CN113271286B - 一种用于实现bgp异常检测的方法、设备及系统 - Google Patents
一种用于实现bgp异常检测的方法、设备及系统 Download PDFInfo
- Publication number
- CN113271286B CN113271286B CN202010093180.8A CN202010093180A CN113271286B CN 113271286 B CN113271286 B CN 113271286B CN 202010093180 A CN202010093180 A CN 202010093180A CN 113271286 B CN113271286 B CN 113271286B
- Authority
- CN
- China
- Prior art keywords
- update message
- bgp update
- bgp
- historical
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种用于实现BGP异常检测的方法、设备及系统,涉及通信技术领域,能够提高BGP异常检测的时效性和准确度。具体方案为:训练设备获取第一BGP更新update消息,以及历史BGP update消息的属性信息,历史BGP update消息为接收第一BGP update消息的路由设备在接收第一BGP update消息之前接收的BGP update消息,第一BGP update消息和历史BGP update消息宣告的路由前缀信息相同;训练设备根据第一BGP update消息,以及历史BGP update消息的属性信息,获取训练样本数据;训练设备基于训练样本数据进行模型训练,获取BGP异常检测模型。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种用于实现BGP异常检测的方法、设备及系统。
背景技术
边界网关协议(border gateway protocol,BGP)是运行于传输控制协议(Transmission Control Protocol,TCP)上的一种自治系统(autonomous system,AS)的路由协议,用于在不同的自治系统之间交换路由信息。目前,安全缺陷是全球互联网现存最大最严重的安全漏洞,对网络稳定性和业务性能影响较大,可以基于BGP异常检测判断网络安全。常见的BGP路由异常事件包括劫持、泄露等。BGP消息类型可以包括5大类,其中,BGPupdate消息用于在对等体之间交换路由信息,BGP update消息包含的字段信息(例如,路径属性As_path)可以为BGP异常检测提供依据。
现有的一种BGP异常检测技术,基于网络在一段时间内的整体统计情况提取特征,训练有监督模型。例如,按时间段划分样本,一段时间内所有的BGP update消息整体产生一个样本,通过对样本内BGP update消息做统计提取特征,并进行模型训练。但是,该方法是以一个时间段内的所有BGP update消息的统计值作为样本,因此在设备上需要收集一个时间段的数据才能进行判别,导致BGP异常检测缺乏时效性。而且该方法中,提取的特征只能反映样本在当前时间段的信息,因此根据该样本训练的模型的准确度不高。
发明内容
本申请实施例提供一种用于实现BGP异常检测的方法、设备及系统,能够提高BGP异常检测的时效性,提升异常检测的准确率。
为达到上述目的,本申请实施例采用如下技术方案:
本申请实施例的第一方面,提供一种用于实现BGP异常检测的方法,该方法包括:训练设备获取第一BGP更新update消息,以及历史BGP update消息的属性信息,该历史BGPupdate消息为接收第一BGP update消息的路由设备在接收该第一BGP update消息之前接收的BGP update消息,上述第一BGP update消息和上述历史BGP update消息宣告的路由前缀信息相同;上述训练设备根据上述第一BGP update消息,以及上述历史BGP update消息的属性信息,获取训练样本数据;上述训练设备基于该训练样本数据进行模型训练,获取BGP异常检测模型。基于本方案,通过根据路由前缀相同的第一BGP update消息和历史BGPupdate消息,提取特征得到样本数据,因此建立的模型在进行异常检测时的时效性较好,能够检测当前某一个BGP update消息是否异常。而且通过当前处理的消息(第一BGP update消息)和当前处理的消息之前接收的历史消息(历史BGP update消息)提取样本数据,能够反映历史消息到当前处理的消息的变化情况,因此,建立的异常检测模型的准确度较高。
结合第一方面,在一种可能的实现方式中,上述属性信息包括统计信息。基于本方案,通过根据历史消息的统计信息提取特征得到样本数据,进行模型训练,得到的异常检测模型能够反映历史消息到当前处理的消息的变化情况,因此,建立的异常检测模型的准确度较高。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述方法还包括:上述训练设备获取第一配置参数,该第一配置参数包括最大活跃周期数m和老化周期p,m为大于或等于1的整数。基于本方案,通过获取最大活跃周期数和老化周期,能够将当前处理的BGP update消息之前的某一段时长内的历史BGP update消息作为历史数据,避免占用设备上过多的存储空间。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述训练设备获取上述历史BGP update消息的属性信息,包括:上述训练设备将上述路由设备在接收上述第一BGP update消息之前的(m-1)*p时长内接收的,与上述第一BGP update消息宣告的路由前缀信息相同的BGP update消息的统计信息,确定为上述历史BGP update消息的统计信息。基于本方案,通过将路由设备在接收当前处理的第一BGP update消息之前的(m-1)*p时长内,接收的历史BGP update消息的统计信息作为历史数据,不仅能够反映历史消息到当前处理的消息的变化情况,而且通过老化机制,能够避免占用设备上过多的存储空间。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述训练样本数据包括第一特征对应的第一训练样本数据,上述训练设备根据上述第一BGP update消息,以及上述历史BGP update消息的属性信息,获取训练样本数据,包括:上述训练设备根据上述第一BGP update消息,以及上述历史BGP update消息的统计信息,获取上述第一特征对应的第一训练样本数据。基于本方案,能够根据当前处理的第一BGP update消息和历史BGP update消息的统计信息,得到第一特征对应的第一训练样本数据,该训练样本数据可以体现AS路径的变化情况和稳定度,因此,训练得到的异常检测模型的准确度较高。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述第一特征包括:自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率、或AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值中的一项或多项。基于本方案,通过从当前处理的第一BGP update消息和历史BGP update消息的统计信息提取上述第一特征,能够反映历史消息到当前处理的消息的变化情况,因此建立的BGP异常检测模型的准确度较高。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述统计信息包括上述历史BGP update消息中各个自治系统AS出现的次数,或,上述历史BGP update消息中各对邻接AS出现的次数中至少一种。基于本方案,历史BGP update消息的统计信息可以为历史BGP update消息中各个自治系统AS出现的次数,或,历史BGP update消息中各对邻接AS出现的次数中至少一种,从而通过该统计信息提取的特征能够体现AS路径的变化情况和稳定度。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述属性信息包括路径信息。基于本方案,通过根据历史消息的路径信息提取特征得到样本数据,进行模型训练,得到的异常检测模型能够反映历史消息到当前处理的消息的路径变化情况,因此,建立的异常检测模型的准确度较高。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述方法还包括:上述训练设备获取第二配置参数,该第二配置参数包括同前缀窗口长度n,n为大于或等于1的整数。基于本方案,通过获取同前缀窗口长度n,能够将当前处理的BGP update消息之前的n个历史BGP update消息作为历史数据,避免占用设备上过多的存储空间。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述训练设备获取上述历史BGP update消息的属性信息,包括:上述训练设备获取上述路由设备在接收上述第一BGP update消息之前接收的,与上述第一BGP update消息宣告的路由前缀信息相同的n个历史BGP update消息的路径信息。基于本方案,通过将路由设备在接收当前处理的第一BGP update消息之前,接收的n个历史BGP update消息的路径信息作为历史数据,不仅能够反映历史消息到当前处理的消息的变化情况,而且能够避免占用设备上过多的存储空间。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述训练样本数据包括第二特征对应的第二训练样本数据,上述训练设备根据上述第一BGP update消息,以及上述历史BGP update消息的属性信息,获取训练样本数据,包括:上述训练设备根据上述第一BGP update消息,以及n个历史BGP update消息的路径信息,获取第二特征对应的第二训练样本数据。基于本方案,能够根据当前处理的第一BGP update消息和n个历史BGP update消息的路径信息,得到第二特征对应的第二训练样本数据,该训练样本数据可以体现AS路径的变化情况和稳定度,因此,训练得到的异常检测模型的准确度较高。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述第二特征包括AS路径编辑距离、AS路径的余弦相似度、或上述第一BGP update消息的路径对上述同前缀窗口内其他宣告AS路径编辑距离平均值中的一项或多项。基于本方案,通过从当前处理的第一BGP update消息和历史BGP update消息的路径信息提取上述第二特征,能够反映历史消息到当前处理的消息的路径变化情况,因此建立的BGP异常检测模型的准确度较高。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,上述方法还包括:上述训练设备向上述路由设备发送上述BGP异常检测模型;该BGP异常检测模型用于检测上述路由设备接收的BGP update消息是否异常;上述训练设备接收来自上述路由设备的告警信息,该告警信息用于指示上述路由设备接收的BGP update消息异常。基于本方案,通过训练设备向路由设备发送用于检测路由设备接收的BGP update消息是否异常的BGP异常检测模型,并在路由设备确定BGP update消息异常是,接收路由设备的告警信息,从而使得路由设备可以基于训练设备建立的BGP异常检测模型检测其接收的BGP update消息是否异常。
本申请实施例的第二方面,提供一种用于实现BGP异常检测的方法,该方法包括:检测设备获取BGP异常检测模型;检测设备获取路由设备接收的第一BGP update消息;检测设备获取历史BGP update消息的属性信息,该历史BGP update消息为上述路由设备在接收上述第一BGP update消息之前接收的BGP update消息,上述第一BGP update消息和上述历史BGP update消息宣告的路由前缀信息相同;上述检测设备根据上述第一BGP update消息,以及上述历史BGP update消息的属性信息,获取样本数据;上述检测设备基于该样本数据以及上述BGP异常检测模型,确定上述第一BGP update消息是否异常。基于本方案,通过检测设备提取路由设备接收的第一BGP update消息,以及与该第一BGP update消息的路由前缀相同的历史BGP update消息的属性信息的特征,得到样本数据,并基于该样本数据和异常检测模型,能够确定路由设备接收的第一BGP update消息是否异常。即本实施例中的检测设备能够检测路由设备接收的某一条BGP update消息是否异常,因此BGP异常检测的时效性较高。而且通过第一BGP update消息和历史BGP update消息的属性信息提取样本数据,能够反映历史消息到当前处理的消息的变化情况,因此,异常检测的准确度较高。
结合第二方面,在一种可能的实现方式中,上述属性信息包括统计信息。基于本方案,通过根据历史消息的统计信息提取特征得到样本数据进行检测,因此,异常检测的准确度较高。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述方法还包括:上述检测设备获取第一配置参数,该第一配置参数包括最大活跃周期数m和老化周期p,m为大于或等于1的整数。基于本方案,通过获取最大活跃周期数和老化周期,能够将当前处理的BGP update消息之前的某一段时长内的历史BGP update消息作为历史数据,避免占用设备上过多的存储空间。可选的,该检测设备获取的第一配置参数与前述训练设备获取的第一配置参数相同。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述检测设备获取上述历史BGP update消息的属性信息,包括:上述检测设备将上述路由设备在接收上述第一BGP update消息之前的(m-1)*p时长内接收的,与上述第一BGP update消息宣告的路由前缀信息相同的BGP update消息的统计信息,确定为上述历史BGP update消息的统计信息。基于本方案,通过将路由设备在接收当前处理的第一BGP update消息之前的(m-1)*p时长内,接收的历史BGP update消息的统计信息作为历史数据,不仅能够反映历史消息到当前处理的消息的变化情况,而且通过老化机制,能够避免占用设备上过多的存储空间。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述样本数据包括第一特征对应的第一样本数据,上述检测设备根据上述第一BGP update消息,以及上述历史BGP update消息的属性信息,获取样本数据,包括:上述检测设备根据上述第一BGP update消息,以及上述历史BGP update消息的统计信息,获取上述第一特征对应的第一样本数据。基于本方案,能够根据第一BGP update消息和历史BGP update消息的统计信息,得到第一特征对应的第一样本数据,该样本数据可以体现AS路径的变化情况和稳定度,因此,异常检测的准确度较高。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述第一特征包括:自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率、或AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值中的一项或多项。基于本方案,通过从当前处理的第一BGP update消息和历史BGP update消息的统计信息提取上述第一特征,能够反映历史消息到当前处理的消息的变化情况,因此BGP异常检测的准确度较高。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述统计信息包括上述历史BGP update消息中各个自治系统AS出现的次数,或,上述历史BGP update消息中各对邻接AS出现的次数中至少一种。基于本方案,历史BGP update消息的统计信息可以为历史BGP update消息中各个自治系统AS出现的次数,和/或,历史BGP update消息中各对邻接AS出现的次数,从而通过该统计信息提取的特征能够体现AS路径的变化情况和稳定度。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述属性信息包括路径信息。基于本方案,通过根据历史消息的路径信息提取特征得到样本数据进行检测时,能够反映历史消息到当前处理的消息的路径变化情况,因此,异常检测的准确度较高。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述方法还包括:上述检测设备获取第二配置参数,该第二配置参数包括同前缀窗口长度n,n为大于或等于1的整数。基于本方案,通过获取同前缀窗口长度n,能够将当前处理的BGP update消息之前的n个历史BGP update消息作为历史数据,避免占用设备上过多的存储空间。可选的,检测设备获取的第二配置参数与前述训练设备获取的第二配置参数相同。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述检测设备获取上述历史BGP update消息的属性信息,包括:上述检测设备获取上述路由设备在接收上述第一BGP update消息之前接收的,与上述第一BGP update消息宣告的路由前缀信息相同的n个历史BGP update消息的路径信息。基于本方案,通过将路由设备在接收第一BGPupdate消息之前,接收的n个历史BGP update消息的路径信息作为历史数据,不仅能够反映历史消息到当前处理的消息的变化情况,而且能够避免占用设备上过多的存储空间。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述样本数据包括第二特征对应的第二样本数据,上述检测设备根据上述第一BGP update消息,以及上述历史BGP update消息的属性信息,获取样本数据,包括:上述检测设备根据上述第一BGP update消息,以及n个历史BGP update消息的路径信息,获取第二特征对应的第二样本数据。基于本方案,能够根据当前处理的第一BGP update消息和n个历史BGP update消息的路径信息,得到第二特征对应的第二样本数据,样本数据可以体现AS路径的变化情况和稳定度,因此,异常检测的准确度较高。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述第二特征包括自治系统AS路径编辑距离、AS路径的余弦相似度、或上述第一BGP update消息的当前路径对上述同前缀窗口内其他宣告AS路径编辑距离平均值中的一项或多项。基于本方案,通过从当前处理的第一BGP update消息和历史BGP update消息的路径信息提取上述第二特征,能够反映历史消息到当前处理的消息的路径变化情况,因此异常检测的准确度较高。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述历史BGPupdate消息为正常的BGP update消息。基于本方案,通过将检测结果正常的BGP update消息作为历史BGP update消息,能够进一步提高BGP异常检测的准确度。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,上述检测设备为上述路由设备。基于本方案,检测设备和路由设备可以为同一个设备。可选的,检测设备和路由设备也可以为不同的设备。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,若上述检测设备确定上述第一BGP update消息异常,上述方法还包括:上述检测设备向训练设备发送告警信息,该告警信息用于指示上述第一BGP update消息异常。基于本方案,在检测设备确定路由设备接收的BGP update消息异常时,可以向训练设备发送告警信息,以使得训练设备获知路由设备接收的BGP update消息异常。
本申请实施例的第三方面,提供一种训练设备,该训练设备包括:获取单元,用于获取第一BGP更新update消息,以及历史BGP update消息的属性信息,该历史BGP update消息为接收上述第一BGP update消息的路由设备在接收上述第一BGP update消息之前接收的BGP update消息,该第一BGP update消息和历史BGP update消息宣告的路由前缀信息相同;处理单元,用于根据上述第一BGP update消息,以及上述历史BGP update消息的属性信息,获取训练样本数据;处理单元,还用于基于该训练样本数据进行模型训练,获取BGP异常检测模型。
结合第三方面,在一种可能的实现方式中,上述属性信息包括统计信息。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述获取单元,还用于获取第一配置参数,该第一配置参数包括最大活跃周期数m和老化周期p,m为大于或等于1的整数。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述获取单元,具体用于将上述路由设备在接收上述第一BGP update消息之前的(m-1)*p时长内接收的,与上述第一BGP update消息宣告的路由前缀信息相同的BGP update消息的统计信息,确定为上述历史BGP update消息的统计信息。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述训练样本数据包括第一特征对应的第一训练样本数据,上述处理单元,具体用于根据上述第一BGPupdate消息,以及上述历史BGP update消息的统计信息,获取上述第一特征对应的第一训练样本数据。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述第一特征包括:自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率、或AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值中的一项或多项。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述统计信息包括上述历史BGP update消息中各个自治系统AS出现的次数,或,上述历史BGP update消息中各对邻接AS出现的次数中至少一种。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述属性信息包括路径信息。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述获取单元,还用于获取第二配置参数,上述第二配置参数包括同前缀窗口长度n,n为大于或等于1的整数。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述获取单元,具体用于获取上述路由设备在接收上述第一BGP update消息之前接收的,与上述第一BGP update消息宣告的路由前缀信息相同的n个历史BGP update消息的路径信息。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述训练样本数据包括第二特征对应的第二训练样本数据,上述处理单元,具体用于根据上述第一BGPupdate消息,以及n个历史BGP update消息的路径信息,获取第二特征对应的第二训练样本数据。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述第二特征包括AS路径编辑距离、AS路径的余弦相似度、或上述第一BGP update消息的路径对上述同前缀窗口内其他宣告AS路径编辑距离平均值中的一项或多项。
结合第三方面和上述可能的实现方式,在另一种可能的实现方式中,上述训练设备还包括通信单元,该通信单元用于向上述路由设备发送上述BGP异常检测模型;上述BGP异常检测模型用于检测上述路由设备接收的BGP update消息是否异常;接收来自上述路由设备的告警信息,该告警信息用于指示上述路由设备接收的BGP update消息异常。
本申请实施例的第四方面,提供一种检测设备,该检测设备包括:获取单元,用于获取BGP异常检测模型,以及路由设备接收的第一BGP update消息;获取单元,还用于获取历史BGP update消息的属性信息,上述历史BGP update消息为上述路由设备在接收上述第一BGP update消息之前接收的BGP update消息,上述第一BGP update消息和上述历史BGPupdate消息宣告的路由前缀信息相同;处理单元,用于根据上述第一BGP update消息,以及上述历史BGP update消息的属性信息,获取样本数据;处理单元,还用于基于该样本数据以及上述BGP异常检测模型,确定上述第一BGP update消息是否异常。
结合第四方面,在一种可能的实现方式中,上述属性信息包括统计信息。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述获取单元,还用于获取第一配置参数,该第一配置参数包括最大活跃周期数m和老化周期p,m为大于或等于1的整数。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述获取单元,具体用于将上述路由设备在接收上述第一BGP update消息之前的(m-1)*p时长内接收的,与上述第一BGP update消息宣告的路由前缀信息相同的BGP update消息的统计信息,确定为上述历史BGP update消息的统计信息。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述样本数据包括第一特征对应的第一样本数据,上述处理单元,具体用于根据上述第一BGP update消息,以及上述历史BGP update消息的统计信息,获取上述第一特征对应的第一样本数据。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述第一特征包括:自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率、或AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值中的一项或多项。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述统计信息包括上述历史BGP update消息中各个自治系统AS出现的次数,或,上述历史BGP update消息中各对邻接AS出现的次数中至少一种。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述属性信息包括路径信息。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述获取单元,还用于获取第二配置参数,该第二配置参数包括同前缀窗口长度n,n为大于或等于1的整数。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述获取单元,具体用于获取上述路由设备在接收上述第一BGP update消息之前接收的,与上述第一BGP update消息宣告的路由前缀信息相同的n个历史BGP update消息的路径信息。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述样本数据包括第二特征对应的第二样本数据,上述处理单元,具体用于根据上述第一BGP update消息,以及n个历史BGP update消息的路径信息,获取第二特征对应的第二样本数据。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述第二特征包括自治系统AS路径编辑距离、AS路径的余弦相似度、或上述第一BGP update消息的当前路径对上述同前缀窗口内其他宣告AS路径编辑距离平均值中的一项或多项。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述历史BGPupdate消息为正常的BGP update消息。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述检测设备为上述路由设备。
结合第四方面和上述可能的实现方式,在另一种可能的实现方式中,上述训练设备还包括通信单元,该通信单元用于向训练设备发送告警信息,该告警信息用于指示上述第一BGP update消息异常。
本申请实施例的第五方面,提供一种计算机存储介质,所述计算机存储介质中存储有计算机程序代码,当所述计算机程序代码在处理器上运行时,使得所述处理器执行上述任一方面所述的用于实现BGP异常检测的方法。
本申请实施例的第六方面,提供了一种计算机程序产品,该程序产品储存有上述处理器执行的计算机软件指令,该计算机软件指令包含用于执行上述方面所述方案的程序。
本申请实施例的第七方面,提供了一种通信装置,该装置包括收发器和处理器,可选的还可以包括存储器;收发器,用于收发信息,或者用于与其他网元通信;存储器,用于存储计算机执行指令;处理器,用于执行所计算机执行指令实现上述任一方面所述的用于实现BGP异常检测的方法。
本申请实施例的第八方面,提供了一种通信装置,该装置以芯片的产品形态存在,该装置的结构中包括处理器,还可以包括存储器,该存储器用于与处理器耦合,保存该装置必要的程序指令和数据,该处理器用于执行存储器中存储的程序指令,使得该装置执行上述任一方面所述的方法。
本申请实施例的第九方面,提供了一种用于实现BGP异常检测的系统,该系统包括上述第三方面及相关实现方式所述的训练设备,以及,上述第四方面及相关实现方式所述的检测设备。
附图说明
图1为本申请实施例提供的一种交换路由信息的场景示意图;
图2为本申请实施例提供的一种系统架构示意图;
图3为本申请实施例提供的一种通信装置的结构示意图;
图4为本申请实施例提供的一种用于实现BGP异常检测的方法的流程示意图;
图5为本申请实施例提供的另一种用于实现BGP异常检测的方法的流程示意图;
图6为本申请实施例提供的另一种用于实现BGP异常检测的方法的流程示意图;
图7为本申请实施例提供的一种训练设备的组成示意图;
图8为本申请实施例提供的一种检测设备的组成示意图;
图9为本申请实施例提供的另一种训练设备的组成示意图;
图10为本申请实施例提供的另一种检测设备的组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。在本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,a和b,a和c,b和c,或,a和b和c,其中a、b和c可以是单个,也可以是多个。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
示例性的,BGP用于在不同的自治系统AS之间交换路由信息。BGP的消息类型包括BGP打开open消息、BGP更新update消息、BGP报错notification消息、BGP存活keepalive消息和BGP路由更新route-refresh消息5大类。其中,BGP open消息用于协商BGP邻居的各项参数,建立邻居关系。BGP update消息用于在对等体之间交换路由信息。BGP notification消息用于中断BGP连接。BGP keepalive消息用于保持BGP连接。BGP route-refresh消息用于在改变路由策略后,请求对等体重新发送路由信息。
上述消息中的BGP update消息可以发布多条属性相同的可达路由信息,也可以撤销多条不可达路由信息。BGP update消息可以包括多个属性信息,其中,BGP update消息中的路径属性(As_Path)可以为BGP异常检测提供重要依据。该As_Path属性是公认必遵属性,该属性按矢量顺序记录了某条路由从本地到目的地址所要经过的所有AS号(AS number)。当BGP将一条路由通告到其他AS时,会把本地AS号添加在As_Path列表的最前面。收到此路由的BGP路由器根据As_Path属性就可以知道去目的地址所要经过的AS。该As_Path属性也可以作为避免AS之间的路由环路的依据。
例如,如图1所示,源BGP路由器R1的地址为2.2.1.0/24,BGP路由器R1可以向BGP路由器R2宣告路由前缀2.2.1.0/24,其路径属性As_Path为BGP路由器R1所在的AS号,即As_Path为(100)。BGP路由器R2可以向BGP路由器R3宣告路由前缀2.2.1.0/24,其路径属性As_Path为BGP路由器R1所在的AS号,以及BGP路由器R2所在的AS号,即As_Path为(200 100)。BGP路由器R3可以根据该AS列表(200 100),获知去目的地址2.2.1.0/24先经过AS200,再经过AS100。再例如,BGP路由器R3可以向BGP路由器R4宣告路由前缀2.2.1.0/24,其路径属性As_Path为BGP路由器R1所在的AS号、BGP路由器R2所在的AS号,以及BGP路由器R3所在的AS号,即As_Path为(300 200 100)。BGP路由器R4可以根据该AS列表(300 200 100),获知去目的地址2.2.1.0/24先后经过AS300、AS200和AS100。
可以理解的,图1中仅以一个AS包括一个BGP路由器为例进行示意,实际应用中,一个AS可以包括多个路由设备,本申请实施例对此并不进行限定。
示例性的,一种BGP异常检测技术,通过收集网络在一段时间内的整体统计情况,按时间段划分样本,一段时间内所有的BGP update消息整体产生一个样本,通过对样本内BGP update消息做统计提取特征,并进行模型训练。例如,将收集的数据按时间细分,每分钟一个样本,统计样本时间段内各类消息的数量(比如,宣告数、撤回数、隐式撤回数等)作为训练样本。再例如,统计样本时间段内消息宣告的路径(比如,平均AS路径长度、平均AS路径编辑距离等)作为训练样本。
但是,该方法是以一个时间段内的所有BGP update消息的统计值作为样本,因此在设备上需要收集一个时间段的数据才能进行判别,而且仅能判别出一个时间段内是否存在异常的BGP update消息,导致BGP异常检测缺乏时效性。而且该方法中,提取的特征只能反映样本在当前时间段的信息,而不包括任何历史信息,因此根据该样本训练的模型的准确度不高。
为了提高BGP异常检测的时效性,提升检测的准确率,本申请实施例提供一种用于实现BGP异常检测的方法,该方法可以应用于图2所示的系统架构中。如图2所示,该系统架构包括训练设备和多个检测设备。
示例性的,训练设备可以为网络设备或其他通信设备,本申请实施例对此并不进行限定。例如,训练设备可以为网络云平台。该网络云平台可以控制与其连接的多个BGP路由设备。示例性的,训练设备可以收集多个BGP路由设备接收的多个BGP update消息,并对同一个BGP路由设备接收的宣告同一个路由前缀的BGP update消息进行解析,提取特征得到训练样本数据,基于该训练样本数据进行模型训练,得到BGP异常检测模型。训练设备还可以向BGP路由设备发送其建立的BGP异常检测模型,以使得BGP路由设备可以基于该BGP异常检测模型,对其接收的BGP update消息进行实时检测,确定该BGP update消息是否异常。
示例性的,检测设备可以为路由设备,也可以为与路由设备不同的其他设备。图2中仅以检测设备为路由设备为例进行示意。当检测设备为与路由设备不同的其他设备时,路由设备可以实时向检测设备发送接收的BGP update消息,相应地,检测设备基于从路由设备接收的BGP update消息进行检测,该检测设备和路由设备之间可以是一一对应的。检测设备可以基于训练设备建立的BGP异常检测模型,对其接收的BGP update消息进行实时检测,确定该BGP update消息是否异常。BGP异常检测结果包括正常和异常。其中,异常包括劫持、泄露等。当BGP路由设备确定其接收的BGP update消息异常时,可以向网络设备上报告警信息。
示例性的,在具体实现时,本申请实施提供的用于实现BGP异常检测的方法中,图2所示的训练设备和检测设备可以采用图3所示的组成结构,或者包括图3所示的部件。
示例性的,图3为本申请实施例提供的一种通信装置300的组成示意图。如图3所示,该通信装置300可以包括至少一个处理器301,存储器302、收发器303以及通信总线304。
下面结合图3对该通信装置300的各个构成部件进行具体的介绍:
处理器301是通信装置300的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器301是一个中央处理器(central processing unit,CPU),也可以是特定集成电路(Application Specific Integrated Circuit,ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路,例如:一个或多个微处理器(digital signalprocessor,DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,FPGA)。
其中,处理器301可以通过运行或执行存储在存储器302内的软件程序,以及调用存储在存储器302内的数据,执行通信设备的各种功能。
在具体的实现中,作为一种实施例,处理器301可以包括一个或多个CPU,例如图3中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,通信装置300可以包括多个处理器,例如图3中所示的处理器301和处理器305。这些处理器中的每一个可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个通信设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
存储器302可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储通信设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储通信设备,也可以是电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储通信设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器302可以是独立存在,通过通信总线304与处理器301相连接。存储器302也可以和处理器301集成在一起。
其中,所述存储器302用于存储执行本发明方案的软件程序,并由处理器301来控制执行。
收发器303,用于与其他通信设备之间的通信。当然,收发器303还可以用于与通信网络通信,通信网络例如为以太网,无线接入网(radio access network,RAN),无线局域网(Wireless Local Area Networks,WLAN)等。收发器303可以包括接收单元实现接收功能,以及发送单元实现发送功能。
通信总线304,可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部通信设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
需要说明的是,通信装置300可以是服务器、路由器、芯片系统或有图3中类似结构的设备。此外,图3中示出的组成结构并不构成对该通信装置的限定,除图3所示部件之外,该通信装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
示例性的,结合图1-图3,如图4所示,为本申请实施例提供的一种用于实现BGP异常检测的方法,该方法包括步骤S400-S403。
S401、训练设备获取第一BGP update消息,以及历史BGP update消息的属性信息。
该历史BGP update消息为接收第一BGP update消息的路由设备在接收该第一BGPupdate消息之前接收的BGP update消息,且该历史BGP update消息与第一BGP update消息宣告的路由前缀信息相同。即,该历史BGP update消息与第一BGP update消息为同一个路由设备接收的宣告相同的路由前缀的BGP update消息,而且历史BGP update消息的接收时间早于第一BGP update消息的接收时间。
示例性的,上述步骤S401中的第一BGP update消息和历史BGP update消息可以是路由设备发送给训练设备的,也可以是训练设备收集的,本申请实施例对此并不进行限定。
示例性的,训练设备可以获取多个BGP update消息,该多个BGP update消息可以为多个路由设备接收的消息。训练设备将该多个BGP update消息中由同一路由设备接收的,且宣告的路由前缀相同的BGP update消息作为一组消息。该组消息中的任一个BGPupdate消息可以为上述第一BGP update消息,接收时间早于该第一BGP update消息的BGPupdate为上述历史BGP update。
可以理解的,上述第一BGP update消息可以为上述训练设备正在处理的某一个路由设备接收的BGP update消息,上述历史BGP update消息可以为该路由设备在接收当前正在处理的BGP update消息之前接收的,且与当前正在处理的BGP update消息的路由前缀相同的BGP update消息。
示例性的,上述属性信息可以包括统计信息和路径信息中的至少一种。
示例性的,路径信息可以包括As_Path属性,和/或,基于As_Path属性计算得到的其他信息。例如,基于历史BGP update消息的As_Path属性计算得到的AS路径编辑距离等信息。本申请实施例对于路径信息的具体类型并不进行限定。
示例性的,统计信息可以包括历史BGP update消息中各个AS出现的次数,或,历史BGP update消息中各对邻接AS出现的次数中至少一种。例如,可以基于历史BGP update消息的As_Path属性得到各个AS出现的次数,以及,各对邻接AS出现的次数。该邻接AS为As_Path属性中连续出现的AS对。
示例性的,历史BGP update消息的统计信息可以基于一段时间内的历史BGPupdate消息的As_Path属性,统计各AS号或各对邻接AS在历史BGP update消息的As_Path属性中出现的次数。例如,以历史BGP update消息包括BGP update消息1、BGP update消息2和BGP update消息3为例,BGP update消息1的As_Path属性为(100),BGP update消息2的As_Path属性为(200 100),BGP update消息3的As_Path属性为(300 200 100)。那么,上述历史BGP update消息的统计信息中AS100的统计信息为3,AS200的统计信息为2,AS300的统计信息为1。可以理解的,实际应用中的历史BGP update消息通常较多,在此仅以历史BGPupdate消息为3个进行示例性说明。
可选的,上述步骤S401之前还可以包括步骤S400:训练设备获取配置参数。该训练设备获取的配置参数可以是用户预先设置的配置参数,也可以是接收来自其他设备的配置参数,本申请实施例对此并不进行限定。
示例性的,该配置参数可以包括第一配置参数和第二配置参数,第一配置参数包括最大活跃周期数m和老化周期p,m为大于或等于1的整数。该老化周期为老化历史BGPupdate消息的统计信息的周期,最大活跃周期为老化之前,统计的历史BGP update消息的统计信息的周期数。第二配置参数包括同前缀窗口长度n,n为大于或等于1的整数。
示例性的,以最大活跃周期数为3,老化周期为15天为例。老化之前的历史BGPupdate消息的统计信息为3*15天时长内的历史BGP update消息的统计信息,老化最早的15天内的BGP update消息的统计信息,老化之后历史BGP update消息的统计信息为最近30天内的BGP update消息的统计信息。例如,以最大活跃周期是3,老化周期是15天为例,老化之前的历史BGP update消息的统计信息为接收时间在2019年4月1日到2019年5月15日的BGPupdate消息的统计信息(共3*15=45天),基于老化周期15天,在2019年4月16日老化2019年4月1日到2019年4月15日的统计信息(即老化最早的15天的统计信息),将历史BGP update消息的统计信息更新为2019年4月16日到2019年5月15日的统计值(比如,可以用2019年4月1日到2019年5月15日的BGP update消息的统计信息减去2019年4月1日到2019年4月15日的统计信息),因此老化后的历史BGP update消息的统计信息为2019年4月16日到2019年5月15日接收的BGP update消息的统计信息(共2*15天=30天)。
示例性的,第一种实现方式中,上述属性信息包括统计信息时,上述步骤S401中训练设备获取历史BGP update消息的属性信息,可以包括:训练设备基于第一配置参数,获取历史BGP update消息的统计信息。
示例性的,训练设备基于第一配置参数,获取历史BGP update消息的统计信息,可以包括:训练设备将路由设备在接收所述第一BGP update消息之前的(m-1)*p时长内接收的,与第一BGP update消息宣告的路由前缀信息相同的BGP update消息的统计信息,确定为历史BGP update消息的统计信息。
例如,以第一BGP update消息宣告的路由前缀信息为2.2.1.0/24,路径属性As_Path为(300200 100),路由设备在接收该第一BGP update消息之前的(m-1)*p时长内接收的BGP update消息中宣告路由前缀信息为2.2.1.0/24的消息中,有50条BGP update消息的路径属性包括AS300,有70条BGP update消息的路径属性包括AS200,有100条BGP update消息的路径属性包括AS100。即,历史BGP update消息的统计信息中AS300的统计信息为50,AS200的统计信息为70,AS100的统计信息为100。
可以理解的,该实现方式中,通过老化机制老化较早的p天内接收的BGP update消息的统计信息,将路由设备在接收第一BGP update消息之前,最近(m-1)*p时长内接收的BGP update消息的统计信息,确定为历史BGP update消息的统计信息。从而能够避免占用设备上过多的存储空间。
示例性的,第二种实现方式中,上述属性信息包括路径信息时,上述步骤S401中训练设备获取历史BGP update消息的属性信息,可以包括:训练设备基于第二配置参数,获取历史BGP update消息的路径信息。
示例性的,训练设备基于第二配置参数,获取历史BGP update消息的路径信息,可以包括:训练设备获取路由设备在接收第一BGP update消息之前接收的,与第一BGPupdate消息宣告的路由前缀信息相同的n个历史BGP update消息的路径信息。
示例性的,上述n个历史BGP update消息,可以为路由设备在接收第一BGP update消息之前接收的n个BGP update消息,该n个BGP update消息与第一BGP update消息的路由前缀相同。可选的,该同前缀窗口内的n个历史BGP update消息,可以为路由设备在接收第一BGP update消息之前,最近接收的与第一BGP update消息的路由前缀相同的n个BGPupdate消息。例如,以n为20为例,该同前缀窗口内的20个历史BGP update消息,为路由设备在接收第一BGP update消息之前最近接收的20个BGP update消息,而且该第一BGP update消息和该同前缀窗口内接收的20个历史BGP update消息宣告的路由前缀信息相同。
需要说明的是,本申请实施例中训练设备可以仅获取历史BGP update消息的统计信息,也可以仅获取历史BGP update消息的路径信息,还可以既获取历史BGP update消息的统计信息,又获取历史BGP update消息的路径信息。
S402、训练设备根据第一BGP update消息,以及历史BGP update消息的属性信息,获取训练样本数据。
该训练样本数据可以包括第一特征对应的第一训练样本数据,或,第二特征对应的第二训练样本数据中的至少一种。
示例性的,对应于步骤S401中的第一种实现方式,上述步骤S402包括:训练设备根据第一BGP update消息,以及历史BGP update消息的统计信息,获取第一特征对应的第一训练样本数据。
示例性的,该第一特征包括自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率、或AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值中的一项或多项。本申请实施例对于第一特征的具体类型并不进行限定,在此仅是示例性说明。
示例性的,当历史BGP update消息的统计信息为历史BGP update消息中各个自治系统AS出现的次数时,训练设备可以基于第一BGP update消息和历史BGP update消息的统计信息,提取自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率,得到第一训练样本数据。例如,以第一BGP update消息宣告的路由前缀信息为2.2.1.0/24,路径属性As_Path为(300 200 100),路由设备在接收该第一BGP update消息之前的(m-1)*p时长内接收的BGP update消息为100条,历史BGPupdate消息的统计信息中AS300的统计值为50,AS200的统计值为70,AS100的统计值为100为例,训练设备可以基于该第一BGP update消息和历史BGP update消息的统计信息,计算AS100、AS200和AS300在之前同前缀宣告中出现的概率最小值为0.5。再例如,以源AS为AS100为例,可以计算源AS在之前同前缀宣告中作为源AS出现的概率。
示例性的,当历史BGP update消息的统计信息为历史BGP update消息中各对邻接AS出现的次数时,训练设备可以基于第一BGP update消息和历史BGP update消息的统计信息,提取AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值,得到第一训练样本数据。例如,以第一BGP update消息宣告的路由前缀信息为2.2.1.0/24,路径属性As_Path为(300 200 100),路由设备在接收该第一BGP update消息之前的(m-1)*p时长内接收的BGP update消息为70条,历史BGP update消息的统计信息中邻接AS对(300 200)的统计值为50,邻接AS对(200 100)的统计值为70为例,训练设备可以基于该第一BGP update消息和历史BGP update消息的统计信息,计算邻接AS对(300 200)和邻接AS对(200 100)在之前同前缀宣告中出现的概率最小值。
示例性的,对应于步骤S401中的第二种实现方式,上述步骤S402包括:训练设备根据第一BGP update消息,以及n个历史BGP update消息的路径信息,获取第二特征对应的第二训练样本数据。
示例性的,该第二特征包括AS路径编辑距离、AS路径的余弦相似度、或第一BGPupdate消息的路径对同前缀窗口内其他宣告AS路径编辑距离平均值中的一项或多项。上述AS路径编辑距离为上条消息AS路径变成当条消息AS路径所需的操作次数,AS路径的余弦相似度为cos(上条BGP update消息的AS路径向量,第一BGP update消息的AS路径向量)。本申请实施例对于第二特征的具体类型并不进行限定,在此仅是示例性说明。
需要说明的是,上述步骤S402中获取的训练样本数据可以仅包括第一训练样本数据,也可以仅包括第二训练样本数据,还可以既包括第一训练样本数据,又包括第二训练样本数据。
S403、训练设备基于训练样本数据进行模型训练,获取BGP异常检测模型。
示例性的,训练设备可以基于上述步骤S402中的第一训练样本数据和第二训练样本数据中的至少一种进行模型训练,获取BGP异常检测模型。
可选的,上述步骤S403中训练设备可以基于第一训练样本数据、第二训练样本数据,以及BGP update消息的异常事件记录情况进行模型训练,获取BGP异常检测模型。
可以理解的,由于本实施例中训练设备建立BGP异常检测模型时,是根据宣告同一路由前缀的第一BGP update消息以及历史BGP update消息,提取特征得到样本数据,再基于该样本数据建立模型的,因此该BGP异常检测模型能够实时检测某一条BGP update消息是否异常。而且,本申请实施例是根据宣告同一路由前缀的第一BGP update消息和历史BGPupdate消息提取特征,得到样本数据进行模型训练,该样本数据能够反映历史消息到当前消息的变化情况,因此建立的BGP异常检测模型的准确度较高。进一步的,本申请实施例中的历史BGP update消息可以基于老化机制进行更新,因此,能够节省设备的存储空间。
示例性的,本申请实施例还提供一种用于实现BGP异常检测的方法,如图5所示,该方法可以包括步骤S500-S505。
S501、检测设备获取BGP异常检测模型。
示例性的,BGP异常检测模型可以为通过步骤S400至步骤S403的方法训练得到的模型,该BGP异常检测模型用于检测路由设备接收的BGP update消息是否异常。
示例性的,上述检测设备获取BGP异常检测模型可以包括:检测设备接收来自训练设备(例如,网络设备)发送的BGP异常检测模型。
可选的,步骤S501之前还可以包括训练设备向检测设备发送BGP异常检测模型。
S502、检测设备获取路由设备接收的第一BGP update消息。
示例性的,上述检测设备可以为上述接收第一BGP update消息的路由设备,也可以为和接收第一BGP update消息的路由设备不同的其他设备。
当检测设备为接收第一BGP update消息的路由设备时,上述检测设备获取路由设备接收的第一BGP update消息,可以包括:检测设备接收来自其他路由设备的第一BGPupdate消息。
S503、检测设备获取历史BGP update消息的属性信息。
该历史BGP update消息为步骤S502中的路由设备在接收第一BGP update消息之前接收的BGP update消息,第一BGP update消息和历史BGP update消息宣告的路由前缀信息相同。即,该历史BGP update消息与第一BGP update消息为同一个路由设备接收的宣告相同的路由前缀的BGP update消息,而且该历史BGP update消息的接收时间早于第一BGPupdate消息的接收时间。
示例性的,上述历史BGP update消息的属性信息可以包括历史BGP update消息的统计信息和历史BGP update消息的路径信息中的至少一种。关于该属性信息的具体描述可以参考前述步骤S401中的相关描述,在此不再赘述。
可选的,上述步骤S503之前还可以包括步骤S500:检测设备获取配置参数。例如,检测设备可以接收来自训练设备的配置参数。可选的,检测设备获取的配置参数也可以是用户预先设置的。可以理解的,检测设备获取的配置参数与训练设备进行BGP异常检测模型训练时的配置参数相同。
示例性的,上述配置参数可以包括第一配置参数和第二配置参数。关于第一配置参数和第二配置参数的具体描述可以参考前述步骤S401中的相关描述,在此不再赘述。
相应的,上述步骤S503包括:检测设备基于配置参数,获取历史BGP update消息的属性信息。可以理解的,检测设备基于配置参数,获取历史BGP update消息的属性信息的具体实现方式,可以参考步骤S401中训练设备基于第一配置参数,获取历史BGP update消息的统计信息,以及,训练设备基于第二配置参数,获取历史BGP update消息的路径信息的实现方式,在此不再赘述。
可选的,上述历史BGP update消息可以为检测结果正常的BGP update消息,即检测设备将检测结果正常的BGP update消息作为历史数据。可以理解的,路由设备在进行BGP异常检测时,通过将正常的历史BGP update消息作为历史数据,可以进一步提高BGP异常检测的准确性。
S504、检测设备根据第一BGP update消息,以及历史BGP update消息的属性信息,获取样本数据。
可以理解的,步骤S504中检测设备根据第一BGP update消息,以及历史BGPupdate消息的属性信息,获取样本数据的具体实现方式,可以参考步骤S402中训练设备根据第一BGP update消息,以及历史BGP update消息的属性信息,获取训练样本数据的实现方式,在此不再赘述。
S505、检测设备基于样本数据以及BGP异常检测模型,确定第一BGP update消息是否异常。
示例性的,路由设备可以基于步骤S504获取的样本数据,以及步骤S501获取的BGP异常检测模型,确定第一BGP update消息正常或异常。示例性的,第一BGP update消息异常可以包括劫持、泄露等。
可以理解的,本申请实施例中的检测设备通过获取BGP异常检测模型;接收第一BGP update消息;获取历史BGP update消息的属性信息;根据第一BGP update消息,以及历史BGP update消息的属性信息,获取样本数据;并基于该样本数据以及BGP异常检测模型,确定第一BGP update消息是否异常。该用于实现BGP异常检测的方法能够实时检测出路由设备接收的BGP update消息是否异常,提高了BGP异常检测的时效性。而且通过当前接收的BGP update消息以及历史BGP update消息提取特征,能够反映历史消息到当前消息的变化情况,因此BGP异常检测的准确度较高。
可选的,如图6所示,以训练设备为网络设备为例,若上述步骤S505中检测设备确定第一BGP update消息异常,上述方法还可以包括步骤S506-S507。
S506、检测设备向训练设备发送告警信息。
该告警信息用于指示路由设备接收的第一BGP update消息异常。
S507、训练设备接收来自检测设备的告警信息。
示例性的,网络设备可以接收来自检测设备的告警信息,以获知路由设备接收的第一BGP update消息异常。
可以理解的,本申请实施例中的用于实现BGP异常检测的方法能够实时检测出路由设备接收的BGP update消息是否异常,提高了BGP异常检测的时效性。而且通过当前接收的BGP update消息以及历史BGP update消息提取特征,能够反映历史消息到当前消息的变化情况,因此建立的BGP异常检测模型的准确度较高。而且通过在路由设备确定其接收的BGP update消息异常时,向网络设备发送告警信息,以告知网络设备该BGP update消息异常。
上述主要从方法步骤的角度对本申请实施例提供的方案进行了介绍。可以理解的是,计算机为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,本申请能够以硬件和计算机软件的结合形式来实现。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对通信设备进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
图7示出了上述实施例中所涉及的训练设备的一种可能的结构示意图,该训练设备700包括:获取单元701和处理单元702。获取单元701用于执行图4中的S400和S401。处理单元702用于执行图4中的S402和S403。可选的,训练设备还可以包括通信单元703,该通信单元703可以用于收发信息,或者用于与其他网元通信,和/或用于本文所描述的技术的其它过程。例如,通信单元703可以执行图6中的步骤S507。再例如,上述获取单元701获取的第一BGP update消息和历史BGP update消息的属性信息可以是通过通信单元703获取的。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
图8示出了上述实施例中所涉及的检测设备的一种可能的结构示意图,该检测设备800包括:获取单元801和处理单元802。获取单元801可以用于执行图5中的步骤S500、S501、S502和S503。处理单元802可以执行图5步骤S504-S505。可选的,检测设备还可以包括通信单元803,该通信单元803可以用于收发信息,或者用于与其他网元通信,和/或用于本文所描述的技术的其它过程。例如,通信单元803可以执行图6中的步骤S506。再例如,上述获取单元801获取的第一BGP update消息和历史BGP update消息的属性信息可以是通过通信单元803获取的。其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
图9示出了上述实施例中所涉及的训练设备900的一种可能的结构示意图。该训练设备900包括:处理器901和收发器902,该处理器901用于对训练设备900的动作进行控制管理,例如,处理器901可以执行图4中的步骤S402-S403,和/或用于本文所描述的技术的其它过程。该收发器902用于收发信息,或者用于与其他网元通信,和/或用于本文所描述的技术的其它过程。例如,收发器902可以执行图4中的步骤S400和S401,或,图6中的步骤S507。可选的,上述训练设备900还可以包括存储器903,该存储器903用于存储训练设备900执行图4所示的用于实现BGP异常检测的方法所对应的程序代码和数据。该存储器903可以为只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)等。该训练设备900可以为图3所示的通信设备,上述图3涉及的各部件的所有相关内容的描述均可以援引到图9对应部件的功能描述,在此不再赘述。
图10示出了上述实施例中所涉及的检测设备1000的一种可能的结构示意图。该检测设备1000包括:处理器1001和收发器1002,该处理器1001用于对检测设备1000的动作进行控制管理,例如,处理器1001可以执行图5步骤S504-S505,和/或用于本文所描述的技术的其它过程。该收发器1002用于收发信息,或者用于与其他网元通信,和/或用于本文所描述的技术的其它过程。例如,收发器1002可以执行图5步骤S500-S503,或,图6中的步骤S506。可选的,上述检测设备1000还可以包括存储器1003,该存储器1003用于存储检测设备1000执行图5或图6所示的用于实现BGP异常检测的方法所对应的程序代码和数据。该存储器1003可以为只读存储器ROM或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器RAM等。该检测设备1000可以为图3所示的通信设备,上述图3涉及的各部件的所有相关内容的描述均可以援引到图10对应部件的功能描述,在此不再赘述。
本申请实施例还提供一种用于实现BGP异常检测的系统,该系统可以包括图7所示的训练设备,以及图8所示的检测设备。
本申请实施例还提供一种用于实现BGP异常检测的系统,该系统可以包括图9所示的训练设备,以及图10所示的检测设备。
本申请实施例还提供一种计算机存储介质,所述计算机存储介质中存储有计算机程序代码,当所述计算机程序代码在处理器上运行时,使得所述处理器执行图4至图6任一所述的用于实现BGP异常检测的方法。
本申请实施例还提供计算机程序产品,该程序产品储存有上述处理器执行的计算机软件指令,该计算机软件指令包含用于执行图4至图6任一所述的用于实现BGP异常检测的方法的程序。
结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器RAM、闪存、可擦除可编程只读存储器(ErasableProgrammable ROM,EPROM)、电可擦可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于核心网接口设备中。当然,处理器和存储介质也可以作为分立组件存在于核心网接口设备中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施方式而已,并不用于限定本申请的保护范围,凡在本申请的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本申请的保护范围之内。
Claims (50)
1.一种用于实现边界网关协议BGP异常检测的方法,其特征在于,所述方法包括:
训练设备获取第一BGP更新update消息,以及历史BGP update消息的属性信息,所述历史BGP update消息为接收所述第一BGP update消息的路由设备在接收所述第一BGPupdate消息之前接收的BGP update消息,所述第一BGP update消息和所述历史BGP update消息宣告的路由前缀信息相同;
所述训练设备根据所述第一BGP update消息,以及所述历史BGP update消息的属性信息,获取训练样本数据;
所述训练设备基于所述训练样本数据进行模型训练,获取BGP异常检测模型,所述BGP异常检测模型用于检测所述路由设备接收的BGP update消息是否异常。
2.根据权利要求1所述的方法,其特征在于,所述属性信息包括统计信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述训练设备获取第一配置参数,所述第一配置参数包括最大活跃周期数m和老化周期p,所述m为大于或等于1的整数;
所述训练设备获取所述历史BGP update消息的属性信息,包括:所述训练设备将所述路由设备在接收所述第一BGP update消息之前的(m-1)*p时长内接收的,与所述第一BGPupdate消息宣告的路由前缀信息相同的BGP update消息的统计信息,确定为所述历史BGPupdate消息的统计信息。
4.根据权利要求2所述的方法,其特征在于,所述训练样本数据包括第一特征对应的第一训练样本数据,所述训练设备根据所述第一BGP update消息,以及所述历史BGP update消息的属性信息,获取训练样本数据,包括:
所述训练设备根据所述第一BGP update消息,以及所述历史BGP update消息的统计信息,获取所述第一特征对应的第一训练样本数据。
5.根据权利要求4所述的方法,其特征在于,所述第一特征包括:自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率、或AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值中的一项或多项。
6.根据权利要求2-5中任一项所述的方法,其特征在于,所述统计信息包括所述历史BGP update消息中各个自治系统AS出现的次数,或,所述历史BGP update消息中各对邻接AS出现的次数中至少一种。
7.根据权利要求1-5中任一项所述的方法,其特征在于,所述属性信息包括路径信息。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述训练设备获取第二配置参数,所述第二配置参数包括同前缀窗口长度n,所述n为大于或等于1的整数;
所述训练设备获取所述历史BGP update消息的属性信息,包括:所述训练设备获取所述路由设备在接收所述第一BGP update消息之前接收的,与所述第一BGP update消息宣告的路由前缀信息相同的n个历史BGP update消息的路径信息。
9.根据权利要求8所述的方法,其特征在于,所述训练样本数据包括第二特征对应的第二训练样本数据,所述训练设备根据所述第一BGP update消息,以及所述历史BGP update消息的属性信息,获取训练样本数据,包括:
所述训练设备根据所述第一BGP update消息,以及n个历史BGP update消息的路径信息,获取第二特征对应的第二训练样本数据。
10.根据权利要求9所述的方法,其特征在于,所述第二特征包括AS路径编辑距离、AS路径的余弦相似度、或所述第一BGP update消息的路径对所述同前缀窗口内其他宣告AS路径编辑距离平均值中的一项或多项。
11.根据权利要求1-5中任一项所述的方法,其特征在于,所述方法还包括:
所述训练设备向所述路由设备发送所述BGP异常检测模型;所述BGP异常检测模型用于检测所述路由设备接收的BGP update消息是否异常;
所述训练设备接收来自所述路由设备的告警信息,所述告警信息用于指示所述路由设备接收的BGP update消息异常。
12.一种用于实现BGP异常检测的方法,其特征在于,所述方法包括:
检测设备获取BGP异常检测模型,所述BGP异常检测模型是根据当前处理的BGP update消息和当前处理的BGP update消息之前接收的历史BGP update消息提取样本数据建立的;
所述检测设备获取路由设备接收的第一BGP update消息;
所述检测设备获取历史BGP update消息的属性信息,所述历史BGP update消息为所述路由设备在接收所述第一BGP update消息之前接收的BGP update消息,所述第一BGPupdate消息和所述历史BGP update消息宣告的路由前缀信息相同;
所述检测设备根据所述第一BGP update消息,以及所述历史BGP update消息的属性信息,获取样本数据;
所述检测设备基于所述样本数据以及所述BGP异常检测模型,确定所述第一BGPupdate消息是否异常。
13.根据权利要求12所述的方法,其特征在于,所述属性信息包括统计信息。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
所述检测设备获取第一配置参数,所述第一配置参数包括最大活跃周期数m和老化周期p,所述m为大于或等于1的整数;
所述检测设备获取所述历史BGP update消息的属性信息,包括:所述检测设备将所述路由设备在接收所述第一BGP update消息之前的(m-1)*p时长内接收的,与所述第一BGPupdate消息宣告的路由前缀信息相同的BGP update消息的统计信息,确定为所述历史BGPupdate消息的统计信息。
15.根据权利要求13所述的方法,其特征在于,所述样本数据包括第一特征对应的第一样本数据,所述检测设备根据所述第一BGP update消息,以及所述历史BGP update消息的属性信息,获取样本数据,包括:
所述检测设备根据所述第一BGP update消息,以及所述历史BGP update消息的统计信息,获取所述第一特征对应的第一样本数据。
16.根据权利要求15所述的方法,其特征在于,所述第一特征包括:自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率、或AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值中的一项或多项。
17.根据权利要求13-16中任一项所述的方法,其特征在于,所述统计信息包括所述历史BGP update消息中各个自治系统AS出现的次数,或,所述历史BGP update消息中各对邻接AS出现的次数中至少一种。
18.根据权利要求12-16中任一项所述的方法,其特征在于,所述属性信息包括路径信息。
19.根据权利要求18所述的方法,其特征在于,所述方法还包括:
所述检测设备获取第二配置参数,所述第二配置参数包括同前缀窗口长度n,所述n为大于或等于1的整数;
所述检测设备获取所述历史BGP update消息的属性信息,包括:所述检测设备获取所述路由设备在接收所述第一BGP update消息之前接收的,与所述第一BGP update消息宣告的路由前缀信息相同的n个历史BGP update消息的路径信息。
20.根据权利要求19所述的方法,其特征在于,所述样本数据包括第二特征对应的第二样本数据,所述检测设备根据所述第一BGP update消息,以及所述历史BGP update消息的属性信息,获取样本数据,包括:
所述检测设备根据所述第一BGP update消息,以及n个历史BGP update消息的路径信息,获取第二特征对应的第二样本数据。
21.根据权利要求20所述的方法,其特征在于,所述第二特征包括自治系统AS路径编辑距离、AS路径的余弦相似度、或所述第一BGP update消息的当前路径对所述同前缀窗口内其他宣告AS路径编辑距离平均值中的一项或多项。
22.根据权利要求12-16中任一项所述的方法,其特征在于,所述历史BGP update消息为正常的BGP update消息。
23.根据权利要求12-16中任一项所述的方法,其特征在于,所述检测设备为所述路由设备。
24.根据权利要求12-16中任一项所述的方法,其特征在于,若所述检测设备确定所述第一BGP update消息异常,所述方法还包括:
所述检测设备向训练设备发送告警信息,所述告警信息用于指示所述第一BGP update消息异常。
25.一种训练设备,其特征在于,所述训练设备包括:
获取单元,用于获取第一BGP更新update消息,以及历史BGP update消息的属性信息,所述历史BGP update消息为接收所述第一BGP update消息的路由设备在接收所述第一BGPupdate消息之前接收的BGP update消息,所述第一BGP update消息和所述历史BGP update消息宣告的路由前缀信息相同;
处理单元,用于根据所述第一BGP update消息,以及所述历史BGP update消息的属性信息,获取训练样本数据;
所述处理单元,还用于基于所述训练样本数据进行模型训练,获取BGP异常检测模型,所述BGP异常检测模型用于检测所述路由设备接收的BGP update消息是否异常。
26.根据权利要求25所述的设备,其特征在于,所述属性信息包括统计信息。
27.根据权利要求26所述的设备,其特征在于,所述获取单元,还用于获取第一配置参数,所述第一配置参数包括最大活跃周期数m和老化周期p,所述m为大于或等于1的整数;
所述获取单元,具体用于将所述路由设备在接收所述第一BGP update消息之前的(m-1)*p时长内接收的,与所述第一BGP update消息宣告的路由前缀信息相同的BGP update消息的统计信息,确定为所述历史BGP update消息的统计信息。
28.根据权利要求26所述的设备,其特征在于,所述训练样本数据包括第一特征对应的第一训练样本数据,
所述处理单元,具体用于根据所述第一BGP update消息,以及所述历史BGP update消息的统计信息,获取所述第一特征对应的第一训练样本数据。
29.根据权利要求28所述的设备,其特征在于,所述第一特征包括:自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率、或AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值中的一项或多项。
30.根据权利要求26-29中任一项所述的设备,其特征在于,所述统计信息包括所述历史BGP update消息中各个自治系统AS出现的次数,或,所述历史BGP update消息中各对邻接AS出现的次数中至少一种。
31.根据权利要求25-29中任一项所述的设备,其特征在于,所述属性信息包括路径信息。
32.根据权利要求31所述的设备,其特征在于,所述获取单元,还用于获取第二配置参数,所述第二配置参数包括同前缀窗口长度n,所述n为大于或等于1的整数;
所述获取单元,具体用于获取所述路由设备在接收所述第一BGP update消息之前接收的,与所述第一BGP update消息宣告的路由前缀信息相同的n个历史BGP update消息的路径信息。
33.根据权利要求32所述的设备,其特征在于,所述训练样本数据包括第二特征对应的第二训练样本数据,
所述处理单元,具体用于根据所述第一BGP update消息,以及n个历史BGP update消息的路径信息,获取第二特征对应的第二训练样本数据。
34.根据权利要求33所述的设备,其特征在于,所述第二特征包括AS路径编辑距离、AS路径的余弦相似度、或所述第一BGP update消息的路径对所述同前缀窗口内其他宣告AS路径编辑距离平均值中的一项或多项。
35.根据权利要求25-29中任一项所述的设备,其特征在于,所述设备还包括通信单元,所述通信单元用于:
向所述路由设备发送所述BGP异常检测模型;所述BGP异常检测模型用于检测所述路由设备接收的BGP update消息是否异常;
接收来自所述路由设备的告警信息,所述告警信息用于指示所述路由设备接收的BGPupdate消息异常。
36.一种检测设备,其特征在于,所述检测设备包括:
获取单元,用于获取BGP异常检测模型,以及路由设备接收的第一BGP update消息;所述BGP异常检测模型是根据当前处理的BGP update消息和当前处理的BGP update消息之前接收的历史BGP update消息提取样本数据建立的;
所述获取单元,还用于获取历史BGP update消息的属性信息,所述历史BGP update消息为所述路由设备在接收所述第一BGP update消息之前接收的BGP update消息,所述第一BGP update消息和所述历史BGP update消息宣告的路由前缀信息相同;
处理单元,用于根据所述第一BGP update消息,以及所述历史BGP update消息的属性信息,获取样本数据;
所述处理单元,还用于基于所述样本数据以及所述BGP异常检测模型,确定所述第一BGP update消息是否异常。
37.根据权利要求36所述的设备,其特征在于,所述属性信息包括统计信息。
38.根据权利要求37所述的设备,其特征在于,所述获取单元,还用于获取第一配置参数,所述第一配置参数包括最大活跃周期数m和老化周期p,所述m为大于或等于1的整数;
所述获取单元,具体用于将所述路由设备在接收所述第一BGP update消息之前的(m-1)*p时长内接收的,与所述第一BGP update消息宣告的路由前缀信息相同的BGP update消息的统计信息,确定为所述历史BGP update消息的统计信息。
39.根据权利要求37所述的设备,其特征在于,所述样本数据包括第一特征对应的第一样本数据,
所述处理单元,具体用于根据所述第一BGP update消息,以及所述历史BGP update消息的统计信息,获取所述第一特征对应的第一样本数据。
40.根据权利要求39所述的设备,其特征在于,所述第一特征包括:自治系统AS路径中AS在之前同前缀宣告中出现的概率最小值、源AS在之前同前缀宣告中作为源AS出现的概率、或AS路径各对邻接AS在之前同前缀宣告中以邻接关系出现的概率最小值中的一项或多项。
41.根据权利要求37-40中任一项所述的设备,其特征在于,所述统计信息包括所述历史BGP update消息中各个自治系统AS出现的次数,或,所述历史BGP update消息中各对邻接AS出现的次数中至少一种。
42.根据权利要求36-40中任一项所述的设备,其特征在于,所述属性信息包括路径信息。
43.根据权利要求42所述的设备,其特征在于,所述获取单元,还用于获取第二配置参数,所述第二配置参数包括同前缀窗口长度n,所述n为大于或等于1的整数;
所述获取单元,具体用于获取所述路由设备在接收所述第一BGP update消息之前接收的,与所述第一BGP update消息宣告的路由前缀信息相同的n个历史BGP update消息的路径信息。
44.根据权利要求43所述的设备,其特征在于,所述样本数据包括第二特征对应的第二样本数据,
所述处理单元,具体用于根据所述第一BGP update消息,以及n个历史BGP update消息的路径信息,获取第二特征对应的第二样本数据。
45.根据权利要求44所述的设备,其特征在于,所述第二特征包括自治系统AS路径编辑距离、AS路径的余弦相似度、或所述第一BGP update消息的当前路径对所述同前缀窗口内其他宣告AS路径编辑距离平均值中的一项或多项。
46.根据权利要求36-40中任一项所述的设备,其特征在于,所述历史BGP update消息为正常的BGP update消息。
47.根据权利要求36-40中任一项所述的设备,其特征在于,所述检测设备为所述路由设备。
48.根据权利要求36-40中任一项所述的设备,其特征在于,所述设备还包括通信单元,所述通信单元用于向训练设备发送告警信息,所述告警信息用于指示所述第一BGP update消息异常。
49.一种用于实现BGP异常检测的系统,其特征在于,所述系统包括如权利要求25-35中任一项所述的训练设备,以及,如权利要求36-48中任一项所述的检测设备。
50.一种计算机存储介质,所述计算机存储介质中存储有计算机程序代码,其特征在于,当所述计算机程序代码在处理器上运行时,使得所述处理器执行如权利要求1-24中任一项所述的用于实现BGP异常检测的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010093180.8A CN113271286B (zh) | 2020-02-14 | 2020-02-14 | 一种用于实现bgp异常检测的方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010093180.8A CN113271286B (zh) | 2020-02-14 | 2020-02-14 | 一种用于实现bgp异常检测的方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113271286A CN113271286A (zh) | 2021-08-17 |
| CN113271286B true CN113271286B (zh) | 2022-07-29 |
Family
ID=77227263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010093180.8A Active CN113271286B (zh) | 2020-02-14 | 2020-02-14 | 一种用于实现bgp异常检测的方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113271286B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115460110B (zh) * | 2022-11-11 | 2023-04-18 | 清华大学 | 基于链路预测的异常as_path检测方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471824A (zh) * | 2007-12-29 | 2009-07-01 | 中国科学院计算技术研究所 | 一种边界网关协议网络的异常监测系统及方法 |
| CN101662393A (zh) * | 2009-07-24 | 2010-03-03 | 中国科学院计算技术研究所 | 域间前缀劫持检测与定位方法 |
| CN102394794A (zh) * | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
| CN103944822A (zh) * | 2013-01-21 | 2014-07-23 | 杭州华三通信技术有限公司 | Bgp路由通告方法和装置及bgp路由维护方法和装置 |
| CN104486228A (zh) * | 2014-12-25 | 2015-04-01 | 杭州华三通信技术有限公司 | 一种路由更新的方法及路由更新装置 |
| CN108449314A (zh) * | 2018-02-02 | 2018-08-24 | 杭州迪普科技股份有限公司 | 一种流量牵引方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10148690B2 (en) * | 2015-12-21 | 2018-12-04 | Symantec Corporation | Accurate real-time identification of malicious BGP hijacks |
-
2020
- 2020-02-14 CN CN202010093180.8A patent/CN113271286B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471824A (zh) * | 2007-12-29 | 2009-07-01 | 中国科学院计算技术研究所 | 一种边界网关协议网络的异常监测系统及方法 |
| CN101662393A (zh) * | 2009-07-24 | 2010-03-03 | 中国科学院计算技术研究所 | 域间前缀劫持检测与定位方法 |
| CN102394794A (zh) * | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
| CN103944822A (zh) * | 2013-01-21 | 2014-07-23 | 杭州华三通信技术有限公司 | Bgp路由通告方法和装置及bgp路由维护方法和装置 |
| CN104486228A (zh) * | 2014-12-25 | 2015-04-01 | 杭州华三通信技术有限公司 | 一种路由更新的方法及路由更新装置 |
| CN108449314A (zh) * | 2018-02-02 | 2018-08-24 | 杭州迪普科技股份有限公司 | 一种流量牵引方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| BGP Anomaly Detection Techniques:A Survey;Al-Musawi B;《IEEE communications Surveys & Tutorials》;20171231;第377-396页 * |
| 基于机器学习的BGP异常事件检测与实现;陆岳昆;《中国优秀硕士学位论文全文数据库 信息科技辑》;20151115;全文 * |
| 基于特征统计分析的异常流量检测技术研究;许倩;《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》;20130615;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113271286A (zh) | 2021-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889547A (zh) | 一种异常网络设备的检测方法及装置 | |
| CN111654402B (zh) | 网络拓扑创建方法、装置、设备及存储介质 | |
| CN110971522B (zh) | 一种确定路由泄露的方法、设备和系统 | |
| CN108809749A (zh) | 基于采样率来执行流的上层检查 | |
| CN113271286B (zh) | 一种用于实现bgp异常检测的方法、设备及系统 | |
| CN111884875A (zh) | 一种离线设备确定方法及装置 | |
| CN107294743B (zh) | 一种网络路径探测方法、控制器及网络设备 | |
| US20140006554A1 (en) | System management apparatus, system management method, and storage medium | |
| CN112383513B (zh) | 基于代理ip地址池的爬虫行为检测方法、装置及存储介质 | |
| CN110912933B (zh) | 一种基于被动测量的设备识别方法 | |
| US20040158780A1 (en) | Method and system for presenting neighbors of a device in a network via a graphical user interface | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| CN115426135B (zh) | 流量检测规则的处理、网络流量的检测方法、装置及设备 | |
| CN109617920B (zh) | 一种报文处理方法、装置、路由器及防火墙设备 | |
| CN116112418A (zh) | 路由泄露的定位方法、装置、电子设备及存储介质 | |
| EP3544235A1 (en) | A method for resetting a packet processing component to an operational state | |
| CN115277418A (zh) | 一种bgp网络运维系统 | |
| CN114422396A (zh) | 一种dns服务器管理方法、装置、电子设备及存储介质 | |
| US9900207B2 (en) | Network control protocol | |
| CN112866013A (zh) | 一种网络配置方法、装置及系统 | |
| CN115460110B (zh) | 基于链路预测的异常as_path检测方法及装置 | |
| CN111130941A (zh) | 一种网络错误检测方法以及装置 | |
| CN115412462B (zh) | 一种域间路由中断的检测方法 | |
| CN113595939B (zh) | 软件定义网络单向链路发现方法及系统 | |
| CN114697319B (zh) | 一种公有云的租户业务管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |