【技术实现步骤摘要】
BGP异常的检测方法、装置、设备及计算机存储介质
[0001]本专利技术涉及网络安全
,特别涉及一种BGP异常的检测方法、装置、设备及计算机存储介质。
技术介绍
[0002]BGP(Border Gateway Protocol,边界网关协议)是一种去中心化的动态路由协议。它允许互联网上不同AS(Autonomous System,自治系统)之间自动交换IP(Internet Protocol,网际互联协议)路由信息和可达信息。黑客通过宣称拥有其它AS的路由或IP前缀来劫持去往目标AS的网络流量,实现盗取用户信息或者网络攻击的目的,由此,导致网络的安全性较低。
技术实现思路
[0003]本公开示例性的实施方式中提供一种BGP异常的检测方法、装置、设备及计算机存储介质,用于提高网络的安全性。
[0004]本公开的第一方面提供一种BGP异常的检测方法,所述方法包括:
[0005]每隔指定时长,基于各观测点在所述指定时长内的边界网络协议BGP更新数据,确定可见性矩阵,其中,任意一个观测点对应一个自治系统AS,所述可见性矩阵用于表示所述各观测点分别在所述指定时长内更新的各网际互联协议IP前缀;
[0006]基于所述可见性矩阵中各第一矩阵的矩阵密度对所述可见性矩阵进行更新,得到更新后的可见性矩阵,其中,任意一个第一矩阵为所述可见性矩阵中的任意一行或任意一列;
[0007]根据所述更新后的可见性矩阵中的各IP前缀,得到可疑前缀集合;
[0008]通过所述可疑前缀集合中...
【技术保护点】
【技术特征摘要】
1.一种BGP异常的检测方法,其特征在于,所述方法包括:每隔指定时长,基于各观测点在所述指定时长内的边界网络协议BGP更新数据,确定可见性矩阵,其中,任意一个观测点对应一个自治系统AS,所述可见性矩阵用于表示所述各观测点分别在所述指定时长内更新的各网际互联协议IP前缀;基于所述可见性矩阵中各第一矩阵的矩阵密度对所述可见性矩阵进行更新,得到更新后的可见性矩阵,其中,任意一个第一矩阵为所述可见性矩阵中的任意一行或任意一列;根据所述更新后的可见性矩阵中的各IP前缀,得到可疑前缀集合;通过所述可疑前缀集合中的各IP前缀的活跃度指标,确定所述可疑前缀集合中的异常IP前缀,其中,所述活跃度指标用于表示IP前缀在所述指定时长内的活跃程度;若所述异常IP前缀的数量大于第一指定阈值,则确定发生BGP异常。2.根据权利要求1所述的方法,其特征在于,所述可见性矩阵中的各元素分别表示各观测点在所述指定时长内是否对各IP前缀进行更新,且所述可见性矩阵中位于同一列的各元素对应的观测点相同,以及位于同一行的各元素对应的IP前缀相同;所述基于各观测点在所述指定时长内的边界网络协议BGP更新数据,确定可见性矩阵,包括:针对任意一个BGP更新数据,基于与所述BGP更新数据对应的观测点,得到所述观测点在预设的初始矩阵中对应的目标列;以及,根据所述BGP更新数据中更新的IP前缀,得到所述更新的IP前缀在所述初始矩阵中对应的目标行;并,将所述初始矩阵中所述目标行和所述目标列对应的元素的值设置为第一指定数值,得到与所述BGP更新数据对应的中间矩阵,其中,所述初始矩阵、所述中间矩阵和所述可见性矩阵的大小相同;将各BGP更新数据对应的各中间矩阵进行相加,得到所述可见性矩阵。3.根据权利要求1所述的方法,其特征在于,所述基于所述可见性矩阵中各第一矩阵的矩阵密度对所述可见性矩阵进行更新,得到更新后的可见性矩阵,包括:基于所述可见性矩阵中各第一矩阵中的元素,得到所述各第一矩阵各自的矩阵密度;删除所述可见性矩阵中矩阵密度最低的第一矩阵,得到第一中间可见性矩阵;判断所述第一中间可见性矩阵的矩阵密度是否大于指定密度;若是,则将所述第一中间可见性矩阵确定为所述更新后的可见性矩阵;若否,则将所述矩阵密度最低的第一矩阵添加到第一矩阵集合中,并对所述第一矩阵集合中的各第一矩阵进行遍历;针对任意一个遍历到的目标第一矩阵,将所述目标第一矩阵添加到所述第一中间可见性矩阵中,得到第二中间可见性矩阵;若所述第二中间可见性矩阵的矩阵密度大于所述第一中间可见性矩阵的矩阵密度,则将所述第二中间可见性矩阵确定为所述可见性矩阵后,返回基于所述可见性矩阵中各第一矩阵中的元素,得到所述各第一矩阵各自的矩阵密度的步骤,直至所述第一中间可见性矩阵的矩阵密度大于所述指定密度,则将所述第一中间可见性矩阵确定为所述更新后的可见性矩阵;若所述第二中间可见性矩阵的矩阵密度不大于所述第一中间可见性矩阵的矩阵密度,则返回对所述第一矩阵集合中的各第一矩阵进行遍历的步骤,直至遍历结束或确定出第二
中间可见性矩阵的矩阵密度大于所述第一中间可见性矩阵的矩阵密度的目标第一矩阵,则返回基于所述可见性矩阵中各第一矩阵中的元素,得到所述各第一矩阵各自的矩阵密度的步骤,直至所述第一中间可见性矩阵的矩阵密度大于所述指定密度,则将所述第一中间可见性矩阵确定为所述更新后的可见性矩阵。4.根据权利要求1或3所述的方法,其特征在于,通过以下方式确定任意一个第一矩阵的矩阵密度:针对所述可见性矩阵中的任意一个第一矩阵,将所述第一矩阵中元素值为所述第一指定数值的各元素的总数量与所述第一矩阵中各元素的总数量相除,得到所述第一矩阵的矩阵密度。5.根据权利要求1所述的方法,其特征在于,所述基于所述可见性矩阵中各第一矩阵的矩阵密度对所述可见性矩阵进行更新,得到更新后的可见性矩阵之前,所述方法还包括:确定所述可见性矩阵的矩阵密度不大于指定密度。6.根据权利要求5所述的方法,其特征在于,所述方法还包括:若所述可见性矩阵的矩阵密度大于所述指定密度,则将所述可见性矩阵确定为所述更新后的可见性矩阵。7.根据权利要求1~3、5~6中任一所述的方法,其特征在于,通过以下方式确定所述可见性矩阵的矩阵密度:将所述可见性矩阵中元素值为第一指定数值的各元素的总数量与所述可见性矩阵中各元素的总数量相除,得到所述可见性矩阵的矩阵密度。8.根据权利要求1所述的方法,其特征在于,所述通过所述可疑前缀集合中的各IP前缀的活跃度指标,确定所述可疑前缀集合中的异常IP前缀,包括:针对所述可疑前缀集合中的任意一个IP前缀,将所述IP前缀的活跃度变化值与第二指定阈值相比,其中,所述活跃度变化值为所述IP前缀在所述指定时长内的活跃度指标与所述IP前缀的目标活跃度指标的差值的绝对值,且所述目标活跃度指标为所述IP前缀分别在前指定数量的各指定时长内的活跃度指标的平均值;若所述IP前缀的活跃度变化值大于所述第二指定阈值,则确定所述IP前缀为所述异常IP前缀。9.根据权利要求1或8所述的方法,其特征在于,通过以下方式确定IP前缀的活跃度指标:针对任意一个IP前缀,基于所述指定时长内的各BGP更新数据,得到所述IP前缀对应的路由更新数量;以及,通过所述指定时长内各IP前缀对应的各路由更新数量中的最大路由更新数量对所述IP前缀对应的路由更新数量进行归一化,得到所述IP前缀的归一化后的路由更新数量;根据所述IP前缀的归一化后的路由更新数量以及所述IP前缀的可见范围参数,得到所述IP前缀的活跃度指标,其中,所述IP前缀的可见范围参数是将所述更新后的可见性矩阵中所述IP前缀的对应列中的参数值为第一指定参数值的参数的总数量与所述列中各参数的总数量相除得到的。10.根据权利要求9所述的方法,其特征在于,所述通过所述指定时长内各IP前缀对应的各路由更新数量中的最大路由更新数量对所述IP前缀对应的路由更新数量进行归一化,
得到所述IP前缀的归一化后的路由更新数量,包括:将所述IP前缀对应的路由更新数量与所述最大路由更新数量相除,得到所述IP前缀的归一化后的路由更新数量;所述根据所述IP前缀的归一化后的路由更新数量以及所述IP前缀的可见范围参数,得到所述IP前缀的活跃度指标,包括:将所述IP前缀的归一化后的路由更新数量与所述IP前缀的可见范围参数进行加权求和,得到所述IP前缀的活跃度指标。11.根据权利要求1所述的方法,其特征在于,所述若所述异常IP前缀的数量大于第一指定阈值,则确定发生BGP异常之后,所述方法还包括:利用预设的聚类算法对所述可疑前缀集合和前指定数量的各指定时长的可疑前缀集合进行聚类,得到多个目标可疑前缀集合;将属于同一目标可疑前缀集合中的各可疑前缀集合,确定为同源BGP异常;将不属于同一目标可疑前缀集合的各可疑前缀集合,确定为独立BGP异常。12.一种BGP异常的检测装置,其特征在于,所述装置包括:可见性矩阵确定模块,用于每隔指定时长,基于各观测点在所述指定时长内的边界网络协议BGP更新数据,确定可见性矩阵,其中,任意一个观测点对应一个自治系统AS,所述可见性矩阵用于表示所述各观测点分别在所述指定时长内更新的各网际互联协议IP前缀;第一更新模块,用于基于所述可见性矩阵中各...
【专利技术属性】
技术研发人员:崔金奥,贾晋康,周涛,张敏,刘紫千,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。