CN115022214A - 一种大规模准确高效的路由源验证部署测量方法和装置 - Google Patents

一种大规模准确高效的路由源验证部署测量方法和装置 Download PDF

Info

Publication number
CN115022214A
CN115022214A CN202210405544.0A CN202210405544A CN115022214A CN 115022214 A CN115022214 A CN 115022214A CN 202210405544 A CN202210405544 A CN 202210405544A CN 115022214 A CN115022214 A CN 115022214A
Authority
CN
China
Prior art keywords
illegal
route
routing
path
autonomous system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210405544.0A
Other languages
English (en)
Inventor
王之梁
陈闻起
施新刚
韩东岐
尹霞
段晨鑫
杨家海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN202210405544.0A priority Critical patent/CN115022214A/zh
Publication of CN115022214A publication Critical patent/CN115022214A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种大规模准确高效的路由源验证部署测量方法和装置,其中,该方法包括:从BGPStream中接收路由信息,利用RPKI数据库中的路由源授权信息,基于控制平面过滤得到路由信息中的非法路由;利用数据平面的探针进行对照探测,对非法路由的自治系统路径进行路径标记得到非法路由自治系统路径;利用贝叶斯模型对非法路由自治系统路径进行建模,基于贝叶斯模型将每个非法路由自治系统部署路由源授权的概率作为随机变量;将标记的非法路由自治系统路径作为观测数据,求解得到随机变量的后验概率分布,基于后验概率分布判断每个非法路由自治系统是否部署路由源授权信息。本发明可以对ROV的部署进行了准确高效的测量。

Description

一种大规模准确高效的路由源验证部署测量方法和装置
技术领域
本发明涉及路由数据测量技术领域,尤其涉及一种大规模准确高效的路由源验证部署测量方法和装置。
背景技术
全球互联网由大量的自治系统(ASes)组成,这些自治系统之间交换路由的协议是边界网关协议(BGP)。一直以来,BGP存在的一个重要问题在于,接收到路由的AS无法验证路由的真实性,这就给一种攻击-路由劫持-提供了可能性。路由劫持是指一个AS声明一个不属于自己的地址前缀,从而将所有通向该前缀的流量都劫持到自己这里。路由劫持会严重影响互联网的可达性,造成严重的经济损失。为了解决这一问题,学术界和工业界提出了一类方法来防止这类攻击的发生-路由源验证机制。路由源验证机制是指接收到路由的AS可以验证路由中路径最后一条,也就是发布路由的AS的真实性,从而防止路由劫持的发生。目前主流的路由源验证机制是RPKI,也就是通过公钥基础设施的方法来提供路由源验证功能。RPKI主要包含两个主要步骤路由源授权ROA和路由源验证ROV。ROA是指某个前缀的拥有者可以在RPKI的数据库中注册自己的前缀,生成对应的记录来证明自己用有该前缀;而ROV是指AS在接受到路由时,可以通过查询RPKI数据库中的记录来验证接收到路由的真实性,从而对非法的路由进行过滤等处理。随着RPKI的标准化和不断推广,学术界和工业界开始对RPKI的部署进行测量研究。其中ROA的部署测量相对简单:可以直接通过查询RPKI数据库来分析哪些AS注册了属于自己的前缀。与之相比,ROV的部署测量相对复杂:无法直接观测哪些AS通过RPKI数据库过滤了非法路由,因此需要更为复杂的测量和推断方法来对ROV的部署进行测量。
目前存在很多研究工作致力于ROV部署的测量,然而这些研究都存在一些共同的问题。首先,这些测量工作的测量范围都非常有限:这些测量工作都采用控制平面的观测点来观测非法路由在不同路径的传播,来得到过滤了非法路由的AS路径,而这类方法通常观测点数目较少,因此得到的路径数目也较少,就导致无法对互联网中大部分AS的ROV部署情况进行推断。第二,这些工作通常无法对ROV部署的情况进行准确高效的推断:相关工作采用启发式方法,设置启发值进行求解,或者采用贝叶斯模型对推断问题建模,随后采用随机采样的方法来进行求解。而这些方法在准确率上或者求解效率上都存在问题,因此,在我们需要对全球范围内的AS进行推断时,这些方法都无法进行准确高效的求解。这些问题导致了相关工作对ROV部署的缺少大范围并且准确的测量结果。
差异更加稳定,但是在某些情况下,随着攻击者数量的增加,这种方法将在某些情况下无法检测出攻击。而且,这些工作中的参数或阈值不具有很高的鲁棒性,并且无法根据当前网络环境自适应学习,然而这些特点对于在线检测和实际部署至关重要。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明的目的在于提出一种大规模准确高效的路由源验证部署测量方法,利用数据平面的探针进行对照探测,来对过滤非法路由的AS路径进行大范围的标记,从而有效的提高了ROV部署测量的范围;随后,基于标记的大量路径,利用贝叶斯模型对推断问题进行建模,从而对问题的准确求解提供可能,最后用基于梯度的求解方法SVGD,对建模得到的大规模贝叶斯推断问题进行高效的求解。
本发明的另一个目的在于提出一种大规模准确高效的路由源验证部署测量装置。
为达上述目的,本发明一方面提出了一种大规模准确高效的路由源验证部署测量方法,包括:
S1,实时地从BGPStream中接收路由信息,利用RPKI数据库中的路由源授权信息,基于控制平面过滤得到所述路由信息中的非法路由;S2,利用数据平面的探针进行对照探测,对所述非法路由的自治系统路径进行路径标记得到非法路由自治系统路径;S3,利用贝叶斯模型对所述非法路由自治系统路径进行建模,基于所述贝叶斯模型将每个所述非法路由自治系统部署所述路由源授权的概率作为随机变量;S4,将标记的所述非法路由自治系统路径作为观测数据,求解得到所述随机变量的后验概率分布,基于所述后验概率分布判断每个所述非法路由自治系统是否部署所述路由源授权信息。
另外,根据本发明上述实施例的大规模准确高效的路由源验证部署测量方法还可以具有以下附加的技术特征:
进一步地,在本发明的一个实施例中,所述S1,包括:启动探测模块,利用BGPStream实时地获取预设数量自治系统AS共享路由的路由信息;将所述路由信息与RPKI数据库中的路由源授权ROA信息进行对比,得到非法前缀和源AS的二元组;基于控制平面对所述非法前缀和源AS的二元组进行过滤操作,得到所述路由信息中的非法路由;其中,所述过滤操作包括对更短的合法前缀覆盖的非法前缀和多源的前缀进行过滤。
进一步地,在本发明的一个实施例中,所述S2,包括:对于每条所述非法路由的二元组,在所述控制平面中找到合法前缀,并对所述非法前缀和所述合法前缀进行活跃地址提取,分别得到合法前缀活跃地址和非法前缀活跃地址;利用预设数量的的数据平面的探针,对所述合法前缀活跃地址和非法前缀活跃地址进行路由跟踪;若利用所述探针对所述合法前缀活跃地址和非法前缀活跃地址路由跟踪,得到pathinvalid和pathlegitimate两条AS级路径,则通过预设方式对所述两条AS级路径进行标记。
进一步地,在本发明的一个实施例中,所述预设方式,包括:如果利用所述探针到达所述非法前缀和合法前缀的路径相同,则标记这条路径没有过滤所述非法路由;如果利用所述探针到达所述非法前缀和合法前缀的路径不同,则标记pathlegitimate路径过滤所述非法路由,标记pathinvalid路径未过滤所述非法路由。
进一步地,在本发明的一个实施例中,所述方法,还包括:将利用所述数据平面的探针进行对照探测得到的路径集合记为D,假设所述路径集合包含m条不同的路径,并对其中的每个AS i(i=1,2,…,n)定义一个随机变量zi,表示zi部署路由源验证ROV概率。
进一步地,在本发明的一个实施例中,基于所述随机变量zi,得到关系表达式:
Figure BDA0003601706170000031
其中,yj表示第j条路径是否过滤了非法路由,Nj表示第j条路径中包含的所有AS,Z表示所有zi的联合分布。
进一步地,在本发明的一个实施例中,根据所述贝叶斯模型进行建模,得到关系表达式:
Figure BDA0003601706170000032
p(Z|D)∝p(Z)p(D|Z)
进一步地,在本发明的一个实施例中,所述方法,还包括:使用SVGD推断算法对所述建模后的贝叶斯模型进行求解。
进一步地,在本发明的一个实施例中,所述使用SVGD推断算法对所述建模后的贝叶斯模型进行求解,包括:对于输入的Z的先验分布P(Z)和第一粒子
Figure BDA0003601706170000033
利用SVGD推断算法对所述初始粒子进行迭代生成第二粒子;将所述生成的第二粒子作为Z的后验分布P(Z|D)的采样,以拟合后验分布;对所述拟合后验分布中的各个AS对应的边缘分布的平均值和最大后验密度区间进行判断,以判断所述各个AS是否部署ROV。
本发明实施例的大规模准确高效的路由源验证部署测量方法,利用数据平面的探针进行对照探测,来对过滤非法路由的AS路径进行大范围的标记,从而有效的提高了ROV部署测量的范围;随后,基于标记的大量路径,利用贝叶斯模型对推断问题进行建模,从而对问题的准确求解提供可能;最后用基于梯度的求解方法SVGD,对建模得到的大规模贝叶斯推断问题进行高效的求解。
为达到上述目的,本发明另一方面提出了一种大规模准确高效的路由源验证部署测量装置,包括:
路由获取模块,用于实时地从BGPStream中接收路由信息,利用RPKI数据库中的路由源授权信息,基于控制平面过滤得到所述路由信息中的非法路由;路径标记模块,用于利用数据平面的探针进行对照探测,对所述非法路由的自治系统路径进行路径标记得到非法路由自治系统路径;模型构建模块,用于利用贝叶斯模型对所述非法路由自治系统路径进行建模,基于所述贝叶斯模型将每个所述非法路由自治系统部署所述路由源授权的概率作为随机变量;路由判断模块,用于将标记的所述非法路由自治系统路径作为观测数据,求解得到所述随机变量的后验概率分布,基于所述后验概率分布判断每个所述非法路由自治系统是否部署所述路由源授权信息。
本发明实施例的大规模准确高效的路由源验证部署测量装置,利用数据平面的探针进行对照探测,来对过滤非法路由的AS路径进行大范围的标记,从而有效的提高了ROV部署测量的范围;随后,基于标记的大量路径,利用贝叶斯模型对推断问题进行建模,从而对问题的准确求解提供可能;最后用基于梯度的求解方法SVGD,对建模得到的大规模贝叶斯推断问题进行高效的求解。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本发明实施例的大规模准确高效的路由源验证部署测量方法的流程图;
图2为根据本发明实施例的大规模准确高效的路由源验证部署测量框架图;
图3为根据本发明实施例的数据平面对照探测和路径标记示意图;
图4为根据本发明实施例的大规模准确高效的路由源验证部署测量装置的结构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
下面参照附图描述根据本发明实施例提出的大规模准确高效的路由源验证部署测量方法及装置。
图2展示了本发明的测量方法概览。如图2所示,首先,利用RPKI数据库中的记录和公开的路由信息,找到控制平面存在的非法前缀-源AS二元组,然后根据这些非法的二元组,利用控制平面的探针进行对照探测,来对过来了非法路由的AS路径进行标记。随后,基于标记得到的路径,利用贝叶斯模型进行建模:将每个AS i部署ROV的概率看作一个分布在[0,1]之间的随机变量zi,这样,就可以将标记的路径当作观测数据,从而求解zi的后验概率分布来推断AS i是否部署ROV。但是对这个问题进行求解需要对一个在高维空间中的后验概率分布进行求解,空间的维数就是我们需要推断的AS的数目。为了对建模得到的问题进行准确高效的求解,本发明采用了基于梯度的变分推断方法SVGD来推断后验概率分布,得到了后验概率分布之后,可以利用各个边缘分布zi的均值(mean)和最高后验密度区间(Highest Density Interval)等来决策AS i是否部署了ROV。
图1是本发明一个实施例的大规模准确高效的路由源验证部署测量方法的流程图。
如图1所示,该方法包括但不限于以下步骤:
S1,实时地从BGPStream中接收路由信息,利用RPKI数据库中的路由源授权信息,基于控制平面过滤得到路由信息中的非法路由;
S2,利用数据平面的探针进行对照探测,对非法路由的自治系统路径进行路径标记得到非法路由自治系统路径。
可以理解的是,由于无法直接测量得到哪些AS部署了ROV,所以需要观察非法路由在控制平面的传播,来标记哪些路径会对非法的路由进行过滤。如果一条路径对非法路由进行了过滤,那么说明该路径中至少有一个AS部署了ROV;如果一条路径没有过滤非法路由,那么就说明该路径上AS都没有部署ROV。因此如果对大量的路径进行标记,我们就可以利用标记出的路径对各个AS的ROV部署情况进行推断。而相关工作中对于路径的标记都是利用控制平面的观测点来进行的,而控制平面的观测点有限就导致了标记的路径有限,无法对ROV部署情况进行大规模的测量。
作为一种实施例,本发明基于数据平面的探针进行对照探测,来有效地提高了标记路径的数目和范围。探测方法主要分为以下几个步骤:
控制平面非法路由发现与过滤:由于RPKI的部署还不算完全,所以当前互联网中仍然存在大量的路由劫持和ROA配置错误等情况,这就导致了控制平面依然存在很多非法的路由,而本发明可以利用这些野生的非法路由,来进行ROV部署的测量。可以利用BGPStream来实时地获取一些AS共享的路由,并将他们与RPKI数据库中的ROA记录进行对比,来发现非法前缀和源AS的二元组。有些二元组虽然非法,但是不能用来发起数据平面的探测,所以还需要对发现的非法二元组进行一些过滤,才能进行下一步操作。具体包括对一个更短的合法前缀覆盖的非法前缀(如果被一个更短的合法前缀覆盖,那么即使这个前缀是不合法的,它在数据平面仍然是可达的)、对多源的前缀进行过滤。
数据平面对照探测:在完成控制平面的非法路由发现后,对于每条非法路由(AS a和prefix pinvalid组成的二元组),在控制平面找到另一个由a宣告的合法前缀plegitimate,并对非法和合法的前缀进行活跃地址提取,分别得到合法和非法前缀中的活跃地址IPinvalid和IPlegitimate。随后利用公开的数据平面探针服务,利用大量的数据平面探针,对这样一组IP地址进行traceroute。假设某个探针对这样一组地址traceroute得到的AS级路径分别为pathinvalid和pathlegitimate,那么可以用如下方式对这样两条路径进行标记。如图3所示:如果到达非法前缀和和合法前缀的路径相同,那么说明这条路径没有过滤非法路由,否则非法前缀不可能在这条路径上被传播;如果到达非法前缀和合法前缀的路径不同,那么说明pathlegitimate过滤了非法路由,而pathinvalid没有过滤非法路由,否则在路由非法前缀时一样会选择pathlegitimate作为更优的路径。由此,我们可以完成数据平面的对照探测和路径标记。
S3,利用贝叶斯模型对非法路由自治系统路径进行建模,基于贝叶斯模型将每个非法路由自治系统部署路由源授权的概率作为随机变量;
S4,将标记的非法路由自治系统路径作为观测数据,求解得到随机变量的后验概率分布,基于后验概率分布判断每个非法路由自治系统是否部署路由源授权信息。
具体的,本发明将数据平面对照探测得到的路径集合记为D,假设其中包含了m条不同的路径。并且对其中的每个AS i(i=1,2,…,n)定义一个随机变量zi,代表其部署了ROV的概率。那么我们可以得到如下关系。
Figure BDA0003601706170000061
其中,yj表示第j条路径是否过滤了非法路由,Nj表示第j条路径中包含的所有AS,Z表示所有zi的联合分布,也就是我们最终要求解的目标分布。那么根据贝叶斯模型,可以得到:
Figure BDA0003601706170000071
p(Z|D)∝p(Z)p(D|Z)
通过这样的建模方式,就将一个二元值推断的问题转化成了一个概率分布的求解问题,随后就可以利用变分推断等方法来进行准确高效的求解。
作为一种示例,本发明使用了SVGD方法对贝叶斯建模后的问题进行准确高效的求解。对于一组输入的Z的先验分布P(Z)和一组初始粒子
Figure BDA0003601706170000072
本发明采用如表1的算法对粒子进行更新。其中∈l表示第l次迭代时的学习率。迭代完成后,就可以将所有生成的粒子当做Z的后验分布P(Z|D)的一个采样,从而拟合后验分布。最后可以根据后验分布中,各个AS对应的边缘分布的平均值和最大后验密度区间来推断它们是否部署了ROV。
表1
Figure BDA0003601706170000073
优选的,本发明中ROV部署测量方法的由以下步骤实现:
启动探测模块,实时地从BGPstream中接受路由信息,并利用RPKI数据库中的ROA信息,探测并发现其中的非法路由;
对发现的非法路由,从维护的前缀字典树中找到与之相对应的合法路由,并进行活跃地址提取,得到IPinvalid和IPlegitimate
对提取的活跃地址发起traceroute,并将其转化为AS级别的路径pathinvalid和pathlegitimate,如果pathinvalid和pathlegitimate相同,则认为pathinvalid没有过滤非法路由,如果不同,则认为pathlegitimate过滤了非法路由,而pathinvalid没有;
周期性地收集标记的路径,将其整理为一个集合D,并提取所有路径覆盖到的AS,设定对应维度的随机变量Z;
利用SVGD算法对后验概率分布P(Z|D)进行求解,对求解后的每一个边缘分布,利用其均值和最大后验概率区间来设定阈值,推断其对应的AS是否部署了ROV。
根据本发明实施例的大规模准确高效的路由源验证部署测量方法,可以对互联网中不同路径是否对非法路由进行过滤进行大规模的标记,为大范围的ROV部署测量提供了可能。通过贝叶斯模型对推断问题建模,将二值的推断问题转化成了后验概率分布的求解,为准确的ROV部署推断打下了基础,利用基于梯度的变分推断方法SVGD对高维空间中的后验概率分布进行求解,对ROV的部署进行了准确高效的测量。
为了实现上述实施例,如图4所示,本实施例中还提供了大规模准确高效的路由源验证部署测量装置10,该装置10包括:路由获取模块100、路径标记模块200、模型构建模块300和路由判断模块400。
路由获取模块100,用于实时地从BGPStream中接收路由信息,利用RPKI数据库中的路由源授权信息,基于控制平面过滤得到路由信息中的非法路由;
路径标记模块200,用于利用数据平面的探针进行对照探测,对非法路由的自治系统路径进行路径标记得到非法路由自治系统路径;
模型构建模块300,用于利用贝叶斯模型对非法路由自治系统路径进行建模,基于贝叶斯模型将每个非法路由自治系统部署路由源授权的概率作为随机变量;
路由判断模块400,用于将标记的非法路由自治系统路径作为观测数据,求解得到随机变量的后验概率分布,基于后验概率分布判断每个非法路由自治系统是否部署路由源授权信息。
根据本发明实施例的大规模准确高效的路由源验证部署测量装置,可以对互联网中不同路径是否对非法路由进行过滤进行大规模的标记,为大范围的ROV部署测量提供了可能。通过贝叶斯模型对推断问题建模,将二值的推断问题转化成了后验概率分布的求解,为准确的ROV部署推断打下了基础,利用基于梯度的变分推断方法SVGD对高维空间中的后验概率分布进行求解,对ROV的部署进行了准确高效的测量。
需要说明的是,前述对大规模准确高效的路由源验证部署测量方法实施例的解释说明也适用于该实施例的大规模准确高效的路由源验证部署测量装置,此处不再赘述。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种大规模准确高效的路由源验证部署测量方法,其特征在于,包括以下步骤:
S1,实时地从BGPStream中接收路由信息,利用RPKI数据库中的路由源授权信息,基于控制平面过滤得到所述路由信息中的非法路由;
S2,利用数据平面的探针进行对照探测,对所述非法路由的自治系统路径进行路径标记得到非法路由自治系统路径;
S3,利用贝叶斯模型对所述非法路由自治系统路径进行建模,基于所述贝叶斯模型将每个所述非法路由自治系统部署所述路由源授权的概率作为随机变量;
S4,将标记的所述非法路由自治系统路径作为观测数据,求解得到所述随机变量的后验概率分布,基于所述后验概率分布判断每个所述非法路由自治系统是否部署所述路由源授权信息。
2.根据权利要求1所述的方法,其特征在于,所述S1,包括:
启动探测模块,利用BGPStream实时地获取预设数量自治系统AS共享路由的路由信息;
将所述路由信息与RPKI数据库中的路由源授权ROA信息进行对比,得到非法前缀和源AS的二元组;
基于控制平面对所述非法前缀和源AS的二元组进行过滤操作,得到所述路由信息中的非法路由;其中,所述过滤操作包括对更短的合法前缀覆盖的非法前缀和多源的前缀进行过滤。
3.根据权利要求2所述的方法,其特征在于,所述S2,包括:
对于每条所述非法路由的二元组,在所述控制平面中找到合法前缀,并对所述非法前缀和所述合法前缀进行活跃地址提取,分别得到合法前缀活跃地址和非法前缀活跃地址;
利用预设数量的的数据平面的探针,对所述合法前缀活跃地址和非法前缀活跃地址进行路由跟踪;
若利用所述探针对所述合法前缀活跃地址和非法前缀活跃地址路由跟踪,得到pathinvalid和pathlegitimate两条AS级路径,则通过预设方式对所述两条AS级路径进行标记。
4.根据权利要求3所述的方法,其特征在于,所述预设方式,包括:
如果利用所述探针到达所述非法前缀和合法前缀的路径相同,则标记这条路径没有过滤所述非法路由;
如果利用所述探针到达所述非法前缀和合法前缀的路径不同,则标记pathlegitimate路径过滤所述非法路由,标记pathinvalid路径未过滤所述非法路由。
5.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
将利用所述数据平面的探针进行对照探测得到的路径集合记为D,假设所述路径集合包含m条不同的路径,并对其中的每个ASi(i=1,2,...,n)定义一个随机变量zi,表示zi部署路由源验证ROV概率。
6.根据权利要求5所述的方法,其特征在于,基于所述随机变量zi,得到关系表达式:
Figure FDA0003601706160000021
其中,yj表示第j条路径是否过滤了非法路由,Nj表示第j条路径中包含的所有AS,Z表示所有zi的联合分布。
7.根据权利要求6所述的方法,其特征在于,根据所述贝叶斯模型进行建模,得到关系表达式:
Figure FDA0003601706160000022
p(Z|D)∝p(Z)p(D|Z)
8.根据权利要求7所述的方法,其特征在于,所述方法,还包括:使用SVGD推断算法对所述建模后的贝叶斯模型进行求解。
9.根据权利要求8所述的方法,其特征在于,所述使用SVGD推断算法对所述建模后的贝叶斯模型进行求解,包括:
对于输入的Z的先验分布P(Z)和第一粒子
Figure FDA0003601706160000023
利用SVGD推断算法对所述初始粒子进行迭代生成第二粒子;
将所述生成的第二粒子作为Z的后验分布P(Z|D)的采样,以拟合后验分布;
对所述拟合后验分布中的各个AS对应的边缘分布的平均值和最大后验密度区间进行判断,以判断所述各个AS是否部署ROV。
10.一种大规模准确高效的路由源验证部署测量装置,其特征在于,包括:
路由获取模块,用于实时地从BGPStream中接收路由信息,利用RPKI数据库中的路由源授权信息,基于控制平面过滤得到所述路由信息中的非法路由;
路径标记模块,用于利用数据平面的探针进行对照探测,对所述非法路由的自治系统路径进行路径标记得到非法路由自治系统路径;
模型构建模块,用于利用贝叶斯模型对所述非法路由自治系统路径进行建模,基于所述贝叶斯模型将每个所述非法路由自治系统部署所述路由源授权的概率作为随机变量;
路由判断模块,用于将标记的所述非法路由自治系统路径作为观测数据,求解得到所述随机变量的后验概率分布,基于所述后验概率分布判断每个所述非法路由自治系统是否部署所述路由源授权信息。
CN202210405544.0A 2022-04-18 2022-04-18 一种大规模准确高效的路由源验证部署测量方法和装置 Pending CN115022214A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210405544.0A CN115022214A (zh) 2022-04-18 2022-04-18 一种大规模准确高效的路由源验证部署测量方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210405544.0A CN115022214A (zh) 2022-04-18 2022-04-18 一种大规模准确高效的路由源验证部署测量方法和装置

Publications (1)

Publication Number Publication Date
CN115022214A true CN115022214A (zh) 2022-09-06

Family

ID=83067837

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210405544.0A Pending CN115022214A (zh) 2022-04-18 2022-04-18 一种大规模准确高效的路由源验证部署测量方法和装置

Country Status (1)

Country Link
CN (1) CN115022214A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112003822A (zh) * 2020-07-15 2020-11-27 互联网域名系统北京市工程研究中心有限公司 路由起源授权的质量检测方法和装置
US20210105250A1 (en) * 2019-10-05 2021-04-08 Digital Energy Technologies Ltd. Computer systems and methods for managing ip addresses

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210105250A1 (en) * 2019-10-05 2021-04-08 Digital Energy Technologies Ltd. Computer systems and methods for managing ip addresses
CN112003822A (zh) * 2020-07-15 2020-11-27 互联网域名系统北京市工程研究中心有限公司 路由起源授权的质量检测方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CAITLIN GRAY等: "BGP Beacons, Network Tomography, and Bayesian Computation to Locate Route Flap Damping", IMC \'20: PROCEEDINGS OF THE ACM INTERNET MEASUREMENT CONFERENCE, pages 492 - 505 *
包卓等: "基于RPKI-ASPA改进的BGP路径保护机制", 计算机系统应用, vol. 31, no. 22, pages 316 - 324 *

Similar Documents

Publication Publication Date Title
Xiao et al. Using sensorranks for in-network detection of faulty readings in wireless sensor networks
CN106899435B (zh) 一种面向无线入侵检测系统的复杂攻击识别方法
CN107835201A (zh) 网络攻击检测方法及装置
CN110942109A (zh) 一种基于机器学习的pmu防御虚假数据注入攻击方法
CN105553998A (zh) 一种网络攻击异常检测方法
US7953577B2 (en) Method and apparatus for improved fault detection in power generation equipment
CN112788066B (zh) 物联网设备的异常流量检测方法、系统及存储介质
Zhang et al. A framework to quantify the pitfalls of using traceroute in AS-level topology measurement
EP2286337A2 (en) Ranking the importance of alerts for problem determination in large systems
CN105512011B (zh) 一种电子装备测试性建模评估方法
CN106330624B (zh) 一种电力信息网络流量异常检测方法
CN111143413A (zh) 基于数据流概念漂移的异常检测方法
CN103607346B (zh) 可信路由器中ospf协议的异常和攻击检测方法
CN113282805B (zh) IPv6地址模式挖掘方法、装置、电子设备及存储介质
CN112671767B (zh) 一种基于告警数据分析的安全事件预警方法及装置
CN110399722A (zh) 一种病毒家族生成方法、装置、服务器及存储介质
CN112459971A (zh) 风力发电机组塔筒的异常振动检测方法
CN109951499A (zh) 一种基于网络结构特征的异常检测方法
CN109978055A (zh) 多传感器系统的信息融合方法及系统、计算机设备及介质
CN117118849A (zh) 一种物联网网关系统及实现方法
CN108881277B (zh) 监测无线传感器网络节点入侵的方法、装置及设备
CN115022214A (zh) 一种大规模准确高效的路由源验证部署测量方法和装置
CN102299897A (zh) 基于特征关联的对等网络特征分析方法
CN112437440A (zh) 无线传感器网络中基于相关性理论的恶意共谋攻击抵抗方法
CN105516164A (zh) 基于分形与自适应融合的P2P botnet检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination