【技术实现步骤摘要】
路由异常检测方法、装置及系统、计算机存储介质
本申请涉及网络
,特别涉及一种路由异常检测方法、装置及系统、计算机存储介质。
技术介绍
随着互联网的迅速发展,边界网关协议(BorderGatewayProtocol,BGP)网络中的自治系统(autonomoussystem,AS)节点数量不断扩增,网络拓扑愈加复杂,导致BGP网络中频繁发生异常事件。BGP网络中常见的异常事件包括路由劫持和路由泄露。路由劫持也可称为前缀劫持,是一种网络攻击方式,攻击者非法宣告互联网协议(InternetProtocol,IP)前缀,导致到达原来AS的流量被重定向到攻击者所在的AS,造成路由劫持。路由泄露通常是由于配置错误,导致路由转发策略违反了AS之间的业务关系。例如,一个消费者AS错误地将一个提供者AS的BGP更新(英文:update)消息转发给另一个提供者AS,导致路由泄露。其中,BGPupdate消息用于通告路由。目前,通常在云服务中对BGP网络中运行的路由进行异常检测。云服务的路由数据库中存储有BGP网络中全局的IP前缀。...
【技术保护点】
1.一种路由异常检测方法,其特征在于,所述方法包括:/n网络设备接收边界网关协议BGP更新消息;/n所述网络设备确定所述BGP更新消息对应的BGP路由特征;/n所述网络设备向分析设备发送目标路由信息,所述目标路由信息中包括所述BGP路由特征和/或路由异常检测结果,所述路由异常检测结果基于所述BGP路由特征得到,所述路由异常检测结果用于指示所述BGP更新消息正常或异常。/n
【技术特征摘要】
1.一种路由异常检测方法,其特征在于,所述方法包括:
网络设备接收边界网关协议BGP更新消息;
所述网络设备确定所述BGP更新消息对应的BGP路由特征;
所述网络设备向分析设备发送目标路由信息,所述目标路由信息中包括所述BGP路由特征和/或路由异常检测结果,所述路由异常检测结果基于所述BGP路由特征得到,所述路由异常检测结果用于指示所述BGP更新消息正常或异常。
2.根据权利要求1所述的方法,其特征在于,所述网络设备确定所述BGP更新消息对应的BGP路由特征,包括:
所述网络设备根据所述BGP更新消息,获取目标路由前缀以及目标自治系统AS路径,所述目标路由前缀为发布所述BGP更新消息的目标源AS宣告的互联网协议IP前缀,目标AS路径为从所述目标源AS到所述网络设备所在AS的AS路径;
所述网络设备获取携带有所述目标路由前缀的历史BGP更新消息;
所述网络设备根据所述历史BGP更新消息,获取历史AS路径;
所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征。
3.根据权利要求2所述的方法,其特征在于,所述BGP路由特征包括以下一个或多个:
所述目标AS路径与所述历史AS路径的路径相似度;
所述目标AS路径与所述历史AS路径的霸权相似度,所述霸权相似度基于所述目标AS路径上各个AS的中心度以及所述历史AS路径上各个AS的中心度确定;
所述目标AS路径上的AS的罕见度,所述AS的罕见度等于所述AS在所述历史AS路径中的出现次数与所述历史AS路径的数量的比值;
所述目标AS路径的罕见度,所述目标AS路径的罕见度等于目标AS的罕见度,所述目标AS为所述目标AS路径上罕见度最小的AS;
所述历史AS路径上不同于所述目标源AS的源AS的数量;
所述目标源AS的出现概率值,所述出现概率值等于所述目标源AS在所述历史AS路径中的出现次数与所述历史AS路径的数量的比值;
以及所述目标源AS的稳定性,所述稳定性与所述历史AS路径上不同于所述目标源AS的源AS的数量负相关,且与所述网络设备所在AS在所述历史AS路径上的邻居AS不同于所述网络设备所在AS在所述目标AS路径上的邻居AS的数量负相关。
4.根据权利要求2或3所述的方法,其特征在于,所述BGP路由特征包括所述目标AS路径与所述历史AS路径的霸权相似度,所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征,包括:
所述网络设备获取所述目标AS路径对应的第一中心度向量,所述第一中心度向量中包括所述目标AS路径上各个AS的中心度;
所述网络设备获取所述历史AS路径对应的第二中心度向量,所述第二中心度向量中包括所述历史AS路径上各个AS的中心度;
所述网络设备将所述第一中心度向量与所述第二中心度向量之间的相似度作为所述霸权相似度。
5.根据权利要求4所述的方法,其特征在于,在所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征之前,所述方法还包括:
所述网络设备接收所述分析设备发送的AS中心度列表,所述中心度列表中包括网络中各个AS的中心度;
所述网络设备获取所述目标AS路径对应的第一中心度向量,包括:
所述网络设备根据所述目标AS路径上各个AS的标识,从所述AS中心度列表中获取所述目标AS路径上各个AS的中心度,生成所述第一中心度向量;
所述网络设备获取所述历史AS路径对应的第二中心度向量,包括:
所述网络设备根据所述历史AS路径上各个AS的标识,从所述AS中心度列表中获取所述历史AS路径上各个AS的中心度,生成所述第二中心度向量。
6.根据权利要求2至5任一所述的方法,其特征在于,所述BGP路由特征包括所述目标AS路径上的AS的罕见度,在所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征之前,所述方法还包括:
所述网络设备接收所述分析设备发送的AS标识列表,所述AS标识列表中包括运营商AS的标识;
所述网络设备根据所述目标AS路径以及所述历史AS路径,确定所述BGP路由特征,包括:
所述网络设备确定所述目标AS路径上除所述运营商AS以外的其它AS的罕见度,所述目标AS路径上的AS的罕见度等于所述AS在所述历史AS路径中的出现次数与所述历史AS路径的数量的比值。
7.根据权利要求1至6任一所述的方法,其特征在于,所述目标路由信息中包括所述路由异常检测结果,在所述网络设备确定所述BGP更新消息对应的BGP路由特征之后,所述方法还包括:
所述网络设备根据所述BGP路由特征,确定所述路由异常检测结果。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述网络设备接收所述分析设备发送的路由异常检测模型;
所述网络设备根据所述BGP路由特征,生成所述路由异常检测结果,包括:
所述网络设备向所述路由异常检测模型输入所述BGP路由特征,以获取所述路由异常检测模型输出的所述路由异常检测结果。
9.根据权利要求1至8任一所述的方法,其特征在于,当所述BGP更新消息异常时,所述路由异常检测结果还用于指示所述BGP更新消息的路由异常类型。
10.根据权利要求9所述的方法,其特征在于,所述路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。
11.一种路由异常检测方法,其特征在于,所述方法包括:
分析设备接收网络设备发送的目标路由信息,所述目标路由信息中包括所述网络设备接收到的边界网关协议BGP更新消息对应的BGP路由特征和/或路由异常检测结果,所述路由异常检测结果基于所述BGP路由特征得到,所述路由异常检测结果用于指示所述BGP更新消息正常或异常;
所述分析设备根据所述目标路由信息对所述BGP更新消息进行异常分析。
12.根据权利要求11所述的方法,其特征在于,所述目标路由信息中包括所述BGP路由特征,所述分析设备根据所述目标路由信息对所述BGP更新消息进行异常分析,包括:
所述分析设备根据所述BGP路由特征,确定路由异常检测结果;
所述分析设备根据所述路由异常检测结果对所述BGP更新消息进行异常分析。
13.根据权利要求11或12所述的方法,其特征在于,在所述分析设备根据所述目标路由信息对所述BGP更新消息进行异常分析之后,所述方法还包括:
当所述分析设备确定所述BGP更新消息异常时,所述分析设备输出所述BGP更新消息的路由异常类型。
14.根据权利要求11至13任一所述的方法,其特征在于,所述路由异常类型包括路由泄露、路由劫持或路由伪造中的一个或多个。
15.根据权利要求11至14任一所述的方法,其特征在于,所述方法还包括:
所述分析设备向所述网络设备发送网络级BGP信息、路由异常检测模型和消息分析配置参数中的一个或多个,所述网络级BGP信息包括自治系统AS中心度列表和/或AS标识列表,所述AS中心度列表中包括网络中各个AS的中心度,所述AS标识列表中包括运营商AS的标识,所述路由异常检测模型用于基于输入的BGP路由特征输出路由异常检测结果,所述消息分析配置参数包括BGP更新消息分析窗口的大小。
16.一种路由异常检测装置,其特征在于,用于网络设备,所述装置包括:
接收模块,用...
【专利技术属性】
技术研发人员:谢于明,赵宇萍,李野,丁善明,王仲宇,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。