CN115396337B - 一种路由异常检测方法、系统、存储介质及电子设备 - Google Patents

一种路由异常检测方法、系统、存储介质及电子设备 Download PDF

Info

Publication number
CN115396337B
CN115396337B CN202210956780.1A CN202210956780A CN115396337B CN 115396337 B CN115396337 B CN 115396337B CN 202210956780 A CN202210956780 A CN 202210956780A CN 115396337 B CN115396337 B CN 115396337B
Authority
CN
China
Prior art keywords
node
route
routing
data
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210956780.1A
Other languages
English (en)
Other versions
CN115396337A (zh
Inventor
邹凯
陈凯枫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Trustmo Information System Co ltd
Original Assignee
Guangzhou Trustmo Information System Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Trustmo Information System Co ltd filed Critical Guangzhou Trustmo Information System Co ltd
Priority to CN202210956780.1A priority Critical patent/CN115396337B/zh
Publication of CN115396337A publication Critical patent/CN115396337A/zh
Application granted granted Critical
Publication of CN115396337B publication Critical patent/CN115396337B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • H04L45/123Evaluation of link metrics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种路由异常检测方法,步骤一:探测与存储模块周期性地从目标网络中采集、存储路由跟踪源数据;步骤二:数据处理模块通过链路数据处理方法对步骤一中存储的路由跟踪源数据进行处理,得到待检测数据集和路由基线数据集;步骤三:路由异常检测模块对接收的步骤二中待检测数据集和路由基线数据集进行处理,首先计算节点路由的变化度,再依次对节点、区域和网络整体做路由异常检测,分别得到节点、区域和网络整体的异常度和是否路由异常;本发明的应用场景广泛灵活;适用于多种复杂结构网络的应用场景、多种路由系统的应用场景、多种检测粒度的应用场景。

Description

一种路由异常检测方法、系统、存储介质及电子设备
技术领域
本发明涉及网络安全技术领域,具体涉及一种路由异常检测方法、系统、存储介质及电子设备。
背景技术
路由(routing)是网络数据从源端发往目的端过程中决定数据传输路径的进程,网络中每个节点的路由进程都维护着一份路由表,路由表存储着指向特定网络地址的路径、路由度量值等信息,构建路由表的方式有:直连路由、静态路由和动态路由协议。健康状态下的路由进程和路由表是保证网络高效互通的前提条件,当路由发生异常时,后果轻则网络延迟增加、丢包率升高,重则路由系统崩溃、网络瘫痪。路由异常的类型和原因有多种,例如:路由策略配置错误、私自构建违规子网或私网路由策略、遭受针对路由协议固有缺陷的网络攻击、路由设备偶然发生软硬件故障等情况。
完全预防所有类型的路由异常难以实现,但是,通过路由异常检测技术,定位路由异常发生的网络节点和影响范围,继而辅助安全人员采取隔离阻断等措施,尽快控制异常影响范围,可以使路由异常的危害降到最低,很大程度上保障路由安全和网络安全。
随着网络规模扩大,网络结构越来越复杂,现有路由异常检测技术存在应用场景单一、部署复杂、成本高,且检测结果难以解读等不足,成为网络安全领域一个重点、难点问题。
基于路由协议报文的异常特征检测是一类传统的方法,该类方法需要采集路由协议报文或路由链路状态数据,再匹配特征规则实现异常路由检测,如:
(1)公开号为CN107222359B的专利公开了一种IS-IS网络中的链路异常检测方法及系统。该方法通过获取IS-IS协议链路状态报文信息,采用搜索对比数据结构内的信息,检测路由器新增异常路由、路由器脱网两种类型的异常。
(2)2018年发表于《计算机研究与发展》的论文《基于链路状态数据库的数据中心网络异常检测算法》提供了一种路由异常检测算法,该算法搜集路由系统的链路状态数据库(link state database,LSDB),重新计算路由表,根据LSDB快照和路由表快照比对,发现链路和路由异常。
该类方法的不足:①应用场景单一,通用性低;②数据采集成本高。因为该方法必须采集全网路由设备的路由协议报文或链路数据,只能用于单一的路由系统,不能适用于采用了不同路由协议的跨域网络。
公开号为CN109040143A的专利,公开了一种BGP异常事件的检测方法和装置。该方法基于有标签的BGP报文数据,用有监督的机器学习(梯度提升决策树、逻辑回归、因子分解机)算法建立多分类模型,计算路由异常概率,用于检测BGP路由系统的异常。该方法的不足:①应用场景单一,该方法只能针对BGP路由系统做出检测;②模型稳定性低,容易出现漏报,因为BGP报文数据很难囊括所有BGP异常特征甚至只能检测少数几种异常,对训练集数据质量要求高,导致模型稳定欠缺、易出现漏报;③系统复杂度高、成本高,因需要训练和部署多个学习模型,增加了系统复杂度,增加计算性能的消耗。
发明内容
本发明的目的在于提供供一种应用场景广泛灵活、结果可解读性高、检测成本低的路由异常检测方法,步骤一:探测与存储模块周期性地从目标网络中采集、存储路由跟踪源数据;步骤二:数据处理模块通过链路数据处理方法对步骤一中存储的路由跟踪源数据进行处理,得到待检测数据集和路由基线数据集;步骤三:路由异常检测模块对接收的步骤二中待检测数据集和路由基线数据集进行处理,首先计算节点路由的变化度,再依次对节点、区域和网络整体做路由异常检测,分别得到节点、区域和网络整体的异常度和是否路由异常。
本发明的目的可以通过以下技术方案实现:
一种路由异常检测方法,包括以下步骤:
步骤一:探测与存储模块周期性地从目标网络中采集、存储路由跟踪源数据;
步骤二:数据处理模块通过链路数据处理方法对步骤一中存储的路由跟踪源数据进行处理,得到待检测数据集和路由基线数据集;
步骤三:路由异常检测模块对接收的步骤二中待检测数据集和路由基线数据集进行处理,首先计算节点路由的变化度,再依次对节点、区域和网络整体做路由异常检测,分别得到节点、区域和网络整体的异常度和是否路由异常。
作为本发明进一步的方案:步骤一中,探测与存储模块由分布式探测单元和分布式存储单元组成;
分布式探测单元由至少一个有探测功能的网络设备组成,分布式存储单元由至少一个数据库系统组成。
作为本发明进一步的方案:针对检测自治域内路由异常的场景,探测与存储模块将探测器分布式地部署在自治域内多个核心节点上,采集数据并存储到分布式存储单元。
作为本发明进一步的方案:针对检测跨自治域复杂网络的路由异常的场景,探测与存储模块将探测器分布式地部署在每个自治域内多个核心节点上,采集数据并存储到分布式存储单元。
作为本发明进一步的方案:步骤二中,数据处理模块包括数据清洗、数据集划分和链路数据处理,其中:
数据清洗包括处理不可达目标节点的数据,处理异常值、缺失值,处理数据格式;
数据集划分将清洗过的数据划分为待检测数据集和路由基线数据集两个集合;
其中,待检测数据集为当前需要检测的轮次的数据对象;通常是最新的N个轮次的数据集合,N大于等于1;
路由基线数据集作为对比对象,是已知正常的历史时段内,某连续或不连续的M个轮次的数据集合,M大于等于1;
链路数据处理将划分好的待检测数据集和路由基线数据集处理成检测模块需要的数据结构。
作为本发明进一步的方案:链路数据处理对待检测数据集和路由基线数据集处理步骤相同,具体为:
S1:以数据集中的“任务轮次”、“当前节点IP”和“下一跳节点IP”三个字段作为分组group by条件,对数据集进行计数,即统计得到每个轮次中每一对节点链路出现的次数;
S2:再以“当前节点IP”和“下一跳节点IP”两个字段作为分组聚合条件,对数据集进行求均值计算,即统计得到若干轮次(一的每一对节点链路平均出现次数。
作为本发明进一步的方案:步骤三中,路由异常检测模块包括节点路由变化计算单元、节点检测单元、区域检测单元和整体检测单元;
节点路由变化计算单元计算节点路由的变化度量,节点检测单元采用节点检测算法对节点做路由异常检测,区域检测单元采用区域路由异常检测算对区域范围做路由异常检测,整体检测单元采用整体路由异常检测算法对整体网络做路由异常检测。
作为本发明进一步的方案:一种路由异常检测系统,该系统包括探测与存储模块、数据处理模块和路由异常检测模块:
探测与存储模块,用于周期性地从目标网络中采集、存储路由跟踪源数据;
数据处理模块,用于通过链路数据处理对步骤一中存储路由跟踪源数据处理,得到待检测数据集和路由基线数据集;
路由异常检测模块,用于对接收的步骤二中待检测数据集和路由基线数据集进行处理,计算节点路由的变化度,对节点做路由异常检测,得到网络整体异常度和网络整体是否路由异常;
其中,路由异常检测包括区域范围做路由异常检测;对整体网络做路由异常检测。
作为本发明进一步的方案:一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一所述的方法步骤。
作为本发明进一步的方案:一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的方法步骤。
本发明的有益效果:
(1)本发明的应用场景广泛灵活;适用于多种复杂结构网络的应用场景、多种路由系统(含跨域路由协议系统)的应用场景、多种检测粒度的应用场景;
(2)本发明检测结果的可解读性高,从网络节点、区域、整体网络的维度评估路由安全状态;
(3)本发明复杂度和检测成本低;数据采集方法简单、算法效率高,降低了软硬件性能消耗。
附图说明
下面结合附图对本发明作进一步的说明。
图1是本发明流程图;
图2是本发明探测与存储模块部署方式一的结构示意图;
图3是本发明探测与存储模块部署方式二的结构示意图;
图4是本发明数据处理模块的结构示意图;
图5是本发明路由异常检测模块的结构示意图;
图6是本发明电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1-图5所示,本发明为一种路由异常检测方法,包括如下步骤:
步骤一:探测与存储模块周期性地从目标网络中采集、存储路由跟踪源数据;
步骤二:数据处理模块通过链路数据处理方法对步骤一中存储的路由跟踪源数据进行处理,得到待检测数据集和路由基线数据集;
步骤三:路由异常检测模块对接收的步骤二中待检测数据集和路由基线数据集进行处理,首先计算节点路由的变化度,再依次对节点、区域和网络整体做路由异常检测,分别得到节点、区域和网络整体的异常度和是否路由异常。
步骤一中,探测与存储模块由分布式探测单元和分布式存储单元组成;
分布式探测单元由至少一个有探测功能的网络设备组成,分布式存储单元由至少一个数据库系统组成;
其中,分布式探测单元采用了网络探测和路由跟踪技术(优选但不限于PING、Traceroute、Tracert等技术),周期性地采集“数据包传输路径”数据;传输、存储至分布式存储单元。
具体的,根据网络实际环境和应用场景的不同,探测与存储模块的设置采用如下两种方式:
K1、针对检测自治域内路由异常的场景,将探测器分布式地部署在自治域内多个核心节点上,采集数据并存储到分布式存储单元,如图2所示;
K2、针对检测跨自治域复杂网络的路由异常的场景,将探测器分布式地部署在每个自治域内多个核心节点上,采集数据并存储到分布式存储单元,如图3所示。
探测与存储模块采集和存储的网络数据的关键字段包括:数据生产时间、任务序号、任务轮次、探测目标IP、当前节点IP、下一跳节点IP和当前节点序数,如表1。
表1
Figure BDA0003791674370000071
/>
Figure BDA0003791674370000081
步骤二中,数据处理模块包括数据清洗、数据集划分和链路数据处理,其中:
数据清洗包括处理不可达目标节点的数据,处理异常值、缺失值,处理数据格式。
数据集划分将清洗过的数据划分为待检测数据集和路由基线数据集两个集合;
其中,待检测数据集为当前需要检测的轮次的数据对象;通常是最新的N个轮次的数据集合,N大于等于1;
路由基线数据集作为对比对象,是已知正常的历史时段内,某连续或不连续的M个轮次的数据集合,M大于等于1。
链路数据处理将划分好的待检测数据集和路由基线数据集处理成检测模块需要的数据结构,链路数据处理对待检测数据集和路由基线数据集的处理方式相同,链路数据处理的具体步骤如下:
S1:以数据集中的“任务轮次”、“当前节点IP”和“下一跳节点IP”三个字段作为分组(group by)条件,对数据集进行计数,即统计得到每个轮次中每一对节点链路出现的次数,具体以3轮次为例:
Figure BDA0003791674370000082
Figure BDA0003791674370000091
S2:再以“当前节点IP”和“下一跳节点IP”两个字段作为分组聚合条件,对数据集进行求均值计算,即统计得到若干轮次(一个轮次或多个轮次)的每一对节点链路平均出现次数,具体以3轮次数据结果为例:
当前节点IP 下一跳节点IP 平均出现次数
*.15 *.30 508.67
*.101 *.88 33
... ... ...
步骤三中,路由异常检测模块包括节点路由变化计算单元、节点检测单元、区域检测单元和整体检测单元;
节点路由变化计算单元计算节点路由的变化度量,节点检测单元对节点做路由异常检测,区域检测单元对区域范围做路由异常检测,整体检测单元对整体网络做路由异常检测;
节点路由变化计算单元采用节点路由变化度量算法,节点路由变化度量算法的输入是路由异常检测模块”输出的两个数据集(待检测数据集和路由基线数据集),输出是节点变化度量矩阵;
具体的,节点路由变化度量算法步骤如下:
J1:输入:链路数据集合D1、D2;分别表示待检测数据集和路由基线数据集,两数据集均包含字段:当前节点IP、下一跳节点IP和平均出现次数;
J2:取D1、D2的“当前节点IP”字段,取并集、去重得到当前节点集合,记作集合Node;Node中有N个互不相同的元素;
J3:取i∈[1:N],循环以下步骤总共N次;
J31:从D1和D2中分别筛选“当前节点IP”取值为Node(i)的所有记录,分别记作D1i、D2i;如:
Figure BDA0003791674370000092
Figure BDA0003791674370000101
Figure BDA0003791674370000102
J32:D1i、D2i的“下一跳节点IP”字段,取并集、去重,得到当前节点Node(i)的下一跳节点的IP集合,记作集合Next,Next中有M个互不相同的元素;
J33:以集合Next作为D1i、D2i中“下一跳节点IP”的共同取值范围,分别对D1i、D2i做行转列运算,再按行拼接运算结果,得到数据集Di,Di的维度为2×(2+M);其中前两列为数据标识列,后M列为数值列,数值表示Node(i)的数据集中,Next(j)的平均出现次数;如:
数据集 当前节点IP Next_*.15 Next_*.16 Next_*.19
D1_待测集 *.100 1500 400 100
D2_基线集 *.100 1450 510 80
J34:计算Di后M列的两行数值的对称平均绝对误差率(Symmetric Mean AbsolutePercentage Error,SMAPE),公式如下:
Figure BDA0003791674370000103
其中,D(i1,j)表示待测集所在行的第j个数值列的取值,D(i2,j)表示基线集所在行的第j个数值列的取值;
J35:计算Di后M列的两行数值的平均绝对比例差(Mean Absolute Ratio Error,MARE),计算公式为:
Figure BDA0003791674370000104
其中,p(i1,j)表示待测集所在行的第j个数值列的取值所占本行之和的比例,p(i2,j)表示基线集所在行的第j个数值列的取值所占本行之和的比例;
J36:计算Di后M列的两行数值的雷尼散度(Renyi-Divergence),公式如下为:
Figure BDA0003791674370000111
J37:关联J34、J35和J36的结果,得到IP为Node(i)节点的关于下一跳节点的3个路由变化度量指标;
J4:取D1、D2的“下一跳节点IP”字段,取并集、去重得到当前节点集合,记作集合Curr;Curr中有O个互不相同的元素;
J5:e∈[1:O],循环以下步骤总共O次:
J51:从D1和D2中分别筛选“下一跳节点IP”取值为Curr(e)的所有记录,分别记作D1e、D2e;
J52:取D1e、D2e的“当前节点IP”字段,取并集、去重,得到Curr(e)的上一跳IP集合,记作集合Previous,Previous中有P个互不相同的元素;
J53:③以集合Previous作为D1e、D2e中“当前节点IP”的共同取值范围,分别对D1e、D2e做行转列运算,再按行拼接运算结果,得到数据集De,De的维度为2×(2+P);其中前两列为数据标识列,后P列为数值列,数值表示Curr(e)的数据集中,Previous(f)的平均出现次数;
J54:计算De后P列的两行数值的对称平均绝对误差率;计算公式见“公式1”;
J55:计算De后P列的两行数值的平均绝对比例差;计算公式见“公式2”;
J56:计算De后P列的两行数值的雷尼散度;计算公式见“公式3”;
J57:关联J54、J55、J56的结果,得到IP为Curr(e)节点的关于上一跳节点的3个路由变化度量指标;
J6:以IP地址作为条件,关联3和5的结果,得到每个节点的6个路由变化度量指标。再分别做标准化处理,得到节点变化度量矩阵,行列维度:节点个数×6;为方便方法描述,该矩阵6列的列名称表示为:A、B、C、X、Y、Z;
J7:输出:节点变化度量矩阵,矩阵维度:节点个数×6。
节点检测单元采用节点检测算法检测单节点的路由异常度,检测节点是否路由异常,节点检测算法的输入是“节点路由变化计算单元”输出的节点变化度量矩阵,输出节点的异常度和是否“路由异常”;
具体的,节点检测算法步骤如下:
W1:输入:节点变化度量矩阵(矩阵维度:节点个数×6);
W2:计算每个节点的路由异常度(Node_Abn);计算公式为(其中i表示第i个资产):
Figure BDA0003791674370000121
/>
W3:检测每个节点是否路由异常;可以选用单变量的离群值检测方法对节点的路由异常度(Node_Abn)进行检测,输出每个节点是否“路由异常”;
其中,“单变量的离群值检测方法”可优选以下类型的算法中的一种或多种:“基于概率分布的检测方法”和“基于分位数的检测方法”;
W4:输出:①每个节点IP的异常度“Node_Abn”;②每个节点是否“路由异常”。
区域检测单元采用区域路由异常检测算法检测区域的路由异常度,检测区域是否路由异常。区域路由异常检测算法的输入:节点的异常度数据、路由异常的节点列表和“区域与IP关系对应表”;输出:每个区域的异常率、标准化异常和、异常均值数据;每个区域的路由异常度;每个区域是否路由异常;
其中,上述“区域”的定义:业务方根据IP地址段或IP对应网络资产的属性标签等,将所有网络节点划分成互斥的网络范围,这种范围定义为“区域”,一个区域至少包含一个网络节点;
区域路由异常检测算法步骤如下:
Q1:输入:①节点IP的异常度数据,用符号Node_Abn表示;②“路由异常”的节点IP列表,③区域与IP关系对应表;
Q2:计算每个区域的异常率;区域i的“异常率”AARi等于区域i内被检测为路由异常节点的总个数除以区域i内节点总数,公式如下:
Figure BDA0003791674370000131
Q3:计算每个区域的标准化异常和;区域i的“标准化异常和”AASi是经过标准化的异常度之和,计算公式如下:
Figure BDA0003791674370000132
其中,Area_abn_sumi“区域异常度总和”表示区域i中所有节点的异常度的总和;σArea_abn_sum表示所有区域的“区域异常度总和”的标准差;
Q4:计算每个区域的异常均值;区域i的“异常均值”AAMi的计算公式如下:
Figure BDA0003791674370000133
Q5:每个区域的异常度;区域i的“异常度”AAi的计算公式如下:
Figure BDA0003791674370000134
其中,WAAR、WAAS、WAAm分别表示区域异常率、标准化异常和、异常均值的权重,可根据应用场景调整权重取值;
Q6:检测所有区域是否路由异常;方法如“节点检测单元”的步骤W3;
Q7:输出:①每个区域的异常率、标准化异常和、异常均值数据;②每个区域的路由异常度;③每个区域是否“路由异常”。
整体检测单元采用整体路由异常检测算法检测网络整体的路由异常度,检测网络整体是否异常。整体路由异常检测算法的输入:节点的异常度数据、路由异常的节点列表;输出:网络整体异常度、网络整体是否路由异常;
具体的,整体路由异常检测算法的步骤如下:
Z1:输入:①节点IP的异常度Node_Abn数据、②路由异常的节点IP列表;
Z2:计算网络整体的异常率(AR);其计算公式如下:
Figure BDA0003791674370000141
Z3:计算网络整体的标准化异常和(AS);其计算公式如下:
AS=标准化的节点异常度加权和...公式10
Z4:计算络整体的异常均值(AM);其计算公式如下:
Figure BDA0003791674370000142
Z5:计算整体异常度Abn,其计算公式如下:
Figure BDA0003791674370000143
其中,WAR、WAS、WAm分别表示网络整体的异常率、标准化异常和、异常均值的权重,可根据时间情况调整权重取值;
Z6:检测所有区域是否路由异常;方法:连续计算多次网络整体异常度,得到整体异常度向量,再选用单变量的离群值检测方法对“整体异常度向量”进行检测;
其中,所述“单变量的离群值检测方法”可优选以下类型的算法中的一种或多种:“基于概率分布的检测方法”或“基于分位数的检测方法”等;
Z7:输出:①网络整体异常度;②网络整体是否“路由异常”。
本发明的核心点之一:针对检测自治域内路由异常的场景或检测跨自治域复杂网络的路由异常的场景设置两组部署方式,即:
针对检测自治域内路由异常的场景,将探测器分布式地部署在自治域内多个核心节点上,采集数据并存储到分布式存储单元;
针对检测跨自治域复杂网络的路由异常的场景,将探测器分布式地部署在每个自治域内多个核心节点上,采集数据并存储到分布式存储单元。
本发明的核心点之二:数据处理模块采用链路数据处理获取多轮次探测任务路由跟踪数据,将“当前节点IP”和“下一跳节点IP”视作一条链路,计算每条链路的每轮探测平均出现次数;
本发明的核心点之三:路由异常检测模块由节点路由变化计算单元计算节点路由的变化度量,节点检测单元采用节点检测算法对节点做路由异常检测,区域检测单元采用区域路由异常检测算对区域范围做路由异常检测,整体检测单元采用整体路由异常检测算法对整体网络做路由异常检测,检测结果的可解读性高,从网络节点、区域、整体网络的维度评估路由安全状态。
一种路由异常检测系统,该系统包括探测与存储模块、数据处理模块和路由异常检测模块:
探测与存储模块,用于周期性地从目标网络中采集、存储路由跟踪源数据;
数据处理模块,用于通过链路数据处理对步骤一中存储路由跟踪源数据处理,得到待检测数据集和路由基线数据集;
路由异常检测模块,用于对接收的步骤二中待检测数据集和路由基线数据集进行处理,计算节点路由的变化度,对节点做路由异常检测,得到网络整体异常度和网络整体是否路由异常;
其中,路由异常检测包括区域范围做路由异常检测;对整体网络做路由异常检测。
本发明实施例还提供了一种电子设备,如图6所示,包括处理器601、通信接口602、存储器603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信,
存储器603,用于存放计算机程序;
处理器601,用于执行存储器603上所存放的程序时,实现如下步骤:
存储器603,用于存放计算机程序;
处理器601,用于执行存储器上所存放的程序时,实现上述任一所述的方法步骤上述终端提到的通信总线可以是外设部件互连标准(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述实施例中任一所述的一种路由异常检测方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的一种路由异常检测方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统、电子设备及存储介质而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (9)

1.一种路由异常检测方法,其特征在于,包括以下步骤:
步骤一:探测与存储模块周期性地从目标网络中采集、存储路由跟踪源数据;
步骤二:数据处理模块通过链路数据处理方法对步骤一中存储的路由跟踪源数据进行处理,得到待检测数据集和路由基线数据集;
步骤三:路由异常检测模块对接收的步骤二中待检测数据集和路由基线数据集进行处理,首先计算节点路由的变化度,再依次对节点、区域和网络整体做路由异常检测,分别得到节点、区域和网络整体的异常度和是否路由异常;
路由异常检测模块包括节点路由变化计算单元、节点检测单元、区域检测单元和整体检测单元;
节点路由变化计算单元计算节点路由的变化度量,节点检测单元采用节点检测算法对节点做路由异常检测,区域检测单元采用区域路由异常检测算法对区域范围做路由异常检测,整体检测单元采用整体路由异常检测算法对整体网络做路由异常检测;
具体的,节点路由变化度量算法步骤如下:
J1:输入:链路数据集合D1、D2;分别表示待检测数据集和路由基线数据集,两数据集均包含字段:当前节点IP、下一跳节点IP和平均出现次数;
J2:取D1、D2的当前节点IP字段,取并集、去重得到当前节点集合,记作集合Node;Node中有N个互不相同的元素;
J3:取i∈[1,N],循环以下步骤总共N次;
J31:从D1和D2中分别筛选当前节点IP取值为Node(i)的所有记录,分别记作D1 i、D2i;
J32:D1 i、D2 i的下一跳节点IP字段,取并集、去重,得到当前节点Node(i)的下一跳节点的IP集合,记作集合Next,Next中有M个互不相同的元素;
J33:以集合Next作为D1 i、D2 i中下一跳节点IP的共同取值范围,分别对D1 i、D2 i做行转列运算,再按行拼接运算结果,得到数据集Di,Di的维度为2×(2+M);其中前两列为数据标识列,后M列为数值列,数值表示Node(i)的数据集中,Next(j)的平均出现次数;
J34:计算Di后M列的两行数值的对称平均绝对误差率Symmetric Mean AbsolutePercentage Error,SMAPE;
Figure QLYQS_1
其中,D(i 1,j)表示待测集所在行的第j个数值列的取值,D(i 2,j)表示基线集所在行的第j个数值列的取值;
J35:计算Di后M列的两行数值的平均绝对比例差Mean Absolute Ratio Error,MARE:
Figure QLYQS_2
其中,p(i 1,j)表示待测集所在行的第j个数值列的取值所占本行之和的比例,p(i 2,j)表示基线集所在行的第j个数值列的取值所占本行之和的比例;
J36:计算Di后M列的两行数值的雷尼散度Renyi-Divergence;
Figure QLYQS_3
J37:关联J34、J35和J36的结果,得到IP为Node(i)节点的关于下一跳节点的3个路由变化度量指标;
J4:取D1、D2的下一跳节点IP字段,取并集、去重得到当前节点集合,记作集合Cur r;Cur r中有Q个互不相同的元素;
J5:e∈[1,Q],循环以下步骤总共Q次:
J51:从D1和D2中分别筛选下一跳节点IP取值为Curr(e)的所有记录,分别记作D1 e、D2e;
J52:取D1 e、D2e的当前节点IP字段,取并集、去重,得到Cur r(e)的上一跳IP集合,记作集合Previous,Previous中有P个互不相同的元素;
J53:以集合Previous作为D1 e、D2e中当前节点IP的共同取值范围,分别对D1 e、D2e做行转列运算,再按行拼接运算结果,得到数据集De,De的维度为2×(2+P);其中前两列为数据标识列,后P列为数值列,数值表示Cur r(e)的数据集中,Previous(f)的平均出现次数;
J54:计算De后P列的两行数值的对称平均绝对误差率;计算见公式1;
J55:计算De后P列的两行数值的平均绝对比例差;计算见公式2;
J56:计算De后P列的两行数值的雷尼散度;计算见公式3;
J57:关联J54、J55、J56的结果,得到IP为Cur r(e)节点的关于上一跳节点的3个路由变化度量指标;
J6:以IP地址作为条件,关联J3和J5的结果,得到每个节点的6个路由变化度量指标,再分别做标准化处理,得到节点变化度量矩阵,行列维度:节点个数*6;为方便方法描述,该矩阵6列的列名称表示为:A、B、C、X、Y、Z;
J7:输出:节点变化度量矩阵,矩阵维度:节点个数*6;
节点检测算法步骤如下:
W1:输入:节点变化度量矩阵,矩阵维度:节点个数*6;
W2:计算每个节点的路由异常度(Node_Abn);其中,i表示第i个资产:
Figure QLYQS_4
W3:检测每个节点是否路由异常;可以选用单变量的离群值检测方法对节点的路由异常度(Node_Abn)进行检测,输出每个节点是否路由异常;
其中,单变量的离群值检测方法可优选以下类型的算法中的一种或多种:基于概率分布的检测方法和基于分位数的检测方法;
W4:输出:①每个节点I P的异常度Node_Abn;②每个节点是否路由异常;
区域路由异常检测算法步骤如下:
Q1:输入:①节点I P的异常度数据,用符号Node_Abn表示;②路由异常的节点IP列表,③区域与IP关系对应表;
Q2:计算每个区域的异常率;区域i的异常率AARi等于区域i内被检测为路由异常节点的总个数除以区域i内节点总数,公式如下:
Figure QLYQS_5
Q3:计算每个区域的标准化异常和;区域i的标准化异常和AASi是经过标准化的异常度之和,计算如下:
Figure QLYQS_6
其中,Area_abn_sumi区域异常度总和表示区域i中所有节点的异常度的总和;σArea_abn_sum表示所有区域的区域异常度总和的标准差;
Q4:计算每个区域的异常均值;区域i的异常均值AAM i的计算公式如下:
Figure QLYQS_7
Q5:每个区域的异常度;区域i的异常度AAi的计算公式如下:
Figure QLYQS_8
其中,WAAR、WAAS、WAAM分别表示区域异常率、标准化异常和、异常均值的权重,可根据应用场景调整权重取值;
Q6:检测所有区域是否路由异常;方法如节点检测单元的步骤W3;
Q7:输出:①每个区域的异常率、标准化异常和、异常均值数据;②每个区域的路由异常度;③每个区域是否路由异常;
整体路由异常检测算法的步骤如下:
Z1:输入:①节点IP的异常度Node_Abn数据、②路由异常的节点IP列表;
Z2:计算网络整体的异常率AR;其计算如下:
Figure QLYQS_9
Z3:计算网络整体的标准化异常和AS;其计算如下:
AS=标准化的节点异常度加权和...公式10
Z4:计算络整体的异常均值AM;其计算如下:
Figure QLYQS_10
Z5:计算整体异常度Abn,其计算如下:
Figure QLYQS_11
其中,WAR、WAS、WAM分别表示网络整体的异常率、标准化异常和、异常均值的权重,可根据时间情况调整权重取值;
Z6:检测所有区域是否路由异常;方法:连续计算多次网络整体异常度,得到整体异常度向量,再选用单变量的离群值检测方法对整体异常度向量进行检测;
Z7:输出:①网络整体异常度;②网络整体是否路由异常。
2.根据权利要求1所述的一种路由异常检测方法,其特征在于,步骤一中,探测与存储模块由分布式探测单元和分布式存储单元组成;
分布式探测单元由至少一个有探测功能的网络设备组成,分布式存储单元由至少一个数据库系统组成。
3.根据权利要求2所述的一种路由异常检测方法,其特征在于,针对检测自治域内路由异常的场景,探测与存储模块将探测器分布式地部署在自治域内多个核心节点上,采集数据并存储到分布式存储单元。
4.根据权利要求2所述的一种路由异常检测方法,其特征在于,针对检测跨自治域复杂网络的路由异常的场景,探测与存储模块将探测器分布式地部署在每个自治域内多个核心节点上,采集数据并存储到分布式存储单元。
5.根据权利要求1所述的一种路由异常检测方法,其特征在于,步骤二中,数据处理模块包括数据清洗、数据集划分和链路数据处理,其中:
数据清洗包括处理不可达目标节点的数据,处理异常值、缺失值,处理数据格式;
数据集划分将清洗过的数据划分为待检测数据集和路由基线数据集两个集合;
其中,待检测数据集为当前需要检测的轮次的数据对象;通常是最新的N个轮次的数据集合,N大于等于1;
路由基线数据集作为对比对象,是已知正常的历史时段内,某连续或不连续的M个轮次的数据集合,M大于等于1;
链路数据处理将划分好的待检测数据集和路由基线数据集处理成检测模块需要的数据结构。
6.根据权利要求5所述的一种路由异常检测方法,其特征在于,链路数据处理对待检测数据集和路由基线数据集处理步骤相同,具体为:
S1:以数据集中的任务轮次、当前节点IP和下一跳节点IP三个字段作为分组条件,对数据集进行计数,即统计得到每个轮次中每一对节点链路出现的次数;
S2:再以当前节点IP和下一跳节点IP两个字段作为分组聚合条件,对数据集进行求均值计算,即统计得到若干轮次链路平均出现次数。
7.一种路由异常检测系统,其特征在于,该系统包括探测与存储模块、数据处理模块和路由异常检测模块:
探测与存储模块,用于周期性地从目标网络中采集、存储路由跟踪源数据;
数据处理模块,用于通过链路数据处理对步骤一中存储路由跟踪源数据处理,得到待检测数据集和路由基线数据集;
路由异常检测模块,用于对接收的步骤二中待检测数据集和路由基线数据集进行处理,计算节点路由的变化度,对节点做路由异常检测,得到网络整体异常度和网络整体是否路由异常;
其中,路由异常检测包括区域范围做路由异常检测和对整体网络做路由异常检测;
路由异常检测模块包括节点路由变化计算单元、节点检测单元、区域检测单元和整体检测单元;
节点路由变化计算单元计算节点路由的变化度量,步骤如下:
J1:输入:链路数据集合D1、D2;分别表示待检测数据集和路由基线数据集,两数据集均包含字段:当前节点IP、下一跳节点IP和平均出现次数;
J2:取D1、D2的当前节点IP字段,取并集、去重得到当前节点集合,记作集合Node;Node中有N个互不相同的元素;
J3:取i∈[1,N],循环以下步骤总共N次;
J31:从D1和D2中分别筛选当前节点IP取值为Node(i)的所有记录,分别记作D1 i、D2i;
J32:D1 i、D2 i的下一跳节点IP字段,取并集、去重,得到当前节点Node(i)的下一跳节点的IP集合,记作集合Next,Next中有M个互不相同的元素;
J33:以集合Next作为D1 i、D2 i中下一跳节点IP的共同取值范围,分别对D1 i、D2 i做行转列运算,再按行拼接运算结果,得到数据集Di,Di的维度为2×(2+M);其中前两列为数据标识列,后M列为数值列,数值表示Node(i)的数据集中,Next(j)的平均出现次数;
J34:计算Di后M列的两行数值的对称平均绝对误差率Symmetric Mean AbsolutePercentage Error,SMAPE;
Figure QLYQS_12
其中,D(i 1,j)表示待测集所在行的第j个数值列的取值,D(i 2,j)表示基线集所在行的第j个数值列的取值;
J35:计算Di后M列的两行数值的平均绝对比例差Mean Absolute Ratio Error,MARE:
Figure QLYQS_13
其中,p(i 1,j)表示待测集所在行的第j个数值列的取值所占本行之和的比例,p(i 2,j)表示基线集所在行的第j个数值列的取值所占本行之和的比例;
J36:计算Di后M列的两行数值的雷尼散度Renyi-Divergence;
Figure QLYQS_14
J37:关联J34、J35和J36的结果,得到IP为Node(i)节点的关于下一跳节点的3个路由变化度量指标;
J4:取D1、D2的下一跳节点IP字段,取并集、去重得到当前节点集合,记作集合Cur r;Cur r中有Q个互不相同的元素;
J5:e∈[1,Q],循环以下步骤总共Q次:
J51:从D1和D2中分别筛选下一跳节点IP取值为Curr(e)的所有记录,分别记作D1 e、D2e;
J52:取D1 e、D2e的当前节点IP字段,取并集、去重,得到Cur r(e)的上一跳IP集合,记作集合Previous,Previous中有P个互不相同的元素;
J53:以集合Previous作为D1 e、D2e中当前节点IP的共同取值范围,分别对D1 e、D2e做行转列运算,再按行拼接运算结果,得到数据集De,De的维度为2×(2+P);其中前两列为数据标识列,后P列为数值列,数值表示Cur r(e)的数据集中,Previous(f)的平均出现次数;
J54:计算De后P列的两行数值的对称平均绝对误差率;计算见公式1;
J55:计算De后P列的两行数值的平均绝对比例差;计算见公式2;
J56:计算De后P列的两行数值的雷尼散度;计算见公式3;
J57:关联J54、J55、J56的结果,得到IP为Curr(e)节点的关于上一跳节点的3个路由变化度量指标;
J6:以IP地址作为条件,关联J3和J5的结果,得到每个节点的6个路由变化度量指标,再分别做标准化处理,得到节点变化度量矩阵,行列维度:节点个数*6;为方便方法描述,该矩阵6列的列名称表示为:A、B、C、X、Y、Z;
J7:输出:节点变化度量矩阵,矩阵维度:节点个数*6;
节点检测单元采用节点检测算法对节点做路由异常检测,步骤如下:
W1:输入:节点变化度量矩阵,矩阵维度:节点个数*6;
W2:计算每个节点的路由异常度(Node_Abn);其中,i表示第i个资产:
Figure QLYQS_15
W3:检测每个节点是否路由异常;可以选用单变量的离群值检测方法对节点的路由异常度(Node_Abn)进行检测,输出每个节点是否路由异常;
其中,单变量的离群值检测方法可优选以下类型的算法中的一种或多种:基于概率分布的检测方法和基于分位数的检测方法;
W4:输出:①每个节点IP的异常度Node_Abn;②每个节点是否路由异常;
区域检测单元采用区域路由异常检测算法对区域范围做路由异常检测,步骤如下:
Q1:输入:①节点IP的异常度数据,用符号Node_Abn表示;②路由异常的节点IP列表,③区域与IP关系对应表;
Q2:计算每个区域的异常率;区域i的异常率AARi等于区域i内被检测为路由异常节点的总个数除以区域i内节点总数,公式如下:
Figure QLYQS_16
Q3:计算每个区域的标准化异常和;区域i的标准化异常和AASi是经过标准化的异常度之和,计算如下:
Figure QLYQS_17
其中,Area_abn_sumi区域异常度总和表示区域i中所有节点的异常度的总和;σArea_abn_sum表示所有区域的区域异常度总和的标准差;
Q4:计算每个区域的异常均值;区域i的异常均值AAMi的计算公式如下:
Figure QLYQS_18
Q5:每个区域的异常度;区域i的异常度AAi的计算公式如下:
Figure QLYQS_19
其中,WAAR、WAAS、WAAM分别表示区域异常率、标准化异常和、异常均值的权重,可根据应用场景调整权重取值;
Q6:检测所有区域是否路由异常;方法如节点检测单元的步骤W3;
Q7:输出:①每个区域的异常率、标准化异常和、异常均值数据;②每个区域的路由异常度;③每个区域是否路由异常;
整体检测单元采用整体路由异常检测算法对整体网络做路由异常检测步骤如下:
Z1:输入:①节点IP的异常度Node_Abn数据、②路由异常的节点IP列表;
Z2:计算网络整体的异常率AR;其计算如下:
Figure QLYQS_20
Z3:计算网络整体的标准化异常和AS;其计算如下:
AS=标准化的节点异常度加权和...公式10
Z4:计算络整体的异常均值AM;其计算如下:
Figure QLYQS_21
Z5:计算整体异常度Abn,其计算如下:
Figure QLYQS_22
其中,WAR、WAS、WAM分别表示网络整体的异常率、标准化异常和、异常均值的权重,可根据时间情况调整权重取值;
Z6:检测所有区域是否路由异常;方法:连续计算多次网络整体异常度,得到整体异常度向量,再选用单变量的离群值检测方法对整体异常度向量进行检测;
Z7:输出:①网络整体异常度;②网络整体是否路由异常。
8.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一所述的方法步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
CN202210956780.1A 2022-08-10 2022-08-10 一种路由异常检测方法、系统、存储介质及电子设备 Active CN115396337B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210956780.1A CN115396337B (zh) 2022-08-10 2022-08-10 一种路由异常检测方法、系统、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210956780.1A CN115396337B (zh) 2022-08-10 2022-08-10 一种路由异常检测方法、系统、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN115396337A CN115396337A (zh) 2022-11-25
CN115396337B true CN115396337B (zh) 2023-06-06

Family

ID=84117820

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210956780.1A Active CN115396337B (zh) 2022-08-10 2022-08-10 一种路由异常检测方法、系统、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN115396337B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116436844B (zh) * 2023-06-13 2023-09-08 苏州浪潮智能科技有限公司 路由震荡的定位方法及装置、存储介质及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021259352A1 (zh) * 2020-06-24 2021-12-30 深圳市万普拉斯科技有限公司 数据包的转发方法、装置及网络设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017015462A1 (en) * 2015-07-22 2017-01-26 Dynamic Network Services, Inc. Methods, systems, and apparatus to generate information transmission performance alerts
CN108881295A (zh) * 2018-07-24 2018-11-23 瑞典爱立信有限公司 用于检测和解决异常路由的方法和网络设备
CN113225194B (zh) * 2020-01-21 2022-09-09 华为技术有限公司 路由异常检测方法、装置及系统、计算机存储介质
CN114189396B (zh) * 2022-02-17 2022-05-24 清华大学 基于维特比算法的DDoS攻击追踪方法、系统、设备及介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021259352A1 (zh) * 2020-06-24 2021-12-30 深圳市万普拉斯科技有限公司 数据包的转发方法、装置及网络设备

Also Published As

Publication number Publication date
CN115396337A (zh) 2022-11-25

Similar Documents

Publication Publication Date Title
US10333815B2 (en) Real-time detection of abnormal network connections in streaming data
US11792217B2 (en) Systems and methods to detect abnormal behavior in networks
US8051330B2 (en) Fault location in telecommunications networks using bayesian networks
US7043661B2 (en) Topology-based reasoning apparatus for root-cause analysis of network faults
US20190089725A1 (en) Deep Architecture for Learning Threat Characterization
Zheng et al. Diagnosability of star graphs under the comparison diagnosis model
US20140189436A1 (en) Fault detection and localization in data centers
CN113259168B (zh) 一种故障根因分析方法及装置
Wang et al. Efficient alarm behavior analytics for telecom networks
US10652103B2 (en) System and method for handling events involving computing systems and networks using fabric monitoring system
US10367843B1 (en) Securing a network
CN115396337B (zh) 一种路由异常检测方法、系统、存储介质及电子设备
US20220019887A1 (en) Anomaly detection in network topology
US20180013783A1 (en) Method of protecting a communication network
CN113938407A (zh) 基于带内网络遥测系统的数据中心网络的故障检测方法及装置
EP3278501B1 (en) Network operation
US20050081082A1 (en) Problem determination using probing
US20210359899A1 (en) Managing Event Data in a Network
CN115237717A (zh) 一种微服务异常检测方法和系统
Karthik et al. Data trust model for event detection in wireless sensor networks using data correlation techniques
CN104518896A (zh) 基于内部网关协议路由介数的网络脆弱性分析方法和装置
Edwards et al. Border gateway protocol anomaly detection using machine learning techniques
CN117376084A (zh) 故障检测方法、电子设备及其介质
Zhang et al. PCA-based network-wide correlated anomaly event detection and diagnosis
CN116522213A (zh) 业务状态级别分类及分类模型训练方法、电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant