CN113328990B - 基于多重过滤的网间路由劫持检测方法及电子设备 - Google Patents
基于多重过滤的网间路由劫持检测方法及电子设备 Download PDFInfo
- Publication number
- CN113328990B CN113328990B CN202110432558.7A CN202110432558A CN113328990B CN 113328990 B CN113328990 B CN 113328990B CN 202110432558 A CN202110432558 A CN 202110432558A CN 113328990 B CN113328990 B CN 113328990B
- Authority
- CN
- China
- Prior art keywords
- event
- autonomous domain
- prefix
- hijacking
- tree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/48—Routing tree calculation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/748—Address table lookup; Address filtering using longest matching prefix
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种基于多重过滤的网间路由劫持检测方法及电子设备,能够高效、准确确定路由劫持事件,易于部署实施。所述方法根据路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树;根据路由报文的类型与报文内容,结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件,并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表;根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤;根据过滤结果确定劫持事件,并确定所述劫持事件相应的攻击方与受害方。所述电子设备用于实施所述劫持检测方法。
Description
技术领域
本公开涉及通信安全技术领域,尤其涉及一种基于多重过滤的网间路由劫持检测方法及电子设备。
背景技术
网间路由因缺乏地址资源的位置和身份的可信验证,面临路由寻址重要的网络安全隐患,网间路由控制平面被劫持的地址前缀和恶意伪造的路径导致网络流量被重定位到非法目的位置,这些攻击造成网络服务中断甚至事流量窃听,严重影响网络空间安全,因此对网间路由劫持攻击进行监测是十分必要的。
相关技术中对网间路由劫持攻击的检测方法主要分为以下几种:控制平面检测技术、数据平面检测技术和复合检测技术。这些检测方法依赖于广泛的基础测量实施以及缺乏实时更新的基础知识库而造成误判和漏判等问题。
发明内容
有鉴于此,本公开的目的在于提出一种基于多重过滤的网间路由劫持检测方法及电子设备。
基于上述目的,本公开的第一方面提供了一种基于多重过滤的网间路由劫持检测方法。所述基于多重过滤的网间路由劫持检测方法,包括:在目标网络空间中获取路由快照与路由报文;从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树;根据所述路由报文的类型与报文内容,结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件,并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表;根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤;根据过滤结果确定劫持事件,并确定所述劫持事件相应的攻击方与受害方。
本公开的第二方面提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面所述的方法。
从上面所述可以看出,本公开提供的基于多重过滤的网间路由劫持检测方法及电子设备,通过根据路由快照提取网络空间中多个路由前缀有一集相应的自治域相关信息构建路由前缀地址树,利用路由前缀地址树来对路由报文进行分析以检测每条路由报文到达时前缀与自治域系统的多源映射关系、子前缀与父前缀的自治域系统映射关系从而初步筛选确定多个劫持嫌疑事件,结合自治域系统、地址分配前缀、路由注册前缀多维度的知识信息,对多个劫持嫌疑事件进行多层次的过滤从而最终准确确定劫持事件,无需大数据量的基础监测数据即可实现对网间路由前缀劫持的快速、准确检测,具有高效、轻量、易部署的优点。
附图说明
为了更清楚地说明本公开或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例所提供的一种基于多重过滤的网间路由劫持检测方法示意图;
图2为本公开实施例所提供的一种基于多重过滤的网间路由劫持检测方法中对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤的方法示意图;
图3为本公开实施例所提供的一种基于多重过滤的网间路由劫持检测电子设备示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
网间路由监测主要是通过搭建采集器路由器与网络空间中多个自治域系统(Autonomous System,简称AS)中的多个被监测的自治域路由器即受监测路由器(VantagePoint,简称vp)建立BGP会话连接,接收该vp的路由快照和路由更新报文,采集路由器收集了每个vp到不同路由前缀的自治域路径(AS path)。每个采集路由器可能会与多个vp建立BGP会话连接。采集路由器分别每两个小时保存自身的路由快照和每五分钟保存自身从各vp 传播过来路由报文(包括路由更新报文和路由回撤报文)。路由快照中记录了每个路由前缀从不同vp到达该前缀的AS path以及其他路由策略信息。路由报文记录了一条或者多条路由前缀的路径变化信息,包括前缀回撤、路径更新以及该前缀相应源自治域(源AS)变化,源自治域(源AS)是AS path 的最后一个AS,一般是这个前缀宣告的AS。通过监测前缀源AS的变化以及从vp到达路由前缀的AS path变化实现网间路由攻击的检测。
根据所使用的数据类型,相关技术对于网间路由攻击的检测方法主要分为以下几种:控制平面检测技术、数据平面检测技术和复合检测技术。控制平面检测技术的主要思想是:收集BGP原始更新报文信息和路由表,通过分析BGP原始报文数据检测前缀劫持异常;数据平面监测技术的主要思想是:通过主动探测被监控网络的数据层信息,观察到达的目的前缀的网络信息是否存在异常并根据异常特征识别是否为前缀劫持。复合监测技术结合了控制平面和数据平面技术,先在控制平面技术发现前缀劫持异常,然后通过数据平面技术发送探测数据包进行验证。然而相关技术中这些检测方法多依赖于广泛的基础测量实施以及缺乏实时更新的基础知识库,易造成误判和漏判等问题。
基于上述原因,本公开提出一个基于多重过滤的网间路由劫持检测方法,在网络空间中设置采集路由器获取路由快照和路由报文,根据路由快照和路由报文初步确定可能的劫持事件并结合自治域系统、地址分配前缀、路由注册前缀多维度的知识信息多重过滤从而准确确定劫持事件。
基于上述发明构思,在一方面本公开提供一种基于多重过滤的网间路由劫持检测方法。
如图1所示,本公开的一些可选实施例所提供的一种基于多重过滤的网间路由劫持检测方法,包括:
S1:在目标网络空间中获取路由快照与路由报文。
其中,路由快照中记录了每个路由前缀从不同受监测路由器vp到达该前缀的自治域路径(AS path)以及其他路由策略信息,以及在自治域路径中还可以确定源自治域;而路由快照中记录了每个路由前缀从不同vp到达该前缀的AS path以及其他路由策略信息。路由报文记录了一条或者多条路由前缀的路径变化信息,包括前缀回撤、路径更新以及该前缀相应源自治域(源 AS)变化信息。
S2:从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树。
可以将所提取的路由前缀作为树节点,相应的所述自治域相关信息作为树节点的节点内容来构建所述路由前缀地址树。
S3:根据所述路由报文的类型与报文内容,结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件,并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表。
S4:根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤。其中,所述自治域信息查询字典、所述已分配地址前缀树与所述注册路由前缀树分别根据所述目标网络空间的自治域基础属性信息、已分配地址前缀属性信息与注册路由前缀属性信息所构建。
对于自治域信息查询字典,可以从互联网注册机构获取多个自治域AS 的基础属性信息,包括国家归属、描述信息、名称、管理者、技术联系人、路由维护机构、入口自治域(import AS)集合,出口自治域(export AS)集合、从路由快照中提取AS的邻接AS集合、稳定的多源AS集合,最后形成以AS号码为键值,AS各个基础信息名称二级键值、以相应的属性信息为值的自治域信息查询字典;
对于已分配地址前缀树,可以从互联网注册机构获取已分配地址前缀属性信息,包括网络名字、描述、管理者、技术负责人、国家、维护机构等信息,构建以已分配地址前缀为节点、属性值为节点内容的已分配地址前缀查找树,通过该查找树,输入任何一个地址前缀,可以找到该前缀最长匹配的前缀以及父级前缀节点信息;
对于注册路由前缀树,可以从互联网注册机构获取注册路由前缀属性信息,包括描述、归属自治域、维护机构、import AS集合,export AS集合等信息,构建以注册路由前缀为节点、属性值为节点内容的已注册路由前缀查找树,通过该查找树,输入任何一个地址前缀,可以找到该前缀最长匹配的注册路由前缀以及父级前缀节点信息。
S5:根据过滤结果确定劫持事件,并确定所述劫持事件相应的攻击方与受害方。
所述基于多重过滤的网间路由劫持检测方法,通过根据路由快照提取网络空间中多个路由前缀有一集相应的自治域相关信息构建路由前缀地址树,利用路由前缀地址树来对路由报文进行分析以检测每条路由报文到达时前缀与自治域系统的多源映射关系、子前缀与父前缀的自治域系统映射关系从而初步筛选确定多个劫持嫌疑事件,结合自治域系统、地址分配前缀、路由注册前缀多维度的知识信息,对多个劫持嫌疑事件进行多层次的过滤从而最终准确确定劫持事件,无需大数据量的基础监测数据即可实现对网间路由前缀劫持的快速、准确检测,具有高效、轻量、易部署的优点。
在本公开的一些可选实施例所提供的一种基于多重过滤的网间路由劫持检测方法中,所述从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树S2,进一步包括:
根据所述路由快照确定与所述路由前缀相应的自治域相关信息;
以所述路由前缀为树节点,以所述自治域相关信息为节点内容构建所述路由前缀地址树;
其中,所述根据所述路由快照确定与所述路由前缀相应的自治域相关信息,进一步包括:
确定与所述路由前缀相关联的多个受监测路由器;
确定从多个所述受监测路由器到所述路由前缀的多条自治域路径;
分别在多条所述自治域路径中确定源自治域;
所述自治域相关信息包括所述受监测路由器、所述自治域路径与所述源自治域。
在本公开的一些可选实施例所提供的一种基于多重过滤的网间路由劫持检测方法中,所述根据所述路由报文的类型与报文内容,结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件S3,进一步包括:
响应于所述路由报文为路由更新报文,根据所述路由更新报文的报文内容生成<前缀,受监测路由器,自治域路径,源自治域>四元数组;
将所述四元数组的前缀与所述路由前缀地址树进行对比,以确定所述路由前缀地址树中是否存在与所述四元数组的前缀相对应的树节点;
首先分析路由前缀地址树中存在对应树节点的情况:
响应于所述路由前缀地址树中存在与所述四元数组的前缀相对应的树节点,将所述四元数组与所述树节点相应的自治域相关信息进行对比,以确定所述自治域相关信息中是否存在与所述四元数组相对应的受监测路由器;
响应于所述自治域相关信息中存在与所述四元数组相对应的受监测路由器,将所述自治域相关信息中与所述受监测路由器相对应的所述源自治域更新为所述四元数组中的源自治域;
响应于所述自治域相关信息中不存在与所述四元数组相对应的受监测路由器,将所述四元数组的受监测路由器、自治域路径与源自治域加入所述树节点的自治域相关信息,并确定所述树节点中源自治域的数量是否发生变化;
响应于所述树节点中源自治域的数量从1变为2,则将所述路由更新报文相应的当前事件标记为劫持嫌疑事件,所述劫持嫌疑事件的事件类型为源地址劫持嫌疑事件。
通过分析判断确定了所述劫持嫌疑事件后,可以相应的确定该劫持嫌疑事件的事件信息,所述事件信息包括事件前缀、源自治域集合与事件类型。
其中,所述事件前缀为相应所述四元数组中的前缀,所述源自治域集合为与所述四元数组中前缀相对应或相匹配的所述树节点中多个源自治域组成的集合,所述事件类型为源地址劫持嫌疑事件。
所述事件信息还包括事件起始时间与事件结束时间,所述源地址劫持嫌疑事件的事件起始时间根据相应所述路由更新报文的时间戳确定,在通过分析判断确定该源地址劫持嫌疑事件即所述树节点中源自治域的数量从1变为 2时,即可以直接根据相应所述路由更新报文的时间戳确定事件起始时间,而事件结束时间就是所述树节点中源自治域的数量再从2变回1的时刻,这就涉及到路由报文中路由回撤报文,所述源地址劫持嫌疑事件的事件结束时间根据相应路由回撤报文的时间戳确定。
所述源地址劫持嫌疑事件的事件结束时间根据相应路由回撤报文的时间戳确定,进一步包括:
响应于所述路由报文为路由回撤报文,根据所述路由回撤报文的报文内容生成<前缀,受监测路由器>二元数组;
将所述二元数组的前缀与所述路由前缀地址树进行对比,以确定所述路由前缀地址树中是否存在与所述二元数组的前缀相对应的树节点,不存在则不做处理;
响应于所述路由前缀地址树中存在与所述二元数组的前缀相对应的树节点,将所述二元数组与所述树节点相应的自治域相关信息进行对比,以确定所述自治域相关信息中是否存在与所述二元数组相对应的受监测路由器,不存在则不做处理;
响应于所述自治域相关信息中存在与所述二元数组相对应的受监测路由器,在所述自治域信息中将所述受监测路由器及相应的自治域路径与源自治域删除,并确定所述树节点中源自治域的数量是否发生变化;
响应于所述树节点中源自治域的数量从2变为1,则根据所述二元数组的前缀在所述嫌疑事件列表确定与所述路由回撤报文相对应的源地址劫持嫌疑事件,并根据所述路由回撤报文的时间戳确定所述源地址劫持嫌疑事件的所述事件结束时间。
之后,可以分析路由前缀地址树中不存在对应树节点的情况:
响应于所述路由前缀地址树中不存在与所述四元数组的前缀相对应的树节点,将所述四元数组的前缀与所述路由前缀地址树的多个树节点进行最长匹配,以确定所述路由前缀地址树中是否存在与所述四元数组的前缀相匹配的树节点;
响应于所述路由前缀地址树中不存在与所述四元数组的前缀相匹配的树节点,将所述四元数组的前缀作为新的树节点加入所述路由前缀地址树;
响应于所述路由前缀地址树中存在与所述四元数组的前缀相匹配的树节点,将所述四元数组与所述树节点相应的自治域相关信息进行对比,以确定所述四元数组的源自治域与所述自治域相关信息中的源自治域是否相同;
响应于四元数组的源自治域与所述自治域相关信息中的源自治域相同,将所述四元数组的前缀作为新的树节点加入所述路由前缀地址树;
响应于四元数组的源自治域与所述自治域相关信息中的源自治域不同,则将所述路由更新报文相应的当前事件标记为劫持嫌疑事件,所述劫持嫌疑事件的事件类型为子前缀地址劫持嫌疑事件。
通过分析判断确定了所述劫持嫌疑事件后,可以相应的确定该劫持嫌疑事件的事件信息,包括事件前缀、源自治域集合与事件类型。
其中,所述事件前缀为相应所述四元数组中的前缀,所述源自治域集合为与所述四元数组中前缀相对应或相匹配的所述树节点中多个源自治域组成的集合,所述事件类型为子前缀地址劫持嫌疑事件。
所述事件信息还包括事件起始时间与事件结束时间,子前缀地址劫持嫌疑事件的时间起始时间根据相应路由更新报文的时间戳确定,事件结束时间暂记为空值。
在确定多个劫持嫌疑事件并根据相应事件信息生成嫌疑事件列表后,需要对嫌疑事件列表中的多个劫持嫌疑事件进行过滤,将实际上不是劫持事件的嫌疑事件滤除。
如图2所示,在本公开的一些可选实施例所提供的一种基于多重过滤的网间路由劫持检测方法中,所述根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤,进一步包括:
S201:对所述劫持嫌疑事件进行相似分析过滤,具体的:
利用所述自治域信息查询字典查询确定所述劫持嫌疑事件的所述事件信息中源自治域集合中多个源自治域的描述信息与名称;
将多个所述源自治域的所述描述信息与所述名称进行对比,响应于所述源自治域结合中每个所述源自治域的描述信息、名称与其他源自治域的描述信息、名称相似,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
S202:对所述劫持嫌疑事件进行全关联分析过滤,具体的:
利用所述自治域信息查询字典查询确定所述劫持嫌疑事件的多个源自治域的管理者、技术联系人及维护机构;
将多个所述源自治域的所述管理者、所述技术联系人及所述维护机构进行对比,以确定多个所述源自治域是否全关联;
响应于多个所述源自治域全关联,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
其中,多个所述源自治域全关联是指以多个所述源自治域为节点将相关联的节点两两相连可得到包括全部节点在内的连通图;
其中,相关联两节点相应的两所述源自治域的所述管理者、所述技术联系人及所述维护机构三者中的至少一者相同;
S203:对所述劫持嫌疑事件进行通信邻接分析过滤,具体的:
利用所述自治域信息查询字典查询确定所述劫持嫌疑事件的多个源自治域的入口自治域集合、出口自治域集合、邻接自治域集合及稳定多源自治域集合;
将多个所述源自治域与相应的所述入口自治域集合、所述出口自治域集合、所述邻接自治域集合及所述稳定多源自治域集合进行比对,响应于所述源自治域集合中每个源自治域的所述所述入口自治域集合、所述出口自治域集合、所述邻接自治域集合及所述稳定多源自治域集合包含所述源自治域集合其他任何一个源自治域,则将所述劫持嫌疑事件从所述嫌疑事件列 表中滤除;
S204:对所述劫持嫌疑事件进行已分配前缀-自治域关联分析过滤,具体的:
利用所述已分配地址前缀树检索确定与所述劫持嫌疑事件的所述事件前缀最长匹配的已分配地址前缀树节点,并确定所述已分配地址前缀树节点对应的管理者、技术负责人及维护机构;
将所述劫持嫌疑事件对应已分配地址前缀树节点的所述管理者、所述技术负责人及所述维护机构与所述劫持嫌疑事件对应多个源自治域的所述管理者、所述技术联系人及所述维护机构进行对比,响应于所述已分配地址前缀树节点与每个所述源自治域的所述管理者、所述技术联系人及所述维护机构三者中的至少一者相同,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
S205:对所述劫持嫌疑事件进行注册路由前缀-自治域关联分析过滤,具体的:
利用所述注册路由前缀树检索确定与所述劫持嫌疑事件的所述事件前缀最长匹配的注册路由前缀树节点,并确定所述注册路由前缀树节点对应的描述信息、维护机构及归属自治域;
将所述注册路由前缀树节点对应的所述描述信息与所述维护机构与所述劫持嫌疑事件对应多个源自治域的所述描述信息与所述维护机构进行对比,响应于所述注册路由前缀树节点与每个所述源自治域的所述描述信息与所述维护机构二者中的至少一者相同,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
S206:对所述劫持嫌疑事件进行注册路由前缀归属分析过滤,具体的:
将所述注册路由前缀树节点对应所述归属自治域与所述劫持嫌疑事件对应多个源自治域进行对比,响应于所述注册路由前缀树节点对应所述归属自治域包含所述劫持嫌疑事件对应多个源自治域,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
S207:对所述劫持嫌疑事件进行注册路由前缀通信分析过滤,具体的:
利用所述注册路由前缀树检索确定与所述劫持嫌疑事件的所述事件前缀最长匹配的注册路由前缀树节点,并确定所述注册路由前缀树节点的入口自治域集合与出口自治域集合;
将所述注册路由前缀树节点的入口自治域集合与出口自治域集合与所述劫持嫌疑事件对应多个源自治域进行比对,响应于所述注册路由前缀树节点的入口自治域集合与出口自治域集合包含所述劫持嫌疑事件对应多个源自治域,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除。
对所述嫌疑事件列表中的多个劫持嫌疑事件进行过滤时还需要考虑劫持嫌疑事件的周期性因素,在本公开的一些可选实施例所提供的一种基于多重过滤的网间路由劫持检测方法中,对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤时,还根据所述劫持嫌疑事件的事件起始时间与事件结束时间确定所述劫持嫌疑事件是否为周期性事件;
响应于所述劫持嫌疑事件为周期性事件,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除。
在本公开的一些可选实施例所提供的一种基于多重过滤的网间路由劫持检测方法中,所述确定所述劫持事件相应的攻击方与受害方S5,进一步包括:
根据所述劫持事件相应的所述事件信息确定所述劫持事件的事件前缀与源自治域集合;
利用所述自治域信息查询字典查询确定所述源自治域集合的多个源自治域的管理者、技术联系人及维护机构;
利用所述已分配地址前缀树检索确定与所述劫持事件的所述事件前缀最长匹配的已分配地址前缀树节点,并确定所述已分配地址前缀树节点对应的管理者、技术负责人及维护机构;
将所述源自治域集合的多个源自治域的管理者、技术联系人及维护机构与所述已分配地址前缀树节点对应的管理者、技术负责人及维护机构进行对比,根据对比结果从多个所述源自治域中选取受害自治域即受害方,所述受害自治域与所述已分配地址前缀树节点的所述管理者、所述技术联系人及所述维护机构三者中的至少一者相同;
利用所述注册路由前缀树检索确定与所述劫持事件的所述事件前缀最长匹配的注册路由前缀树节点,并确定所述注册路由前缀节点的管理者与归属自治域;
将所述源自治域集合的多个源自治域的管理者与所述注册路由前缀节点的管理者进行对比,根据对比结果从多个所述源自治域中选取受害自治域即受害方,所述受害自治域的管理者与所述注册路由前缀节点的管理者相同;
将所述源自治域集合的多个源自治域与所述注册路由前缀节点的归属自治域进行对比,根据对比结果从多个所述源自治域中选取受害自治域即受害方,所述受害自治域与所述注册路由前缀节点的归属自治域相同;
所述源自治域中的其他源自治域为攻击自治域即攻击方。
需要说明的是,本公开实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的基于多重过滤的网间路由劫持检测方法。
图3示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030 和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit, ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM (Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器 1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入 /输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的基于多重过滤的网间路由劫持检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路) 以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (8)
1.一种基于多重过滤的网间路由劫持检测方法,包括:
在目标网络空间中获取路由快照与路由报文;
从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树;
根据所述路由报文的类型与报文内容,结合所述路由前缀地址树对当前事件进行分析以确定多个劫持嫌疑事件,并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表;
根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤;
根据过滤结果确定劫持事件,并确定所述劫持事件相应的攻击方与受害方;
其中,所述自治域信息查询字典、所述已分配地址前缀树与所述注册路由前缀树分别根据所述目标网络空间的自治域基础属性信息、已分配地址前缀属性信息与注册路由前缀属性信息所构建,所述从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树,包括:
根据所述路由快照确定与所述路由前缀相应的自治域相关信息;
以所述路由前缀为树节点,以所述自治域相关信息为节点内容构建所述路由前缀地址树;
其中,所述根据所述路由快照确定与所述路由前缀相应的自治域相关信息,包括:
确定与所述路由前缀相关联的多个受监测路由器;
确定从多个所述受监测路由器到所述路由前缀的多条自治域路径;
分别在多条所述自治域路径中确定源自治域;
所述自治域相关信息包括所述受监测路由器、所述自治域路径与所述源自治域。
2.根据权利要求1所述的方法,其中,所述根据所述路由报文的类型与报文内容,结合所述路由前缀地址树对当前事件进行分析以确定多个劫持嫌疑事件,进一步包括:
响应于所述路由报文为路由更新报文,根据所述路由更新报文的报文内容生成<前缀,受监测路由器,自治域路径,源自治域>四元数组;
将所述四元数组的前缀与所述路由前缀地址树进行对比,以确定所述路由前缀地址树中是否存在与所述四元数组的前缀相对应的树节点;
响应于所述路由前缀地址树中存在与所述四元数组的前缀相对应的树节点,将所述四元数组与所述树节点相应的自治域相关信息进行对比,以确定所述自治域相关信息中是否存在与所述四元数组相对应的受监测路由器;
响应于所述自治域相关信息中存在与所述四元数组相对应的受监测路由器,将所述自治域相关信息中与所述受监测路由器相对应的所述源自治域更新为所述四元数组中的源自治域;
响应于所述自治域相关信息中不存在与所述四元数组相对应的受监测路由器,将所述四元数组的受监测路由器、自治域路径与源自治域加入所述树节点的自治域相关信息,并确定所述树节点中源自治域的数量是否发生变化;
响应于所述树节点中源自治域的数量从1变为2,则将所述路由更新报文相应的当前事件标记为劫持嫌疑事件;
响应于所述路由前缀地址树中不存在与所述四元数组的前缀相对应的树节点,将所述四元数组的前缀与所述路由前缀地址树的多个树节点进行最长匹配,以确定所述路由前缀地址树中是否存在与所述四元数组的前缀相匹配的树节点;
响应于所述路由前缀地址树中不存在与所述四元数组的前缀相匹配的树节点,将所述四元数组的前缀作为新的树节点加入所述路由前缀地址树;
响应于所述路由前缀地址树中存在与所述四元数组的前缀相匹配的树节点,将所述四元数组与所述树节点相应的自治域相关信息进行对比,以确定所述四元数组的源自治域与所述自治域相关信息中的源自治域是否相同;
响应于四元数组的源自治域与所述自治域相关信息中的源自治域相同,将所述四元数组的前缀作为新的树节点加入所述路由前缀地址树;
响应于四元数组的源自治域与所述自治域相关信息中的源自治域不同,则将所述路由更新报文相应的当前事件标记为劫持嫌疑事件。
3.根据权利要求2所述的方法,其中,所述根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表,进一步包括:
将每个所述劫持嫌疑事件的事件信息作为一条表项以生成所述嫌疑事件列表;
其中,所述事件信息包括事件前缀、源自治域集合与事件类型;
其中,所述事件前缀为相应所述四元数组中的前缀,所述源自治域集合为与所述四元数组中前缀相对应或相匹配的所述树节点中多个源自治域组成的集合;
使所述树节点中源自治域的数量从1变为2的所述劫持嫌疑事件的事件类型为源地址劫持嫌疑事件;
所述四元数组的源自治域与所述自治域相关信息中的源自治域不同的所述劫持嫌疑事件的事件类型为子前缀地址劫持嫌疑事件;
所述事件信息还包括事件起始时间与事件结束时间;
所述源地址劫持嫌疑事件的事件起始时间根据相应所述路由更新报文的时间戳确定,所述源地址劫持嫌疑事件的事件结束时间根据相应路由回撤报文的时间戳确定;
所述子前缀地址劫持嫌疑事件的事件起始时间根据相应所述路由更新报文的时间戳确定。
4.根据权利要求3所述的方法,其中,所述源地址劫持嫌疑事件的事件结束时间根据相应路由回撤报文的时间戳确定,进一步包括:
响应于所述路由报文为路由回撤报文,根据所述路由回撤报文的报文内容生成<前缀,受监测路由器>二元数组;
将所述二元数组的前缀与所述路由前缀地址树进行对比,以确定所述路由前缀地址树中是否存在与所述二元数组的前缀相对应的树节点;
响应于所述路由前缀地址树中存在与所述二元数组的前缀相对应的树节点,将所述二元数组与所述树节点相应的自治域相关信息进行对比,以确定所述自治域相关信息中是否存在与所述二元数组相对应的受监测路由器;
响应于所述自治域相关信息中存在与所述二元数组相对应的受监测路由器,在所述自治域信息中将所述受监测路由器及相应的自治域路径与源自治域删除,并确定所述树节点中源自治域的数量是否发生变化;
响应于所述树节点中源自治域的数量从2变为1,则根据所述二元数组的前缀在所述嫌疑事件列表确定与所述路由回撤报文相对应的源地址劫持嫌疑事件,并根据所述路由回撤报文的时间戳确定所述源地址劫持嫌疑事件的所述事件结束时间。
5.根据权利要求3所述的方法,其中,所述根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤,进一步包括:
利用所述自治域信息查询字典查询确定所述劫持嫌疑事件的所述事件信息中源自治域集合中多个源自治域的描述信息与名称;
将多个所述源自治域的所述描述信息与所述名称进行对比,响应于所述源自治域结合中每个所述源自治域的描述信息、名称与其他源自治域的描述信息、名称相似,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
利用所述自治域信息查询字典查询确定所述劫持嫌疑事件的多个源自治域的管理者、技术联系人及维护机构;
将多个所述源自治域的所述管理者、所述技术联系人及所述维护机构进行对比,以确定多个所述源自治域是否全关联;
响应于多个所述源自治域全关联,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
其中,多个所述源自治域全关联是指以多个所述源自治域为节点将相关联的节点两两相连可得到包括全部节点在内的连通图;
其中,相关联两节点相应的两所述源自治域的所述管理者、所述技术联系人及所述维护机构三者中的至少一者相同;
利用所述自治域信息查询字典查询确定所述劫持嫌疑事件的多个源自治域的入口自治域集合、出口自治域集合、邻接自治域集合及稳定多源自治域集合;
将多个所述源自治域与相应的所述入口自治域集合、所述出口自治域集合、所述邻接自治域集合及所述稳定多源自治域集合进行比对,响应于所述源自治域集合中每个源自治域的所述入口自治域集合、所述出口自治域集合、所述邻接自治域集合及所述稳定多源自治域集合包含所述源自治域集合其他任何一个源自治域,则将所述劫持嫌疑事件从所述嫌疑事件列 表中滤除;
利用所述已分配地址前缀树检索确定与所述劫持嫌疑事件的所述事件前缀最长匹配的已分配地址前缀树节点,并确定所述已分配地址前缀树节点对应的管理者、技术负责人及维护机构;
将所述劫持嫌疑事件对应已分配地址前缀树节点的所述管理者、所述技术负责人及所述维护机构与所述劫持嫌疑事件对应多个源自治域的所述管理者、所述技术联系人及所述维护机构进行对比,响应于所述已分配地址前缀树节点与每个所述源自治域的所述管理者、所述技术联系人及所述维护机构三者中的至少一者相同,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
利用所述注册路由前缀树检索确定与所述劫持嫌疑事件的所述事件前缀最长匹配的注册路由前缀树节点,并确定所述注册路由前缀树节点对应的描述信息、维护机构及归属自治域;
将所述注册路由前缀树节点对应的所述描述信息与所述维护机构与所述劫持嫌疑事件对应多个源自治域的所述描述信息与所述维护机构进行对比,响应于所述注册路由前缀树节点与每个所述源自治域的所述描述信息与所述维护机构二者中的至少一者相同,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
将所述注册路由前缀树节点对应所述归属自治域与所述劫持嫌疑事件对应多个源自治域进行对比,响应于所述注册路由前缀树节点对应所述归属自治域包含所述劫持嫌疑事件对应多个源自治域,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除;
利用所述注册路由前缀树检索确定与所述劫持嫌疑事件的所述事件前缀最长匹配的注册路由前缀树节点,并确定所述注册路由前缀树节点的入口自治域集合与出口自治域集合;
将所述注册路由前缀树节点的入口自治域集合与出口自治域集合与所述劫持嫌疑事件对应多个源自治域进行比对,响应于所述注册路由前缀树节点的入口自治域集合与出口自治域集合包含所述劫持嫌疑事件对应多个源自治域,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除。
6.根据权利要求5所述的方法,其中,所述对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤,还包括:
根据所述劫持嫌疑事件的事件起始时间与事件结束时间确定所述劫持嫌疑事件是否为周期性事件;
响应于所述劫持嫌疑事件为周期性事件,则将所述劫持嫌疑事件从所述嫌疑事件列表中滤除。
7.根据权利要求5所述的方法,其中,所述确定所述劫持事件相应的攻击方与受害方,进一步包括:
根据所述劫持事件相应的所述事件信息确定所述劫持事件的事件前缀与源自治域集合;
利用所述自治域信息查询字典查询确定所述源自治域集合的多个源自治域的管理者、技术联系人及维护机构;
利用所述已分配地址前缀树检索确定与所述劫持事件的所述事件前缀最长匹配的已分配地址前缀树节点,并确定所述已分配地址前缀树节点对应的管理者、技术负责人及维护机构;
将所述源自治域集合的多个源自治域的管理者、技术联系人及维护机构与所述已分配地址前缀树节点对应的管理者、技术负责人及维护机构进行对比,根据对比结果从多个所述源自治域中选取受害自治域即受害方,所述受害自治域与所述已分配地址前缀树节点的所述管理者、所述技术联系人及所述维护机构三者中的至少一者相同;
利用所述注册路由前缀树检索确定与所述劫持事件的所述事件前缀最长匹配的注册路由前缀树节点,并确定所述注册路由前缀节点的管理者与归属自治域;
将所述源自治域集合的多个源自治域的管理者与所述注册路由前缀节点的管理者进行对比,根据对比结果从多个所述源自治域中选取受害自治域即受害方,所述受害自治域的管理者与所述注册路由前缀节点的管理者相同;
将所述源自治域集合的多个源自治域与所述注册路由前缀节点的归属自治域进行对比,根据对比结果从多个所述源自治域中选取受害自治域即受害方,所述受害自治域与所述注册路由前缀节点的归属自治域相同;
所述源自治域中的其他源自治域为攻击自治域即攻击方。
8.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1至7中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110432558.7A CN113328990B (zh) | 2021-04-21 | 2021-04-21 | 基于多重过滤的网间路由劫持检测方法及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110432558.7A CN113328990B (zh) | 2021-04-21 | 2021-04-21 | 基于多重过滤的网间路由劫持检测方法及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113328990A CN113328990A (zh) | 2021-08-31 |
CN113328990B true CN113328990B (zh) | 2022-09-09 |
Family
ID=77413479
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110432558.7A Active CN113328990B (zh) | 2021-04-21 | 2021-04-21 | 基于多重过滤的网间路由劫持检测方法及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113328990B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115085984B (zh) * | 2022-03-03 | 2023-03-14 | 北京邮电大学 | 面向路由前缀劫持的外包缓释方法及相关设备 |
CN115412377B (zh) * | 2022-11-02 | 2023-03-24 | 北京邮电大学 | 一种恶意自治系统的检测方法 |
CN115412462B (zh) * | 2022-11-02 | 2023-03-24 | 北京邮电大学 | 一种域间路由中断的检测方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009118138A (ja) * | 2007-11-06 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム |
CN102315988A (zh) * | 2011-09-15 | 2012-01-11 | 清华大学 | 高效的域间路由协议前缀劫持检测方法 |
CN102394794A (zh) * | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8353034B2 (en) * | 2008-11-25 | 2013-01-08 | At&T Intellectual Property I, L.P. | System and method to locate a prefix hijacker within a one-hop neighborhood |
-
2021
- 2021-04-21 CN CN202110432558.7A patent/CN113328990B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009118138A (ja) * | 2007-11-06 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 経路ハイジャック検出方法、経路監視装置、経路ハイジャック検出システムおよび経路ハイジャック検出プログラム |
CN102315988A (zh) * | 2011-09-15 | 2012-01-11 | 清华大学 | 高效的域间路由协议前缀劫持检测方法 |
CN102394794A (zh) * | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113328990A (zh) | 2021-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113328990B (zh) | 基于多重过滤的网间路由劫持检测方法及电子设备 | |
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
CN112104677B (zh) | 一种基于知识图谱的受控主机检测方法和装置 | |
Guo et al. | Ip-based iot device detection | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
CN111212053B (zh) | 一种面向工控蜜罐的同源攻击分析方法 | |
CN112260861A (zh) | 一种基于流量感知的网络资产拓扑识别方法 | |
US8307441B2 (en) | Log-based traceback system and method using centroid decomposition technique | |
US8429747B2 (en) | Method and device for detecting flood attacks | |
US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
EP3905622A1 (en) | Botnet detection method and system, and storage medium | |
CN111314285B (zh) | 一种路由前缀攻击检测方法及装置 | |
JP5415390B2 (ja) | フィルタリング方法、フィルタリングシステム及びフィルタリングプログラム | |
Stevanovic et al. | A method for identifying compromised clients based on DNS traffic analysis | |
EP3913888A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
US10178109B1 (en) | Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry | |
CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
CN112583827B (zh) | 一种数据泄露检测方法及装置 | |
JP6393010B2 (ja) | 解析方法、解析装置および解析プログラム | |
CN117424743A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
Spaulding et al. | Thriving on chaos: Proactive detection of command and control domains in internet of things‐scale botnets using DRIFT | |
CN116886341A (zh) | 基于拓扑网络的设备安全管理方法及系统 | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |