【技术实现步骤摘要】
本申请涉及通信,尤其涉及一种路由异常识别方法、装置、电子设备及存储介质。
技术介绍
1、边界网关协议(border gateway protocol,bgp)是一种去中心化的互联网自治系统(autonomous system,as)间的动态路由协议,其允许互联网上不同as之间自动交换互联网协议(internet protocol,ip)路由信息和可达信息,路由异常对网络安全具有重要影响,常见的bgp异常事件包括路由泄漏、路由劫持和路由中断等。路由泄露是指通告违背商业关系的路由,将不应通告出去的路由前缀信息通告出去,违反了as之间的商业关系,造成网络拥塞或中断,例如,as将其上游路由错误地扩散给其邻居,将导致访问其上游的网络流量去往错误的as;路由劫持是指as通告虚假的bgp路由,也即as通告不属于自身的bgp路由,劫持网络流量,造成互联网服务中断或数据窃取;路由中断是指as在一段时间以内失去了几乎全部的路由而导致其不可达,如主动撤销或链路故障。
2、相关技术中,基于统计分析、历史数据分析或聚类、随机森林等机器学习方法对bgp异常进行识别,然而,在对样本进行分类时,需要从bgp原始数据中人工提取多维特征向量,工作量较大,同时很难确定提取到的特征能够对分类起到有效作用,从而导致bgp异常识别效率和准确度不高。
技术实现思路
1、为了解决bgp异常识别效率和准确度不高的问题,本申请实施例提供了一种路由异常识别方法、装置、电子设备及存储介质。
2、第一方面,本申请实
3、获取待识别边界网关协议bgp更新消息,所述待识别bgp更新消息包括路由前缀信息;
4、获取在所述待识别bgp更新消息之前第一预设时间段内的携带有所述路由前缀的历史bgp更新消息;
5、基于所述历史bgp更新消息和所述待识别bgp更新消息按照预设时间窗口统计在每一时间窗口内的更新特征,得到所述路由前缀对应的各个更新特征的时序序列;
6、将所述路由前缀对应的各个更新特征的时序序列分别转换为所述路由前缀对应的各个更新特征的时序序列图;
7、将所述各个更新特征的时序序列图输入异常识别模型中,得到路由异常识别结果,其中,所述异常识别模型是基于样本bgp更新消息得到的样本路由前缀对应的各个更新特征的时序序列图,按照预设深度神经网络模型进行训练获得的。
8、在一种实施方式中,通过以下方式进行训练获得所述异常识别模型:
9、获取样本bgp更新消息,所述样本bgp更新消息包括第二预设时间段内携带有样本路由前缀的bgp更新消息;
10、针对每一样本路由前缀,基于各个携带有所述样本路由前缀的样本bgp更新消息按照所述预设时间窗口统计在每一时间窗口内的更新特征,得到所述样本路由前缀对应的各个更新特征的时序序列;
11、将所述样本路由前缀对应的各个更新特征的时序序列分别转换为所述样本路由前缀对应的各个更新特征的时序序列图;
12、基于构建的bgp异常事件数据集对每一样本路由前缀对应的各个更新特征的时序序列图对应的异常类型进行标注,得到所述每一样本路由前缀对应的标注结果;
13、基于所述每一样本路由前缀对应的各个更新特征的时序序列图、所述每一样本路由前缀对应的标注结果,按照所述预设深度神经网络模型进行训练,得到所述异常识别模型。
14、在一种实施方式中,在基于构建的bgp异常事件数据集对每一样本路由前缀对应的各个更新特征的时序序列图对应的异常类型进行标注,得到所述每一样本路由前缀对应的标注结果之后,还包括:
15、提取标注结果为异常的样本路由前缀对应的各个更新特征的时序序列图;
16、基于所述标注结果为异常的样本路由前缀对应的各个更新特征的时序序列图和生成对抗网络模型生成扩充的样本路由前缀对应的各个更新特征的时序序列图。
17、在一种实施方式中,所述生成对抗网络模型包括生成器和判别器;
18、基于所述标注结果为异常的样本路由前缀对应的各个更新特征的时序序列图和生成对抗网络模型生成扩充的样本路由前缀对应的各个更新特征的时序序列图,具体包括:
19、将所述标注结果为异常的样本路由前缀对应的各个更新特征的时序序列图输入生成对抗网络模型进行训练,直至模型收敛;
20、将所述生成器生成的第一样本路由前缀对应的各个更新特征的时序序列图,确定为所述扩充的样本路由前缀对应的各个更新特征的时序序列图。
21、在一种实施方式中,所述路由前缀对应的各个更新特征包括所述路由前缀对应的路由信息宣告数量、路由信息撤销数量和路由信息平均宣告路径长度;则
22、将所述路由前缀对应的各个更新特征的时序序列分别转换为所述路由前缀对应的各个更新特征的时序序列图,具体包括:
