一种路由事件的检测方法和系统技术方案

本公开一个或多个实施例提供一种路由事件的检测方法和系统；所述方法包括：对网络中的多个源

【技术实现步骤摘要】
一种路由事件的检测方法和系统


[0001]本公开一个或多个实施例涉及互联网安全领域，尤其涉及一种路由事件的检测方法和系统。

技术介绍

[0002]在路由器组成的网络中，现有的对路由事件的检测方法中，由于探针位置的选取，数据可用性的不确定，检测算法的精度等问题，会受到假阳性和假阴性的影响，进而导致路由事件的检测结果的准确性不理想。
[0003]基于此，需要一种能够实现精准判断路由故障，降低假阳性和假阴性对检测结果的影响，提高检测结果准确率的方案。

技术实现思路

[0004]有鉴于此，本公开一个或多个实施例的目的在于提出一种路由事件的检测方法和系统，以解决路由事件检测中的准确率不高的问题。
[0005]基于上述目的，本公开一个或多个实施例提供了路由事件的检测方法，包括：
[0006]在网络中两个不同时刻之间，对多个源
‑
目的地址对中每一个所包含的变化地址，组成一段持续时间内的变化地址集合；
[0007]对在所述变化地址集合之间重复出现的每个所述变化地址，确定与该所述变化地址相关的候选路由事件；
[0008]对所述候选路由事件预设多项特征，包括：距离特征、变化程度特征、拥塞程度特征、地址变化范围特征和持续时间特征；
[0009]对多个所述候选路由事件中的每一个，响应于所述候选路由事件中任一所述特征的特征值大于等于预设的筛选阈值，确定所述候选路由事件为路由事件。
[0010]基于同一专利技术构思，本公开一个或多个实施例还提供了一种异常路由事件的检测系统，包括：变化地址整理、路由事件候选系统、路由事件特征分析系统和路由事件筛选系统；
[0011]其中，所述变化地址整理系统，被配置为：在网络中两个不同时刻之间，对多个源
‑
目的地址对中每一个所包含的变化地址，组成一段持续时间内的变化地址集合；
[0012]所述路由事件候选系统，被配置为：对在所述变化地址集合之间重复出现的每个所述变化地址，确定与该所述变化地址相关的候选路由事件；
[0013]所述路由事件特征分析系统，被配置为：对所述候选路由事件预设多项特征，包括：距离特征、变化程度特征、拥塞程度特征、地址变化范围特征和持续时间特征；
[0014]所述路由事件筛选系统，被配置为：对多个所述候选路由事件中的每一个，响应于所述候选路由事件中任一所述特征的特征值大于等于预设的筛选阈值，确定所述候选路由事件为路由事件；
[0015]本公开的异常路由事件的检测系统还包括：测量系统，被配置为：在所述网络中，
在两个所述不同时刻之间，对网络中多个所述源
‑
目的地址对进行traceroute测量(路由追踪测量)，以得到每个所述源
‑
目的地址对的变化地址；
[0016]其中，得到的所述变化地址是在所述一段持续时间内，所测量到的消失地址和新增地址。
[0017]从上面所述可以看出，本公开一个或多个实施例提供的一种路由事件的检测方法和系统，基于互联网网络的安全领域，综合考虑了探针位置，事件影响程度等因素对路由事件检测结果的影响，从而有效减小了假阳性和假阴性对整体路由事件检测的影响，显著提高了检测的准确性。
附图说明
[0018]为了更清楚地说明本公开一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0019]图1为本公开一个或多个实施例的路由事件检测方法流程图；
[0020]图2为本公开一个或多个实施例的路由事件检测系统示意图；
[0021]图3为本公开一个或多个实施例的路由事件推断的场景图。
具体实施方式
[0022]为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。
[0023]需要说明的是，除非另外定义，本公开一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。
[0024]如
技术介绍
部分所述，现有的异常路由事件的检测方法还难以满足对路由网络中路由异常故障检测的需要。
[0025]申请人在实现本公开的过程中发现，现有的异常路由事件的检测方法存在的主要问题在于：现有的异常路由事件的检测方式受制于探针的布设位置，算法精度等因素，检测方式不够全面，经常出现对路由事件的判断不准确。
[0026]有鉴于此，本公开一个或多个实施例提供了一种路由事件的检测方法，以下，通过具体的实施例进一步详细说明本公开的技术方案。
[0027]具体的，利用探针在网络中进行traceroute测量(路由追踪测量)，得到traceroute路径的变化地址，并组成包含该traceroute路径中全部变化地址的多个变化地址集合；在所有的变化地址中，获取同时存在于不少于2个变化地址集合中的变化地址，并将该变化地址所对应的多个变化地址集合组成针对该变化地址的候选路由事件；进一步
的，为候选路由事件设计5项特征，分别为：距离特征、变化程度特征、拥塞程度特征、持续时间特征和地址变化范围特征，并对每个所述候选路由事件分别取得全部5项特征的特征值，以及该特征的区间范围；进一步的，在每项特征的区间范围中随机选取的候选阈值，将候选路由事件分为主要候选路由事件和次要候选路由事件，并通过不断变化候选阈值的选取，得到单位异常时间下的变化地址集合数量与单位正常时间下的变化地址集合数量的比值，在其比值最大时，得到各个特征的筛选阈值，并依据该筛选阈值，过滤出最终的路由事件。
[0028]可以理解，该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。
[0029]以下，通过具体的实施例，来详细说明本公开一个或多个实施例的技术方法。
[0030]参考图1，本公开一个实施例的一种路由事件的检测方法，包括以下步骤：
[0031]步骤S101、在网络中两个不同时刻之间，对多个源
‑
目的地址对中每一个所包含的变化地址，组成一段持续时间内的变化地址集合。
[0032]在本公开的实施例中，结合图3示出的一个具体的路由事件推断的场景图，其中，探针P1与探针P2布设在地址1，探针P3布设在地址2，并且分别获取了不同的源
‑
目的地址对的路径数据，其中，P1获本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种路由事件的检测方法，包括：在网络中两个不同时刻之间，对多个源
‑
目的地址对中每一个所包含的变化地址，组成一段持续时间内的变化地址集合；对在所述变化地址集合之间重复出现的每个所述变化地址，确定与该所述变化地址相关的候选路由事件；对所述候选路由事件预设多项特征，包括：距离特征、变化程度特征、拥塞程度特征、地址变化范围特征和持续时间特征；对多个所述候选路由事件中的每一个，响应于所述候选路由事件中任一所述特征的特征值大于等于预设的筛选阈值，确定所述候选路由事件为路由事件。2.根据权利要求1所述的方法，其中，还包括：在所述网络中，在两个所述不同时刻之间，对网络中多个所述源
‑
目的地址对进行traceroute测量(路由追踪测量)，以得到每个所述源
‑
目的地址对的变化地址；其中，得到的所述变化地址是在一段所述持续时间内，所测量到的消失地址和新增地址。3.根据权利要求1所述的方法，其中，还包括：对预设的多项所述特征中的每一项，执行如下操作：根据预设的算法，取得全部所述候选路由事件的所述特征的特征值，并建立所述特征的区间范围；根据所述区间范围，选取多个任意值作为候选阈值；响应于确定计算出最大变化数量比的所述候选阈值，在多个所述候选阈值中过滤出所述特征的所述筛选阈值；其中，对选取的多个所述候选阈值中的每一个，执行如下操作：响应于所述候选路由事件的所述特征的特征值不小于所述候选阈值，确定所述候选路由事件为主要候选路由事件；响应于所述候选路由事件的所述特征的特征值小于所述候选阈值，确定所述候选路由事件为次要候选路由事件；根据确定的所述主要候选路由事件和所述次要候选路由事件，进行预设的变化数量比的运算，得到所述候选阈值的变化数量比。4.根据权利要求1所述的方法，其中，所述确定与该所述变化地址相关的候选路由事件，包括：对每个重复出现的所述变化地址，确定与其对应的所有所述变化地址集合，并将其组成为针对该所述变化地址的候选路由事件；其中，所述候选路由事件包含不少于两个所述变化地址集合；其中，对其所有所述变化地址集合的所述持续时间取交集，得到候选路由事件持续时间。5.根据权利要求2或3所述的方法，其中，所述根据预设的算法，取得全部所述候选路由事件的所述特征的特征值，包括：取所述变化地址集合中的第一个变化地址与所述源地址之间的跳数作为最小跳数，并对该所述候选路由事件中的全部所述最小跳数求和，得到所述距离特征的特征值；对该所述候选路由事件的每个所述变化地址集合中的所有所述变化地址，执...

【专利技术属性】
技术研发人员：黄小红，邝野，李建华，丛群，张晓冬，
申请(专利权)人：北京网瑞达科技有限公司中国人民解放军三二一四七部队，
类型：发明
国别省市：