【技术实现步骤摘要】
本专利技术涉及域间路由安全中的域间异常检测,具体为一种基于bgp图的bgp异常检测和溯源方法。
技术介绍
1、边界网关协议(bordergatewayprotocol)是实现全球自治系统互联互通的基础保障,但是在设计之初缺乏安全认证机制,导致bgp异常频发。其中大规模bgp异常更是具有传播速度快、波及范围广的特点,对全球域间路由安全造成巨大威胁。bgp异常检测则是通过主、被动获取的路由数据检测异常,并对可疑的路由信息进一步定位,路由信息包括前缀和自治系统(autonomoussystem,as)等;使得运维人员可以快速溯源并缓释异常。然而,面对规模巨大,连接数量众多的as网络拓扑,仅靠现有方法无法进行准确的异常检测和定位。因此,需要基于as之间连接构建的拓扑,开展bgp异常检测与溯源机制的研究,实时监测全球bgp运行态势,并进行溯源分析,保障国家域间网络安全。
2、这类方法通常使用海量的bgp历史路由数据,分析历史bgp路由行为规则和模式作为先验知识,检测as发送的bgp路由消息,有效识别bgp异常并进行溯源。然而,现有异常检测方法在实时性、准确性和智能化方面,还具有较大提升空间。究其根本,主要存在以下三点问题:
3、1)采集数据具有偏向性和不完整性;
4、2)bgp路由行为的动态变化;
5、3)bgp网络是分布式系统且规模庞大。
技术实现思路
1、针对现有技术的不足,本专利技术公开了一种基于bgp图的bgp异常检测和溯源方法,以解决
2、为实现上述目的,本专利技术提供如下技术方案:一种基于bgp图的bgp异常检测和溯源方法,其特征在于,包括以下步骤:
3、步骤1、数据采集与初始拓扑构建,包括:
4、s11、基于全球采集点采集bgp路由数据,包括bgp路由表(rib表)数据以及bgp路由更新数据;
5、s12、根据采集到的路由数据构建初始的全球bgp网络拓扑;
6、步骤2、提出增量更新机制,根据bgp消息的不同情况,包括显式宣告、显式撤销和隐式撤销,分别采用三种图更新机制,动态更新bgp网络拓扑,确保拓扑的实时性和准确性;
7、步骤3、拓扑特征提取与构建bgp嵌入图,包括:
8、s31、计算拓扑的节点信息,包括节点的出度、入度和pagerank值;
9、s32、计算拓扑的边信息,包括流经as的前缀数量;
10、s33、基于节点信息和边信息,提取图相关的特征,包括边特征、局部拓扑特征、全局拓扑特征和路径相关特征;
11、s34、基于提取的特征,构建bgp嵌入图;
12、步骤4、异常检测与溯源,包括:
13、将bgp嵌入图输入到图卷积神经网络(graph convolutional network,gcn)模型中,通过多阶邻域聚合的方式,结合节点属性、边属性和邻接关系,进行异常检测;
14、如果检测结果为异常,则进行异常溯源,通过特征空间压缩和扩展,定位异常as集合。
15、优选的,步骤2中,具体步骤包括:
16、s21、首先,根据bgp路由表 r t-1构建初始全球路由拓扑;
17、s22、然后,根据该时刻的路由更新消息更新全球路由拓扑得到该时刻的路由拓扑;
18、其中,拓扑更新时,分为三类情况,包括:显式宣告、显式撤销和隐式撤销;对于给定的每条给定时刻 t的第 i条路由更新消息:
19、1)显式撤销为路由更新消息中的操作属性为撤销 w操作,同时在路由表 r中前缀 p存在,公式化表示为:
20、
21、其中,表示在 t时刻的路由表 r t中前缀 p对应的路由, r t表示时刻t的路由表;在该情况下,对 g( t-1)中的的as连接进行删除, g( t- 1)表示时刻t-1的bgp网络拓扑图;
22、2)显式宣告为存在路由更新消息的操作属性为宣告 a,其中, a表示bgp 图的邻接矩阵;同时 t时刻的前缀 p的路由表为空,公式化表示为:
23、
24、其中,在显示宣告的情况下,对 g( t-1)中的中的as连接进行添加;
25、3)隐式撤销为路由更新消息为宣告消息,同时不为空,另外路由更新消息中的路由属性不属于 t时刻前缀 p的路由集合中,公式化表示为:
26、
27、其中,在隐式撤销的情况下,对中的中的as连接进行添加,同时对路由表中的中的as连接进行删除。
28、优选的,步骤4中,异常检测与溯源,具体包括以下步骤:
29、s41、将节点属性、边属性以及拓扑的邻接关系输入到图卷积神经网络中,公式化表示为:
30、
31、
32、其中, f(l+1)表示图卷积神经网络第 l+1层的输出,是一个维度为 r n×h的矩阵,其中 n代表图中的节点数量, h表示该层特征的维度,即每个节点所具有的特征数量, d表示度矩阵, a表示bgp图的邻接矩阵, f (l)表示图卷积神经网络的第 l层的输出,σ表示激活函数,表示第 l层的可学习参数矩阵,表示带权重自循环的连接矩阵;
33、其中,的定义为:
34、当边 e ij=1,即节点 i和节点 j之间存在本文档来自技高网...
【技术保护点】
1.一种基于BGP图的BGP异常检测和溯源方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于BGP图的BGP异常检测和溯源方法,其特征在于:步骤2中,具体步骤包括:
3.根据权利要求2所述的一种基于BGP图的BGP异常检测和溯源方法,其特征在于:拓扑更新时,分为三类情况,包括显式宣告、显式撤销和隐式撤销;对于给定的每条给定时刻t的第i条路由更新消息。
4.根据权利要求3所述的一种基于BGP图的BGP异常检测和溯源方法,其特征在于:显式撤销为路由更新消息中的操作属性为撤销W操作,同时在路由表R中前缀p存在,公式化表示为:
5.根据权利要求3所述的一种基于BGP图的BGP异常检测和溯源方法,其特征在于:显式宣告为存在路由更新消息的操作属性为宣告A,其中,A表示BGP 图的邻接矩阵;同时t时刻的前缀p的路由表为空,公式化表示为:
6.根据权利要求3所述的一种基于BGP图的BGP异常检测和溯源方法,其特征在于:隐式撤销为路由更新消息为宣告消息,同时不为空,另外路由更新消息中的路由属性不属于t时刻前缀p的路由集合中
7.根据权利要求1所述的一种基于BGP图的BGP异常检测和溯源方法,其特征在于:步骤4中,异常检测与溯源,具体包括以下步骤:
8.根据权利要求1所述的一种基于BGP图的BGP异常检测和溯源方法,其特征在于:步骤4中,如果检测结果为异常,则通过使用auto-encoder模型框架进行异常溯源与定位,使用encoder将数据进行特征空间压缩,使用decoder进行特征空间的扩展,同时使用均方差损失lb优化溯源模型参数,公式化表示如下:
...【技术特征摘要】
1.一种基于bgp图的bgp异常检测和溯源方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于bgp图的bgp异常检测和溯源方法,其特征在于:步骤2中,具体步骤包括:
3.根据权利要求2所述的一种基于bgp图的bgp异常检测和溯源方法,其特征在于:拓扑更新时,分为三类情况,包括显式宣告、显式撤销和隐式撤销;对于给定的每条给定时刻t的第i条路由更新消息。
4.根据权利要求3所述的一种基于bgp图的bgp异常检测和溯源方法,其特征在于:显式撤销为路由更新消息中的操作属性为撤销w操作,同时在路由表r中前缀p存在,公式化表示为:
5.根据权利要求3所述的一种基于bgp图的bgp异常检测和溯源方法,其特征在于:显式宣告为存在路由更新消息的操作属性为宣告a,其中,a表示bgp ...
【专利技术属性】
技术研发人员:吴争,王皓民,姚文坡,樊卫北,何昕,吕梦婕,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。