩展局域网(virtual extensible local area network,VXLAN)等。网络设备可以是交换机或路由器等。分析设备可以是服务器或云服务等。
存储器802与通信接口804分别通过通信总线803与处理器801连接。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质上存储有指令,当所述指令被网络设备的处理器执行时,实现上述方法实施例中网络设备执行的步骤;当所述指令被分析设备的处理器执行时,实现上述方法实施例中分析设备执行的步骤。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本申请实施例中,术语“第一”、“第二”和“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的构思和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (34)

1.一种路由异常检测方法,其特征在于,所述方法包括:
网络设备接收边界网关协议BGP更新消息;
所述网络设备确定所述BGP更新消息对应的BGP路由特征;
所述网络设备向分析设备发送目标路由信息,所述目标路由信息中包括所述BGP路由特征和/或路由异常检测结果,所述路由异常检测结果基于所述BGP路由特征得到,所述路由异常检测结果用于指示所述BGP更新消息正常或异常。
2.根据权利要求1所述的方法,其特征在于,所述网络设备确定所述BGP更新消息对应的BGP路由特征,包括:
所述网络设备根据所述BGP更新消息,获取目标路由前缀以及目标自治系统AS路径,所述目标路由前缀为发布所述BGP更新消息的目标源AS宣告的互联网协议IP前缀,目标AS路径为从所述目标源AS到所述网络设备所在AS的AS路径;
所述网络设备获取携带有所述目标路由前缀的历史BGP更新消息;
所述网络设备根据所述历史BGP更新消息,获取历史AS路径;
所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征。
3.根据权利要求2所述的方法,其特征在于,所述BGP路由特征包括以下一个或多个:
所述目标AS路径与所述历史AS路径的路径相似度;
所述目标AS路径与所述历史AS路径的霸权相似度,所述霸权相似度基于所述目标AS路径上各个AS的中心度以及所述历史AS路径上各个AS的中心度确定;
所述目标AS路径上的AS的罕见度,所述AS的罕见度等于所述AS在所述历史AS路径中的出现次数与所述历史AS路径的数量的比值;
所述目标AS路径的罕见度,所述目标AS路径的罕见度等于目标AS的罕见度,所述目标AS为所述目标AS路径上罕见度最小的AS;
所述历史AS路径上不同于所述目标源AS的源AS的数量;
所述目标源AS的出现概率值,所述出现概率值等于所述目标源AS在所述历史AS路径中的出现次数与所述历史AS路径的数量的比值;
以及所述目标源AS的稳定性,所述稳定性与所述历史AS路径上不同于所述目标源AS的源AS的数量负相关,且与所述网络设备所在AS在所述历史AS路径上的邻居AS不同于所述网络设备所在AS在所述目标AS路径上的邻居AS的数量负相关。
4.根据权利要求2或3所述的方法,其特征在于,所述BGP路由特征包括所述目标AS路径与所述历史AS路径的霸权相似度,所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征,包括:
所述网络设备获取所述目标AS路径对应的第一中心度向量,所述第一中心度向量中包括所述目标AS路径上各个AS的中心度;
所述网络设备获取所述历史AS路径对应的第二中心度向量,所述第二中心度向量中包括所述历史AS路径上各个AS的中心度;
所述网络设备将所述第一中心度向量与所述第二中心度向量之间的相似度作为所述霸权相似度。
5.根据权利要求4所述的方法,其特征在于,在所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征之前,所述方法还包括:
所述网络设备接收所述分析设备发送的AS中心度列表,所述中心度列表中包括网络中各个AS的中心度;
所述网络设备获取所述目标AS路径对应的第一中心度向量,包括:
所述网络设备根据所述目标AS路径上各个AS的标识,从所述AS中心度列表中获取所述目标AS路径上各个AS的中心度,生成所述第一中心度向量;
所述网络设备获取所述历史AS路径对应的第二中心度向量,包括:
所述网络设备根据所述历史AS路径上各个AS的标识,从所述AS中心度列表中获取所述历史AS路径上各个AS的中心度,生成所述第二中心度向量。
6.根据权利要求2至5任一所述的方法,其特征在于,所述BGP路由特征包括所述目标AS路径上的AS的罕见度,在所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征之前,所述方法还包括:
所述网络设备接收所述分析设备发送的AS标识列表,所述AS标识列表中包括运营商AS的标识;
所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征,包括:
所述网络设备确定所述目标AS路径上除所述运营商AS以外的其它AS的罕见度,所述目标AS路径上的AS的罕见度等于所述AS在所述历史AS路径中的出现次数与所述历史AS路径的数量的比值。
7.根据权利要求1至6任一所述的方法,其特征在于,所述目标路由信息中包括所述路由异常检测结果,在所述网络设备确定所述BGP更新消息对应的BGP路由特征之后,所述方法还包括:
所述网络设备根据所述BGP路由特征,确定所述路由异常检测结果。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述网络设备接收所述分析设备发送的路由异常检测模型;
所述网络设备根据所述BGP路由特征,生成所述路由异常检测结果,包括:
所述网络设备向所述路由异常检测模型输入所述BGP路由特征,以获取所述路由异常检测模型输出的所述路由异常检测结果。
9.根据权利要求1至8任一所述的方法,其特征在于,当所述BGP更新消息异常时,所述路由异常检测结果还用于指示所述BGP更新消息的路由异常类型。
10.根据权利要求9所述的方法,其特征在于,所述路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。
11.一种路由异常检测方法,其特征在于,所述方法包括:
分析设备接收网络设备发送的目标路由信息,所述目标路由信息中包括所述网络设备接收到的边界网关协议BGP更新消息对应的BGP路由特征和/或路由异常检测结果,所述路由异常检测结果基于所述BGP路由特征得到,所述路由异常检测结果用于指示所述BGP更新消息正常或异常;
所述分析设备根据所述目标路由信息对所述BGP更新消息进行异常分析。
12.根据权利要求11所述的方法,其特征在于,所述目标路由信息中包括所述BGP路由特征,所述分析设备根据所述目标路由信息对所述BGP更新消息进行异常分析,包括:
所述分析设备根据所述BGP路由特征,确定路由异常检测结果;
所述分析设备根据所述路由异常检测结果对所述BGP更新消息进行异常分析。
13.根据权利要求11或12所述的方法,其特征在于,在所述分析设备根据所述目标路由信息对所述BGP更新消息进行异常分析之后,所述方法还包括:
当所述分析设备确定所述BGP更新消息异常时,所述分析设备输出所述BGP更新消息的路由异常类型。
14.根据权利要求11至13任一所述的方法,其特征在于,所述路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。
15.根据权利要求11至14任一所述的方法,其特征在于,所述方法还包括:
所述分析设备向所述网络设备发送网络级BGP信息、路由异常检测模型和消息分析配置参数中的一个或多个,所述网络级BGP信息包括自治系统AS中心度列表和/或AS标识列表,所述AS中心度列表中包括网络中各个AS的中心度,所述AS标识列表中包括运营商AS的标识,所述路由异常检测模型用于基于输入的BGP路由特征输出路由异常检测结果,所述消息分析配置参数包括BGP更新消息分析窗口的大小。
16.一种路由异常检测装置,其特征在于,用于网络设备,所述装置包括:
接收模块,用于接收边界网关协议BGP更新消息;
处理模块,用于确定所述BGP更新消息对应的BGP路由特征;
发送模块,用于向分析设备发送目标路由信息,所述目标路由信息中包括所述BGP路由特征和/或路由异常检测结果,所述路由异常检测结果基于所述BGP路由特征得到,所述路由异常检测结果用于指示所述BGP更新消息正常或异常。
17.根据权利要求16所述的装置,其特征在于,所述处理模块,用于:
根据所述BGP更新消息,获取目标路由前缀以及目标自治系统AS路径,所述目标路由前缀为发布所述BGP更新消息的目标源AS宣告的互联网协议IP前缀,目标AS路径为从所述目标源AS到所述网络设备所在AS的AS路径;
获取携带有所述目标路由前缀的历史BGP更新消息;
根据所述历史BGP更新消息,获取历史AS路径;
根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征。
18.根据权利要求17所述的装置,其特征在于,所述BGP路由特征包括以下一个或多个:
所述目标AS路径与所述历史AS路径的路径相似度;
所述目标AS路径与所述历史AS路径的霸权相似度,所述霸权相似度基于所述目标AS路径上各个AS的中心度以及所述历史AS路径上各个AS的中心度确定;
所述目标AS路径上的AS的罕见度,所述AS的罕见度等于所述AS在所述历史AS路径中的出现次数与所述历史AS路径的数量的比值;
所述目标AS路径的罕见度,所述目标AS路径的罕见度等于目标AS的罕见度,所述目标AS为所述目标AS路径上罕见度最小的AS;
所述历史AS路径上不同于所述目标源AS的源AS的数量;
所述目标源AS的出现概率值,所述出现概率值等于所述目标源AS在所述历史AS路径中的出现次数与所述历史AS路径的数量的比值;
以及所述目标源AS的稳定性,所述稳定性与所述历史AS路径上不同于所述目标源AS的源AS的数量负相关,且与所述网络设备所在AS在所述历史AS路径上的邻居AS不同于所述网络设备所在AS在所述目标AS路径上的邻居AS的数量负相关。
19.根据权利要求17或18所述的装置,其特征在于,所述BGP路由特征包括所述目标AS路径与所述历史AS路径的霸权相似度,所述处理模块,用于:
获取所述目标AS路径对应的第一中心度向量,所述第一中心度向量中包括所述目标AS路径上各个AS的中心度;
获取所述历史AS路径对应的第二中心度向量,所述第二中心度向量中包括所述历史AS路径上各个AS的中心度;
将所述第一中心度向量与所述第二中心度向量之间的相似度作为所述霸权相似度。
20.根据权利要求19所述的装置,其特征在于,
所述接收模块,还用于接收所述分析设备发送的AS中心度列表,所述中心度列表中包括网络中各个AS的中心度;
所述处理模块,还用于根据所述目标AS路径上各个AS的标识,从所述AS中心度列表中获取所述目标AS路径上各个AS的中心度,生成所述第一中心度向量;
所述处理模块,还用于根据所述历史AS路径上各个AS的标识,从所述AS中心度列表中获取所述历史AS路径上各个AS的中心度,生成所述第二中心度向量。
21.根据权利要求17至20任一所述的装置,其特征在于,所述BGP路由特征包括所述目标AS路径上的AS的罕见度;
所述接收模块,还用于接收所述分析设备发送的AS标识列表,所述AS标识列表中包括运营商AS的标识;
所述处理模块,还用于确定所述目标AS路径上除所述运营商AS以外的其它AS的罕见度,所述目标AS路径上的AS的罕见度等于所述AS在所述历史AS路径中的出现次数与所述历史AS路径的数量的比值。
22.根据权利要求16至21任一所述的装置,其特征在于,所述目标路由信息中包括所述路由异常检测结果;
所述处理模块,还用于根据所述BGP路由特征,确定所述路由异常检测结果。
23.根据权利要求22所述的装置,其特征在于,
所述接收模块,还用于接收所述分析设备发送的路由异常检测模型;
所述处理模块,还用于向所述路由异常检测模型输入所述BGP路由特征,以获取所述路由异常检测模型输出的所述路由异常检测结果。
24.根据权利要求16至23任一所述的装置,其特征在于,当所述BGP更新消息异常时,所述路由异常检测结果还用于指示所述BGP更新消息的路由异常类型。
25.根据权利要求24所述的装置,其特征在于,所述路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。
26.一种路由异常检测装置,其特征在于,用于分析设备,所述装置包括:
接收模块,用于接收网络设备发送的目标路由信息,所述目标路由信息中包括所述网络设备接收到的边界网关协议BGP更新消息对应的BGP路由特征和/或路由异常检测结果,所述路由异常检测结果基于所述BGP路由特征得到,所述路由异常检测结果用于指示所述BGP更新消息正常或异常;
处理模块,用于根据所述目标路由信息对所述BGP更新消息进行异常分析。
27.根据权利要求26所述的装置,其特征在于,所述目标路由信息中包括所述BGP路由特征,所述处理模块,还用于:
根据所述BGP路由特征,确定路由异常检测结果;
根据所述路由异常检测结果对所述BGP更新消息进行异常分析。
28.根据权利要求26或27所述的装置,其特征在于,所述装置还包括:
输出模块,用于当所述分析设备确定所述BGP更新消息异常时,输出所述BGP更新消息的路由异常类型。
29.根据权利要求26至28任一所述的装置,其特征在于,所述路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。
30.根据权利要求26至29任一所述的装置,其特征在于,所述装置还包括:
发送模块,用于向所述网络设备发送网络级BGP信息、路由异常检测模型和消息分析配置参数中的一个或多个,所述网络级BGP信息包括自治系统AS中心度列表和/或AS标识列表,所述AS中心度列表中包括网络中各个AS的中心度,所述AS标识列表中包括运营商AS的标识,所述路由异常检测模型用于基于输入的BGP路由特征输出路由异常检测结果,所述消息分析配置参数包括BGP更新消息分析窗口的大小。
31.一种路由异常检测系统,其特征在于,包括:网络设备和分析设备;
所述网络设备包括如权利要求16至25任一所述的路由异常检测装置,所述分析设备包括如权利要求26至30任一所述的路由异常检测装置。
32.一种网络设备,其特征在于,包括:处理器和存储器;
所述存储器,用于存储计算机程序,所述计算机程序包括程序指令;
所述处理器,用于调用所述计算机程序,实现如权利要求1至10任一所述的路由异常检测方法。
33.一种分析设备,其特征在于,包括:处理器和存储器;
所述存储器,用于存储计算机程序,所述计算机程序包括程序指令;
所述处理器,用于调用所述计算机程序,实现如权利要求11至15任一所述的路由异常检测方法。
34.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有指令,当所述指令被网络设备的处理器执行时,实现如权利要求1至10任一所述的路由异常检测方法;当所述指令被分析设备的处理器执行时,实现如权利要求11至15任一所述的路由异常检测方法。
CN202010069782.XA 2020-01-21 2020-01-21 路由异常检测方法、装置及系统、计算机存储介质 Active CN113225194B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202010069782.XA CN113225194B (zh) 2020-01-21 2020-01-21 路由异常检测方法、装置及系统、计算机存储介质
PCT/CN2020/112147 WO2021147320A1 (zh) 2020-01-21 2020-08-28 路由异常检测方法、装置及系统、计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010069782.XA CN113225194B (zh) 2020-01-21 2020-01-21 路由异常检测方法、装置及系统、计算机存储介质

Publications (2)

Publication Number Publication Date
CN113225194A true CN113225194A (zh) 2021-08-06
CN113225194B CN113225194B (zh) 2022-09-09

Family

ID=76992847

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010069782.XA Active CN113225194B (zh) 2020-01-21 2020-01-21 路由异常检测方法、装置及系统、计算机存储介质

Country Status (2)

Country Link
CN (1) CN113225194B (zh)
WO (1) WO2021147320A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143085A (zh) * 2021-11-30 2022-03-04 中国人民解放军国防科技大学 一种基于自编码器的bgp团体属性异常检测方法及系统
CN114528946A (zh) * 2021-12-16 2022-05-24 浙江省新型互联网交换中心有限责任公司 一种自治域系统同胞关系识别方法
CN115396337A (zh) * 2022-08-10 2022-11-25 广州天懋信息系统股份有限公司 一种路由异常检测方法、系统、存储介质及电子设备

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110262937B (zh) * 2019-05-06 2023-07-18 创新先进技术有限公司 一种指标异常原因的识别方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005500A (zh) * 2006-12-31 2007-07-25 中国科学院计算技术研究所 一种基于自治系统关系的边界网关协议路由策略验证方法
CN101471824A (zh) * 2007-12-29 2009-07-01 中国科学院计算技术研究所 一种边界网关协议网络的异常监测系统及方法
JP2011055334A (ja) * 2009-09-03 2011-03-17 Kddi Corp Bgp障害箇所推定方法および装置
CN102202004A (zh) * 2011-07-08 2011-09-28 福建星网锐捷网络有限公司 路由错误处理方法、装置和路由设备
CN104601466A (zh) * 2014-12-31 2015-05-06 华为技术有限公司 一种路由控制方法、边界路由器
CN105763468A (zh) * 2016-03-31 2016-07-13 杭州华三通信技术有限公司 一种bgp更新报文的传输方法和装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594714B (zh) * 2012-03-29 2015-01-28 杭州华三通信技术有限公司 一种bgp路由处理方法和bgp路由设备
JP7046818B2 (ja) * 2016-02-22 2022-04-04 ダイナミック・ネットワーク・サービシーズ・インコーポレイテッド グローバルルーティングハイジャックを発見するための方法および装置
US11012470B2 (en) * 2018-05-08 2021-05-18 Charter Communications Operating, Llc Reducing the impact of border gateway protocol (BGP) hijacks
CN110661714B (zh) * 2018-06-30 2022-06-28 华为技术有限公司 发送bgp消息的方法、接收bgp消息的方法以及设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005500A (zh) * 2006-12-31 2007-07-25 中国科学院计算技术研究所 一种基于自治系统关系的边界网关协议路由策略验证方法
CN101471824A (zh) * 2007-12-29 2009-07-01 中国科学院计算技术研究所 一种边界网关协议网络的异常监测系统及方法
JP2011055334A (ja) * 2009-09-03 2011-03-17 Kddi Corp Bgp障害箇所推定方法および装置
CN102202004A (zh) * 2011-07-08 2011-09-28 福建星网锐捷网络有限公司 路由错误处理方法、装置和路由设备
CN104601466A (zh) * 2014-12-31 2015-05-06 华为技术有限公司 一种路由控制方法、边界路由器
CN105763468A (zh) * 2016-03-31 2016-07-13 杭州华三通信技术有限公司 一种bgp更新报文的传输方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143085A (zh) * 2021-11-30 2022-03-04 中国人民解放军国防科技大学 一种基于自编码器的bgp团体属性异常检测方法及系统
CN114143085B (zh) * 2021-11-30 2023-08-01 中国人民解放军国防科技大学 一种基于自编码器的bgp团体属性异常检测方法及系统
CN114528946A (zh) * 2021-12-16 2022-05-24 浙江省新型互联网交换中心有限责任公司 一种自治域系统同胞关系识别方法
CN115396337A (zh) * 2022-08-10 2022-11-25 广州天懋信息系统股份有限公司 一种路由异常检测方法、系统、存储介质及电子设备

Also Published As

Publication number Publication date
WO2021147320A1 (zh) 2021-07-29
CN113225194B (zh) 2022-09-09

Similar Documents

Publication Publication Date Title
CN113225194B (zh) 路由异常检测方法、装置及系统、计算机存储介质
CN112787841B (zh) 故障根因定位方法及装置、计算机存储介质
CN112887119B (zh) 故障根因确定方法及装置、计算机存储介质
US10445069B2 (en) System and method for generating an application structure for an application in a computerized organization
WO2022083540A1 (zh) 故障恢复预案确定方法、装置及系统、计算机存储介质
CN112491636B (zh) 数据处理方法及装置、计算机存储介质
CN112532408B (zh) 提取故障传播条件的方法、装置及存储介质
US10225159B2 (en) Dynamic graph-based structure for representing a communications network
CN113703915B (zh) 访问关系可视化方法、装置、电子设备和存储介质
US20230142573A1 (en) Method, apparatus, and system for constructing knowledge graph, and computer storage medium
CN111355655B (zh) 一种量子密码网络量子路由检测方法和服务器
CN113852476A (zh) 确定异常事件关联对象的方法、装置及系统
CN113190368A (zh) 实现表项检查的方法、装置及系统、计算机存储介质
CN113114588B (zh) 数据处理方法、装置、电子设备和存储介质
CN115277418A (zh) 一种bgp网络运维系统
CN114978580B (zh) 网络检测方法及装置、存储介质及电子设备
US20190207805A1 (en) Node fault isolation
CN115834461B (zh) 一种基于路由分析生成bgp全域连接图的方法及装置
CN116614387A (zh) 基于网络拓扑的验证方法、装置、电子设备及存储介质
CN115314390A (zh) 一种支持多模式的云计算网络测量规划系统及方法
CN115550215A (zh) 网络检测方法、检测端、埋点服务器和系统
CN117560270A (zh) 网络故障的定位方法、装置、介质及电子设备
CN117596140A (zh) 一种云网络运维方法、装置、设备以及可读存储介质
CN114095428A (zh) 一种路由管理方法、装置及系统
CN113141307A (zh) 信息更新方法、装置、网络设备以及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant