本發(fā)明涉及域間路由安全監(jiān)測(cè)技術(shù)領(lǐng)域,特別涉及一種基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知方法和裝置。
背景技術(shù):
伴隨著互聯(lián)網(wǎng)安全形勢(shì)的日益嚴(yán)峻,以邊界網(wǎng)關(guān)協(xié)議(bordergatewayprotocol,簡(jiǎn)稱“bgp”)為通信機(jī)制、負(fù)責(zé)整個(gè)網(wǎng)絡(luò)不同自治域間路由信息交換的域間路由系統(tǒng)面臨的安全問(wèn)題也越來(lái)越凸顯,其中,域間路由系統(tǒng)安全監(jiān)測(cè)方案由于不需要修改原有路由協(xié)議,不需要部署覆蓋全網(wǎng)的密鑰管理基礎(chǔ)設(shè)施,可以根據(jù)用戶需求增量式布置監(jiān)測(cè)節(jié)點(diǎn),實(shí)現(xiàn)成本低且可擴(kuò)展性強(qiáng),并且在僅對(duì)少數(shù)bgp核心節(jié)點(diǎn)實(shí)施監(jiān)測(cè)的情況下,即可大幅提高域間路由系統(tǒng)整體的安全性,是目前較為有效且可行的域間路由系統(tǒng)安全解決方案。
現(xiàn)有的域間路由系統(tǒng)安全監(jiān)測(cè)方案大多是對(duì)已檢測(cè)出的異常路由數(shù)據(jù)集進(jìn)行融合處理,由此得到域間路由系統(tǒng)的安全狀態(tài)。顯然,這類方法的有效性高度依賴于異常路由集的完備性,而異常路由集的獲取本身就是域間路由系統(tǒng)安全監(jiān)測(cè)的難點(diǎn),其完備性更是無(wú)法保證,進(jìn)而嚴(yán)重影響了此類方法所得結(jié)果的可靠性。
技術(shù)實(shí)現(xiàn)要素:
為了解決現(xiàn)有的域間路由系統(tǒng)安全監(jiān)測(cè)方案監(jiān)測(cè)結(jié)果可靠性不高的問(wèn)題,本發(fā)明實(shí)施例提供了一種基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知方法和裝置。所述技術(shù)方案如下:
一方面,本發(fā)明提供了一種基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知方法,所述方法包括:
獲取域間路由系統(tǒng)安全狀態(tài)特征的數(shù)據(jù),所述域間路由系統(tǒng)的安全狀態(tài)特征包括:路由事件發(fā)生頻度、平均路徑長(zhǎng)度、以及路徑編輯距離;
生成所述域間路由系統(tǒng)安全狀態(tài)的標(biāo)準(zhǔn)特征集,所述標(biāo)準(zhǔn)特征集為正常運(yùn)行狀態(tài)下所述域間路由系統(tǒng)對(duì)應(yīng)的安全狀態(tài)特征數(shù)據(jù)的集合;
生成所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集,所述實(shí)時(shí)特征集為所述域間路由系統(tǒng)的實(shí)時(shí)安全狀態(tài)特征數(shù)據(jù)的集合;
根據(jù)預(yù)設(shè)的規(guī)則,計(jì)算所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度;
根據(jù)計(jì)算出的相似度,計(jì)算所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的特征偏差;
當(dāng)計(jì)算出的特征偏差小于預(yù)設(shè)閥值時(shí),判斷所述域間路由系統(tǒng)運(yùn)行正常。
本發(fā)明上述的方法中,所述根據(jù)預(yù)設(shè)的規(guī)則,計(jì)算所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度,包括:
根據(jù)如下公式,計(jì)算所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度sim(i,s):
其中,i均為所述實(shí)時(shí)特征集,
s均為所述標(biāo)準(zhǔn)特征集,
wi表示第i個(gè)安全狀態(tài)特征對(duì)應(yīng)的權(quán)值,第1個(gè)安全狀態(tài)特征為路由事件發(fā)生頻度,第2個(gè)安全狀態(tài)特征為平均路徑長(zhǎng)度,第3個(gè)安全狀態(tài)特征為路徑編輯距離。
本發(fā)明上述的方法中,初始時(shí),w1=0.4,w2=0.3,w3=0.3;
如果近期發(fā)生的異常主要為跨平面攻擊,則通過(guò)如下方式調(diào)整權(quán)值:w1``=w1`+δ,w2``=w2`-δ/2,w3``=w3`-δ/2;
如果近期發(fā)生的異常主要為基于無(wú)效信息的路由攻擊,則通過(guò)如下方式調(diào)整權(quán)值:w1``=w1`-δ,w2``=w2`+δ/2,w3``=w3`+δ/2;
其中,w1`、w2`、w3`為調(diào)整前采用的權(quán)值,w1``、w2``、w3``為調(diào)整后被 采用的權(quán)值,δ的范圍為0至0.4。
本發(fā)明上述的方法中,所述根據(jù)計(jì)算出的相似度,計(jì)算實(shí)所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的特征偏差,包括:
根據(jù)如下公式,計(jì)算所述特征偏差dev(i,s):
dev(i,s)=1-sim(i,s)。
本發(fā)明上述的方法中,所述方法還包括:
如果判斷所述域間路由系統(tǒng)的正常運(yùn)行,則將所述實(shí)時(shí)特征集與所述標(biāo)準(zhǔn)特征集進(jìn)行加權(quán)平均處理,得到新的標(biāo)準(zhǔn)特征集。
另一方面,本發(fā)明提供了一種基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知裝置,所述裝置包括:
獲取模塊,用于獲取域間路由系統(tǒng)安全狀態(tài)特征的數(shù)據(jù),所述域間路由系統(tǒng)的安全狀態(tài)特征包括:路由事件發(fā)生頻度、平均路徑長(zhǎng)度、以及路徑編輯距離;
生成模塊,用于生成所述域間路由系統(tǒng)安全狀態(tài)的標(biāo)準(zhǔn)特征集,所述標(biāo)準(zhǔn)特征集為正常運(yùn)行狀態(tài)下所述域間路由系統(tǒng)對(duì)應(yīng)的安全狀態(tài)特征數(shù)據(jù)的集合;
所述生成模塊,還用于生成所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集,所述實(shí)時(shí)特征集為所述域間路由系統(tǒng)的實(shí)時(shí)安全狀態(tài)特征數(shù)據(jù)的集合;
計(jì)算模塊,用于根據(jù)預(yù)設(shè)的規(guī)則,計(jì)算所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度;
所述計(jì)算模塊,還用于根據(jù)計(jì)算出的相似度,計(jì)算所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的特征偏差;
處理模塊,用于當(dāng)計(jì)算出的特征偏差小于預(yù)設(shè)閥值時(shí),判斷所述域間路由系統(tǒng)運(yùn)行正常。
本發(fā)明上述的裝置中,所述計(jì)算模塊,還用于根據(jù)如下公式,計(jì)算所述域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度sim(i,s):
其中,i均為所述實(shí)時(shí)特征集,
s均為所述標(biāo)準(zhǔn)特征集,
wi表示第i個(gè)安全狀態(tài)特征對(duì)應(yīng)的權(quán)值,第1個(gè)安全狀態(tài)特征為路由事件發(fā)生頻度,第2個(gè)安全狀態(tài)特征為平均路徑長(zhǎng)度,第3個(gè)安全狀態(tài)特征為路徑編輯距離。
本發(fā)明上述的裝置中,初始時(shí),w1=0.4,w2=0.3,w3=0.3;
如果近期發(fā)生的異常主要為跨平面攻擊,則通過(guò)如下方式調(diào)整權(quán)值:w1``=w1`+δ,w2``=w2`-δ/2,w3``=w3`-δ/2;
如果近期發(fā)生的異常主要為基于無(wú)效信息的路由攻擊,則通過(guò)如下方式調(diào)整權(quán)值:w1``=w1`-δ,w2``=w2`+δ/2,w3``=w3`+δ/2;
其中,w1`、w2`、w3`為調(diào)整前采用的權(quán)值,w1``、w2``、w3``為調(diào)整后被采用的權(quán)值,δ的范圍為0至0.4。
本發(fā)明上述的裝置中,所述計(jì)算模塊還用于根據(jù)如下公式,計(jì)算所述特征偏差dev(i,s):
dev(i,s)=1-sim(i,s)。
本發(fā)明上述的裝置中,所述處理模塊,還用于當(dāng)判斷所述域間路由系統(tǒng)的正常運(yùn)行時(shí),將所述實(shí)時(shí)特征集與所述標(biāo)準(zhǔn)特征集進(jìn)行加權(quán)平均處理,得到新的標(biāo)準(zhǔn)特征集。
本發(fā)明實(shí)施例提供的技術(shù)方案帶來(lái)的有益效果是:
通過(guò)獲取域間路由系統(tǒng)安全狀態(tài)特征的數(shù)據(jù),該域間路由系統(tǒng)的安全狀態(tài)特征包括:路由事件發(fā)生頻度、平均路徑長(zhǎng)度、以及路徑編輯距離,上述安全狀態(tài)特征既可以通過(guò)自行部署的監(jiān)測(cè)節(jié)點(diǎn)獲取,也可以從routeviews等公共項(xiàng)目得到,大大降低了數(shù)據(jù)獲取的難度,同時(shí)也克服了對(duì)異常路由集的完備性的依賴,而且該方法通過(guò)根據(jù)預(yù)設(shè)的規(guī)則,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度,然后,根據(jù)計(jì)算出的相似度,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的特征偏差,該特征偏差可以用于供管理員判斷域間路由系統(tǒng)的安全狀態(tài),這樣能對(duì)域間路由系統(tǒng)的安全狀態(tài)進(jìn)行實(shí)時(shí)判斷,實(shí)時(shí)性強(qiáng),且判斷結(jié)果準(zhǔn)確性高。
附圖說(shuō)明
為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1是本發(fā)明實(shí)施例一提供的一種基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知方法流程圖;
圖2是本發(fā)明實(shí)施例一提供的一種基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知方法流程圖;
圖3是本發(fā)明實(shí)施例二提供的一種基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知裝置結(jié)構(gòu)示意圖。
具體實(shí)施方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。
實(shí)施例一
本發(fā)明實(shí)施例提供了一種基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知方法,參見(jiàn)圖1,該方法包括:
步驟s11,獲取域間路由系統(tǒng)安全狀態(tài)特征的數(shù)據(jù),該域間路由系統(tǒng)的安全狀態(tài)特征包括:路由事件發(fā)生頻度、平均路徑長(zhǎng)度、以及路徑編輯距離。
需要說(shuō)明的是,能夠反映域間路由系統(tǒng)的安全狀態(tài)特征并不僅僅包括上述三個(gè),但是,采用的安全狀態(tài)特征越多也就意味著安全狀態(tài)的計(jì)算越復(fù)雜,所要耗費(fèi)的時(shí)間也越多,考慮到域間路由系統(tǒng)安全狀態(tài)評(píng)估在實(shí)時(shí)性方面的嚴(yán)格要求,故只采用了上述三個(gè)特征。
在本實(shí)施例中,更新報(bào)文是bgp協(xié)議的核心內(nèi)容,用于向其它路由器宣告路由信息的更新,包括新路由的增添和廢舊路由的撤消。在更新報(bào)文的所有屬性中,as_path是公認(rèn)必選屬性,它用帶有順序的as號(hào)序列來(lái)描述as間的路徑或到某個(gè)具體nlri的路由,是反映域間路由系統(tǒng)運(yùn)行狀況及特性的關(guān)鍵信息。as_path的本質(zhì)就是一個(gè)字符串,所以通常采用平均長(zhǎng)度和路徑編輯距離來(lái)度量不同時(shí)刻as_path的差異。另外,通過(guò)對(duì)采集到的大量域間路由歷史數(shù) 據(jù)的分析,發(fā)現(xiàn)域間路由事件發(fā)生頻率直接反映域間路由系統(tǒng)的穩(wěn)定狀況,其值越高,域間路由系統(tǒng)越傾向于不穩(wěn)定狀態(tài)。因?yàn)橐坏┯泄?jié)點(diǎn)失效或更優(yōu)路徑被宣告,在域間路由系統(tǒng)內(nèi)將產(chǎn)生大量的相關(guān)bgp更新報(bào)文,所以說(shuō)路由事件發(fā)生頻率也反映域間路由系統(tǒng)的穩(wěn)定狀況。
在實(shí)際應(yīng)用中,路由事件發(fā)生頻度(frequencyofroutingevents,簡(jiǎn)稱“fre”)、平均路徑長(zhǎng)度(averagepathlength,簡(jiǎn)稱“apl”)以及路徑編輯距離(patheditdistance,簡(jiǎn)稱“ped”)的數(shù)據(jù),既可以通過(guò)自行部署的監(jiān)測(cè)節(jié)點(diǎn)獲取,也可以從routeviews等公共項(xiàng)目得到(具體地,通過(guò)對(duì)自行部署的監(jiān)測(cè)節(jié)點(diǎn)或者routeviews等公共項(xiàng)目采集的原始數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,得到域間路由系統(tǒng)安全狀態(tài)特征的數(shù)據(jù)),大大降低了數(shù)據(jù)獲取的難度,同時(shí)也克服了對(duì)異常路由集的完備性的依賴。
步驟s12,生成域間路由系統(tǒng)安全狀態(tài)的標(biāo)準(zhǔn)特征集,該標(biāo)準(zhǔn)特征集為正常狀態(tài)下域間路由系統(tǒng)對(duì)應(yīng)的安全狀態(tài)特征數(shù)據(jù)的集合。
在本實(shí)施例中,也可以采用矩陣的形式來(lái)存儲(chǔ)標(biāo)準(zhǔn)特征集s,例如:
其中,sij為標(biāo)準(zhǔn)特征集s中第j次獲取第i個(gè)安全狀態(tài)特征的值(在本實(shí)施例中,第1個(gè)安全狀態(tài)特征為fre,第2個(gè)安全狀態(tài)特征為apl,第3個(gè)安全狀態(tài)特征為ped,在實(shí)際應(yīng)用中上述順序可以更改,這里不做限制),j的取值范圍為1至m的正整數(shù),m為大于1的正整數(shù),其中,m的大小取決于采樣的總時(shí)間除去采樣的時(shí)間間隔。
步驟s13,生成域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集,該實(shí)時(shí)特征集為域間路由系統(tǒng)的實(shí)時(shí)安全狀態(tài)特征數(shù)據(jù)的集合。
在本實(shí)施例中,可以采用矩陣的形式來(lái)存儲(chǔ)實(shí)時(shí)特征集i,例如:
其中,iij為實(shí)時(shí)特征集i中第j次獲取第i個(gè)安全狀態(tài)特征的值(在本實(shí)施例中,第1個(gè)安全狀態(tài)特征為fre,第2個(gè)安全狀態(tài)特征為apl,第3個(gè)安全狀態(tài)特征為ped,在實(shí)際應(yīng)用中上述順序可以更改,這里不做限制),j的取值范圍為1至m的正整數(shù),m為大于1的正整數(shù),其中,m的大小取決于采樣的 總時(shí)間除去采樣的時(shí)間間隔。需要說(shuō)明的是,在生成實(shí)時(shí)特征集i時(shí),如果獲取到的安全狀態(tài)特征的值不夠,則可以在相應(yīng)的位置補(bǔ)零。
步驟s14,根據(jù)預(yù)設(shè)的規(guī)則,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度。
具體,上述步驟s14可以通過(guò)如下方式實(shí)現(xiàn):
根據(jù)如下公式,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度:
其中,sim(i,s)為實(shí)時(shí)特征集i與標(biāo)準(zhǔn)特征集s之間的相似度,w為上述三個(gè)安全狀態(tài)特征對(duì)應(yīng)的權(quán)值集合,wi為第i個(gè)安全狀態(tài)特征的權(quán)值(本實(shí)施例中,第1個(gè)安全狀態(tài)特征為fre,第2個(gè)安全狀態(tài)特征為apl,第3個(gè)安全狀態(tài)特征為ped)。
需要說(shuō)明的是,采用上述公式可以將相似度的范圍控制在0至1的范圍內(nèi),這樣便于后續(xù)計(jì)算和處理。
進(jìn)一步地,初始時(shí),w1=0.4,w2=0.3,w3=0.3;
如果近期發(fā)生的異常主要為跨平面攻擊,則通過(guò)如下方式調(diào)整權(quán)值:w1``=w1`+δ,w2``=w2`-δ/2,w3``=w3`-δ/2;
如果近期發(fā)生的異常主要為基于無(wú)效信息的路由攻擊,則通過(guò)如下方式調(diào)整權(quán)值:w1``=w1`-δ,w2``=w2`+δ/2,w3``=w3`+δ/2;
其中,w1`、w2`、w3`為調(diào)整前采用的權(quán)值,w1``、w2``、w3``為調(diào)整后被采用的權(quán)值。
在本實(shí)施例中,δ可以由管理員根據(jù)實(shí)際需要取值,其取值范圍可以為0至0.4。
在本實(shí)施例中,通過(guò)對(duì)三個(gè)安全狀態(tài)特征的數(shù)據(jù)進(jìn)行權(quán)重修正,可以更準(zhǔn)確的反映實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度,以保障后續(xù)計(jì)算結(jié)果的準(zhǔn)確性。
步驟s15,根據(jù)計(jì)算出的相似度,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的特征偏差,該特征偏差可以用于供管理員判斷域間路由系統(tǒng)的安全狀態(tài)。
在本實(shí)施例中,特征偏差dev(i,s)可以通過(guò)如下公式計(jì)算:dev(i,s)=1-sim(i,s)。
步驟s16,當(dāng)計(jì)算出的特征偏差小于預(yù)設(shè)閥值時(shí),判斷該域間路由系統(tǒng)運(yùn)行正常。
在實(shí)際應(yīng)用中,該特征偏差可以用于供管理員判斷域間路由系統(tǒng)的安全狀態(tài),例如:通過(guò)特征偏差與預(yù)設(shè)閥值進(jìn)行比較,如果特征偏差高于預(yù)設(shè)閾值,則說(shuō)明域間路由系統(tǒng)的安全狀態(tài)較差或者出現(xiàn)異常,需要向管理員發(fā)送異常報(bào)警;如果特征偏差不高于預(yù)設(shè)閾值,則說(shuō)明域間路由系統(tǒng)的安全狀態(tài)處于正常水平。需要說(shuō)明的是,關(guān)于上述預(yù)設(shè)閥值的選取,如果管理員對(duì)網(wǎng)絡(luò)發(fā)生異常較為敏感,可以取較小閾值,如:0.3;如果管理員只想關(guān)注較大規(guī)模的異常,則可以選取較大閾值,如:0.5。
參見(jiàn)圖2,在本實(shí)施例中,如果特征偏差低于上述預(yù)設(shè)閾值,則執(zhí)行步驟s17。
步驟s17,如果判斷域間路由系統(tǒng)的正常運(yùn)行,則將實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集進(jìn)行加權(quán)平均處理,得到新的標(biāo)準(zhǔn)特征集。
在本實(shí)施例中,新的標(biāo)準(zhǔn)特征集s`=(s+i)/2,如果通過(guò)特征偏差判斷出此時(shí)域間路由系統(tǒng)正常運(yùn)行,則可以根據(jù)上述方法來(lái)更新標(biāo)準(zhǔn)特征集s,這樣可以使得判斷結(jié)果更加準(zhǔn)確可靠。
需要說(shuō)明的是,該域間路由系統(tǒng)安全狀態(tài)感知方法可以實(shí)時(shí)監(jiān)測(cè)域間路由系統(tǒng)的安全狀態(tài),可為網(wǎng)絡(luò)管理員掌握全局網(wǎng)絡(luò)的運(yùn)行情況,適時(shí)制定、調(diào)整合理的路由策略提供量化的數(shù)據(jù)參考(例如:特征偏差)。因?yàn)橛蜷g路由系統(tǒng)的安全狀態(tài)直接反映是否有異常域間路由事件發(fā)生,如果域間路由系統(tǒng)的安全狀態(tài)較差,即表明有異常事件發(fā)生,由此網(wǎng)絡(luò)管理員就可以快速做出反應(yīng),調(diào)整路由策略。
本發(fā)明實(shí)施例通過(guò)獲取域間路由系統(tǒng)安全狀態(tài)特征的數(shù)據(jù),該域間路由系統(tǒng)的安全狀態(tài)特征包括:路由事件發(fā)生頻度、平均路徑長(zhǎng)度、以及路徑編輯距離,上述安全狀態(tài)特征既可以通過(guò)自行部署的監(jiān)測(cè)節(jié)點(diǎn)獲取,也可以從routeviews等公共項(xiàng)目得到,大大降低了數(shù)據(jù)獲取的難度,同時(shí)也克服了對(duì)異常路由集的完備性的依賴,而且該方法通過(guò)根據(jù)預(yù)設(shè)的規(guī)則,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度,然后,根據(jù)計(jì)算出的相似度, 計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的特征偏差,該特征偏差可以用于供管理員判斷域間路由系統(tǒng)的安全狀態(tài),這樣能對(duì)域間路由系統(tǒng)的安全狀態(tài)進(jìn)行實(shí)時(shí)判斷,實(shí)時(shí)性強(qiáng),且判斷結(jié)果準(zhǔn)確性高。
實(shí)施例二
本發(fā)明實(shí)施例提供了一種基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知裝置,參見(jiàn)圖3,該裝置包括:獲取模塊10、生成模塊20、計(jì)算模塊30、以及處理模塊40。
獲取模塊10,用于獲取域間路由系統(tǒng)安全狀態(tài)特征的數(shù)據(jù),該域間路由系統(tǒng)的安全狀態(tài)特征包括:路由事件發(fā)生頻度、平均路徑長(zhǎng)度、以及路徑編輯距離。
需要說(shuō)明的是,能夠反映域間路由系統(tǒng)的安全狀態(tài)特征并不僅僅包括上述三個(gè),但是,采用的安全狀態(tài)特征越多也就意味著安全狀態(tài)的計(jì)算越復(fù)雜,所要耗費(fèi)的時(shí)間也越多,考慮到域間路由系統(tǒng)安全狀態(tài)評(píng)估在實(shí)時(shí)性方面的嚴(yán)格要求,故只采用了上述三個(gè)特征。
在本實(shí)施例中,更新報(bào)文是bgp協(xié)議的核心內(nèi)容,用于向其它路由器宣告路由信息的更新,包括新路由的增添和廢舊路由的撤消。在更新報(bào)文的所有屬性中,as_path是公認(rèn)必選屬性,它用帶有順序的as號(hào)序列來(lái)描述as間的路徑或到某個(gè)具體nlri的路由,是反映域間路由系統(tǒng)運(yùn)行狀況及特性的關(guān)鍵信息。as_path的本質(zhì)就是一個(gè)字符串,所以通常采用平均長(zhǎng)度和路徑編輯距離來(lái)度量不同時(shí)刻as_path的差異。另外,通過(guò)對(duì)采集到的大量域間路由歷史數(shù)據(jù)的分析,發(fā)現(xiàn)域間路由事件發(fā)生頻率直接反映域間路由系統(tǒng)的穩(wěn)定狀況,其值越高,域間路由系統(tǒng)越傾向于不穩(wěn)定狀態(tài)。因?yàn)橐坏┯泄?jié)點(diǎn)失效或更優(yōu)路徑被宣告,在域間路由系統(tǒng)內(nèi)將產(chǎn)生大量的相關(guān)bgp更新報(bào)文,所以說(shuō)路由事件發(fā)生頻率也反映域間路由系統(tǒng)的穩(wěn)定狀況。
在實(shí)際應(yīng)用中,路由事件發(fā)生頻度(frequencyofroutingevents,簡(jiǎn)稱“fre”)、平均路徑長(zhǎng)度(averagepathlength,簡(jiǎn)稱“apl”)以及路徑編輯距離(patheditdistance,簡(jiǎn)稱“ped”)的數(shù)據(jù),既可以通過(guò)自行部署的監(jiān)測(cè)節(jié)點(diǎn)獲取,也可以從routeviews等公共項(xiàng)目得到(具體地,通過(guò)對(duì)自行部署的監(jiān)測(cè)節(jié)點(diǎn)或者routeviews等公共項(xiàng)目采集的原始數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,得到域間路由 系統(tǒng)安全狀態(tài)特征的數(shù)據(jù)),大大降低了數(shù)據(jù)獲取的難度,同時(shí)也克服了對(duì)異常路由集的完備性的依賴。
生成模塊20,用于生成域間路由系統(tǒng)安全狀態(tài)的標(biāo)準(zhǔn)特征集,該標(biāo)準(zhǔn)特征集為正常狀態(tài)下域間路由系統(tǒng)對(duì)應(yīng)的安全狀態(tài)特征數(shù)據(jù)的集合。
在本實(shí)施例中,也可以采用矩陣的形式來(lái)存儲(chǔ)標(biāo)準(zhǔn)特征集s,例如:
其中,sij為標(biāo)準(zhǔn)特征集s中第j次獲取第i個(gè)安全狀態(tài)特征的值(在本實(shí)施例中,第1個(gè)安全狀態(tài)特征為fre,第2個(gè)安全狀態(tài)特征為apl,第3個(gè)安全狀態(tài)特征為ped,在實(shí)際應(yīng)用中上述順序可以更改,這里不做限制),j的取值范圍為1至m的正整數(shù),m為大于1的正整數(shù),其中,m的大小取決于采樣的總時(shí)間除去采樣的時(shí)間間隔。
生成模塊20,還用于生成域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集,該實(shí)時(shí)特征集為域間路由系統(tǒng)的實(shí)時(shí)安全狀態(tài)特征數(shù)據(jù)的集合。
在本實(shí)施例中,可以采用矩陣的形式來(lái)存儲(chǔ)實(shí)時(shí)特征集i,例如:
其中,iij為實(shí)時(shí)特征集i中第j次獲取第i個(gè)安全狀態(tài)特征的值(在本實(shí)施例中,第1個(gè)安全狀態(tài)特征為fre,第2個(gè)安全狀態(tài)特征為apl,第3個(gè)安全狀態(tài)特征為ped,在實(shí)際應(yīng)用中上述順序可以更改,這里不做限制),j的取值范圍為1至m的正整數(shù),m為大于1的正整數(shù),其中,m的大小取決于采樣的總時(shí)間除去采樣的時(shí)間間隔。需要說(shuō)明的是,在生成實(shí)時(shí)特征集i時(shí),如果獲取到的安全狀態(tài)特征的值不夠,則可以在相應(yīng)的位置補(bǔ)零。
計(jì)算模塊30,用于根據(jù)預(yù)設(shè)的規(guī)則,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度。
具體地,該計(jì)算模塊30,用于根據(jù)如下公式,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度:
其中,sim(i,s)為實(shí)時(shí)特征集i與標(biāo)準(zhǔn)特征集s之間的相似度,w為上述三 個(gè)安全狀態(tài)特征對(duì)應(yīng)的權(quán)值集合,wi為第i個(gè)安全狀態(tài)特征的權(quán)值(本實(shí)施例中,第1個(gè)安全狀態(tài)特征為fre,第2個(gè)安全狀態(tài)特征為apl,第3個(gè)安全狀態(tài)特征為ped)。
需要說(shuō)明的是,采用上述公式可以將相似度的范圍控制在0至1的范圍內(nèi),這樣便于后續(xù)計(jì)算和處理。
進(jìn)一步地,初始時(shí),w1=0.4,w2=0.3,w3=0.3;
如果近期發(fā)生的異常主要為跨平面攻擊,則通過(guò)如下方式調(diào)整權(quán)值:w1``=w1`+δ,w2``=w2`-δ/2,w3``=w3`-δ/2;
如果近期發(fā)生的異常主要為基于無(wú)效信息的路由攻擊,則通過(guò)如下方式調(diào)整權(quán)值:w1``=w1`-δ,w2``=w2`+δ/2,w3``=w3`+δ/2;
其中,w1`、w2`、w3`為調(diào)整前采用的權(quán)值,w1``、w2``、w3``為調(diào)整后被采用的權(quán)值。
在本實(shí)施例中,δ可以由管理員根據(jù)實(shí)際需要取值,其取值范圍可以為0至0.4。
在本實(shí)施例中,通過(guò)對(duì)三個(gè)安全狀態(tài)特征的數(shù)據(jù)進(jìn)行權(quán)重修正,可以更準(zhǔn)確的反映實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度,以保障后續(xù)計(jì)算結(jié)果的準(zhǔn)確性。
計(jì)算模塊30,還用于根據(jù)計(jì)算出的相似度,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的特征偏差,該特征偏差可以用于供管理員判斷域間路由系統(tǒng)的安全狀態(tài)。
在本實(shí)施例中,特征偏差dev(i,s)可以通過(guò)如下公式計(jì)算:dev(i,s)=1-sim(i,s)。
處理模塊40,用于當(dāng)計(jì)算出的特征偏差小于預(yù)設(shè)閥值時(shí),判斷該域間路由系統(tǒng)運(yùn)行正常。
在實(shí)際應(yīng)用中,該特征偏差可以用于供管理員判斷域間路由系統(tǒng)的安全狀態(tài),例如:通過(guò)特征偏差與預(yù)設(shè)閥值進(jìn)行比較,如果特征偏差高于預(yù)設(shè)閾值,則說(shuō)明域間路由系統(tǒng)的安全狀態(tài)較差或者出現(xiàn)異常,需要向管理員發(fā)送異常報(bào)警;如果特征偏差不高于預(yù)設(shè)閾值,則說(shuō)明域間路由系統(tǒng)的安全狀態(tài)處于正常水平。需要說(shuō)明的是,關(guān)于上述預(yù)設(shè)閥值的選取,如果管理員對(duì)網(wǎng)絡(luò)發(fā)生異常較為敏感,可以取較小閾值,如:0.3;如果管理員只想關(guān)注較大規(guī)模的異常, 則可以選取較大閾值,如:0.5。
處理模塊40,還用于當(dāng)判斷域間路由系統(tǒng)的正常運(yùn)行時(shí),將實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集進(jìn)行加權(quán)平均處理,得到新的標(biāo)準(zhǔn)特征集。
在本實(shí)施例中,新的標(biāo)準(zhǔn)特征集s`=(s+i)/2,如果通過(guò)特征偏差判斷出此時(shí)域間路由系統(tǒng)正常運(yùn)行,則可以根據(jù)上述方法來(lái)更新標(biāo)準(zhǔn)特征集s,這樣可以使得判斷結(jié)果更加準(zhǔn)確可靠。
本發(fā)明實(shí)施例通過(guò)獲取模塊獲取域間路由系統(tǒng)安全狀態(tài)特征的數(shù)據(jù),該域間路由系統(tǒng)的安全狀態(tài)特征包括:路由事件發(fā)生頻度、平均路徑長(zhǎng)度、以及路徑編輯距離,上述安全狀態(tài)特征既可以通過(guò)自行部署的監(jiān)測(cè)節(jié)點(diǎn)獲取,也可以從routeviews等公共項(xiàng)目得到,大大降低了數(shù)據(jù)獲取的難度,同時(shí)也克服了對(duì)異常路由集的完備性的依賴,而且該裝置通過(guò)計(jì)算模塊,根據(jù)預(yù)設(shè)的規(guī)則,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的相似度,然后,根據(jù)計(jì)算出的相似度,計(jì)算域間路由系統(tǒng)安全狀態(tài)的實(shí)時(shí)特征集與標(biāo)準(zhǔn)特征集之間的特征偏差,該特征偏差可以用于供管理員判斷域間路由系統(tǒng)的安全狀態(tài),這樣能對(duì)域間路由系統(tǒng)的安全狀態(tài)進(jìn)行實(shí)時(shí)判斷,實(shí)時(shí)性強(qiáng),且判斷結(jié)果準(zhǔn)確性高。
上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣。
需要說(shuō)明的是:上述實(shí)施例提供的基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知裝置在實(shí)現(xiàn)基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知方法時(shí),僅以上述各功能模塊的劃分進(jìn)行舉例說(shuō)明,實(shí)際應(yīng)用中,可以根據(jù)需要而將上述功能分配由不同的功能模塊完成,即將設(shè)備的內(nèi)部結(jié)構(gòu)劃分成不同的功能模塊,以完成以上描述的全部或者部分功能。另外,上述實(shí)施例提供的基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知裝置與基于加權(quán)相似度的域間路由系統(tǒng)安全狀態(tài)感知方法實(shí)施例屬于同一構(gòu)思,其具體實(shí)現(xiàn)過(guò)程詳見(jiàn)方法實(shí)施例,這里不再贅述。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過(guò)硬件來(lái)完成,也可以通過(guò)程序來(lái)指令相關(guān)的硬件完成,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器,磁盤或光盤等。
以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明,凡在本發(fā)明的 精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。