基于多重过滤的网间路由劫持检测方法及电子设备技术

本公开提供一种基于多重过滤的网间路由劫持检测方法及电子设备，能够高效、准确确定路由劫持事件，易于部署实施。所述方法根据路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树；根据路由报文的类型与报文内容，结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件，并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表；根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤；根据过滤结果确定劫持事件，并确定所述劫持事件相应的攻击方与受害方。所述电子设备用于实施所述劫持检测方法。

【技术实现步骤摘要】
基于多重过滤的网间路由劫持检测方法及电子设备
本公开涉及通信安全
，尤其涉及一种基于多重过滤的网间路由劫持检测方法及电子设备。
技术介绍
网间路由因缺乏地址资源的位置和身份的可信验证，面临路由寻址重要的网络安全隐患，网间路由控制平面被劫持的地址前缀和恶意伪造的路径导致网络流量被重定位到非法目的位置，这些攻击造成网络服务中断甚至事流量窃听，严重影响网络空间安全，因此对网间路由劫持攻击进行监测是十分必要的。相关技术中对网间路由劫持攻击的检测方法主要分为以下几种：控制平面检测技术、数据平面检测技术和复合检测技术。这些检测方法依赖于广泛的基础测量实施以及缺乏实时更新的基础知识库而造成误判和漏判等问题。
技术实现思路
有鉴于此，本公开的目的在于提出一种基于多重过滤的网间路由劫持检测方法及电子设备。基于上述目的，本公开的第一方面提供了一种基于多重过滤的网间路由劫持检测方法。所述基于多重过滤的网间路由劫持检测方法，包括：在目标网络空间中获取路由快照与路由报文；从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树；根据所述路由报文的类型与报文内容，结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件，并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表；根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤；根据过滤结果确定劫持事件，并确定所述劫持事件相应的攻击方与受害方。本公开的第二方面提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一方面所述的方法。从上面所述可以看出，本公开提供的基于多重过滤的网间路由劫持检测方法及电子设备，通过根据路由快照提取网络空间中多个路由前缀有一集相应的自治域相关信息构建路由前缀地址树，利用路由前缀地址树来对路由报文进行分析以检测每条路由报文到达时前缀与自治域系统的多源映射关系、子前缀与父前缀的自治域系统映射关系从而初步筛选确定多个劫持嫌疑事件，结合自治域系统、地址分配前缀、路由注册前缀多维度的知识信息，对多个劫持嫌疑事件进行多层次的过滤从而最终准确确定劫持事件，无需大数据量的基础监测数据即可实现对网间路由前缀劫持的快速、准确检测，具有高效、轻量、易部署的优点。附图说明为了更清楚地说明本公开或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本公开实施例所提供的一种基于多重过滤的网间路由劫持检测方法示意图；图2为本公开实施例所提供的一种基于多重过滤的网间路由劫持检测方法中对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤的方法示意图；图3为本公开实施例所提供的一种基于多重过滤的网间路由劫持检测电子设备示意图。具体实施方式为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。需要说明的是，除非另外定义，本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。网间路由监测主要是通过搭建采集器路由器与网络空间中多个自治域系统(AutonomousSystem，简称AS)中的多个被监测的自治域路由器即受监测路由器(VantagePoint，简称vp)建立BGP会话连接，接收该vp的路由快照和路由更新报文，采集路由器收集了每个vp到不同路由前缀的自治域路径(ASpath)。每个采集路由器可能会与多个vp建立BGP会话连接。采集路由器分别每两个小时保存自身的路由快照和每五分钟保存自身从各vp传播过来路由报文(包括路由更新报文和路由回撤报文)。路由快照中记录了每个路由前缀从不同vp到达该前缀的ASpath以及其他路由策略信息。路由报文记录了一条或者多条路由前缀的路径变化信息，包括前缀回撤、路径更新以及该前缀相应源自治域(源AS)变化，源自治域(源AS)是ASpath的最后一个AS,一般是这个前缀宣告的AS。通过监测前缀源AS的变化以及从vp到达路由前缀的ASpath变化实现网间路由攻击的检测。根据所使用的数据类型，相关技术对于网间路由攻击的检测方法主要分为以下几种：控制平面检测技术、数据平面检测技术和复合检测技术。控制平面检测技术的主要思想是：收集BGP原始更新报文信息和路由表，通过分析BGP原始报文数据检测前缀劫持异常；数据平面监测技术的主要思想是：通过主动探测被监控网络的数据层信息，观察到达的目的前缀的网络信息是否存在异常并根据异常特征识别是否为前缀劫持。复合监测技术结合了控制平面和数据平面技术，先在控制平面技术发现前缀劫持异常，然后通过数据平面技术发送探测数据包进行验证。然而相关技术中这些检测方法多依赖于广泛的基础测量实施以及缺乏实时更新的基础知识库，易造成误判和漏判等问题。基于上述原因，本公开提出一个基于多重过滤的网间路由劫持检测方法，在网络空间中设置采集路由器获取路由快照和路由报文，根据路由快照和路由报文初步确定可能的劫持事件并结合自治域系统、地址分配前缀、路由注册前缀多维度的知识信息多重过滤从而准确确定劫持事件。基于上述专利技术构思，在一方面本公开提供一种基于多重过滤的网间路由劫持检测方法。如图1所示，本公开的一些可选实施例所提供的一种基于多重过滤的网间路由劫持检测方法，包括：S1：在目标网络空间中获取路由快照与路由报文。其中，路由快照中记录了每个路由前缀从不同受监测路由器vp到达该前缀的自治域路径(ASpath)以及其他路由策略信息，以及在自治域路径中还可以确定源自治域；而路由快照中记录了每个路由前缀从不同vp到达该前缀的ASpath以及其他路由策略信息。路由报文记录了一条或者多条路由前缀的路径变化信息，包括前缀回撤、路径更新以及该前缀相应源自治域(源AS)变化信息。S2：从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树。可以将所提取的路由前缀作为树节点，相应的所述自治域相关信息作为树节点的节点内容来构建所述路由前缀地址树。S3：根据所述路由报文的类型与报文内容，结合所述路由前缀地址对当前事件进行分析以本文档来自技高网...

【技术保护点】
1.一种基于多重过滤的网间路由劫持检测方法，包括：/n在目标网络空间中获取路由快照与路由报文；/n从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树；/n根据所述路由报文的类型与报文内容，结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件，并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表；/n根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤；/n根据过滤结果确定劫持事件，并确定所述劫持事件相应的攻击方与受害方；/n其中，所述自治域信息查询字典、所述已分配地址前缀树与所述注册路由前缀树分别根据所述目标网络空间的自治域基础属性信息、已分配地址前缀属性信息与注册路由前缀属性信息所构建。/n

【技术特征摘要】
1.一种基于多重过滤的网间路由劫持检测方法，包括：
在目标网络空间中获取路由快照与路由报文；
从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树；
根据所述路由报文的类型与报文内容，结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件，并根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表；
根据所述事件信息结合自治域信息查询字典、已分配地址前缀树、注册路由前缀树对所述嫌疑事件列表中的多个所述劫持嫌疑事件进行多重过滤；
根据过滤结果确定劫持事件，并确定所述劫持事件相应的攻击方与受害方；
其中，所述自治域信息查询字典、所述已分配地址前缀树与所述注册路由前缀树分别根据所述目标网络空间的自治域基础属性信息、已分配地址前缀属性信息与注册路由前缀属性信息所构建。


2.根据权利要求1所述的方法，其中，所述从所述路由快照提取路由前缀以及相应的自治域相关信息以构建路由前缀地址树，进一步包括：
根据所述路由快照确定与所述路由前缀相应的自治域相关信息；
以所述路由前缀为树节点，以所述自治域相关信息为节点内容构建所述路由前缀地址树；
其中，所述根据所述路由快照确定与所述路由前缀相应的自治域相关信息，进一步包括：
确定与所述路由前缀相关联的多个受监测路由器；
确定从多个所述受监测路由器到所述路由前缀的多条自治域路径；
分别在多条所述自治域路径中确定源自治域；
所述自治域相关信息包括所述受监测路由器、所述自治域路径与所述源自治域。


3.根据权利要求2所述的方法，其中，所述根据所述路由报文的类型与报文内容，结合所述路由前缀地址对当前事件进行分析以确定多个劫持嫌疑事件，进一步包括：
响应于所述路由报文为路由更新报文，根据所述路由更新报文的报文内容生成<前缀，受监测路由器，自治域路径，源自治域>四元数组；
将所述四元数组的前缀与所述路由前缀地址树进行对比，以确定所述路由前缀地址树中是否存在与所述四元数组的前缀相对应的树节点；
响应于所述路由前缀地址树中存在与所述四元数组的前缀相对应的树节点，将所述四元数组与所述树节点相应的自治域相关信息进行对比，以确定所述自治域相关信息中是否存在与所述四元数组相对应的受监测路由器；
响应于所述自治域相关信息中存在与所述四元数组相对应的受监测路由器，将所述自治域相关信息中与所述受监测路由器相对应的所述源自治域更新为所述四元数组中的源自治域；
响应于所述自治域相关信息中不存在与所述四元数组相对应的受监测路由器，将所述四元数组的受监测路由器、自治域路径与源自治域加入所述树节点的自治域相关信息，并确定所述树节点中源自治域的数量是否发生变化；
响应于所述树节点中源自治域的数量从1变为2，则将所述路由更新报文相应的当前事件标记为劫持嫌疑事件；
响应于所述路由前缀地址树中不存在与所述四元数组的前缀相对应的树节点，将所述四元宿主的签注与所述路由前缀地址树的多个树节点进行最长匹配，以确定所述路由前缀地址树中是否存在与所述四元数组的前缀相匹配的树节点；
响应于所述路由前缀地址树中不存在与所述四元数组的前缀相匹配的树节点，将所述四元数组的前缀作为新的树节点加入所述路由前缀地址树；
响应于所述路由前缀地址树中存在与所述四元数组的前缀相匹配的树节点，将所述四元数组与所述树节点相应的自治域相关信息进行对比，以确定所述四元数组的源自治域与所述自治域相关信息中的源自治域是否相同；
响应于四元数组的源自治域与所述自治域相关信息中的源自治域相同，将所述四元数组的前缀作为新的树节点加入所述路由前缀地址树；
响应于四元数组的源自治域与所述自治域相关信息中的源自治域不同，则将所述路由更新报文相应的当前事件标记为劫持嫌疑事件。


4.根据权利要求3所述的方法，其中，所述根据多个所述劫持嫌疑事件的事件信息生成嫌疑事件列表，进一步包括：
将每个所述劫持嫌疑事件的事件信息作为一条表项以生成所述嫌疑事件列表；
其中，所述事件信息包括事件前缀、源自治域集合与事件类型；
其中，所述事件前缀为相应所述四元数组中的前缀，所述源自治域集合为与所述四元数组中前缀相对应或相匹配的所述树节点中多个源自治域组成的集合；
使所述树节点中源自治域的数量从1变为2的所述劫持嫌疑事件的事件类型为源地址劫持嫌疑事件；
所述四元数组的源自治域与所述自治域相关信息中的源自治域不同的所述劫持嫌疑事件的事件类型为子前缀地址劫持嫌疑事件；
所述事件信息还包括事件起始时间与事件结束时间；
所述源地址劫持嫌疑事件的事件起始时间根据相应所述路由更新报文的时间戳确定，所述源地址劫持嫌疑事件的事件结束时间根据相应路由回撤报文的时间戳确定；
所述子前缀地址劫持嫌疑事件的事件起始时间根据相应所述路由更新报文的时间戳确定。


5.根据权利要求4所述的方法，其中，所述源地址劫持嫌疑事件的事件结束时间根据相应路由回撤报文的时间戳确定，进一步包括：
响应于所述路由报文为路由回撤报文，根据所述路由回撤报文的报文内容生成<前缀，受监测路由器>二元数组；
将所述二元数组的前缀与所述路由前缀地址树进行对比，以确定所述路由前缀地址树中是否存在与所述二元数组的前缀相对应的树节点；
响应于所述路由前缀地址树中存在与所述二元数组的前缀相对应的树节点，将所述二元数组与所述树节点相应的自治域相关信息进行对比，以确定所述自治域相关信息中是否存在与所述二元数组相对应的受监测路由器；
响应于所述自治域相关信息中存在与所述二元数组相对应的受监测路由器，在所述自治域信息中将所述受监测路由器及相应的自治域路径与源自治域删除，并确定所述树节点中源自治域的数量是否发生变化；
响应于所述树节点中源自治域的数量从2变为1，则根据所述二元数组的前缀在所述嫌疑事件列表确定与所述路由回...

【专利技术属性】
技术研发人员：张沛，黄小红，徐鹏举，赵仕祺，舒琨博，白峻东，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11