CN115665025A - 一种域间路由系统关键节点序列检测方法与装置 - Google Patents

一种域间路由系统关键节点序列检测方法与装置 Download PDF

Info

Publication number
CN115665025A
CN115665025A CN202211162302.XA CN202211162302A CN115665025A CN 115665025 A CN115665025 A CN 115665025A CN 202211162302 A CN202211162302 A CN 202211162302A CN 115665025 A CN115665025 A CN 115665025A
Authority
CN
China
Prior art keywords
node
nodes
key
neighbor
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211162302.XA
Other languages
English (en)
Other versions
CN115665025B (zh
Inventor
赵文殿
王瑜
梁良
刘道伟
姬新阳
楚振锋
李鹏宇
王高杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Unit 63893 Of Pla
Original Assignee
Unit 63893 Of Pla
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Unit 63893 Of Pla filed Critical Unit 63893 Of Pla
Priority to CN202211162302.XA priority Critical patent/CN115665025B/zh
Publication of CN115665025A publication Critical patent/CN115665025A/zh
Application granted granted Critical
Publication of CN115665025B publication Critical patent/CN115665025B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提出一种域间路由系统关键节点序列检测方法与装置,属于网络安全技术领域。所述方法包括:步骤S1、对域间路由系统中N个节点构成的网络进行分区,以形成K个网络区域;步骤S2、基于所述K个网络区域初始化所述网络的关键节点序列,所述关键节点序列为所述网络的受攻击节点序列;步骤S3、通过计算节点毁伤转化率确定节点替换策略,并基于所述节点替换策略对初始化的关键节点序列中的受攻击节点进行优化;其中,N和K均为正整数且N≥K。

Description

一种域间路由系统关键节点序列检测方法与装置
技术领域
本发明属于网络安全技术领域,尤其涉及一种域间路由系统关键节点序列检测方法与装置。
背景技术
域间路由系统是由多个自治系统组合而成的动力学系统。它的主要功能是实现自治系统之间交换路由信息,保证用户请求的数据可以在自治系统之间稳定传输。BGP协议(Border Gateway Protocol,边界网关协议)是域间路由系统实现交换路由信息的路由协议。当接入互联网的用户发送数据请求后,BGP协议可以实现数据传输的最优路由路径选择,使得数据能够快速有效的在路由器之间传递。
近年来,在恶意攻击下,域间路由系统大规模瘫痪的事件层出不穷。为了研究攻击者的行为,域间路由系统的毁伤策略得到研究者们广泛关注。毁伤策略的关键是如何选择最优的关键节点序列。因此,亟需一种优化方法找出最优的关键节点序列,以此来为域间路由系统的防御提供依据。
从现有技术来看,域间路由系统的关键节点序列问题主要是通过节点失效后对网络产生两方面影响的大小来解决。但其所应用的级联失效模型并没有考虑域间路由系统的恢复反馈机制,真实性有待提高。另外,该方法只考虑了节点失效后的影响,并没有考虑节点的攻击成本,因此输出的关键节点序列对与防御者来说并不是最优解。
目前最为普遍的关键节点序列检测的一种实现为:在预先设定好的域间路由系统级联失效模型中,模拟每个节点失效之后域间路由系统的变化情况。通过采集边负载变化的信息和更新报文变化的信息,得到节点失效后产生的两方面影响,进而确定节点失效后对系统的整体影响,最后计算每个节点的重要性值。将每个节点的重要性值由大到小排序得到关键节点序列。
尽管此种实现方式已经一定程度上获得开发人员与用户的认可。但是预设的级联失效模型并没有考虑域间路由系统中级联失效的恢复机制,因此模型的真实性有待证实。另外,这种技术在实现过程中,将问题转化为单目标优化问题,只通过节点失效后对整个系统的影响来确定关键节点序列,并没有站在攻击者的角度考虑节点的攻击成本。因此,对于攻击者来说,这不是首选的最优关键节点序列,而是成本最高的关键节点序列。对于防御者来说,这也不是首要保护的关键节点序列。
发明内容
本发明从实际需求和应用的角度出发,针对现有技术存在的问题,提供一种域间路由系统关键节点序列检测方案。
本发明第一方面公开了一种域间路由系统关键节点序列检测方法。所述方法包括:步骤S1、对域间路由系统中N个节点构成的网络进行分区,以形成K个网络区域;步骤S2、基于所述K个网络区域初始化所述网络的关键节点序列,所述关键节点序列为所述网络的受攻击节点序列;步骤S3、通过计算节点毁伤转化率确定节点替换策略,并基于所述节点替换策略对初始化的关键节点序列中的受攻击节点进行优化;其中,N和K均为正整数且N≥K。
根据本发明第一方面的方法,所述步骤S1具体包括:
S1-1、获取所述网络的所有边缘节点;
其中,所述边缘节点为节点度数为1的节点,节点度数为1表征直接相连的邻居节点的数量为1;
其中,所述节点度数表征1阶邻居节点的数量,1阶邻居节点表示与节点直接相连的邻居节点,2阶邻居节点表示与1阶邻居节点直接相连的邻居节点,以此类推,r阶邻居节点表示与r-1阶邻居节点直接相连的邻居节点,且不存在0阶邻居节点,0阶邻居节点的数量为0;
其中,K的取值不超过所述边缘节点的数量M;
步骤S1-2、从M个边缘节点中选取出K个边缘节点,并对K个边缘节点中的K-1个边缘节点依次执行:
对第i个边缘节点,1≤i≤K-1,获取其j阶内的全部邻居节点,j≥1,使得所述第i个边缘节点的j阶内的全部邻居节点数量不小于
Figure BDA0003860609420000031
且所述第i个边缘节点的j-1阶内的全部邻居节点数量小于
Figure BDA0003860609420000032
计算所述第i个边缘节点的j阶内的全部邻居节点数量与的
Figure BDA0003860609420000033
之间差值d;
当d>0时,从所述第i个边缘节点的j阶内的全部邻居节点中删除d个具有最大度数的节点,经删除后的所述第i个边缘节点的j阶内的邻居节点形成一个网络区域;
当d=0时,所述第i个边缘节点的j阶内的全部邻居节点形成一个网络区域;
步骤S1-3、所述网络中的剩余节点形成第K个网络区域,所述剩余节点的数量不超过
Figure BDA0003860609420000034
根据本发明第一方面的方法,所述初始化的关键节点序列pop为{p1,p2,...,pi,...,pN},其中,p1,p2,...,pi,...,pN表示所述网络中N个节点的受攻击状态,pi=1表示节点受到攻击,pi=0表示节点未受攻击;所述初始化的关键节点序列pop中至少包括K个受攻击节点,且每个网络区域中至少有一个受攻击节点。
根据本发明第一方面的方法,所述步骤S3具体包括:
步骤S3-1、对所述初始化的关键节点序列pop中的每一个受攻击节点计算节点毁伤转换率,所述计算节点毁伤转换率的计算公式为:
Figure BDA0003860609420000041
其中,P表示当前受攻击节点,f表示在P受到攻击的情况下所述网络的节点失效比例,C(P)表示攻击成本;
其中,
Figure BDA0003860609420000042
NFv表示失效节点的数量,NFe表示失效链路的数量,W表示原始节点与原始链路的数量和;
步骤S3-2、删除节点毁伤转化率最低的节点c1,并将节点c1在所述初始化的关键节点序列pop中的值置为0,得到关键节点序列popa
步骤S3-3、计算节点c1所在的网络区域中包含的所有节点的节点毁伤转化率,选取节点毁伤转化率最高的节点c2,所述节点替换策略具体为;
(1)在节点c2的节点毁伤转化率大于节点c1的节点毁伤转化率的情况下:
当节点c2在关键节点序列popa中的状态为未受攻击时,将节点c2在关键节点序列popa中的值置为1,得到关键节点序列popd
当节点c2在关键节点序列popa中的状态为受到攻击时,继续选取除节点c2外具有最高节点毁伤转化率的节点,直到选取出节点c3,将节点c3在关键节点序列popa中的值置为1,得到关键节点序列popd
其中,所述节点c3满足:(i)在关键节点序列popa中的状态为未受攻击,(ii)节点c3的节点毁伤转化率大于节点c1的节点毁伤转化率;
(2)在节点c2的节点毁伤转化率不大于节点c1的节点毁伤转化率的情况下,重新添加节点c1,并将节点c1在关键节点序列popa中的值重新置为1。
本发明第二方面公开了一种域间路由系统关键节点序列检测装置。所述装置包括:第一处理单元,被配置为:对域间路由系统中N个节点构成的网络进行分区,以形成K个网络区域;第二处理单元,被配置为:基于所述K个网络区域初始化所述网络的关键节点序列,所述关键节点序列为所述网络的受攻击节点序列;第三处理单元,被配置为:通过计算节点毁伤转化率确定节点替换策略,并基于所述节点替换策略对初始化的关键节点序列中的受攻击节点进行优化;其中,N和K均为正整数且N≥K。
根据本发明第二方面的装置,所述第一处理单元具体被配置为执行以下步骤:
S1-1、获取所述网络的所有边缘节点;
其中,所述边缘节点为节点度数为1的节点,节点度数为1表征直接相连的邻居节点的数量为1;
其中,所述节点度数表征1阶邻居节点的数量,1阶邻居节点表示与节点直接相连的邻居节点,2阶邻居节点表示与1阶邻居节点直接相连的邻居节点,以此类推,r阶邻居节点表示与r-1阶邻居节点直接相连的邻居节点,且不存在0阶邻居节点,0阶邻居节点的数量为0;
其中,K的取值不超过所述边缘节点的数量M;
步骤S1-2、从M个边缘节点中选取出K个边缘节点,并对K个边缘节点中的K-1个边缘节点依次执行:
对第i个边缘节点,1≤i≤K-1,获取其j阶内的全部邻居节点,j≥1,使得所述第i个边缘节点的j阶内的全部邻居节点数量不小于
Figure BDA0003860609420000061
且所述第i个边缘节点的j-1阶内的全部邻居节点数量小于
Figure BDA0003860609420000062
计算所述第i个边缘节点的j阶内的全部邻居节点数量与的
Figure BDA0003860609420000063
之间差值d;
当d>0时,从所述第i个边缘节点的j阶内的全部邻居节点中删除d个具有最大度数的节点,经删除后的所述第i个边缘节点的j阶内的邻居节点形成一个网络区域;
当d=0时,所述第i个边缘节点的j阶内的全部邻居节点形成一个网络区域;
步骤S1-3、所述网络中的剩余节点形成第K个网络区域,所述剩余节点的数量不超过
Figure BDA0003860609420000064
根据本发明第二方面的装置,所述初始化的关键节点序列pop为{p1,p2,...,pi,...,pN},其中,p1,p2,...,pi,...,pN表示所述网络中N个节点的受攻击状态,pi=1表示节点受到攻击,pi=0表示节点未受攻击;所述初始化的关键节点序列pop中至少包括K个受攻击节点,且每个网络区域中至少有一个受攻击节点。
根据本发明第二方面的装置,所述第三处理单元具体被配置为执行以下步骤:
步骤S3-1、对所述初始化的关键节点序列pop中的每一个受攻击节点计算节点毁伤转换率,所述计算节点毁伤转换率的计算公式为:
Figure BDA0003860609420000065
其中,P表示当前受攻击节点,f表示在P受到攻击的情况下所述网络的节点失效比例,C(P)表示攻击成本;
其中,
Figure BDA0003860609420000071
NFv表示失效节点的数量,NFe表示失效链路的数量,W表示原始节点与原始链路的数量和;
步骤S3-2、删除节点毁伤转化率最低的节点c1,并将节点c1在所述初始化的关键节点序列pop中的值置为0,得到关键节点序列popa
步骤S3-3、计算节点c1所在的网络区域中包含的所有节点的节点毁伤转化率,选取节点毁伤转化率最高的节点c2,所述节点替换策略具体为;
(1)在节点c2的节点毁伤转化率大于节点c1的节点毁伤转化率的情况下:
当节点c2在关键节点序列popa中的状态为未受攻击时,将节点c2在关键节点序列popa中的值置为1,得到关键节点序列popd
当节点c2在关键节点序列popa中的状态为受到攻击时,继续选取除节点c2外具有最高节点毁伤转化率的节点,直到选取出节点c3,将节点c3在关键节点序列popa中的值置为1,得到关键节点序列popd
其中,所述节点c3满足:(i)在关键节点序列popa中的状态为未受攻击,(ii)节点c3的节点毁伤转化率大于节点c1的节点毁伤转化率;
(2)在节点c2的节点毁伤转化率不大于节点c1的节点毁伤转化率的情况下,重新添加节点c1,并将节点c1在关键节点序列popa中的值重新置为1。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种域间路由系统关键节点序列检测方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种域间路由系统关键节点序列检测方法中的步骤。
本发明提供的技术方案首先对网络进行分区,之后基于分区的网络生成初始种群。为了考虑域间路由系统的级联失效作用以及加快种群的收敛速度,提出了一种基于分区搜索的节点替换策略。该方案通过确定当下域间路由系统的最优关键节点序列,为防御攻击者的行为提供依据。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种域间路由系统关键节点序列检测方法的流程图;
图2为根据本发明实施例的域间路由系统中若干节点构成的网络;
图3为根据本发明实施例的域间路由系统中若干节点构成的网络的分区结果;
图4为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
域间路由系统:域间路由系统是互联网重要的基础设施,由数以万计的自治系统组成。自治系统指的是在一个区域内具有连接关系的IP网络和路由器的集合。
级联失效:网络中有意攻击或自身故障引起的局部失效,可能会不断扩散并快速传播,最终造成网络大规模瘫痪。
关键节点序列:将BGP路由器比作一个节点,那么针对网络的毁伤策略指的是一组攻击节点序列,即关键节点序列。在种群中体现为个体pop。
攻击成本:攻击一个BGP路由节点的所需要的代价。由于攻击资源有限,因此必须考虑节点的攻击成本。在现实攻击场景中,节点的攻击成本等同于节点防御资源部署的力度。站在防御者的角度,度大的节点,防御资源部署的力度通常要比度小的节点强几倍甚至更多。因此,定义与度非线性相关的攻击成本。
失效比例:网络发生故障之后,失效节点与失效链路所占的比例。通常使用失效比例评估域间路由系统级联失效影响的程度。通常认为,失效比例越大,说明网络的破坏程度越大;失效比例越小,说明网络的损伤越小。
毁伤转化率:毁伤转化率(Damage Conversion Rate,DCR)指的是网络的失效比例与攻击成本的比值。可以表示为:
Figure BDA0003860609420000091
可以看出,失效比例f越大,攻击成本C(P)越小,则毁伤转化率越大。当pop的毁伤转化率越大时,说明pop的攻击性价比越高。本发明的最终目的是输出毁伤转化率大的pop,即最优的关键节点序列。
本发明第一方面公开了一种域间路由系统关键节点序列检测方法。图1为根据本发明实施例的一种域间路由系统关键节点序列检测方法的流程图;如图1所示,所述方法包括:步骤S1、对域间路由系统中N个节点构成的网络进行分区,以形成K个网络区域;步骤S2、基于所述K个网络区域初始化所述网络的关键节点序列,所述关键节点序列为所述网络的受攻击节点序列;步骤S3、通过计算节点毁伤转化率确定节点替换策略,并基于所述节点替换策略对初始化的关键节点序列中的受攻击节点进行优化;其中,N和K均为正整数且N≥K。
在多目标遗传算法中,通常使用随机初始化种群来产生初始种群,以此来满足种群的泛化能力。在一般的问题中,随机初始化种群具有良好的效果。但是对于域间路由系统的毁伤决策问题,由于初始化是选择攻击的节点,随机初始化种群并不能保证一个良好的性能,容易出现节点扎堆、或者导致搜索空间过大等问题。为了保证算法的优越性,以及避免上述问题的产生,本发明提出一种基于网络分区的初始化策略,首先对网络进行分区,之后基于网络的分区生成初始种群。
在一些实施例中,所述步骤S1具体包括:
S1-1、获取所述网络的所有边缘节点;
其中,所述边缘节点为节点度数为1的节点,节点度数为1表征直接相连的邻居节点的数量为1;
其中,所述节点度数表征1阶邻居节点的数量,1阶邻居节点表示与节点直接相连的邻居节点,2阶邻居节点表示与1阶邻居节点直接相连的邻居节点,以此类推,r阶邻居节点表示与r-1阶邻居节点直接相连的邻居节点,且不存在0阶邻居节点,0阶邻居节点的数量为0;
其中,K的取值不超过所述边缘节点的数量M;
步骤S1-2、从M个边缘节点中选取出K个边缘节点,并对K个边缘节点中的K-1个边缘节点依次执行:
对第i个边缘节点,1≤i≤K-1,获取其j阶内的全部邻居节点,j≥1,使得所述第i个边缘节点的j阶内的全部邻居节点数量不小于
Figure BDA0003860609420000111
且所述第i个边缘节点的j-1阶内的全部邻居节点数量小于
Figure BDA0003860609420000112
计算所述第i个边缘节点的j阶内的全部邻居节点数量与的
Figure BDA0003860609420000113
之间差值d;
当d>0时,从所述第i个边缘节点的j阶内的全部邻居节点中删除d个具有最大度数的节点,经删除后的所述第i个边缘节点的j阶内的邻居节点形成一个网络区域;
当d=0时,所述第i个边缘节点的j阶内的全部邻居节点形成一个网络区域;
步骤S1-3、所述网络中的剩余节点形成第K个网络区域,所述剩余节点的数量不超过
Figure BDA0003860609420000114
在一些实施例中,在所述步骤S2中:所述初始化的关键节点序列pop为{p1,p2,...,pi,...,pN},其中,p1,p2,...,pi,...,pN表示所述网络中N个节点的受攻击状态,pi=1表示节点受到攻击,pi=0表示节点未受攻击;所述初始化的关键节点序列pop中至少包括K个受攻击节点,且每个网络区域中至少有一个受攻击节点。
具体地,使用二进制编码来表示个体pop。具体来说,个体pop={p1,p2,...,pi,...,pn}表示攻击节点组。其中pi的值表示节点的状态。pi=1,说明节点i受到攻击,处于失效状态。pi=0,说明节点i未被攻击,是正常工作状态。例如pop={1,0,0,1,0,1,0,0},表示被攻击的节点为{1,4,6}。
具体地,将网络被分为多个区域后,即可对种群进行初始化。在域间路由网络中,边缘节点数量较多,常常只有较小的流量请求,不足以对其他节点构成威胁。所以,首先将边缘节点从初始选择的攻击节点的范围中去除掉,来提高选择攻击能力强节点的概率。之后按照分区选择初始的攻击节点。设置K为个体pop最少攻击节点的数量,即可保证个体pop在每个区域中至少攻击一个节点。对于pop,首先确定攻击节点的数量,之后在网络分好的各个区域中平均随机选择攻击节点。考虑到种群的多样性,设置每个pop攻击节点的数量均不一样,即可保证pop攻击成本的多样性。可以看出,基于网络分区的初始化策略可以保证每个pop攻击节点遍布在网络的各个位置,能够最大程度地破坏网络。
在一些实施例中,所述步骤S3具体包括:
步骤S3-1、对所述初始化的关键节点序列pop中的每一个受攻击节点计算节点毁伤转换率,所述计算节点毁伤转换率的计算公式为:
Figure BDA0003860609420000121
其中,P表示当前受攻击节点,f表示在P受到攻击的情况下所述网络的节点失效比例,C(P)表示攻击成本;
其中,
Figure BDA0003860609420000122
NFv表示失效节点的数量,NFe表示失效链路的数量,W表示原始节点与原始链路的数量和;
步骤S3-2、删除节点毁伤转化率最低的节点c1,并将节点c1在所述初始化的关键节点序列pop中的值置为0,得到关键节点序列popa
步骤S3-3、计算节点c1所在的网络区域中包含的所有节点的节点毁伤转化率,选取节点毁伤转化率最高的节点c2,所述节点替换策略具体为;
(1)在节点c2的节点毁伤转化率大于节点c1的节点毁伤转化率的情况下:
当节点c2在关键节点序列popa中的状态为未受攻击时,将节点c2在关键节点序列popa中的值置为1,得到关键节点序列popd
当节点c2在关键节点序列popa中的状态为受到攻击时,继续选取除节点c2外具有最高节点毁伤转化率的节点,直到选取出节点c3,将节点c3在关键节点序列popa中的值置为1,得到关键节点序列popd
其中,所述节点c3满足:(i)在关键节点序列popa中的状态为未受攻击,(ii)节点c3的节点毁伤转化率大于节点c1的节点毁伤转化率;
(2)在节点c2的节点毁伤转化率不大于节点c1的节点毁伤转化率的情况下,重新添加节点c1,并将节点c1在关键节点序列popa中的值重新置为1。
具体地,步骤S3包括计算节点毁伤转化率、删除节点及添加节点三个阶段。具体来说,首先需要计算个体pop中所有攻击节点的毁伤转化率。在删除节点阶段,删除个体pop中毁伤转化率最低的节点c1。此时个体变成popa。在添加节点阶段,首先计算被删除节点c1所在的区域,然后找出区域中毁伤转化率最大的节点c2。如果c2不在popa中,将其添加(从0变为1)到popa变为popd。如果c2在popa中,则在区域P中标记w节点。继续搜索区域P中为标记节点中毁伤转化率最大的节点,直到找到c3,其不在popa中,结束搜索。最后,如果DCR(c2或c3)>DCR(c1),则将popd输出作为进化后的个体,否则重新添加节点c1。此策略仅在删除节点的区域中进行搜索,不仅可以快速的完成搜索,还可以精准的提升个体pop的毁伤转化率。
在另一种实施方式/应用场景中,某互联网安全管理员为提高所管理域间路由系统的安全性能,计划增加部分节点的防护等级。在防护资源一定的前提下,对系统中所有BGP路由节点进行分析,发现无法判别出防护哪些节点性价比最高,哪一系列节点同时失效对网络破坏程度最大,同时攻击成本最小。通过应用本申请提出的方法,可以准确、快速的检测出攻击者关注的最优关键节点序列,从而对这类节点进行重点防护,以此来提高整个系统的安全性。
管理员首先获取域间路由系统的相关数据,包括节点间的连边关系与商业关系。之后生成域间路由网络,并导入到考虑恢复反馈机制的域间路由系统级联失效模型中。
应用分区算法将网络分成若干个区域。图2为根据本发明实施例的域间路由系统,图3为根据本发明实施例的域间路由系统中若干节点构成的网络的分区结果。网络中的节点被有序的分为A、B、C、D和E五个区域,并且区域中的节点联系紧密,当其中某个节点被攻击后,级联失效过程很有可能会在区域中发生。
按照预先设定的种群数量以及每个pop的攻击成本需求,应用基于网络分区的初始化策略实现种群初始化,生成若干个pop。
根据节点的相关属性计算出节点的攻击成本和失效比例。
计算节点毁伤转化率,并应用于分区搜索的节点替换策略实现种群的进化。以图3为例,有一个待进化的个体pop包含节点4,此时节点4为pop中毁伤转化率最低的节点,因此pop首先删掉节点4。然后根据节点4所在的区域B来搜索待添加的节点。区域B中节点的毁伤转化率由大到小排序为{1,3,2,6,7,5,4},所以待添加的节点为节点1。如果节点1不在pop中,则将节点1添加到pop中进化为新的个体pop′。如果节点1在pop中,则继续搜索,直到搜索节点不在pop中或搜索空间为空即可停止搜索。
通过非支配排序算法求解出Paerto最优解集,并输出关键节点序列。
可见,本发明第一方面的方法应用考虑恢复机制的域间路由系统级联失效模型,仿真结果更加真实,运算更加精准。另外,将检测关键节点序列问题转化为双目标优化问题,更加符合防御者的需求。并且,提出基于网络分区的初始化策略,丰富了初始种群的多样性,使种群在网络中分布均匀。同时,提出基于分区搜索的节点替换策略,能够加快收敛速度以及提高准确性。防御资源一定时,通过本发明得到的域间路由系统最优关键节点序列,可以最大程度提升整理域间路由系统的安全性。
本发明第二方面公开了一种域间路由系统关键节点序列检测装置。所述装置包括:第一处理单元,被配置为:对域间路由系统中N个节点构成的网络进行分区,以形成K个网络区域;第二处理单元,被配置为:基于所述K个网络区域初始化所述网络的关键节点序列,所述关键节点序列为所述网络的受攻击节点序列;第三处理单元,被配置为:通过计算节点毁伤转化率确定节点替换策略,并基于所述节点替换策略对初始化的关键节点序列中的受攻击节点进行优化;其中,N和K均为正整数且N≥K。
根据本发明第二方面的装置,所述第一处理单元具体被配置为执行以下步骤:
S1-1、获取所述网络的所有边缘节点;
其中,所述边缘节点为节点度数为1的节点,节点度数为1表征直接相连的邻居节点的数量为1;
其中,所述节点度数表征1阶邻居节点的数量,1阶邻居节点表示与节点直接相连的邻居节点,2阶邻居节点表示与1阶邻居节点直接相连的邻居节点,以此类推,r阶邻居节点表示与r-1阶邻居节点直接相连的邻居节点,且不存在0阶邻居节点,0阶邻居节点的数量为0;
其中,K的取值不超过所述边缘节点的数量M;
步骤S1-2、从M个边缘节点中选取出K个边缘节点,并对K个边缘节点中的K-1个边缘节点依次执行:
对第i个边缘节点,1≤i≤K-1,获取其j阶内的全部邻居节点,j≥1,使得所述第i个边缘节点的j阶内的全部邻居节点数量不小于
Figure BDA0003860609420000151
且所述第i个边缘节点的j-1阶内的全部邻居节点数量小于
Figure BDA0003860609420000152
计算所述第i个边缘节点的j阶内的全部邻居节点数量与的
Figure BDA0003860609420000161
之间差值d;
当d>0时,从所述第i个边缘节点的j阶内的全部邻居节点中删除d个具有最大度数的节点,经删除后的所述第i个边缘节点的j阶内的邻居节点形成一个网络区域;
当d=0时,所述第i个边缘节点的j阶内的全部邻居节点形成一个网络区域;
步骤S1-3、所述网络中的剩余节点形成第K个网络区域,所述剩余节点的数量不超过
Figure BDA0003860609420000162
根据本发明第二方面的装置,所述初始化的关键节点序列pop为{p1,p2,...,pi,...,pN},其中,p1,p2,...,pi,...,pN表示所述网络中N个节点的受攻击状态,pi=1表示节点受到攻击,pi=0表示节点未受攻击;所述初始化的关键节点序列pop中至少包括K个受攻击节点,且每个网络区域中至少有一个受攻击节点。
根据本发明第二方面的装置,所述第三处理单元具体被配置为执行以下步骤:
步骤S3-1、对所述初始化的关键节点序列pop中的每一个受攻击节点计算节点毁伤转换率,所述计算节点毁伤转换率的计算公式为:
Figure BDA0003860609420000163
其中,P表示当前受攻击节点,f表示在P受到攻击的情况下所述网络的节点失效比例,C(P)表示攻击成本;
其中,
Figure BDA0003860609420000164
NFv表示失效节点的数量,NFe表示失效链路的数量,W表示原始节点与原始链路的数量和;
步骤S3-2、删除节点毁伤转化率最低的节点c1,并将节点c1在所述初始化的关键节点序列pop中的值置为0,得到关键节点序列popa
步骤S3-3、计算节点c1所在的网络区域中包含的所有节点的节点毁伤转化率,选取节点毁伤转化率最高的节点c2,所述节点替换策略具体为;
(1)在节点c2的节点毁伤转化率大于节点c1的节点毁伤转化率的情况下:
当节点c2在关键节点序列popa中的状态为未受攻击时,将节点c2在关键节点序列popa中的值置为1,得到关键节点序列popd
当节点c2在关键节点序列popa中的状态为受到攻击时,继续选取除节点c2外具有最高节点毁伤转化率的节点,直到选取出节点c3,将节点c3在关键节点序列popa中的值置为1,得到关键节点序列popd
其中,所述节点c3满足:(i)在关键节点序列popa中的状态为未受攻击,(ii)节点c3的节点毁伤转化率大于节点c1的节点毁伤转化率;
(2)在节点c2的节点毁伤转化率不大于节点c1的节点毁伤转化率的情况下,重新添加节点c1,并将节点c1在关键节点序列popa中的值重新置为1。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种域间路由系统关键节点序列检测方法中的步骤。
图4为根据本发明实施例的一种电子设备的结构图,如图4所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种域间路由系统关键节点序列检测方法中的步骤。
本发明提供的技术方案首先对网络进行分区,之后基于分区的网络生成初始种群。为了考虑域间路由系统的级联失效作用以及加快种群的收敛速度,提出了一种基于分区搜索的节点替换策略。该方案通过确定当下域间路由系统的最优关键节点序列,为防御攻击者的行为提供依据。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种域间路由系统关键节点序列检测方法,其特征在于,所述方法包括:
步骤S1、对域间路由系统中N个节点构成的网络进行分区,以形成K个网络区域;
步骤S2、基于所述K个网络区域初始化所述网络的关键节点序列,所述关键节点序列为所述网络的受攻击节点序列;
步骤S3、通过计算节点毁伤转化率确定节点替换策略,并基于所述节点替换策略对初始化的关键节点序列中的受攻击节点进行优化;
其中,N和K均为正整数且N≥K。
2.根据权利要求1所述的一种域间路由系统关键节点序列检测方法,其特征在于,所述步骤S1具体包括:
S1-1、获取所述网络的所有边缘节点;
其中,所述边缘节点为节点度数为1的节点,节点度数为1表征直接相连的邻居节点的数量为1;
其中,所述节点度数表征1阶邻居节点的数量,1阶邻居节点表示与节点直接相连的邻居节点,2阶邻居节点表示与1阶邻居节点直接相连的邻居节点,以此类推,r阶邻居节点表示与r-1阶邻居节点直接相连的邻居节点,且不存在0阶邻居节点,0阶邻居节点的数量为0;
其中,K的取值不超过所述边缘节点的数量M;
步骤S1-2、从M个边缘节点中选取出K个边缘节点,并对K个边缘节点中的K-1个边缘节点依次执行:
对第i个边缘节点,1≤i≤K-1,获取其j阶内的全部邻居节点,j≥1,使得所述第i个边缘节点的j阶内的全部邻居节点数量不小于
Figure FDA0003860609410000011
且所述第i个边缘节点的j-1阶内的全部邻居节点数量小于
Figure FDA0003860609410000021
计算所述第i个边缘节点的j阶内的全部邻居节点数量与的
Figure FDA0003860609410000022
之间差值d;
当d>0时,从所述第i个边缘节点的j阶内的全部邻居节点中删除d个具有最大度数的节点,经删除后的所述第i个边缘节点的j阶内的邻居节点形成一个网络区域;
当d=0时,所述第i个边缘节点的j阶内的全部邻居节点形成一个网络区域;
步骤S1-3、所述网络中的剩余节点形成第K个网络区域,所述剩余节点的数量不超过
Figure FDA0003860609410000023
3.根据权利要求2所述的一种域间路由系统关键节点序列检测方法,其特征在于,在所述步骤S2中:
所述初始化的关键节点序列pop为{p1,p2,...,pi,...,pN},其中,p1,p2,...,pi,...,pN表示所述网络中N个节点的受攻击状态,pi=1表示节点受到攻击,pi=0表示节点未受攻击;
所述初始化的关键节点序列pop中至少包括K个受攻击节点,且每个网络区域中至少有一个受攻击节点。
4.根据权利要求3所述的一种域间路由系统关键节点序列检测方法,其特征在于,所述步骤S3具体包括:
步骤S3-1、对所述初始化的关键节点序列pop中的每一个受攻击节点计算节点毁伤转换率,所述计算节点毁伤转换率的计算公式为:
Figure FDA0003860609410000024
其中,P表示当前受攻击节点,f表示在P受到攻击的情况下所述网络的节点失效比例,C(P)表示攻击成本;
其中,
Figure FDA0003860609410000031
NFv表示失效节点的数量,NFe表示失效链路的数量,W表示原始节点与原始链路的数量和;
步骤S3-2、删除节点毁伤转化率最低的节点c1,并将节点c1在所述初始化的关键节点序列pop中的值置为0,得到关键节点序列popa
步骤S3-3、计算节点c1所在的网络区域中包含的所有节点的节点毁伤转化率,选取节点毁伤转化率最高的节点c2,所述节点替换策略具体为;
(1)在节点c2的节点毁伤转化率大于节点c1的节点毁伤转化率的情况下:
当节点c2在关键节点序列popa中的状态为未受攻击时,将节点c2在关键节点序列popa中的值置为1,得到关键节点序列popd
当节点c2在关键节点序列popa中的状态为受到攻击时,继续选取除节点c2外具有最高节点毁伤转化率的节点,直到选取出节点c3,将节点c3在关键节点序列popa中的值置为1,得到关键节点序列popd
其中,所述节点c3满足:(i)在关键节点序列popa中的状态为未受攻击,(ii)节点c3的节点毁伤转化率大于节点c1的节点毁伤转化率;
(2)在节点c2的节点毁伤转化率不大于节点c1的节点毁伤转化率的情况下,重新添加节点c1,并将节点c1在关键节点序列popa中的值重新置为1。
5.一种域间路由系统关键节点序列检测装置,其特征在于,所述装置包括:
第一处理单元,被配置为:对域间路由系统中N个节点构成的网络进行分区,以形成K个网络区域;
第二处理单元,被配置为:基于所述K个网络区域初始化所述网络的关键节点序列,所述关键节点序列为所述网络的受攻击节点序列;
第三处理单元,被配置为:通过计算节点毁伤转化率确定节点替换策略,并基于所述节点替换策略对初始化的关键节点序列中的受攻击节点进行优化;
其中,N和K均为正整数且N≥K。
6.根据权利要求5所述的一种域间路由系统关键节点序列检测装置,其特征在于,所述第一处理单元具体被配置为执行以下步骤:
S1-1、获取所述网络的所有边缘节点;
其中,所述边缘节点为节点度数为1的节点,节点度数为1表征直接相连的邻居节点的数量为1;
其中,所述节点度数表征1阶邻居节点的数量,1阶邻居节点表示与节点直接相连的邻居节点,2阶邻居节点表示与1阶邻居节点直接相连的邻居节点,以此类推,r阶邻居节点表示与r-1阶邻居节点直接相连的邻居节点,且不存在0阶邻居节点,0阶邻居节点的数量为0;
其中,K的取值不超过所述边缘节点的数量M;
步骤S1-2、从M个边缘节点中选取出K个边缘节点,并对K个边缘节点中的K-1个边缘节点依次执行:
对第i个边缘节点,1≤i≤K-1,获取其j阶内的全部邻居节点,j≥1,使得所述第i个边缘节点的j阶内的全部邻居节点数量不小于
Figure FDA0003860609410000041
且所述第i个边缘节点的j-1阶内的全部邻居节点数量小于
Figure FDA0003860609410000042
计算所述第i个边缘节点的j阶内的全部邻居节点数量与的
Figure FDA0003860609410000043
之间差值d;
当d>0时,从所述第i个边缘节点的j阶内的全部邻居节点中删除d个具有最大度数的节点,经删除后的所述第i个边缘节点的j阶内的邻居节点形成一个网络区域;
当d=0时,所述第i个边缘节点的j阶内的全部邻居节点形成一个网络区域;
步骤S1-3、所述网络中的剩余节点形成第K个网络区域,所述剩余节点的数量不超过
Figure FDA0003860609410000051
7.根据权利要求6所述的一种域间路由系统关键节点序列检测装置,其特征在于:
所述初始化的关键节点序列pop为{p1,p2,...,pi,...,pN},其中,p1,p2,...,pi,...,pN表示所述网络中N个节点的受攻击状态,pi=1表示节点受到攻击,pi=0表示节点未受攻击;
所述初始化的关键节点序列pop中至少包括K个受攻击节点,且每个网络区域中至少有一个受攻击节点。
8.根据权利要求7所述的一种域间路由系统关键节点序列检测装置,其特征在于,所述第三处理单元具体被配置为执行以下步骤:
步骤S3-1、对所述初始化的关键节点序列pop中的每一个受攻击节点计算节点毁伤转换率,所述计算节点毁伤转换率的计算公式为:
Figure FDA0003860609410000052
其中,P表示当前受攻击节点,f表示在P受到攻击的情况下所述网络的节点失效比例,C(P)表示攻击成本;
其中,
Figure FDA0003860609410000053
NFv表示失效节点的数量,NFe表示失效链路的数量,W表示原始节点与原始链路的数量和;
步骤S3-2、删除节点毁伤转化率最低的节点c1,并将节点c1在所述初始化的关键节点序列pop中的值置为0,得到关键节点序列popa
步骤S3-3、计算节点c1所在的网络区域中包含的所有节点的节点毁伤转化率,选取节点毁伤转化率最高的节点c2,所述节点替换策略具体为;
(1)在节点c2的节点毁伤转化率大于节点c1的节点毁伤转化率的情况下:
当节点c2在关键节点序列popa中的状态为未受攻击时,将节点c2在关键节点序列popa中的值置为1,得到关键节点序列popd
当节点c2在关键节点序列popa中的状态为受到攻击时,继续选取除节点c2外具有最高节点毁伤转化率的节点,直到选取出节点c3,将节点c3在关键节点序列popa中的值置为1,得到关键节点序列popd
其中,所述节点c3满足:(i)在关键节点序列popa中的状态为未受攻击,(ii)节点c3的节点毁伤转化率大于节点c1的节点毁伤转化率;
(2)在节点c2的节点毁伤转化率不大于节点c1的节点毁伤转化率的情况下,重新添加节点c1,并将节点c1在关键节点序列popa中的值重新置为1。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1-4任一项所述的一种域间路由系统关键节点序列检测方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1-4任一项所述的一种域间路由系统关键节点序列检测方法中的步骤。
CN202211162302.XA 2022-09-23 2022-09-23 一种域间路由系统关键节点序列检测方法、装置、设备和存储介质 Active CN115665025B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211162302.XA CN115665025B (zh) 2022-09-23 2022-09-23 一种域间路由系统关键节点序列检测方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211162302.XA CN115665025B (zh) 2022-09-23 2022-09-23 一种域间路由系统关键节点序列检测方法、装置、设备和存储介质

Publications (2)

Publication Number Publication Date
CN115665025A true CN115665025A (zh) 2023-01-31
CN115665025B CN115665025B (zh) 2024-06-21

Family

ID=84985372

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211162302.XA Active CN115665025B (zh) 2022-09-23 2022-09-23 一种域间路由系统关键节点序列检测方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN115665025B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107302518A (zh) * 2016-04-15 2017-10-27 任子行网络技术股份有限公司 基于加权相似度的域间路由系统安全状态感知方法和装置
CN107438027A (zh) * 2016-05-27 2017-12-05 任子行网络技术股份有限公司 域间路由节点重要性评估方法和装置
CN107438026A (zh) * 2016-05-27 2017-12-05 任子行网络技术股份有限公司 域间路由系统的失效恢复方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107302518A (zh) * 2016-04-15 2017-10-27 任子行网络技术股份有限公司 基于加权相似度的域间路由系统安全状态感知方法和装置
CN107438027A (zh) * 2016-05-27 2017-12-05 任子行网络技术股份有限公司 域间路由节点重要性评估方法和装置
CN107438026A (zh) * 2016-05-27 2017-12-05 任子行网络技术股份有限公司 域间路由系统的失效恢复方法和装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
刘凤增;等: "基于有限节点集的网络毁伤最大化问题研究", 控制与决策, no. 4, 31 December 2020 (2020-12-31) *
曾子懿等: "域间路由系统级联失效下的目标失效链路定位方法研究", 电子与信息学报, no. 9, 15 September 2020 (2020-09-15) *
朱会虎等: "基于传播动力学的域间路由系统关键节点识别方法", 网络与信息安全学报, vol. 5, no. 5, 31 October 2019 (2019-10-31) *

Also Published As

Publication number Publication date
CN115665025B (zh) 2024-06-21

Similar Documents

Publication Publication Date Title
Xiaohong et al. Robustness evaluation method for unmanned aerial vehicle swarms based on complex network theory
CN112819300B (zh) 网络攻击下基于随机博弈网的配电网风险评估方法
Chen et al. Fundamentals of complex networks: models, structures and dynamics
Zhou et al. Gossiptrust for fast reputation aggregation in peer-to-peer networks
Konak et al. A game-theoretic genetic algorithm for the reliable server assignment problem under attacks
Garcia et al. Investigating coevolutionary archive based genetic algorithms on cyber defense networks
Zheng et al. Least cost rumor community blocking optimization in social networks
CN111478813A (zh) 一种基于单层信息流传递的网络关键点分析方法
Guan et al. A multi‐controller placement method for software defined network based on improved firefly algorithm
Dandachi et al. A robust monte-carlo-based deep learning strategy for virtual network embedding
CN107438026A (zh) 域间路由系统的失效恢复方法和装置
Przewozniczek et al. Empirical problem decomposition—the key to the evolutionary effectiveness in solving a large-scale non-binary discrete real-world problem
CN115665025A (zh) 一种域间路由系统关键节点序列检测方法与装置
CN115150152B (zh) 基于权限依赖图缩减的网络用户实际权限快速推理方法
Ghosh et al. An iterative security game for computing robust and adaptive network flows
Przewoźniczek Subpopulation initialization driven by linkage learning for dealing with the Long-Way-To-Stuck effect
Wang et al. The microcosmic model of worm propagation
Zhao et al. A crowd cooperative defense model for mitigating DDoS attacks in Mobile Crowdsensing networks
Lai et al. Node-aware Bi-smoothing: Certified Robustness against Graph Injection Attacks
Bernard et al. Random distributed self-stabilizing structures maintenance
Liu et al. Situational awareness for improving network resilience management
Liu et al. Software Deployment Strategy Based on Performance and Heterogeneity
Zhang et al. Improving the controllability robustness of complex temporal networks against intelligent attacks
Saad et al. A theoretical and empirical evaluation of an algorithm for self-healing computation
Paterson et al. A hybrid approach to network robustness optimization using edge rewiring and edge addition

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant