【技术实现步骤摘要】
基于多重过滤的网间路由劫持检测方法及电子设备
本公开涉及通信安全
,尤其涉及一种基于多重过滤的网间路由劫持检测方法及电子设备。
技术介绍
网间路由因缺乏地址资源的位置和身份的可信验证,面临路由寻址重要的网络安全隐患,网间路由控制平面被劫持的地址前缀和恶意伪造的路径导致网络流量被重定位到非法目的位置,这些攻击造成网络服务中断甚至事流量窃听,严重影响网络空间安全,因此对网间路由劫持攻击进行监测是十分必要的。相关技术中对网间路由劫持攻击的检测方法主要分为以下几种:控制平面检测技术、数据平面检测技术和复合检测技术。这些检测方法依赖于广泛的基础测量实施以及缺乏实时更新的基础知识库而造成误判和漏判等问题。
技术实现思路
有鉴于此,本公开的目的在于提出一种基于多重过滤的网间路由劫持检测方法及电子设备。基于上述目的,本公开的第一方面提供了一种基于多重过滤的网间路由劫持检测方法。所述基于多重过滤的网间路由劫持检测方法,包括:在目标网络空间中获取路由快照与路由报文;从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树;根据所述路由报文的类型与报文内容,结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件,并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表;根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤;根据过滤结果确定劫持事件,并确定所述劫持事件相应的攻击方与受害方。本公开的第二方 ...
【技术保护点】
1.一种基于多重过滤的网间路由劫持检测方法,包括:/n在目标网络空间中获取路由快照与路由报文;/n从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树;/n根据所述路由报文的类型与报文内容,结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件,并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表;/n根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤;/n根据过滤结果确定劫持事件,并确定所述劫持事件相应的攻击方与受害方;/n其中,所述自治域信息查询字典、所述已分配地址前缀树与所述注册路由前缀树分别根据所述目标网络空间的自治域基础属性信息、已分配地址前缀属性信息与注册路由前缀属性信息所构建。/n
【技术特征摘要】
1.一种基于多重过滤的网间路由劫持检测方法,包括:
在目标网络空间中获取路由快照与路由报文;
从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树;
根据所述路由报文的类型与报文内容,结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件,并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表;
根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤;
根据过滤结果确定劫持事件,并确定所述劫持事件相应的攻击方与受害方;
其中,所述自治域信息查询字典、所述已分配地址前缀树与所述注册路由前缀树分别根据所述目标网络空间的自治域基础属性信息、已分配地址前缀属性信息与注册路由前缀属性信息所构建。
2.根据权利要求1所述的方法,其中,所述从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树,进一步包括:
根据所述路由快照确定与所述路由前缀相应的自治域相关信息;
以所述路由前缀为树节点,以所述自治域相关信息为节点内容构建所述路由前缀地址树;
其中,所述根据所述路由快照确定与所述路由前缀相应的自治域相关信息,进一步包括:
确定与所述路由前缀相关联的多个受监测路由器;
确定从多个所述受监测路由器到所述路由前缀的多条自治域路径;
分别在多条所述自治域路径中确定源自治域;
所述自治域相关信息包括所述受监测路由器、所述自治域路径与所述源自治域。
3.根据权利要求2所述的方法,其中,所述根据所述路由报文的类型与报文内容,结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件,进一步包括:
响应于所述路由报文为路由更新报文,根据所述路由更新报文的报文内容生成<前缀,受监测路由器,自治域路径,源自治域>四元数组;
将所述四元数组的前缀与所述路由前缀地址树进行对比,以确定所述路由前缀地址树中是否存在与所述四元数组的前缀相对应的树节点;
响应于所述路由前缀地址树中存在与所述四元数组的前缀相对应的树节点,将所述四元数组与所述树节点相应的自治域相关信息进行对比,以确定所述自治域相关信息中是否存在与所述四元数组相对应的受监测路由器;
响应于所述自治域相关信息中存在与所述四元数组相对应的受监测路由器,将所述自治域相关信息中与所述受监测路由器相对应的所述源自治域更新为所述四元数组中的源自治域;
响应于所述自治域相关信息中不存在与所述四元数组相对应的受监测路由器,将所述四元数组的受监测路由器、自治域路径与源自治域加入所述树节点的自治域相关信息,并确定所述树节点中源自治域的数量是否发生变化;
响应于所述树节点中源自治域的数量从1变为2,则将所述路由更新报文相应的当前事件标记为劫持嫌疑事件;
响应于所述路由前缀地址树中不存在与所述四元数组的前缀相对应的树节点,将所述四元宿主的签注与所述路由前缀地址树的多个树节点进行最长匹配,以确定所述路由前缀地址树中是否存在与所述四元数组的前缀相匹配的树节点;
响应于所述路由前缀地址树中不存在与所述四元数组的前缀相匹配的树节点,将所述四元数组的前缀作为新的树节点加入所述路由前缀地址树;
响应于所述路由前缀地址树中存在与所述四元数组的前缀相匹配的树节点,将所述四元数组与所述树节点相应的自治域相关信息进行对比,以确定所述四元数组的源自治域与所述自治域相关信息中的源自治域是否相同;
响应于四元数组的源自治域与所述自治域相关信息中的源自治域相同,将所述四元数组的前缀作为新的树节点加入所述路由前缀地址树;
响应于四元数组的源自治域与所述自治域相关信息中的源自治域不同,则将所述路由更新报文相应的当前事件标记为劫持嫌疑事件。
4.根据权利要求3所述的方法,其中,所述根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表,进一步包括:
将每个所述劫持嫌疑事件的事件信息作为一条表项以生成所述嫌疑事件列表;
其中,所述事件信息包括事件前缀、源自治域集合与事件类型;
其中,所述事件前缀为相应所述四元数组中的前缀,所述源自治域集合为与所述四元数组中前缀相对应或相匹配的所述树节点中多个源自治域组成的集合;
使所述树节点中源自治域的数量从1变为2的所述劫持嫌疑事件的事件类型为源地址劫持嫌疑事件;
所述四元数组的源自治域与所述自治域相关信息中的源自治域不同的所述劫持嫌疑事件的事件类型为子前缀地址劫持嫌疑事件;
所述事件信息还包括事件起始时间与事件结束时间;
所述源地址劫持嫌疑事件的事件起始时间根据相应所述路由更新报文的时间戳确定,所述源地址劫持嫌疑事件的事件结束时间根据相应路由回撤报文的时间戳确定;
所述子前缀地址劫持嫌疑事件的事件起始时间根据相应所述路由更新报文的时间戳确定。
5.根据权利要求4所述的方法,其中,所述源地址劫持嫌疑事件的事件结束时间根据相应路由回撤报文的时间戳确定,进一步包括:
响应于所述路由报文为路由回撤报文,根据所述路由回撤报文的报文内容生成<前缀,受监测路由器>二元数组;
将所述二元数组的前缀与所述路由前缀地址树进行对比,以确定所述路由前缀地址树中是否存在与所述二元数组的前缀相对应的树节点;
响应于所述路由前缀地址树中存在与所述二元数组的前缀相对应的树节点,将所述二元数组与所述树节点相应的自治域相关信息进行对比,以确定所述自治域相关信息中是否存在与所述二元数组相对应的受监测路由器;
响应于所述自治域相关信息中存在与所述二元数组相对应的受监测路由器,在所述自治域信息中将所述受监测路由器及相应的自治域路径与源自治域删除,并确定所述树节点中源自治域的数量是否发生变化;
响应于所述树节点中源自治域的数量从2变为1,则根据所述二元数组的前缀在所述嫌疑事件列表确定与所述路由回...
【专利技术属性】
技术研发人员:张沛,黄小红,徐鹏举,赵仕祺,舒琨博,白峻东,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。