检测方法及相关设备技术

技术编号：40520153 阅读：6 留言：0更新日期：2024-03-01 13:38

本申请提供一种检测方法及相关设备。所述方法包括：根据路由表数据和互联网协议地理定位信息构建国家自治系统拓扑图，之后提取得到时间序列特征，并基于真实路由中断事件信息，对其进行标记；利用国家自治系统拓扑图和标记后的时间序列特征对图神经网络进行训练，得到训练后的图神经网络；将待检测路由的时间序列特征和待检测路由的国家自治系统拓扑图输入训练后的图神经网络，得到路由中断检测结果。本申请实施例通过构建拓扑图以及提取路由更新数据的时间序列特征，在检测过程中无需发送大量的探测报文，且图神经网络能够有效考虑到各个自治系统之间的相互依赖信息，使得在中断检测时能够考虑到更多的信息，有效提高中断检测的准确性。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及网络空间安全，尤其涉及一种检测方法及相关设备。

技术介绍

1、现有的域间路由中断事件的检测方法主要包括三大类，第一类是基于规则的检测方法，将高影响路由事件的概念形式化，将高影响路由事件的发现转化为布尔张量分解问题，并识别导致事件的网络元素、使用边界网关协议(border gateway protocol，bgp)的团体属性(community)确定互联网交换中心(internet exchange point，ixp)和托管设置的地理位置，通过查阅信息资源元库(information resource，irr)和自治系统(autonomoussystem，as)门户网站获得各as的bgp community语义，形成基础设施级别的路径图，使用bgp路由信息检测基础设施路由路径的变化，实现基础设施粒度的中断检测。但当as在进行流量工程或发生网络波动时，上述检测方法会产生大量的误报。

2、第二类是基于机器学习的检测方法，其将bgp的更新信息(updates)作为数据源，以分钟为粒度将其表示为数据段(databin)，使用聚类方法将上述数据段进行聚类，得到正常簇和异常簇，进而通过计算待检测期间的数据段与bgp正常行为的偏离程度来检测大规模的bgp异常，但其在检测过程中仅考虑到as自身的特征，但是as在互联网中是否连通不仅取决于该as本身，也取决于该as的上游as在互联网中的连通性。

3、第三类是主动探测的检测方法，其通过导出简单的网络模型，捕获与中断相关的信息，用长期数据来填充模型，并通过网络控制报文

技术实现思路

1、有鉴于此，本申请的目的在于提出一种检测方法及相关设备。

2、基于上述目的，本申请提供了一种检测方法，包括：

3、根据获取的路由表数据和预设的互联网协议地理定位信息构建国家自治系统拓扑图；

4、从获取的路由更新数据中提取得到时间序列特征；所述时间序列特征用于检测路由中断事件；

5、基于获取的真实路由中断事件信息，对所述时间序列特征进行标记；

6、利用所述国家自治系统拓扑图和标记后的所述时间序列特征对待训练的图神经网络进行训练，得到训练后的图神经网络；

7、将待检测路由提取得到的所述时间序列特征和所述待检测路由对应的所述国家自治系统拓扑图输入所述训练后的图神经网络，得到路由中断检测结果。

8、在一种可能的实现方式中，所述根据获取的路由表数据和预设的互联网协议地理定位信息构建国家自治系统拓扑图，包括：

9、基于所述路由表数据，提取得到每个自治系统对应的网络前缀；

10、基于所述预设的互联网协议地理定位信息，统计所述网络前缀所对应的所属于不同国家的所述互联网协议地理定位信息的数量，得到至少一个国家计数信息；

11、将至少一个所述国家计数信息中数量最大的所述国家计数信息对应的国家作为所述网络前缀对应的所述自治系统的所属国家；

12、基于所述自治系统的所属国家，遍历所述路由表数据中的自治系统路径信息，构建得到所述国家自治系统拓扑图。

13、在一种可能的实现方式中，所述基于所述预设的互联网协议地理定位信息，统计所述网络前缀所对应的所属于不同国家的所述互联网协议地理定位信息的数量，得到至少一个国家计数信息，包括：

14、基于所述网络前缀构建得到网络前缀树；

15、基于所述网络前缀树，得到所述预设的互联网协议地理定位信息库中的每个互联网协议地理定位信息所对应的网络前缀；

16、统计所述网络前缀所对应的所属于不同国家的所述互联网协议地理定位信息的数量，得到至少一个国家计数信息。

17、在一种可能的实现方式中，所述从获取的路由更新数据中提取得到时间序列特征，包括：

18、构建字典；所述字典的键为所述自治系统；所述字典的值为二元组；所述二元组的第一个元素为预设时间内获取的观测点收到的属于所述自治系统的网络前缀的回撤消息数量；所述二元组的第二个元素为预设时间内获取的观测点收到的属于所述自治系统的网络前缀的宣告消息数量；

19、基于多段所述预设时间中所述路由更新文件中所述自治系统对应的条目类型，对所述字典的值进行更新，得到所述时间序列特征。

20、在一种可能的实现方式中，所述基于多段所述预设时间中所述路由更新文件中所述自治系统对应的条目类型，对所述字典的值进行更新，得到所述时间序列特征，包括：

21、判断每段预设时间中所述路由更新文件中的条目类型是否属于所述自治系统；

22、响应于所述路由更新文件中的条目类型属于所述自治系统，判断所述条目类型是否为路由回撤或路由更新；

23、响应于所述条目类型为所述路由回撤，更新所述回撤消息数量的值；

24、响应于所述条目类型为所述路由更新，更新所述宣告消息数量的值；

25、根据更新后的所述回撤消息数量和更新后的所述宣告消息数量，构建得到所述时间序列特征。

26、在一种可能的实现方式中，所述真实路由中断事件信息包括：中断事件的自治系统、中断开始时间和中断结束时间；

27、所述基于获取的真实路由中断事件信息，对所述时间序列特征进行标记，包括：

28、将所述中断事件的自治系统、中断开始时间和中断结束时间与所述时间序列特征进行匹配；

29、分别对匹配成功的和未匹配成功的所述时间序列特征进行标记。

30、在一种可能的实现方式中，所述利用所述国家自治系统拓扑图和标记后的所述时间序列特征对待训练的图神经网络进行训练，得到训练后的图神经网络，包括：

31、将所述时间序列特征依据预设的时间间隔进行划分，得到时间窗口；

32、将每个时间窗口中最后一个时间点的标签作为所述时间窗口的标签；

33、利用所述时间窗口、所述时间窗口的标签和所述国家自治系统拓扑图对所述待训练的图神经网络进行训练，得到训练后的图神经网络。

34、基于同一专利技术构思，本申请实施例还提供了一种检测装置，包括：

35、构建模块，被配置为根据获取的路由表数据和预设的互联网协议地理定位信息构建国家自治系统拓扑图；

36、提取模块，被配置为从获取的路由更新数据中提取得到时间序列特征；所述时间序列特征用于检测路由中断事件；

37、标记模块，被配置为基于获取的真实路由中断事件信息，对所述时间序列特征进行标记；

38、训练模块，被配置为利用所述国家自治系统拓扑图和标记后的所述时间序列本文档来自技高网...

【技术保护点】

1.一种检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述根据获取的路由表数据和预设的互联网协议地理定位信息构建国家自治系统拓扑图，包括：

3.根据权利要求2所述的方法，其特征在于，所述基于所述预设的互联网协议地理定位信息，统计所述网络前缀所对应的所属于不同国家的所述互联网协议地理定位信息的数量，得到至少一个国家计数信息，包括：

4.根据权利要求1所述的方法，其特征在于，所述从获取的路由更新数据中提取得到时间序列特征，包括：

5.根据权利要求4所述的方法，其特征在于，所述基于多段所述预设时间中所述路由更新文件中所述自治系统对应的条目类型，对所述字典的值进行更新，得到所述时间序列特征，包括：

6.根据权利要求1所述的方法，其特征在于，所述真实路由中断事件信息包括：中断事件的自治系统、中断开始时间和中断结束时间；

7.根据权利要求1所述的方法，其特征在于，所述利用所述国家自治系统拓扑图和标记后的所述时间序列特征对待训练的图神经网络进行训练，得到训练后的图神经网络，包括：

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任意一项所述的方法。

10.一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，其特征在于，所述计算机指令用于使计算机执行权利要求1至7任一所述方法。

...

【技术特征摘要】

1.一种检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述根据获取的路由表数据和预设的互联网协议地理定位信息构建国家自治系统拓扑图，包括：

4.根据权利要求1所述的方法，其特征在于，所述从获取的路由更新数据中提取得到时间序列特征，包括：

【专利技术属性】
技术研发人员：张沛，张毓，林深远，陈奕舟，杨逸珺，王辉，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人