23、分别绘制所述路由前缀对应的路由信息宣告数量的时序序列、路由信息撤销数量的时序序列和路由信息平均宣告路径长度的时序序列各自对应的折线图,得到各自对应的时序序列图。
24、第二方面,本申请实施例提供了一种路由异常识别装置,包括:
25、第一获取单元,用于获取待识别边界网关协议bgp更新消息,所述待识别bgp更新消息包括路由前缀信息;
26、第二获取单元,用于获取在所述待识别bgp更新消息之前第一预设时间段内的携带有所述路由前缀的历史bgp更新消息;
27、统计单元,用于基于所述历史bgp更新消息和所述待识别bgp更新消息按照预设时间窗口统计在每一时间窗口内的更新特征,得到所述路由前缀对应的各个更新特征的时序序列;
28、转换单元,用于将所述路由前缀对应的各个更新特征的时序序列分别转换为所述路由前缀对应的各个更新特征的时序序列图;
29、识别单元,用于将所述各个更新特征的时序序列图输入异常识别模型中,得到路由异常识别结果,其中,所述异常识别模型是基于样本bgp更新消息得到的样本路由前缀对应的各个更新特征的时序序列图,按照预设深度神经网络模型进行训练获得的。
30、在一种实施方式中,所述装置,还包括:
31、训练单元,用于通过以下方式进行训练获得所述异常识别模型:获取样本bgp更新消息,所述样本bgp更新消息包括第二预设时间段内携带有样本路由前缀的bgp更新消息;针对每一样本路由前缀,基于各个携带有所述样本路由前缀的样本bgp更新消息按照所述预设时间窗口统计在每一时间窗口内的更新特征,得到所述样本路由前缀对应的各个更新特征的时序序列;将所述样本路由前缀对应的各个更新特征的时序序列分别转换为所述样本路由前缀对应的各个更新特征的时序序列图;基于构建的bgp异常事件数据集对每一样本路由前缀对应的各个更新特征的时序序列图对应的异常类型进行标注,得到所述每一样本路由前缀对应的标注结果;基于所述每一样本路由前缀对应的各个更新特征的时序序列图、所述每一样本路由本文档来自技高网...
【技术保护点】
1.一种路由异常识别方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,通过以下方式进行训练获得所述异常识别模型:
3.如权利要求2所述的方法,其特征在于,在基于构建的BGP异常事件数据集对每一样本路由前缀对应的各个更新特征的时序序列图对应的异常类型进行标注,得到所述每一样本路由前缀对应的标注结果之后,还包括:
4.如权利要求3所述的方法,其特征在于,所述生成对抗网络模型包括生成器和判别器;
5.如权利要求1所述的方法,其特征在于,所述路由前缀对应的各个更新特征包括所述路由前缀对应的路由信息宣告数量、路由信息撤销数量和路由信息平均宣告路径长度;则
6.一种路由异常识别装置,其特征在于,包括:
7.如权利要求6所述的装置,其特征在于,还包括:
8.如权利要求6所述的装置,其特征在于,
9.如权利要求7所述的装置,其特征在于,所述生成对抗网络模型包括生成器和判别器;
10.如权利要求6所述的装置,其特征在于,所述路由前缀对应的各个更新特征包括所述路由前缀对应的路由
11.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~5任一项所述的路由异常识别方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~5任一项所述的路由异常识别方法中的步骤。
...【技术特征摘要】
1.一种路由异常识别方法,其特征在于,包括:
2.如权利要求1所述的方法,其特征在于,通过以下方式进行训练获得所述异常识别模型:
3.如权利要求2所述的方法,其特征在于,在基于构建的bgp异常事件数据集对每一样本路由前缀对应的各个更新特征的时序序列图对应的异常类型进行标注,得到所述每一样本路由前缀对应的标注结果之后,还包括:
4.如权利要求3所述的方法,其特征在于,所述生成对抗网络模型包括生成器和判别器;
5.如权利要求1所述的方法,其特征在于,所述路由前缀对应的各个更新特征包括所述路由前缀对应的路由信息宣告数量、路由信息撤销数量和路由信息平均宣告路径长度;则
6.一种路由异常识别装置,其特征在于,包括:
7.如权利要求6...
【专利技术属性】
技术研发人员:崔金奥,贾晋康,周涛,张敏,刘紫千,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。