CN113709840A - 一种路由事件的检测方法和系统 - Google Patents

一种路由事件的检测方法和系统 Download PDF

Info

Publication number
CN113709840A
CN113709840A CN202110758691.1A CN202110758691A CN113709840A CN 113709840 A CN113709840 A CN 113709840A CN 202110758691 A CN202110758691 A CN 202110758691A CN 113709840 A CN113709840 A CN 113709840A
Authority
CN
China
Prior art keywords
address
change
candidate
routing event
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110758691.1A
Other languages
English (en)
Other versions
CN113709840B (zh
Inventor
黄小红
邝野
李建华
丛群
张晓冬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wangruida Science & Technology Co ltd
Pla 32147
Beijing University of Posts and Telecommunications
Original Assignee
Beijing Wangruida Science & Technology Co ltd
Pla 32147
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wangruida Science & Technology Co ltd, Pla 32147, Beijing University of Posts and Telecommunications filed Critical Beijing Wangruida Science & Technology Co ltd
Priority to CN202110758691.1A priority Critical patent/CN113709840B/zh
Publication of CN113709840A publication Critical patent/CN113709840A/zh
Application granted granted Critical
Publication of CN113709840B publication Critical patent/CN113709840B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/20Communication route or path selection, e.g. power-based or shortest path routing based on geographic position or location

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开一个或多个实施例提供一种路由事件的检测方法和系统;所述方法包括:对网络中的多个源‑目的地址对进行traceroute测量(路由追踪测量),并根据源‑目的地址对的路径变化,推断出多个候选路由事件;并进一步为每个候选路由事件设计五项特征,并计算每项特征的特征值;基于得到的特征值,以假阳性和假阴性最小为目标,确定每项特征的筛选阈值;并根据确定的筛选阈值,从推断出的候选路由事件中过滤出最终的异常路由事件。由此可见,本方案有效减小了假阳性和假阴性对整体路由事件检测的影响,显著提高了检测的准确性。

Description

一种路由事件的检测方法和系统
技术领域
本公开一个或多个实施例涉及互联网安全领域,尤其涉及一种路由事件的检测方法和系统。
背景技术
在路由器组成的网络中,现有的对路由事件的检测方法中,由于探针位置的选取,数据可用性的不确定,检测算法的精度等问题,会受到假阳性和假阴性的影响,进而导致路由事件的检测结果的准确性不理想。
基于此,需要一种能够实现精准判断路由故障,降低假阳性和假阴性对检测结果的影响,提高检测结果准确率的方案。
发明内容
有鉴于此,本公开一个或多个实施例的目的在于提出一种路由事件的检测方法和系统,以解决路由事件检测中的准确率不高的问题。
基于上述目的,本公开一个或多个实施例提供了路由事件的检测方法,包括:
在网络中两个不同时刻之间,对多个源-目的地址对中每一个所包含的变化地址,组成一段持续时间内的变化地址集合;
对在所述变化地址集合之间重复出现的每个所述变化地址,确定与该所述变化地址相关的候选路由事件;
对所述候选路由事件预设多项特征,包括:距离特征、变化程度特征、拥塞程度特征、地址变化范围特征和持续时间特征;
对多个所述候选路由事件中的每一个,响应于所述候选路由事件中任一所述特征的特征值大于等于预设的筛选阈值,确定所述候选路由事件为路由事件。
基于同一发明构思,本公开一个或多个实施例还提供了一种异常路由事件的检测系统,包括:变化地址整理、路由事件候选系统、路由事件特征分析系统和路由事件筛选系统;
其中,所述变化地址整理系统,被配置为:在网络中两个不同时刻之间,对多个源-目的地址对中每一个所包含的变化地址,组成一段持续时间内的变化地址集合;
所述路由事件候选系统,被配置为:对在所述变化地址集合之间重复出现的每个所述变化地址,确定与该所述变化地址相关的候选路由事件;
所述路由事件特征分析系统,被配置为:对所述候选路由事件预设多项特征,包括:距离特征、变化程度特征、拥塞程度特征、地址变化范围特征和持续时间特征;
所述路由事件筛选系统,被配置为:对多个所述候选路由事件中的每一个,响应于所述候选路由事件中任一所述特征的特征值大于等于预设的筛选阈值,确定所述候选路由事件为路由事件;
本公开的异常路由事件的检测系统还包括:测量系统,被配置为:在所述网络中,在两个所述不同时刻之间,对网络中多个所述源-目的地址对进行traceroute测量(路由追踪测量),以得到每个所述源-目的地址对的变化地址;
其中,得到的所述变化地址是在所述一段持续时间内,所测量到的消失地址和新增地址。
从上面所述可以看出,本公开一个或多个实施例提供的一种路由事件的检测方法和系统,基于互联网网络的安全领域,综合考虑了探针位置,事件影响程度等因素对路由事件检测结果的影响,从而有效减小了假阳性和假阴性对整体路由事件检测的影响,显著提高了检测的准确性。
附图说明
为了更清楚地说明本公开一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个或多个实施例的路由事件检测方法流程图;
图2为本公开一个或多个实施例的路由事件检测系统示意图;
图3为本公开一个或多个实施例的路由事件推断的场景图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。
如背景技术部分所述,现有的异常路由事件的检测方法还难以满足对路由网络中路由异常故障检测的需要。
申请人在实现本公开的过程中发现,现有的异常路由事件的检测方法存在的主要问题在于:现有的异常路由事件的检测方式受制于探针的布设位置,算法精度等因素,检测方式不够全面,经常出现对路由事件的判断不准确。
有鉴于此,本公开一个或多个实施例提供了一种路由事件的检测方法,以下,通过具体的实施例进一步详细说明本公开的技术方案。
具体的,利用探针在网络中进行traceroute测量(路由追踪测量),得到traceroute路径的变化地址,并组成包含该traceroute路径中全部变化地址的多个变化地址集合;在所有的变化地址中,获取同时存在于不少于2个变化地址集合中的变化地址,并将该变化地址所对应的多个变化地址集合组成针对该变化地址的候选路由事件;进一步的,为候选路由事件设计5项特征,分别为:距离特征、变化程度特征、拥塞程度特征、持续时间特征和地址变化范围特征,并对每个所述候选路由事件分别取得全部5项特征的特征值,以及该特征的区间范围;进一步的,在每项特征的区间范围中随机选取的候选阈值,将候选路由事件分为主要候选路由事件和次要候选路由事件,并通过不断变化候选阈值的选取,得到单位异常时间下的变化地址集合数量与单位正常时间下的变化地址集合数量的比值,在其比值最大时,得到各个特征的筛选阈值,并依据该筛选阈值,过滤出最终的路由事件。
可以理解,该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。
以下,通过具体的实施例,来详细说明本公开一个或多个实施例的技术方法。
参考图1,本公开一个实施例的一种路由事件的检测方法,包括以下步骤:
步骤S101、在网络中两个不同时刻之间,对多个源-目的地址对中每一个所包含的变化地址,组成一段持续时间内的变化地址集合。
在本公开的实施例中,结合图3示出的一个具体的路由事件推断的场景图,其中,探针P1与探针P2布设在地址1,探针P3布设在地址2,并且分别获取了不同的源-目的地址对的路径数据,其中,P1获取了地址1-地址5的地址对之间的路径数据,P2获取了地址1-地址12的地址对之间的路径数据,P3获取了地址2-地址5的地址对之间的路径数据;
以及,所述探针P1,P2和P3的测量时间为第一时刻t,也即源-目的地址对的原始路径发生变换的时刻;至第二时刻t+1,也即源-目的地址对的路径在发生变换后又再次变换回所述原始路径的时刻之间的一段持续时间。
根据图3所示,探针P1、P2和P3分别在一段持续事件内,获取了各自流向目的地址的两条不同traceroute数据,也即两条不同路径,具体包括:
探针P1获取的原始traceroute路径:地址1-地址2-地址3-地址4-地址5;和变换traceroute路径:地址1-地址6地址7-地址8-地址5;
探针P2获取的原始traceroute路径:地址1-地址2-地址3-地址4-地址12;和变换traceroute路径:地址1-地址2-地址9-地址10-地址4-地址12;
探针P3获取的原始traceroute路径:地址2-地址3-地址4-地址5;和变换traceroute路径:地址2-地址3-地址11-地址5;
其中,每个地址可以代表一个路由器。
进一步的,在数据服务器内对得到的traceroute路径数据进行分析,将其中针对同一对源-目的地址对中的变化地址进行整合:具体的,首先确定同一源目的地址对,在t时刻与t+1时刻之间的变化地址,其中包括:新增地址与消失地址。
进一步的,将确定的变化地址,按照各自所属的源-目的地址对的原则,分别组成各自不同的集合,得到变化地址集合;
具体的,参照图3所示,针对探针P1在t时刻至t+1时刻的路径变化:地址2,地址3,和地址4消失,并且新增了地址6,地址7,和地址8,因此针对探针P1的变化地址集合可以表示为:
Figure BDA0003148787700000051
其中,S表示变化地址集合;S上角标表达了探针测量的第一时刻至第二时刻;S下角标表达了源地址至目的地址;集合中各个地址的上角标以pre表示消失地址,以post表示新增地址。
针对探针P2在t时刻至t+1时刻的路径变化:地址3消失,并且新增了地址9和地址10,因此针对探针P2的变化地址集合可以表示为:
Figure BDA0003148787700000052
针对探针P3在t时刻至t+1时刻的路径变化:地址4消失,并且新增了地址11,因此针对探针P3的变化地址集合可以表示为:
Figure BDA0003148787700000053
步骤S102、确定在所述变化地址集合之间重复出现的所述变化地址,对每个重复出现的所述变化地址,确定与其对应的所有所述变化地址集合,并将其组成为与该所述变化地址相关的候选路由事件。
在本公开的实施例中,在数据服务器对变化地址等数据进行整理后,由数据服务器对整理后的变化地址集合按照是否具备共同的变化地址的原则,对候选路由事件进行提取。
首先,将所有变化地址集合中的所有变化地址,全部依次进行不重复地罗列;具体的,结合场景图图3,基于在上述过程中得到的针对P1、P2和P3的变化地址集合,将
Figure BDA0003148787700000054
Figure BDA0003148787700000055
中的所有变化地址全部罗列出,得到:
2pre,3pre,4pre,6post,7post,8post,3pre,9post,10post,4pre,11post
遵循上述的不重复罗列的原则,剔除2个消失地址3pre和4pre,得到剩余的变化地址:
2pre,3pre,4pre,6post,7post,8post,9post,10post,11post
进一步的,对上述筛选出的所有的变化地址,依次判断每个变化地址所属的变化地址集合,以及包含该变化地址的变化地址集合的数量;具体的,在本实施例中,按照图3所示:变化地址2pre属于变化地址集合
Figure BDA0003148787700000056
变化地址3pre属于变化地址集合
Figure BDA0003148787700000061
Figure BDA0003148787700000062
变化地址4pre属于变化地址集合
Figure BDA0003148787700000063
Figure BDA0003148787700000064
变化地址6post属于变化地址集合
Figure BDA0003148787700000065
变化地址7post属于变化地址集合
Figure BDA0003148787700000066
变化地址8post属于变化地址集合
Figure BDA0003148787700000067
变化地址9post属于变化地址集合
Figure BDA0003148787700000068
变化地址10post属于变化地址集合
Figure BDA0003148787700000069
变化地址11post属于变化地址集合
Figure BDA00031487877000000610
并进一步地,将只被单个变化地址集合所包含的变化地址排除,得到被不少于两个变化地址集合所包含的变化地址,其中,所述变化地址可以是一个或多个。
具体的,在本公开的实施例中,基于上述判断出的变化地址与变化地址集合的所属关系,排除只被单个变化地址集合所包含的变化地址,得到:
变化地址3pre属于变化地址集合
Figure BDA00031487877000000611
Figure BDA00031487877000000612
变化地址4pre属于变化地址集合
Figure BDA00031487877000000613
Figure BDA00031487877000000614
因此变化地址3pre的异常,可以导致P1对应的traceroute路径和P2对应的traceroute路径,两条源-目的地址对的traceroute路径变化;变化地址4pre的异常,可以导致P1对应的traceroute路径和P3对应的traceroute路径,两条源-目的地址对的traceroute路径变化。
进一步的,针对可以导致不少于2条路径变化的变化地址,将与该所述变化地址对应的所有变化地址集合,组成关于该所述变化地址的候选路由事件。
在本实施例中,可以得到分别针对变化地址3pre和变化地址4pre的2个候选路由事件;其中,针对变化地址3pre的候选路由事件
Figure BDA00031487877000000615
包括2个变化地址集合,分别为:
Figure BDA00031487877000000616
Figure BDA00031487877000000617
针对变化地址4pre的候选路由事件
Figure BDA00031487877000000618
包括2个变化地址集合,分别为:
Figure BDA00031487877000000619
Figure BDA00031487877000000620
步骤S103、为所述候选路由事件设计多项特征,对每个所述候选路由事件,计算其每项所述特征的特征值,以及该所述特征的区间范围。
在本公开中,基于上一过程中获取的每个候选路由事件所包含的变化地址集合,以及该所述候选路由事件影响的traceroute路径数量,为所述候选路由事件设计5项特征,并对多个候选路由事件中的每个候选路由事件,计算其每项特征的特征值,其中包括:
距离特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取第一个变化地址与源地址之间的跳数,将其作为该所述变化地址集合的最小跳数,记为hn;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行相同的最小跳数的计算;将获取的每个最小跳数数值进行累加求和,得到最终的该所述候选路由事件距离特征的特征值,并记为∑hn
变化程度特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取在消失路径中的消失地址以及在新增路径中的新增地址,也即该所述变化地址集合中的所有变化地址个数,记为an;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行化地址个数的计算;对所有变化地址集合的计算结果做并集运算,得到最终的该所述候选路由事件变化程度特征的特征值,并记为∑an
拥塞程度特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其在第一时刻探针所测量的变化前的原始路径的RTT(往返延时),并获取其在第二时刻探针所测量的变化后的路径的RTT,进一步计算变化前后的RTT的差值,记为rn;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行相同的差值计算,进一步对所有变化地址集合的RTT差值求和,得到最终的该所述候选路由事件拥塞程度特征的特征值,并记为∑rn
地址变化范围特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其变化过程中消失顺序与新增顺序互相对应的消失地址与新增的地址,并计算其之间的编辑距离,例如:第一个消失地址与第一个新增地址之间的编辑距离,并记为e1;第二个消失地址与第二个新增地址之间的编辑距离,并记为e2;以及第n个消失地址与第n个新增地址之间的编辑距离,并记为en;并对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合,执行相同的编辑距离的计算,进一步对所有变化地址集合的编辑距离求和,得到最终的该所述候选路由事件地址变化范围特征的特征值,并记为∑en。需要说明的是,在计算过程中,当新增地址多于消失地址时,也即部分新增地址无法找到与之对应的消失地址时,将多出的新增地址与全0地址之间计算编辑距离;当消失地址多于新增地址时,则多出的消失地址无需加入编辑距离的计算中。
持续时间特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其变化的持续时间,也即测量该traceroute路径的探针在第一时刻至第二时刻之间的持续时间,记为tm;并对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合,执行相同的持续时间的计算,进一步对得出的所有变化地址集合的持续时间取交集,得到最终的该所述候选路由事件持续时间特征的特征值,并记为∩tm
在本公开的实施例中,根据图3所示,基于上一过程中获取的针对变化地址3pre的候选路由事件
Figure BDA0003148787700000081
及其变化地址集合:
Figure BDA0003148787700000082
Figure BDA0003148787700000083
针对变化地址4pre的候选路由事件
Figure BDA0003148787700000084
及其变化地址集合:
Figure BDA0003148787700000085
Figure BDA0003148787700000086
计算每个候选路由事件的上述5项特征的特征值。
以候选路由事件
Figure BDA0003148787700000087
为例,具体包括:
距离特征:根据图3所示,其中变化地址集合
Figure BDA0003148787700000088
中,探针P1的traceroute测量路径从地址1开始变化,其为traceroute路径中对应的第1跳,因此该变化地址集合的最小跳数hn1为1;变化地址集合
Figure BDA0003148787700000089
中,探针P2的traceroute测量路径从地址2开始变化,其为traceroute路径中对应的第2跳,因此该变化地址集合的最小跳数hn2为2;对两个变化地址集合的最小跳数求和,∑hn为3。
变化程度特征:根据图3所示,其中变化地址集合
Figure BDA00031487877000000810
中包括{2pre,3pre,4pre,6post,7post,8post}在内的6个变化地址,an1为6;变化地址集合
Figure BDA00031487877000000811
中包括{3pre,9post,10post}在内的3个变化地址,an2为3;进一步对两个变化地址集合中的变化地址求并集,得到{2pre,3pre,4pre,6post,7post,8post,9post,10post}在内的8个变化地址,因此∑an为8。
拥塞程度特征:根据图3所示,其中变化地址集合
Figure BDA00031487877000000812
中,需要计算探针P1在路径发生变化后,也即在第二时刻,t+1时刻的RTT,与探针P1在路径发生变化前,也即在第一时刻,t时刻测量的RTT,并对两个RTT的值求差值得到rn1;以及,对变化地址集合
Figure BDA0003148787700000091
中,探针P2在路径发生变化后,也即在第二时刻,t+1时刻的RTT,与探针P2在路径发生变化前,也即在第一时刻,t时刻的RTT,并对两个RTT的值求差值得到rn2;进一步的,对rn1和rn2累加,得到∑rn=rn1+rn2
地址变化范围特征:根据图3所示,其中变化地址集合
Figure BDA0003148787700000092
中,探针P1的traceroute测量路径的消失地址为:地址2、地址3和地址4,新增地址为:地址6、地址7和地址8,因此针对探针P1的路径变化,需要计算地址6与地址2的编辑距离en1、地址7与地址3的编辑距离en2、地址8与地址4的编辑距离en3;在变化地址集合
Figure BDA0003148787700000093
中,探针2的traceroute测量路径的消失地址为:地址3,新增地址为:地址9、地址10,因此针对探针P2的路径变化,需要计算地址9与地址3的编辑距离en4、地址10与全0地址的编辑距离en5;进一步的,对所有编辑距离求和,得到∑en=en1+en2+en3+en4+en5
持续时间特征:根据图3所示,其中变化地址集合
Figure BDA0003148787700000094
中,探针进行traceroute测量持续时间为第一时刻t至第二时刻t+1,因此其持续时间tm1为1;变化地址集合
Figure BDA0003148787700000095
中,探针进行traceroute测量持续时间为第一时刻t至第二时刻t+1,因此其持续时间tm2为1;进一步的,对两个变化地址集合的持续时间求交集,得到∩tm为1。
进一步的,对候选路由事件
Figure BDA0003148787700000096
及其变化地址集合
Figure BDA0003148787700000097
Figure BDA0003148787700000098
执行与上述相同特征的特征值相同的计算步骤,并得出相应的特征值。
步骤S104、对于每项所述特征,在其所述区间范围中选取其候选阈值,确定针对该所述特征的主要候选路由事件和次要候选路由事件;根据所述主要候选路由事件和所述次要候选路由事件的数量比例变化,得出不同的变化数量比;将最大的所述变化数量比对应的所述候选阈值,确定为该所述特征的筛选阈值,并依据所述筛选阈值过滤出最终的路由事件。
在本公开中,基于上一过程中得出的每个候选路由事件中五项特征的特征值,在其特征值中选取最大值作为该特征值的上限,选取最小值作为该特征值的下限,并依此得出该所述特征的区间范围为自特征值中的上限至特征值中的下限。
进一步的,对于多个特征中的每个特征执行如下操作:在该特征的区间范围中任意选取一个值,作为该特征的候选阈值;提取所有候选路由事件中该特征的特征值,比较每个候选路由事件中该特征的特征值与候选阈值的大小;将特征值大于等于候选阈值的候选路由事件定义为主要候选路由事件,将特征值小于候选阈值的候选路由事件定义为次要候选路由事件。
其中,主要候选路由事件是导致路由故障的主要影响因素,其影响力大破坏力强;而次要候选路由事件不是导致路由故障的主要影响因素,其影响力小破坏力弱,且可以忽略。
进一步的,确定单位异常时间下traceroute路径的变化数量,与单位正常时间下traceroute路径的变化数量的比值。
在本公开中,异常时间被设计为:取所有主要候选路由事件的持续时间的并集;其中,依据上一过程中对持续时间特征的计算,主要候选路由事件的持续时间为∩tm,因此可以通过取并集得出异常时间;进一步的,将探针进行traceroute路径测量的总时长,与异常时间做差值计算,得出正常时间。
进一步的,获取在异常时间下发生变化的traceroute路径数量,也即异常时间下源-目的地址对的变化地址集合的数量,并将该变化地址集合的数量与异常时间做比值,得到单位异常时间的traceroute路径变化数量;以及,在正常时间下发生变化的traceroute路径数量,也即正常时间下源-目的地址对的变化地址集合的数量,并将该变化地址集合的数量与正常时间做比值,得到单位异常时间的traceroute路径变化数量,并按照如下公式,对数量结果做比值得到变化数量比X:
Figure BDA0003148787700000101
需要说明的是,在判断主要候选路由事件的过程中,由于阈值是在特征的区间范围中随机选取,因此判断出的主要候选路由事件中,既包含了正确推断出的主要候选路由事件的结果,也包含了将次要候选路由事件错误推断为主要候选路由事件的假阳性结果;同样的,判断出的次要候选路由事件中,既包含了正确推断的次要候选路由事件的结果,也包含了将主要候选路由事件错误推断为次要候选路由事件的假阴性结果。
因此,上述的异常时间中包含了正确推断为主要候选路由事件的时间集合T阳性,和将次要候选路由事件推断为主要候选路由事件的时间集合T假阳性,也即:
异常时间=T阳性+T假阳性
同样的,上述的正常时间中包含了正确推断为次要候选路由事件的时间集合T阴性,与将主要候选路由事件推断为次要候选路由事件的时间集合T假阴性,也即:
正常时间=T阴性+T假阴性
为了达到最大程度减少假阳性与假阴性的对检测的影响,利用与变化数量比X相关的如下公式,对T假阳性和T假阴性进行分析:
Figure BDA0003148787700000111
其中,N1表示在正常时间的状态下,在单位时间内采集事件影响的traceroute路径变化数;N1+N2则是在异常时间的状态下,在单位时间内采集事件影响的traceroute路径变化数。
分别对T假阳性和T假阴性求偏导,可以发现T假阳性和T假阴性是基于变化数量比X的减函数,故此在所述变化数量比X达到最大值时,T假阳性和T假阴性都达到了最小值,也即对于主要候选路由事件和次要候选路由事件的准确性都达到了最大。
依据上述最大变化数量比X的理论依据,可以在每个特征的区间范围中均不断选取不同的值作为候选阈值,进行变化数量比X的计算,并得到最大的变化数量比Xmax;进一步,将得到所述Xmax时的候选阈值,确定为该特征的筛选阈值。
进一步的,对于所有特征均执行上述相同的候选阈值计算分析,以确定所有5项特征各自的筛选阈值,并记为Q1、Q2、Q3、Q4和Q5,分别对应特征值∑hn、∑an、∑rn、∑en和∩tm
基于得到的筛选阈值,在每个候选路由事件的各个特征中,以该筛选阈值为基准,在所有候选路由事件中,过滤出其所有5项特征中任一所述特征的特征值大于等于该阈值的候选路由事件,并将其判定为最终的路由事件。
可见,本公开一个或多个实施例提供的一种路由事件的检测方法和系统,基于互联网网络的安全领域,综合考虑了探针位置,事件影响程度等因素对路由事件检测结果的影响,从而有效减小了假阳性和假阴性对整体路由事件检测的影响,显著提高了检测的准确性。
需要说明的是,本公开一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本公开特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本公开一个或多个实施例还提供了一种异常路由事件的检测系统。
参考图2,探针测量系统,候选路由事件分析系统,特征值计算系统,以及异常路由事件确定系统;
其中,所述探针测量系统S201,被配置为:对网络中多个源-目的地址对进行traceroute测量,并得到每个所述源-目的地址对在不同时刻的变化地址,以组成针对该所述源-目的地址对在任意两个所述时刻之间的一段持续时间内的变化地址集合;
所述候选路由事件分析系统S202,被配置为:确定在所述变化地址集合之间重复出现的所述变化地址,对每个重复出现的所述变化地址,确定与其对应的所有所述变化地址集合,并将其组成为与该所述变化地址相关的候选路由事件;
所述特征值计算系统S203,被配置为:为所述候选路由事件设计多项特征,对每个所述候选路由事件,计算其每项所述特征的特征值,以及该所述特征的区间范围;
所述异常路由事件确定系统S204,被配置为:对于每项所述特征,在其所述区间范围中选取其候选阈值,确定针对该所述特征的主要候选路由事件和次要候选路由事件;根据所述主要候选路由事件和所述次要候选路由事件的数量比例变化,得出不同的变化数量比;将最大的所述变化数量比对应的所述候选阈值,确定为该所述特征的筛选阈值,并依据所述筛选阈值过滤出最终的路由事件。
作为一个可选的实施例,所述探针测量系统S201,具体被配置为:结合图3示出的一个具体的路由事件推断的场景图,其中,探针P1与探针P2布设在地址1,探针P3布设在地址2,并且分别获取了不同的源-目的地址对的路径数据,其中,P1获取了地址1-地址5的地址对之间的路径数据,P2获取了地址1-地址12的地址对之间的路径数据,P3获取了地址2-地址5的地址对之间的路径数据;
以及,所述探针P1,P2和P3的测量时间为第一时刻t,也即源-目的地址对的原始路径发生变换的时刻;至第二时刻t+1,也即源-目的地址对的路径在发生变换后又再次变换回所述原始路径的时刻之间的一段持续时间。
根据图3所示,探针P1、P2和P3分别在一段持续事件内,获取了各自流向目的地址的两条不同traceroute数据,也即两条不同路径,具体包括:
探针P1获取的原始traceroute路径:地址1-地址2-地址3-地址4-地址5;和变换traceroute路径:地址1-地址6地址7-地址8-地址5;
探针P2获取的原始traceroute路径:地址1-地址2-地址3-地址4-地址12;和变换traceroute路径:地址1-地址2-地址9-地址10-地址4-地址12;
探针P3获取的原始traceroute路径:地址2-地址3-地址4-地址5;和变换traceroute路径:地址2-地址3-地址11-地址5;
其中,每个地址可以代表一个路由器。
进一步的,在数据服务器内对得到的traceroute路径数据进行分析,将其中针对同一对源-目的地址对中的变化地址进行整合:具体的,首先确定同一源目的地址对,在t时刻与t+1时刻之间的变化地址,其中包括:新增地址与消失地址。
进一步的,将确定的变化地址,按照各自所属的源-目的地址对的原则,分别组成各自不同的集合,得到变化地址集合;
具体的,参照图3所示,针对探针P1在t时刻至t+1时刻的路径变化:地址2,地址3,和地址4消失,并且新增了地址6,地址7,和地址8,因此针对探针P1的变化地址集合可以表示为:
Figure BDA0003148787700000141
其中,S表示变化地址集合;S上角标表达了探针测量的第一时刻至第二时刻;S下角标表达了源地址至目的地址;集合中各个地址的上角标以pre表示消失地址,以post表示新增地址。
针对探针P2在t时刻至t+1时刻的路径变化:地址3消失,并且新增了地址9和地址10,因此针对探针P2的变化地址集合可以表示为:
Figure BDA0003148787700000142
针对探针P3在t时刻至t+1时刻的路径变化:地址4消失,并且新增了地址11,因此针对探针P3的变化地址集合可以表示为:
Figure BDA0003148787700000143
作为一个可选的实施例,所述候选路由事件分析系统S202,具体被配置为:在数据服务器对变化地址等数据进行整理后,由数据服务器对整理后的变化地址集合按照是否具备共同的变化地址的原则,对候选路由事件进行提取。
首先,将所有变化地址集合中的所有变化地址,全部依次进行不重复地罗列;具体的,结合场景图图3,基于在上述过程中得到的针对P1、P2和P3的变化地址集合,将
Figure BDA0003148787700000144
Figure BDA0003148787700000145
中的所有变化地址全部罗列出,得到:
2pre,3pre,4pre,6post,7post,8post,3pre,9post,10post,4pre,11post
遵循上述的不重复罗列的原则,剔除2个消失地址3pre和4pre,得到剩余的变化地址:
2pre,3pre,4pre,6post,7post,8post,9post,10post,11post
进一步的,对上述筛选出的所有的变化地址,依次判断每个变化地址所属的变化地址集合,以及包含该变化地址的变化地址集合的数量;具体的,在本实施例中,按照图3所示:变化地址2pre属于变化地址集合
Figure BDA0003148787700000146
变化地址3pre属于变化地址集合
Figure BDA0003148787700000147
Figure BDA0003148787700000148
变化地址4pre属于变化地址集合
Figure BDA0003148787700000151
Figure BDA0003148787700000152
变化地址6post属于变化地址集合
Figure BDA0003148787700000153
变化地址7post属于变化地址集合
Figure BDA0003148787700000154
变化地址8post属于变化地址集合
Figure BDA0003148787700000155
变化地址9post属于变化地址集合
Figure BDA0003148787700000156
变化地址10post属于变化地址集合
Figure BDA0003148787700000157
变化地址11post属于变化地址集合
Figure BDA0003148787700000158
并进一步地,将只被单个变化地址集合所包含的变化地址排除,得到被不少于两个变化地址集合所包含的变化地址,其中,所述变化地址可以是一个或多个。
具体的,在本公开的实施例中,基于上述判断出的变化地址与变化地址集合的所属关系,排除只被单个变化地址集合所包含的变化地址,得到:
变化地址3pre属于变化地址集合
Figure BDA0003148787700000159
Figure BDA00031487877000001510
变化地址4pre属于变化地址集合
Figure BDA00031487877000001511
Figure BDA00031487877000001512
因此变化地址3pre的异常,可以导致P1对应的traceroute路径和P2对应的traceroute路径,两条源-目的地址对的traceroute路径变化;变化地址4pre的异常,可以导致P1对应的traceroute路径和P3对应的traceroute路径,两条源-目的地址对的traceroute路径变化。
进一步的,针对可以导致不少于2条路径变化的变化地址,将与该所述变化地址对应的所有变化地址集合,组成关于该所述变化地址的候选路由事件。
在本实施例中,可以得到分别针对变化地址3pre和变化地址4pre的2个候选路由事件;其中,针对变化地址3pre的候选路由事件
Figure BDA00031487877000001513
包括2个变化地址集合,分别为:
Figure BDA00031487877000001514
Figure BDA00031487877000001515
针对变化地址4pre的候选路由事件
Figure BDA00031487877000001516
包括2个变化地址集合,分别为:
Figure BDA00031487877000001517
Figure BDA00031487877000001518
作为一个可选的实施例,所述特征值计算系统S203,具体被配置为:基于上一过程中获取的每个候选路由事件所包含的变化地址集合,以及该所述候选路由时间影响的traceroute路径数量,为所述候选路由事件设计5项特征,并计算每类特征的特征值,其中包括:
距离特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取第一个变化地址与源地址之间的跳数,将其作为该所述变化地址集合的最小跳数,记为hn;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行相同的最小跳数的计算;将获取的每个最小跳数数值进行累加求和,得到最终的该所述候选路由事件距离特征的特征值,并记为∑hn
变化程度特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取在消失路径中的消失地址以及在新增路径中的新增地址,也即该所述变化地址集合中的所有变化地址个数,记为an;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行化地址个数的计算;对所有变化地址集合的计算结果做并集运算,得到最终的该所述候选路由事件变化程度特征的特征值,并记为∑an
拥塞程度特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其在第一时刻探针所测量的变化前的原始路径的RTT(往返延时),并获取其在第二时刻探针所测量的变化后的路径的RTT,进一步计算变化前后的RTT的差值,记为rn;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行相同的差值计算,进一步对所有变化地址集合的RTT差值求和,得到最终的该所述候选路由事件拥塞程度特征的特征值,并记为∑rn
地址变化范围特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其变化过程中消失顺序与新增顺序互相对应的消失地址与新增的地址,并计算其之间的编辑距离,例如:第一个消失地址与第一个新增地址之间的编辑距离,并记为e1;第二个消失地址与第二个新增地址之间的编辑距离,并记为e2;以及第n个消失地址与第n个新增地址之间的编辑距离,并记为en;并对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合,执行相同的编辑距离的计算,进一步对所有变化地址集合的编辑距离求和,得到最终的该所述候选路由事件地址变化范围特征的特征值,并记为∑en。需要说明的是,在计算过程中,当新增地址多于消失地址时,也即部分新增地址无法找到与之对应的消失地址时,将多出的新增地址与全0地址之间计算编辑距离;当消失地址多于新增地址时,则多出的消失地址无需加入编辑距离的计算中。
持续时间特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其变化的持续时间,也即测量该traceroute路径的探针在第一时刻至第二时刻之间的持续时间,记为tm;并对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合,执行相同的持续时间的计算,进一步对得出的所有变化地址集合的持续时间取交集,得到最终的该所述候选路由事件持续时间特征的特征值,并记为∩tm
在本公开的实施例中,根据图3所示,基于上一过程中获取的针对变化地址3pre的候选路由事件
Figure BDA0003148787700000171
及其变化地址集合:
Figure BDA0003148787700000172
Figure BDA0003148787700000173
针对变化地址4pre的候选路由事件
Figure BDA0003148787700000174
及其变化地址集合:
Figure BDA0003148787700000175
Figure BDA0003148787700000176
计算每个候选路由事件的上述5项特征的特征值。
以候选路由事件
Figure BDA0003148787700000177
为例,具体包括:
距离特征:根据图3所示,其中变化地址集合
Figure BDA0003148787700000178
中,探针P1的traceroute测量路径从地址1开始变化,其为traceroute路径中对应的第1跳,因此该变化地址集合的最小跳数hn1为1;变化地址集合
Figure BDA0003148787700000179
中,探针P2的traceroute测量路径从地址2开始变化,其为traceroute路径中对应的第2跳,因此该变化地址集合的最小跳数hn2为2;对两个变化地址集合的最小跳数求和,∑hn为3。
变化程度特征:根据图3所示,其中变化地址集合
Figure BDA00031487877000001710
中包括{2pre,3pre,4pre,6post,7post,8post}在内的6个变化地址,an1为6;变化地址集合
Figure BDA00031487877000001711
中包括{3pre,9post,10post}在内的3个变化地址,an2为3;进一步对两个变化地址集合中的变化地址求并集,得到{2pre,3pre,4pre,6post,7post,8post,9post,10post}在内的8个变化地址,因此∑an为8。
拥塞程度特征:根据图3所示,其中变化地址集合
Figure BDA00031487877000001712
中,需要计算探针P1在路径发生变化后,也即在第二时刻,t+1时刻的RTT,与探针P1在路径发生变化前,也即在第一时刻,t时刻测量的RTT,并对两个RTT的值求差值得到rn1;以及,对变化地址集合
Figure BDA00031487877000001713
中,探针P2在路径发生变化后,也即在第二时刻,t+1时刻的RTT,与探针P2在路径发生变化前,也即在第一时刻,t时刻的RTT,并对两个RTT的值求差值得到rn2;进一步的,对rn1和rn2累加,得到∑rn=rn1+rn2
地址变化范围特征:根据图3所示,其中变化地址集合
Figure BDA0003148787700000181
中,探针P1的traceroute测量路径的消失地址为:地址2、地址3和地址4,新增地址为:地址6、地址7和地址8,因此针对探针P1的路径变化,需要计算地址6与地址2的编辑距离en1、地址7与地址3的编辑距离en2、地址8与地址4的编辑距离en3;在变化地址集合
Figure BDA0003148787700000182
中,探针2的traceroute测量路径的消失地址为:地址3,新增地址为:地址9、地址10,因此针对探针P2的路径变化,需要计算地址9与地址3的编辑距离en4、地址10与全0地址的编辑距离en5;进一步的,对所有编辑距离求和,得到∑en=en1+en2+en3+en4+en5
持续时间特征:根据图3所示,其中变化地址集合
Figure BDA0003148787700000183
中,探针进行traceroute测量持续时间为第一时刻t至第二时刻t+1,因此其持续时间tm1为1;变化地址集合
Figure BDA0003148787700000184
中,探针进行traceroute测量持续时间为第一时刻t至第二时刻t+1,因此其持续时间tm2为1;进一步的,对两个变化地址集合的持续时间求交集,得到∩tm为1。
进一步的,对候选路由事件
Figure BDA0003148787700000185
及其变化地址集合
Figure BDA0003148787700000186
Figure BDA0003148787700000187
执行与上述相同特征的特征值相同的计算步骤,并得出相应的特征值。
作为一个可选的实施例,所述异常路由事件确定系统S204,具体被配置为:基于上一过程中得出的每个候选路由事件中五项特征的特征值,在其特征值中选取最大值作为该特征值的上限,选取最小值作为该特征值的下限,并依此得出该所述特征的区间范围为自特征值中的上限至特征值中的下限。
进一步的,对于多个特征中的每个特征执行如下操作:在该特征的区间范围中任意选取一个值,作为该特征的候选阈值;提取所有候选路由事件中该特征的特征值,比较每个候选路由事件中该特征的特征值与候选阈值的大小;将特征值大于等于候选阈值的候选路由事件定义为主要候选路由事件,将特征值小于候选阈值的候选路由事件定义为次要候选路由事件。
其中,主要候选路由事件是导致路由故障的主要影响因素,其影响力大破坏力强;而次要候选路由事件不是导致路由故障的主要影响因素,其影响力小破坏力弱,且可以忽略。
进一步的,确定单位异常时间下traceroute路径的变化数量,与单位正常时间下traceroute路径的变化数量的比值。
在本公开中,异常时间被设计为:取所有主要候选路由事件的持续时间的并集;其中,依据上一过程中对持续时间特征的计算,主要候选路由事件的持续时间为∩tm,因此可以通过取并集得出异常时间;进一步的,将探针进行traceroute路径测量的总时长,与异常时间做差值计算,得出正常时间。
进一步的,获取在异常时间下发生变化的traceroute路径数量,也即异常时间下源-目的地址对的变化地址集合的数量,并将该变化地址集合的数量与异常时间做比值,得到单位异常时间的traceroute路径变化数量;以及,在正常时间下发生变化的traceroute路径数量,也即正常时间下源-目的地址对的变化地址集合的数量,并将该变化地址集合的数量与正常时间做比值,得到单位异常时间的traceroute路径变化数量,并按照如下公式,对数量结果做比值得到变化数量比X:
Figure BDA0003148787700000191
需要说明的是,在判断主要候选路由事件的过程中,由于阈值是在特征的区间范围中随机选取,因此判断出的主要候选路由事件中,既包含了正确推断出的主要候选路由事件的结果,也包含了将次要候选路由事件错误推断为主要候选路由事件的假阳性结果;同样的,判断出的次要候选路由事件中,既包含了正确推断的次要候选路由事件的结果,也包含了将主要候选路由事件错误推断为次要候选路由事件的假阴性结果。
因此,上述的异常时间中包含了正确推断为主要候选路由事件的时间集合T阳性,和将次要候选路由事件推断为主要候选路由事件的时间集合T假阳性,也即:
异常时间=T阳性+T假阳性
同样的,上述的正常时间中包含了正确推断为次要候选路由事件的时间集合T阴性,与将主要候选路由事件推断为次要候选路由事件的时间集合T假阴性,也即:
正常时间=T阴性+T假阴性
为了达到最大程度减少假阳性与假阴性的对检测的影响,利用与变化数量比X相关的如下公式,对T假阳性和T假阴性进行分析:
Figure BDA0003148787700000201
其中,N1表示在正常时间的状态下,在单位时间内采集事件影响的traceroute路径变化数;N1+N2则是在异常时间的状态下,在单位时间内采集事件影响的traceroute路径变化数。
分别对T假阳性和T假阴性求偏导,可以发现T假阳性和T假阴性是基于变化数量比X的减函数,故此在所述变化数量比X达到最大值时,T假阳性和T假阴性都达到了最小值,也即对于主要候选路由事件和次要候选路由事件的准确性都达到了最大。
依据上述最大变化数量比X的理论依据,可以在每个特征的区间范围中均不断选取不同的值作为候选阈值,进行变化数量比X的计算,并得到最大的变化数量比Xmax;进一步,将得到所述Xmax时的候选阈值,确定为该特征的筛选阈值。
进一步的,对于所有特征均执行上述相同的候选阈值计算分析,以确定所有5项特征各自的筛选阈值,并记为Q1、Q2、Q3、Q4和Q5,分别对应特征值∑hn、∑an、∑rn、∑en和∩tm
基于得到的筛选阈值,在每个候选路由事件的各个特征中,以该筛选阈值为基准,在所有候选路由事件中,过滤出其所有5项特征中任一所述特征的特征值大于该阈值的候选路由事件,并将其判定为最终的路由事件。
为了描述的方便,描述以上系统时以功能分为各种模块分别描述。当然,在实施本公开一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的异常路由事件的检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。
本公开一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (10)

1.一种路由事件的检测方法,包括:
在网络中两个不同时刻之间,对多个源-目的地址对中每一个所包含的变化地址,组成一段持续时间内的变化地址集合;
对在所述变化地址集合之间重复出现的每个所述变化地址,确定与该所述变化地址相关的候选路由事件;
对所述候选路由事件预设多项特征,包括:距离特征、变化程度特征、拥塞程度特征、地址变化范围特征和持续时间特征;
对多个所述候选路由事件中的每一个,响应于所述候选路由事件中任一所述特征的特征值大于等于预设的筛选阈值,确定所述候选路由事件为路由事件。
2.根据权利要求1所述的方法,其中,还包括:
在所述网络中,在两个所述不同时刻之间,对网络中多个所述源-目的地址对进行traceroute测量(路由追踪测量),以得到每个所述源-目的地址对的变化地址;
其中,得到的所述变化地址是在一段所述持续时间内,所测量到的消失地址和新增地址。
3.根据权利要求1所述的方法,其中,还包括:
对预设的多项所述特征中的每一项,执行如下操作:
根据预设的算法,取得全部所述候选路由事件的所述特征的特征值,并建立所述特征的区间范围;
根据所述区间范围,选取多个任意值作为候选阈值;
响应于确定计算出最大变化数量比的所述候选阈值,在多个所述候选阈值中过滤出所述特征的所述筛选阈值;
其中,对选取的多个所述候选阈值中的每一个,执行如下操作:
响应于所述候选路由事件的所述特征的特征值不小于所述候选阈值,确定所述候选路由事件为主要候选路由事件;
响应于所述候选路由事件的所述特征的特征值小于所述候选阈值,确定所述候选路由事件为次要候选路由事件;
根据确定的所述主要候选路由事件和所述次要候选路由事件,进行预设的变化数量比的运算,得到所述候选阈值的变化数量比。
4.根据权利要求1所述的方法,其中,所述确定与该所述变化地址相关的候选路由事件,包括:
对每个重复出现的所述变化地址,确定与其对应的所有所述变化地址集合,并将其组成为针对该所述变化地址的候选路由事件;
其中,所述候选路由事件包含不少于两个所述变化地址集合;其中,对其所有所述变化地址集合的所述持续时间取交集,得到候选路由事件持续时间。
5.根据权利要求2或3所述的方法,其中,所述根据预设的算法,取得全部所述候选路由事件的所述特征的特征值,包括:
取所述变化地址集合中的第一个变化地址与所述源地址之间的跳数作为最小跳数,并对该所述候选路由事件中的全部所述最小跳数求和,得到所述距离特征的特征值;
对该所述候选路由事件的每个所述变化地址集合中的所有所述变化地址,执行不重复地记录其个数,得到所述变化程度特征的特征值;
由该所述候选路由事件相关的探针,在两个所述不同时刻中,测量第一时刻的往返延时,和第二时刻的往返延时,并对其差值求和,得到所述拥塞程度特征的特征值;
计算该所述候选路由事件中的所述消失地址与所述新增地址之间的编辑距离,并对所有所述编辑距离求和,得到所述地址变化范围特征的特征值;以及,
计算所述候选路由事件持续时间作为所述持续时间特征的特征值。
6.根据权利要求3所述的方法,其中,所述建立所述特征的区间范围,包括:
在全部所述候选路由事件针对该所述特征的所述特征值中,以所述特征值的最大值,确定所述区间范围的上限值,所述特征值的最小值,确定所述区间范围的下限值,以得到该所述特征的所述区间范围。
7.根据权利要求3所述的方法,其中,所述进行预设的变化数量比的运算,包括:
对每项所述特征,根据其不同所述候选阈值,将单位异常时间下的所述主要候选路由事件中包含的所述变化地址集合数量,与单位正常时间下的所述次要候选路由事件中包含的所述变化地址集合数量的比值,得到所述变化数量比。
8.根据权利要求7所述的方法,其中,所述异常时间是对所有所述主要候选路由事件持续时间取并集得到;
其中,所述traceroute测量的总时间与所述异常时间的差值,作为所述正常时间。
9.一种路由事件的检测系统,其中,包括:变化地址整理、路由事件候选系统、路由事件特征分析系统和路由事件筛选系统;
其中,所述变化地址整理系统,被配置为:在网络中两个不同时刻之间,对多个源-目的地址对中每一个所包含的变化地址,组成一段持续时间内的变化地址集合;
所述路由事件候选系统,被配置为:对在所述变化地址集合之间重复出现的每个所述变化地址,确定与该所述变化地址相关的候选路由事件;
所述路由事件特征分析系统,被配置为:对所述候选路由事件预设多项特征,包括:距离特征、变化程度特征、拥塞程度特征、地址变化范围特征和持续时间特征;
所述路由事件筛选系统,被配置为:对多个所述候选路由事件中的每一个,响应于所述候选路由事件中任一所述特征的特征值大于等于预设的筛选阈值,确定所述候选路由事件为路由事件。
10.根据权利要求9所述的系统,还包括:
测量系统,被配置为:在所述网络中,在两个所述不同时刻之间,对网络中多个所述源-目的地址对进行traceroute测量,以得到每个所述源-目的地址对的变化地址;
其中,得到的所述变化地址是在所述一段持续时间内,所测量到的消失地址和新增地址。
CN202110758691.1A 2021-07-05 2021-07-05 一种路由事件的检测方法和系统 Active CN113709840B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110758691.1A CN113709840B (zh) 2021-07-05 2021-07-05 一种路由事件的检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110758691.1A CN113709840B (zh) 2021-07-05 2021-07-05 一种路由事件的检测方法和系统

Publications (2)

Publication Number Publication Date
CN113709840A true CN113709840A (zh) 2021-11-26
CN113709840B CN113709840B (zh) 2024-01-23

Family

ID=78648289

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110758691.1A Active CN113709840B (zh) 2021-07-05 2021-07-05 一种路由事件的检测方法和系统

Country Status (1)

Country Link
CN (1) CN113709840B (zh)

Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004134893A (ja) * 2002-10-08 2004-04-30 Ntt Docomo Inc 移動端末におけるルート制御装置、移動端末、及び、接続ネットワーク切り替え方法
US20050025118A1 (en) * 2003-07-28 2005-02-03 Lucent Technologies Inc. Method, apparatus and system for improved inter-domain routing convergence
US20050201274A1 (en) * 2004-03-15 2005-09-15 Roch Guerin Method and system for path change root-cause identification in packet networks
EP1727310A1 (en) * 2005-05-24 2006-11-29 NTT DoCoMo, Inc. Method and apparatus for discovering a service in an AD-HOC network
US20080130645A1 (en) * 2006-11-30 2008-06-05 Shivani Deshpande Methods and Apparatus for Instability Detection in Inter-Domain Routing
CN101420379A (zh) * 2008-11-14 2009-04-29 北京航空航天大学 一种移动ad hoc网络低开销多路径路由方法
US20090198832A1 (en) * 2008-01-31 2009-08-06 Pritam Shah Event triggered traceroute for optimized routing in a computer network
US20120094677A1 (en) * 2010-10-15 2012-04-19 Brownworth L Anders Systems and Methods For Implementing Location Based Contact Routing
KR20120096276A (ko) * 2011-02-22 2012-08-30 서울대학교산학협력단 무선 센서 네트워크의 자가구성 시스템 및 이를 이용한 무선 센서 네트워크의 자가구성 방법
JP2013229811A (ja) * 2012-04-26 2013-11-07 Nec Corp 通信装置、経路選択方法および経路選択プログラム
US20140355563A1 (en) * 2013-06-04 2014-12-04 Dell Products L.P. System and method for efficient l3 mobility in a wired/wireless network
KR101715242B1 (ko) * 2016-02-23 2017-03-13 (주)누리텔레콤 근거리 무선 통신 시스템 및 그 통신 방법
WO2018174797A1 (en) * 2017-03-24 2018-09-27 Telefonaktiebolaget Lm Ericsson (Publ) Selective backward routing in communication networks
CN110012128A (zh) * 2019-04-12 2019-07-12 中原工学院 基于路由跳数的网络实体地标筛选方法
CN110995587A (zh) * 2019-12-10 2020-04-10 北京邮电大学 一种路由不稳定事件源定位方法及装置
CN111342885A (zh) * 2020-03-16 2020-06-26 西安电子科技大学 基于信关站合并的卫星网络选路方法

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004134893A (ja) * 2002-10-08 2004-04-30 Ntt Docomo Inc 移動端末におけるルート制御装置、移動端末、及び、接続ネットワーク切り替え方法
US20050025118A1 (en) * 2003-07-28 2005-02-03 Lucent Technologies Inc. Method, apparatus and system for improved inter-domain routing convergence
US20050201274A1 (en) * 2004-03-15 2005-09-15 Roch Guerin Method and system for path change root-cause identification in packet networks
EP1727310A1 (en) * 2005-05-24 2006-11-29 NTT DoCoMo, Inc. Method and apparatus for discovering a service in an AD-HOC network
US20080130645A1 (en) * 2006-11-30 2008-06-05 Shivani Deshpande Methods and Apparatus for Instability Detection in Inter-Domain Routing
US20090198832A1 (en) * 2008-01-31 2009-08-06 Pritam Shah Event triggered traceroute for optimized routing in a computer network
CN101420379A (zh) * 2008-11-14 2009-04-29 北京航空航天大学 一种移动ad hoc网络低开销多路径路由方法
US20120094677A1 (en) * 2010-10-15 2012-04-19 Brownworth L Anders Systems and Methods For Implementing Location Based Contact Routing
KR20120096276A (ko) * 2011-02-22 2012-08-30 서울대학교산학협력단 무선 센서 네트워크의 자가구성 시스템 및 이를 이용한 무선 센서 네트워크의 자가구성 방법
JP2013229811A (ja) * 2012-04-26 2013-11-07 Nec Corp 通信装置、経路選択方法および経路選択プログラム
US20140355563A1 (en) * 2013-06-04 2014-12-04 Dell Products L.P. System and method for efficient l3 mobility in a wired/wireless network
KR101715242B1 (ko) * 2016-02-23 2017-03-13 (주)누리텔레콤 근거리 무선 통신 시스템 및 그 통신 방법
WO2018174797A1 (en) * 2017-03-24 2018-09-27 Telefonaktiebolaget Lm Ericsson (Publ) Selective backward routing in communication networks
CN110012128A (zh) * 2019-04-12 2019-07-12 中原工学院 基于路由跳数的网络实体地标筛选方法
CN110995587A (zh) * 2019-12-10 2020-04-10 北京邮电大学 一种路由不稳定事件源定位方法及装置
CN111342885A (zh) * 2020-03-16 2020-06-26 西安电子科技大学 基于信关站合并的卫星网络选路方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
包广斌;袁占亭;张秋余;邱剑;: "BGP网络故障模型与检测算法", 兰州理工大学学报, no. 05 *
张岩庆;陆余良;杨国正;: "时空尺度下域间路由事件的定位方法", 计算机应用研究, no. 02 *
王新生;孙链;王丽芹;杨连敏;: "一种ad hoc多路径安全路由算法", 计算机研究与发展, no. 1 *
郭琳;张大方;黎文伟;谢鲲;: "基于行为模型的IP Forwarding异常检测方法", 计算机应用, no. 03 *

Also Published As

Publication number Publication date
CN113709840B (zh) 2024-01-23

Similar Documents

Publication Publication Date Title
US11451566B2 (en) Network traffic anomaly detection method and apparatus
JP4553315B2 (ja) パケット遅延から輻輳パスを分類する輻輳パス分類方法、管理装置及びプログラム
US10027562B2 (en) Detecting network services based on network flow data
CN109413071B (zh) 一种异常流量检测方法及装置
CN106982230B (zh) 一种流量检测方法及系统
CN110569408B (zh) 一种数字货币溯源方法及系统
JP2007243368A5 (zh)
CN111064817B (zh) 一种基于节点排序的城市级ip定位方法
CN105721209B (zh) 一种有噪网络的故障检测方法
CN110912756B (zh) 一种面向ip定位的网络拓扑边界路由ip识别算法
CN112329730A (zh) 视频检测方法、装置、设备及计算机可读存储介质
CN114374626A (zh) 一种5g网络条件下的路由器性能检测方法
CN112272184B (zh) 一种工业流量检测的方法、装置、设备及介质
CN113709840A (zh) 一种路由事件的检测方法和系统
CN109218184B (zh) 基于端口和结构信息的路由器归属as识别方法
Oudah et al. Network application detection using traffic burstiness
Gürsun et al. Inferring visibility: Who's (not) talking to whom?
CN110784330A (zh) 一种应用识别模型的生成方法及装置
Zhou et al. Network-wide anomaly detection based on router connection relationships
Wellem et al. Superspreader detection system on NetFPGA platform
JP4980396B2 (ja) トラヒック特性計測方法および装置
CN104125314A (zh) 一种ip地址别名解析方法及装置
WO2018006787A1 (zh) 一种网元失效影响业务检测的方法和装置和计算机存储介质
CN114039889B (zh) 基于往返时延的时间序列的网络异常检测方法及相关装置
CN110049147A (zh) 一种nat后主机数量检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant