CN116016252A - 一种网关协议的检测方法及装置 - Google Patents
一种网关协议的检测方法及装置 Download PDFInfo
- Publication number
- CN116016252A CN116016252A CN202211649365.8A CN202211649365A CN116016252A CN 116016252 A CN116016252 A CN 116016252A CN 202211649365 A CN202211649365 A CN 202211649365A CN 116016252 A CN116016252 A CN 116016252A
- Authority
- CN
- China
- Prior art keywords
- autonomous system
- update
- feature vector
- message
- similarity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 27
- 239000013598 vector Substances 0.000 claims abstract description 144
- 230000002159 abnormal effect Effects 0.000 claims abstract description 51
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000012549 training Methods 0.000 claims abstract description 23
- 238000012545 processing Methods 0.000 claims description 39
- 230000015654 memory Effects 0.000 claims description 25
- 230000005856 abnormality Effects 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 10
- 238000013461 design Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 10
- 239000000047 product Substances 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 239000013589 supplement Substances 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 238000002372 labelling Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000007781 pre-processing Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网关协议的检测方法及装置,该方法包括获取第一更新报文,其中,第一更新报文包括第一自治系统的更新的路由信息;根据更新的路由信息和第一自治系统对应的路由更新模型获得第一特征向量,其中,第一自治系统对应的路由更新模型是根据对第一自治系统的历史路由信息训练获得的;根据更新的路由信息和第二自治系统对应的路由更新模型获得第二特征向量,其中,第二自治系统对应的路由更新模型是根据对第二自治系统的历史路由信息的训练获得的,第一自治系统与第二自治系统不同;根据第一特征向量和第二特征向量确定第一更新报文是否存在异常。该方法从多个的自治系统中检测更新报文是否存在异常,提高检测结果的准确率。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种网关协议的检测方法及装置。
背景技术
边界网关协议(Border Gateway Protocol,BGP)是一种去中心化的互联网自治系统(Autonomous System,AS)间的动态路由协议。BGP允许互联网上不同的AS之间自动交换网际互连协议(Internet Protocol,IP)路由信息和可达信息,在互联网中起着关键性的作用。但AS对于接收到的路由缺乏有效的认证机制,导致AS之间会无条件的接收和/或传播路由信息,从而产生安全隐患。目前采用对BGP路由更新报文进行检测的方式,避免出现安全隐患。
目前BGP路由更新报文的检测方法中,仅对目标AS以及与目标AS相关的AS接收到的BGP路由更新报文进行检测,无法准确反映当前BGP是否存在异常。
发明内容
本发明通过了一种网关协议的检测方法及装置,用以提高检测BGP路由更新报文结果的准确率。
第一方面,本申请实施例提供了一种网关协议的检测方法,包括:第一设备获取第一更新报文,其中,第一更新报文包括第一自治系统的更新的路由信息;第一设备根据更新的路由信息和第一自治系统对应的路由更新模型获得第一特征向量,其中,第一自治系统对应的路由更新模型是根据对第一自治系统的历史路由信息训练获得的;第一设备根据更新的路由信息和第二自治系统对应的路由更新模型获得第二特征向量,其中,第二自治系统对应的路由更新模型是根据对第二自治系统的历史路由信息的训练获得的,第一自治系统与第二自治系统不同;第一设备根据第一特征向量和第二特征向量确定第一更新报文是否存在异常。
根据该方法,第一设备可以基于更新路由信息根据第一自治系统对应的路由更新模和第二自治系统对应的路由更新模型,得到第一特征向量和第二特征向量,并根据第一特征向量和第二特征向量判断第一更新报文是否存在异常,其中,第一自治系统与第二自治系统不同,也就是说,第二自治系统可以是所有自治系统中的任一自治系统。因此,第一设备可以从更广泛的自治系统中检测第一更新报文是否存在异常,从而提高检测第一更新报文是否存在异常的准确率。
在一种可能的设计中,第一设备还可以根据第一特征向量和第二特征向量的内积确定第一相似度,并根据第一相似度确定判断第一更新报文是否存在异常。
采用该设计,第一设备可以根据不同的特征向量与第一特征向量之间的相似度判断第一更新报文是否存在异常,可以更准确的判断第一更新报文是否存在异常,从而提高检测结果的准确率。
在一种可能的设计中,第一设备还可以根据第一更新报文对应的更新统计参数以及更新统计参数对应的权重中的确定第一自治系统的更新可信度,其中,更新统计参数包括更新到达频率、自治系统路径数和自治系统路径差异信息中至少一项。
在一种可能的设计中,第一设备还可以根据第一相似度、第一相似度对应的权重、更新可信度以及更新可信度对应的权重确定第一更新报文是否存在异常。
采用该设计,将第一相似度与更新可信度结合起来判断第一更新报文是否存在异常,可以从多个角度来检测第一更新报文是否存在异常,提高检测结果的准确率。
在一种可能的设计中,第一设备还可以根据更新的路由信息和第三自治系统对应的路由更新模型获得第三特征向量,第三自治系统对应的路由更新模型是根据对第三自治系统的历史路由信息的训练获得的,第一自治系统与第三自治系统不同;第一设备还可根据第一特征向量、第二特征向量和第三特征向量判断第一更新报文是否存在异常。
采用该设计,第一设备可以根据第一特征向量、第二特征向量和第三特征向量判断第一更新报文是否存在异常,还可以根据第四特征向量等更多的特征向量判断第一更新报文是否存在异常,从更多的观测点、更广泛的自治系统对第一更新报文进行异常检测与分析,从而提高检测结果的准确率。
在一种可能的设计中,更新的路由信息包括IP地址网络前缀、第一自治系统的编号、第一自治系统的国家和/或地区、第一更新报文的类型、第一自治系统的路径以及下一跳IP地址中的至少一项。
第二方面,本申请实施例提供一种网关协议的检测装置,包括:
通信模块,用于获取第一更新报文,第一更新报文包括第一自治系统的更新的路由信息;
处理模块,用于根据更新的路由信息和第一自治系统对应的路由更新模型获得第一特征向量,第一自治系统对应的路由更新模型是根据第一自治系统的历史路由信息训练获得的;
处理模块,还用于根据更新的路由信息和第二自治系统对应的路由更新模型获得第二特征向量,第二自治系统对应的路由更新模型是根据第二自治系统的历史路由信息的训练获得的,第一自治系统与第二自治系统不同;
处理模块,还用于根据第一特征向量和第二特征向量确定第一更新报文是否存在异常。
在一种可能的设计中,处理模块具体用于:根据第一特征向量和第二特征向量的内积确定第一相似度;根据第一相似度确定判断第一更新报文是否存在异常。
在一种可能的设计中,处理模块还用于:根据第一更新报文对应的更新统计参数以及更新统计参数对应的权重中的确定第一自治系统的更新可信度,更新统计参数包括更新到达频率、自治系统路径数和自治系统路径差异信息中至少一项;处理模块具体用于,根据第一相似度和更新可信度确定第一更新报文是否存在异常。
在一种可能的设计中,处理模块具体用于:根据第一相似度、第一相似度对应的权重、更新可信度以及更新可信度对应的权重确定第一更新报文是否存在异常。
在一种可能的设计中,处理模块还用于:根据更新的路由信息和第三自治系统对应的路由更新模型获得第三特征向量,第三自治系统对应的路由更新模型是根据对第三自治系统的历史路由信息的训练获得的,第一自治系统与第三自治系统不同;处理模块具体用于,根据第一特征向量、第二特征向量和第三特征向量判断第一更新报文是否存在异常。
在一种可能的设计中,更新的路由信息包括IP地址网络前缀、第一自治系统的编号、第一自治系统的国家和/或地区、第一更新报文的类型、第一自治系统的路径以及下一跳IP地址中的至少一项。
第三方面,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时,实现第一方面及其任意一种设计的方法。
第四方面,本申请实施例还提供了一种电子设备,包括存储器和处理器,存储器上存储有可在处理器上运行的计算机程序,当计算机程序被处理器执行时,使得处理器实现第一方面及其任意一种设计的方法。
第二方面至第四方面及其任意一种设计所带来的技术效果可参见第一方面中对应的设计所带来的技术效果,此处不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网关协议的检测方法的流程示意图;
图2为本申请实施例提供的另一种网关协议的检测方法的流程示意图;
图3为本申请实施例提供的一种网关协议的检测系统整体架构图;
图4为本申请实施例提供的一种网关协议的检测装置的结构示意图;
图5为本申请实施例提供的一种电子设备结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作可选的详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
下面,结合现有技术对网关协议的检测方法进行介绍。
BGP是一种去中心化的互联网AS之间的动态路由协议。BGP在互联网上有着关键性的作用,互联网上不同AS之间可基于BGP自动交换IP路由信息和/或可达信息。但BGP本身的安全性较低,通过BGP互联的AS,对于接收到的IP前缀路由缺乏有效的安全认证机制,导致AS会无条件的接收和/或传播另一AS的路由信息,一旦出现问题会带来极大的安全威胁。因此,如何能准确的检测出异常的BGP成为解决此问题的关键。
目前的BGP异常分析与检测方法,通过对目标AS本身接收的BGP更新报文进行异常分析与检测,或者包括与目标AS相关的AS接受的BGP更新报文进行检测。因此,未能检测出异常BGP在更广泛的AS中传播产生的异常,导致检测结果不准确。
为了解决上述缺陷,本申请提供一种网关协议的检测方法及装置,用以提高检测BGP路由更新报文结果的准确率。
本申请中,以第一设备为执行主体为例,采用的方法包括:第一设备获取第一更新报文,其中,第一更新报文包括第一自治系统的更新的路由信息;第一设备根据更新的路由信息和第一自治系统对应的路由更新模型获得第一特征向量,其中,第一自治系统对应的路由更新模型是根据对第一自治系统的历史路由信息训练获得的;第一设备根据更新的路由信息和第二自治系统对应的路由更新模型获得第二特征向量,其中,第二自治系统对应的路由更新模型是根据对第二自治系统的历史路由信息的训练获得的,第一自治系统与第二自治系统不同;第一设备根据第一特征向量和第二特征向量确定第一更新报文是否存在异常。
可理解的,本申请中的第一设备可以用于根据第一自治系统的更新的路由信息以及第一自治系统对应的路由更新模型,获得第一特征向量,其中,第一自治系统的更新的路由信息包括在第一更新报文中。第一设备还可根据第一自治系统的更新的路由信息和第二自治系统对应的路由更新模型,获得第二特征向量,其中,第一自治系统与第二自治系统不同。第一设备再根据第一特征向量和第二特征向量判断第一更新报文是否存在异常。采用此方法,第一设备可以基于更新路由信息根据第一自治系统对应的路由更新模和第二自治系统对应的路由更新模型,得到第一特征向量和第二特征向量,并根据第一特征向量和第二特征向量判断第一更新报文是否存在异常,其中,第一自治系统与第二自治系统不同,也就是说,第二自治系统可以是所有自治系统中的任一自治系统。因此,第一设备可以从更广泛的自治系统中检测第一更新报文是否存在异常,从而提高检测第一更新报文是否存在异常的准确率。
此外,第一设备可以包括在用于执行本申请所示方法的计算机系统中,或者可以是计算机系统中用于执行本申请所示方法的处理装置,如处理器或处理模块等,本申请不具体限定。
图1为本发明实施例提供的一种网关协议的检测方法的流程示意图。该流程可以包括以下步骤:
S101,第一设备获取第一更新报文。其中,第一更新报文包括第一自治系统的更新的路由信息。可理解的,第一更新报文携带需要更新的内容,报文本身可以不携带更新字样的字段。
在一个或多个实施例中,路由信息包括表1中的协议/表格突出列头、时间、IP地址网络前缀、第一自治系统的编号、第一自治系统的国家和/或地区、第一更新报文的类型、第一自治系统的路径、第一自治系统的IP地址以及下一跳IP地址中的至少一项。
表1
可选的,更新的路由信息包括表1中的IP地址网络前缀、第一自治系统的编号、第一自治系统的国家和/或地区、第一更新报文的类型、第一自治系统的路径以及下一跳IP地址中的至少一项。
具体的,第一设备可以通过网络公开的平台获取第一更新报文,例如路由视野(Route Views)平台、BGP监控(BGP Monitor,BGPMon)平台。第一设备还可以通过预先部署的自治系统路由器获取第一更新报文。第一设备获取第一更新报文后,还可以对第一更新报文的数据预处理。
示例性的,图2是一种可实现的更新报文数据处理流程示意图,以第一设备为执行主体,该流程可包括以下步骤:
S201,第一设备对更新报文的数据清洗。其中,数据清洗包括以下步骤:
第一设备对更新报文的数据进行数据去重,即去除更新报文中重复的数据;
第一设备统一更新报文的数据的格式,即将更新报文中不符合遵循设定的格式的数据进行统一格式,例如,英文的大小写、时间格式、国家字段等;
第一设备检查更新报文的数据是否存在缺值,即检查第一更新报文中的数据是否丢失或者异常,若丢失或异常则按照预先设定的方式处理,例如,检查到时间戳字段没有数据,则重新获取第一更新报文。
S202,第一设备提取更新报文中的数据。
具体的,第一设备可提取更新报文中使用的IP地址网络前缀、第一自治系统的编号、自治系统的国家和/或地区、更新报文的类型、自治系统的路径以及更新报文的下一跳IP地址中的至少一项。
S203,第一设备对更新报文进行特征标注。
具体的,第一设备可对更新报文进行异常和/或异常种类的标注,例如,第一设备可以根据网络上公开的BGP异常事件对更新报文进行异常标注,还可以通过人工分析的方式标注异常更新报文的种类,如路由劫持、路由泄露、网络配置错误等。
采用图2流程,第一设备对更新报文进行数据预处理,提取数据报文中指定的数据,从而提高对更新报文分析效率。此外,还可以存储提取的指定数据,作为历史数据。
S102,第一设备根据更新的路由信息和第一自治系统对应的路由更新模型获得第一特征向量。其中,第一自治系统对应的路由更新模型是根据第一自治系统的历史路由信息训练获得的。
示例性的,第一设备可通过以下方式获得第一特征性向量:
第一设备可将更新的路由信息中包括的IP地址网络前缀、第一自治系统的编号、第一自治系统的国家和/或地区、第一更新报文的类型、第一自治系统的路径以及下一跳IP地址的至少一项信息编辑为输入值,并根据输入值和第一自治系统对应的路由更新模型,获得第一特征向量。例如,第一设备可以将IP地址网络前缀的IPv4的地址格式为32位的二进制数字作为第一输入值;第一设备还可以基于词嵌入将第一自治系统的编号映射至结构化的向量空间,得到的向量作为第二输入值;第一设备还可以基于词嵌入将第一自治系统的国家和/或地区文本映射至多维向量,得到的向量作为第三输入值;第一设备还可以基于独热编码将第一更新报文的类型转化成数字作为第四输入值,如将路由声明编码为0,路由撤销编码为1;第一设备还可以将第一自治系统的路径从左侧补0直至第一自治系统的路径数与最长的自治系统路由数相同,并基于词嵌入将补0后的第一自治系统的路径映射结构化的向量空间,得到的向量作为第五输入值;第一设备还可以基于词嵌入将下一跳IP地址的IPv4的地址格式为32位的二进制数字作为第六如输入值;第一设备还可以将第一输入值、第二输入值、第三输入值、第四输入值、第五输入值以及第六输入值进行拼接,并将拼接后的值输入到第一自治系统对应的路由更新模型中,第一自治系统对应的路由更新模型输出第一特征向量。
例如,图3是一种可实现的网关协议的检测系统结构示意图,以图3为例,第一自治系统对应的路由更新模型可以是图3中的第一模型,更新的路由信息可以是图3中的更新的路由信息,第一特征向量可以是图3中的第一特征向量。将更新的路由信息进行特征预处理后,输入到第一模型中,获得第一特征向量。
S103,第一设备根据更新的路由信息和第二自治系统对应的路由更新模型获得第二特征向量。其中,第二自治系统对应的路由更新模型是根据第二自治系统的历史路由信息的训练获得的,第一自治系统与第二自治系统不同。
示例性的,第一设备可通过以下方式获得第二特征性向量:
第一设备可将更新的路由信息中包括的IP地址网络前缀、第一自治系统的编号、第一自治系统的国家和/或地区、第一更新报文的类型、第一自治系统的路径以及下一跳IP地址的至少一项信息编辑为输入值,并根据输入值和第二自治系统对应的路由更新模型,获得第二特征向量。例如,第一设备可以将IP地址网络前缀的IPv4的地址格式为32位的二进制数字作为第一输入值;第一设备还可以基于词嵌入将第一自治系统的编号映射至结构化的向量空间,得到的向量作为第二输入值;第一设备还可以基于词嵌入将第一自治系统的国家和/或地区文本映射至多维向量,得到的向量作为第三输入值;第一设备还可以将第一更新报文的类型转化成数字作为第四输入值,如将路由声明编辑为0,路由撤销编辑为1;第一设备还可以将第一自治系统的路径从左侧补0直至第一自治系统的路径数与最长的自治系统路由数相同,并基于词嵌入将补0后的第一自治系统的路径映射结构化的向量空间,得到的向量作为第五输入值;第一设备还可以基于词嵌入将下一跳IP地址的IPv4的地址格式为32位的二进制数字作为第六如输入值;第一设备还可以将第一输入值、第二输入值、第三输入值、第四输入值、第五输入值以及第六输入值进行拼接,并将拼接后的值输入到第二自治系统对应的路由更新模型中,第二自治系统对应的路由更新模型输出第一特征向量。
例如,以图3为例,第二自治系统对应的路由更新模型可以是图3中的第二模型,更新的路由信息可以是图3中的更新的路由信息,第二特征向量可以是图3中的第二特征向量。将更新的路由信息进行特征预处理后,输入到第二模型中,获得第二特征向量。
此外,第一自治系统与第二自治系统不同。可理解的,第二自治系统可以任意自治系统,可以是与第一自治系统相关的自治系统,也可以是与第一自治系统不相关的自治系统。例如,第一更新报文中可以包括第一自治系统的编号和第二自治系统的编号;第一更新报文也可以仅包括第一自治系统的编号,不包括第二自治系统的编号。可理解的,第一设备可从多观测点的角度对更新报文进行异常检测与分析,从更广泛的自治系统中检测更新报文是否存在异常,从而提高检测结果的准确率。
可选的,本申请中的路由更新模型可以为时序神经网络类模型,可以保留历史输入数据中的特征信息,因此可以更好的获取数据之间的内在联系。例如,长短期记忆(LongShort Term Memory,LSTM)模型,由于LSTM模型具有时间序列记忆保留历史数据的特征信息,基于历史数据的特征信息输出的特征向量可以更好的表示数据之间的内在联系。
S104,第一设备根据第一特征向量和第二特征向量判断第一更新报文是否存在异常。
在一个或多个实施例中,第一设备还可以根据更新的路由信息和第三自治系统对应的路由更新模型获得第三特征向量,第三自治系统对应的路由更新模型是根据对第三自治系统的历史路由信息的训练获得的,第一自治系统与第三自治系统不同;
第一设备还可根据第一特征向量、第二特征向量和第三特征向量判断第一更新报文是否存在异常。
具体的,第一设备获得第三特征向量的方式,可以与S103中获取第二特征向量的方式相同,此处不再赘述。
本申请中,第一设备还可以包括第四自治系统等更多的自治系统,其中,第四自治系统等更多的自治系统均与第一自治系统不同。第一设备可以根据更新的路由信息和更多自治系统对应的路由更新模型,获得更多的特征向量,再根据更多的特征向量判断第一更新报文是否存在异常。
基于步骤S104,第一设备可以根据第一特征向量、第二特征向量和第三特征向量判断第一更新报文是否存在异常,还可以根据第四特征向量等更多的特征向量判断第一更新报文是否存在异常,从更多的观测点、更广泛的自治系统对第一更新报文进行异常检测与分析,从而提高检测结果的准确率。
在一个或多个实施例中,第一设备还可以根据第一特征向量和第二特征向量的内积确定第一相似度,并根据第一相似度确定判断第一更新报文是否存在异常。
具体的,第一设备可以将第一特征向量进行归一化,获得第一归一化向量;第一设备还可以将第二特征向量进行归一化,获得第二归一向量;第一设备可根据将第一归一化向量与第二归一化向量内积得到第一相似度,并根据第一相似度的大小判断第一更新报文是否存在异常。例如,预先设定的更新报文异常规则为当相似度大于0.7时更新报文正常,反之更新报文异常。若第一相似度为0.2,则说明第一更新报文存在异常,若第一相似度为0.9,则说明第一更新报文不存在异常。
可理解的,本申请中若包括更多个自治系统,则可采用相同的方式获得更多个相似度,并根据所有的相似度判断第一更新报文是否存在异常。例如,本申请中还包括第三自治系统,第一设备可以采用上述相同的方式获取第三归一化向量,并将第一归一化向量与第三归一化向量内积得到第二相似度。第一设备根据第一相似度与第二相似度判断第一更新报文是否存在异常。例如,预先设定的更新报文异常规则为至少一个相似度小于0.5。若第一相似度为0.2,第二相似度为0.3,则第一更新报文存在异常;若第一相似度为0.9,第二相似度为0.3,则第一更新报文存在异常;若第一相似度为0.9,第二相似度为0.8,则第一更新报文不存在异常。如图3所示,本申请中,若包括n个自治系统,则可通过n个模型获得n个特征向量,将n个特征向量分别进行归一化,并将第一特征向量分别与其余特征向量进行内积得到对应的相似度,根据所有的相似度确定第一更新报文是否存在异常,具体实施方法与上述方法类似,此处不再赘述。
基于此实施例,第一设备可以根据不同的特征向量与第一特征向量之间的相似度判断第一更新报文是否存在异常,可以更准确的判断第一更新报文是否存在异常,从而提高检测结果的准确率。
在一个或多个实施例中,第一设备还可以根据第一更新报文对应的更新统计参数以及更新统计参数对应的权重中的确定第一自治系统的更新可信度,其中,更新统计参数包括更新到达频率、自治系统路径数和自治系统路径差异信息中至少一项。其中,可选的,第一设备可根据第一相似度和更新可信度确定第一更新报文是否存在异常。
示例性的,第一设备可以通过以下方式确定第一自治系统的更新可信度:
第一设备可以统计第一自治系统中的路由器为单个前缀发送的更新消息的达到频率,其中,到达频率越高,第一自治系统的更新可信度越低;
第一设备还可以统计BGP路由器收到的第一自治系统路径的数量,其中,第一自治系统路径的数量越多,第一自治系统的更新可信度越低;
第一设备还可对比第一自治系统的当前路径与最优路径(如,历史主导路径)之间的差异,根据路径之间编辑距离的差异确定第一自治系统的更新可信度,其中,路径差异越大,第一自治系统的更新可信度越低。
第一设备还可以按照预先设定的规则,给更新到达频率、自治系统路径数和自治系统路径差异分配不同的权重。例如,设定规则为各指标权重相同,则更新到达频率、自治系统路径数和自治系统路径差异的权重均为三分之一。
第一设备可基于各指标分配的权重,将统计的数据进行累加并取其倒数,获得更新可信度的评分,更新可信度的评分越高,则说明第一自治系统越稳定,异常率越低。可选的,为了保证更新可信度的评分的适用性,还可以对更新可信度的评分进行归一化处理。
在一个或多个实施例中,第一设备还可以根据第一相似度、第一相似度对应的权重、更新可信度以及更新可信度对应的权重确定第一更新报文是否存在异常。
具体的,第一设备可以根据预先设定的规则,给第一相似度与更新可信度分配不同的权重;第一设备基于各指标的权重,将第一相似度与更新可信度进行累加,获得总评分,并根据总评分的大小判断第一更新报文是否存在异常。
可理解的,本申请中若包括多个自治系统,则可采用相似的方式判断第一更新报文是否存在异常。
第一设备还可以根据第一相似度和更新可信度综合判断第一更新报文是否异常。例如,若第一相似度低于所设阈值,但更新可信度高于所设阈值,则第一自治系统不是第一更新报文异常的源自治系统,而是受到第一更新报文异常的源自治系统影响的自治系统;若第一相似度第一所设阈值,更新可信度低于所设阈值,则第一自治系统存在极大的可能为第一更新报文异常的源自治系统。
基于此实施例,将第一相似度与更新可信度结合起来判断第一更新报文是否存在异常,可以从多个角度来检测第一更新报文是否存在异常,提高检测结果的准确率。
本申请确定第一更新报文异常之后,还可以对第一更新报文标注异常的类型,作为参考数据,用于训练模型。例如,更新报文异常的类型可以是自治系统劫持、IP地址网络前缀劫持、子IP地址网络前缀劫持以及网络配置错误等。可理解的,第一设备可根据更新可信度以及异常的类型,实现对异常的更新报文更加具体的分析,在确定更新报文异常后还可以确定更新报文的异常类型。
本申请还可以将历史的异常事件通过本申请提供的方法进行检测分析,判断异常发生的原因,并存储对应的数据。例如,可以通过网络公开平台获取历史的异常事件,并收集异常事件的更新报文的路由信息;根据路由信息和第一自治系统对应的路由更新模型获得第一特征向量;根据路由信息和至少一个其他自治系统对应的路由更新模型获得至少一个特征向量,其中,其他自治系统与第一自治系统不同;根据第一特征向量和至少一个特征向量判断第一更新报文是否存在异常,通过多观测点的综合分析,判断异常发生原因,并对检测结果进行检验,将准确的异常分析结果添加到历史数据库中,从而使异常检测系统不断的完善。
基于上述内容和相同构思,本申请提供一种网关协议的检测装置。如图4所示,该装置包括通信模块401和处理模块402。
通信模块401,用于获取第一更新报文,第一更新报文包括第一自治系统的更新的路由信息;
处理模块402,用于根据更新的路由信息和第一自治系统对应的路由更新模型获得第一特征向量,第一自治系统对应的路由更新模型是根据第一自治系统的历史路由信息训练获得的;
处理模块402,还用于根据更新的路由信息和第二自治系统对应的路由更新模型获得第二特征向量,第二自治系统对应的路由更新模型是根据第二自治系统的历史路由信息的训练获得的,第一自治系统与第二自治系统不同;
处理模块402,还用于根据第一特征向量和第二特征向量确定第一更新报文是否存在异常。
在一种可能的设计中,处理模块402具体用于:根据第一特征向量和第二特征向量的内积确定第一相似度;根据第一相似度确定判断第一更新报文是否存在异常。
在一种可能的设计中,处理模块402还用于:根据第一更新报文对应的更新统计参数以及更新统计参数对应的权重中的确定第一自治系统的更新可信度,更新统计参数包括更新到达频率、自治系统路径数和自治系统路径差异信息中至少一项;处理模块402具体用于,根据第一相似度和更新可信度确定第一更新报文是否存在异常。
在一种可能的设计中,处理模块402具体用于:根据第一相似度、第一相似度对应的权重、更新可信度以及更新可信度对应的权重确定第一更新报文是否存在异常。
在一种可能的设计中,处理模块402还用于:根据更新的路由信息和第三自治系统对应的路由更新模型获得第三特征向量,第三自治系统对应的路由更新模型是根据对第三自治系统的历史路由信息的训练获得的,第一自治系统与第三自治系统不同;处理模块402具体用于,根据第一特征向量、第二特征向量和第三特征向量判断第一更新报文是否存在异常。
在一种可能的设计中,更新的路由信息包括IP地址网络前缀、第一自治系统的编号、第一自治系统的国家和/或地区、第一更新报文的类型、第一自治系统的路径以及下一跳IP地址中的至少一项。
图5示出了本申请实施例提供的一种电子设备结构示意图。
本申请实施例中的电子设备可包括处理器501。处理器501是该装置的控制中心,可以利用各种接口和线路连接该装置的各个部分,通过运行或执行存储在存储器503内的指令以及调用存储在存储器503内的数据。可选的,处理器501可包括一个或多个处理单元,处理器501可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器501中。在一些实施例中,处理器501和存储器503可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器501可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法步骤可以直接由硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
在本申请实施例中,存储器503存储有可被至少一个处理器501执行的指令,至少一个处理器501通过执行存储器503存储的指令,可以用于执行本申请实施例所公开的方法步骤。
存储器503作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器503可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等。存储器503是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器503还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
本申请实施例中,该装置还可以包括通信接口502,电子设备可以通过该通信接口502传输数据。
可选的,可由图5所示处理器501(或处理器501和通信接口502)实现图4所示的处理模块402和/或通信模块401,也就是说,可以由处理器501(或处理器501和通信接口502)执行处理模块402和/或通信模块401的动作。
基于相同的发明构思,本申请实施例还提供一种计算机可读存储介质,其中可存储有指令,当该指令在计算机上运行时,使得计算机执行上述方法实施例提供的操作步骤。该计算机可读存储介质可以是图5所示的存储器503。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (14)
1.一种网关协议的检测方法,其特征在于,所述方法包括:
获取第一更新报文,所述第一更新报文包括第一自治系统的更新的路由信息;
根据所述更新的路由信息和所述第一自治系统对应的路由更新模型获得第一特征向量,所述第一自治系统对应的路由更新模型是根据所述第一自治系统的历史路由信息训练获得的;
根据所述更新的路由信息和第二自治系统对应的路由更新模型获得第二特征向量,所述第二自治系统对应的路由更新模型是根据所述第二自治系统的历史路由信息的训练获得的,所述第一自治系统与所述第二自治系统不同;
根据所述第一特征向量和所述第二特征向量确定所述第一更新报文是否存在异常。
2.如权利要求1所述的方法,其特征在于,所述根据所述第一特征向量和所述第二特征向量判断所述第一更新报文是否存在异常,包括:
根据所述第一特征向量和所述第二特征向量的内积确定第一相似度;
根据所述第一相似度确定判断所述第一更新报文是否存在异常。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述第一更新报文对应的更新统计参数以及更新统计参数对应的权重中的确定所述第一自治系统的更新可信度,所述更新统计参数包括更新到达频率、自治系统路径数和自治系统路径差异信息中至少一项;
所述根据所述第一相似度确定判断所述第一更新报文是否存在异常,包括:
根据所述第一相似度和所述更新可信度确定所述第一更新报文是否存在异常。
4.如权利要求3所述的方法,其特征在于,所述根据所述第一相似度和所述更新可信度确定所述第一更新报文是否存在异常,包括:
根据所述第一相似度、所述第一相似度对应的权重、所述更新可信度以及所述更新可信度对应的权重确定所述第一更新报文是否存在异常。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述更新的路由信息和第三自治系统对应的路由更新模型获得第三特征向量,所述第三自治系统对应的路由更新模型是根据对所述第三自治系统的历史路由信息的训练获得的,所述第一自治系统与所述第三自治系统不同;
所述根据所述第一特征向量和所述第二特征向量判断所述第一更新报文是否存在异常,包括:
根据所述第一特征向量、所述第二特征向量和所述第三特征向量判断所述第一更新报文是否存在异常。
6.如权利要求1所述的方法,其特征在于,所述路由信息包括以下信息中的至少一项:
网际互连协议IP地址网络前缀;
第一自治系统的编号;
第一自治系统的国家和/或地区;
第一更新报文的类型;
第一自治系统的路径;
下一跳IP地址。
7.一种网关协议的检测装置,其特征在于,所述装置包括:
通信模块,用于获取第一更新报文,所述第一更新报文包括第一自治系统的更新的路由信息;
处理模块,用于根据所述更新的路由信息和所述第一自治系统对应的路由更新模型获得第一特征向量,所述第一自治系统对应的路由更新模型是根据所述第一自治系统的历史路由信息训练获得的;
所述处理模块,还用于根据所述更新的路由信息和第二自治系统对应的路由更新模型获得第二特征向量,所述第二自治系统对应的路由更新模型是根据所述第二自治系统的历史路由信息的训练获得的,所述第一自治系统与所述第二自治系统不同;
所述处理模块,还用于根据所述第一特征向量和所述第二特征向量确定所述第一更新报文是否存在异常。
8.如权利要求7所述的装置,其特征在于,所述处理模块具体用于:
根据所述第一特征向量和所述第二特征向量的内积确定第一相似度;
根据所述第一相似度确定判断所述第一更新报文是否存在异常。
9.如权利要求7所述的装置,其特征在于,所述处理模块还用于:
根据所述第一更新报文对应的更新统计参数以及更新统计参数对应的权重中的确定所述第一自治系统的更新可信度,所述更新统计参数包括更新到达频率、自治系统路径数和自治系统路径差异信息中至少一项;
所述处理模块具体用于,根据所述第一相似度和所述更新可信度确定所述第一更新报文是否存在异常。
10.如权利要求9所述的装置,其特征在于,所述处理模块具体用于:
根据所述第一相似度、所述第一相似度对应的权重、所述更新可信度以及所述更新可信度对应的权重确定所述第一更新报文是否存在异常。
11.如权利要求7所述的装置,其特征在于,所述处理模块还用于:
根据所述更新的路由信息和第三自治系统对应的路由更新模型获得第三特征向量,所述第三自治系统对应的路由更新模型是根据对所述第三自治系统的历史路由信息的训练获得的,所述第一自治系统与所述第三自治系统不同;
所述处理模块具体用于,根据所述第一特征向量、所述第二特征向量和所述第三特征向量判断所述第一更新报文是否存在异常。
12.如权利要求7所述的装置,其特征在于,所述路由信息包括以下信息中的至少一项:
网际互连协议IP地址网络前缀;
第一自治系统的编号;
第一自治系统的国家和/或地区;
第一更新报文的类型;
第一自治系统的路径;
下一跳IP地址。
13.一种电子设备,其特征在于,所述电子设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-6中任一所述方法的步骤。
14.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6中任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211649365.8A CN116016252A (zh) | 2022-12-21 | 2022-12-21 | 一种网关协议的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211649365.8A CN116016252A (zh) | 2022-12-21 | 2022-12-21 | 一种网关协议的检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116016252A true CN116016252A (zh) | 2023-04-25 |
Family
ID=86024306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211649365.8A Pending CN116016252A (zh) | 2022-12-21 | 2022-12-21 | 一种网关协议的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116016252A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110061918A (zh) * | 2019-04-18 | 2019-07-26 | 广西大学 | 一种自治域间路由安全性评估方法和装置 |
CN112737885A (zh) * | 2020-12-28 | 2021-04-30 | 鹏城实验室 | 一种自治域内自管理的bgp异常检测方法 |
US20210194918A1 (en) * | 2016-02-22 | 2021-06-24 | Oracle International Corporation | Methods and apparatus for finding global routing hijacks |
CN113271286A (zh) * | 2020-02-14 | 2021-08-17 | 华为技术有限公司 | 一种用于实现bgp异常检测的方法、设备及系统 |
-
2022
- 2022-12-21 CN CN202211649365.8A patent/CN116016252A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210194918A1 (en) * | 2016-02-22 | 2021-06-24 | Oracle International Corporation | Methods and apparatus for finding global routing hijacks |
CN110061918A (zh) * | 2019-04-18 | 2019-07-26 | 广西大学 | 一种自治域间路由安全性评估方法和装置 |
CN113271286A (zh) * | 2020-02-14 | 2021-08-17 | 华为技术有限公司 | 一种用于实现bgp异常检测的方法、设备及系统 |
CN112737885A (zh) * | 2020-12-28 | 2021-04-30 | 鹏城实验室 | 一种自治域内自管理的bgp异常检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109450900B (zh) | 拟态判决方法、装置及系统 | |
CN107633016B (zh) | 数据处理方法及装置和电子设备 | |
CN103297267B (zh) | 一种网络行为的风险评估方法和系统 | |
CN112380046B (zh) | 计算结果校验方法、系统、装置、设备及存储介质 | |
CN111881164B (zh) | 基于边缘计算和路径分析的数据处理方法及大数据云平台 | |
CN113778802A (zh) | 异常预测方法及设备 | |
CN111913824A (zh) | 确定数据链路故障原因的方法及相关设备 | |
CN112272184B (zh) | 一种工业流量检测的方法、装置、设备及介质 | |
CN112507265B (zh) | 基于树结构进行异常侦测的方法、装置及相关产品 | |
CN115204889A (zh) | 文本处理方法、装置、计算机设备及存储介质 | |
CN116016252A (zh) | 一种网关协议的检测方法及装置 | |
CN112364286A (zh) | 基于ueba进行异常侦测的方法、装置及相关产品 | |
JP2006268775A (ja) | ソフトウェア動作モデル化装置及びソフトウェア動作監視装置 | |
CN114390118B (zh) | 一种工控资产识别方法、装置、电子设备及存储介质 | |
CN113656466B (zh) | 保单数据查询方法、装置、设备及存储介质 | |
CN112085589B (zh) | 规则模型的安全性的确定方法、装置和服务器 | |
CN112737831A (zh) | 一种固件升级包处理方法、装置、电子设备和存储介质 | |
CN113626405A (zh) | Hdfs网络数据传输优化方法、系统、终端及存储介质 | |
CN112364285A (zh) | 基于ueba建立异常侦测模型的方法、装置及相关产品 | |
CN112488625A (zh) | 退回件识别方法、装置、设备以及存储介质 | |
US7277437B1 (en) | Packet classification method | |
CN111401959B (zh) | 风险群体的预测方法、装置、计算机设备及存储介质 | |
CN114448724B (zh) | 一种用于网络信标篡改检测的数据处理方法及装置 | |
CN117688564B (zh) | 一种用于智能合约事件日志的检测方法、装置和存储介质 | |
CN112035890B (zh) | 一种数据完整性验证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |