一种边界网关协议网络的异常监测系统及方法

文档序号:7669708阅读:176来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种边界网关协议网络的异常监测系统及方法
技术领域
本发明涉及计算机网络技术,特别是一种边界网关协议网络的异常监测系 统及方法。
背景技术
在因特网(internet)体系结构中,路由器是一种用于连接多个网络或网段 的网络设备,它能将不同网络或网段之间的数据信息进行"翻译",以使它们 能够相互"读"懂对方的数据,从而构成一个更大的网络。人们把众多的路由 器划分成一个个的自治系统(AS),每个自治系统是处于一个管理机构控制 之下的路由器和网络群组。在自治系统内部运行内部网关协议(IGP),自治 系统之间则运行外部网关协议(EGP)。当前,边界网关协议(BGP)是自治 系统之间进行路由的事实上的标准协议,因此,边界网关协议本身运行的好坏 程度会影响整个因特网的运行状况和服务质量。由于边界网关协议本身是一种 基于策略的路径向量协议,其协议的配置具有较大的人为因素,易出现错误, 从而影响自治系统之间的路由的稳定,进而影响整个网络的稳定性和服务质 量,因此,如何快速有效的发现边界网关协议网络异常的位置和诱发原因成为 了提高网络稳定性和服务性能的一个重要保障。
目前针对边界网关协议网络异常监测的方法主要可以分成四个大的类别
1 ) Anja Feldmann.etc " Locating Internet Routing Instabiliyies,,, ACM SIGCOMM,04中提出了使用〈Time,View,PrefDO的三维分析方法进行BGP网 络异常定位分析,文章是从时间维度,监测点维度,前缀维度三层来分析BGP 网络异常发生的位置。同类的文章还有
CAESAR,M"SUBRAMANIAN,L.,AND KATZ,R.H. "Towards Localizing Root Causes of BGP Dynamics" .Tech.Rep.CSD-03-1292,UC Berkeley ,November 2003;
Jian Wu,Z.Morley Mao,Jennifer Rexford,Jia Wang, "Finding a Needle in aHaystack:Pinpointing Significant BGP Routing Changes in an IP Network" ,NSDI, 05
2) 基于统计学和基于信号检测的BGP异常定位方法研究
Ke Zhang .etc "On Dection of Anomalous Routing Dynamics in BGP", NETWORKING 2004,提出了使用基于统计学的异常检测方法和基于信号检测 的异常定位方法,文章中将BGP Update数据包的到达频度和Update数据包的 内容作为输入分析BGP网络异常的发生位置和大致的类别。
3) 基于模式识别的BGP异常定位方法研究
Di-Fa Chang .etc的"The Temporal and Topological Characteristics of BGP Path Changes",ICNP,03提出了基于模式识别的BGP异常监测算法,对报文进 行量化,并使用了层次聚类的方法将报文聚类成事件,然后对事件进行分析的 方法;
4) 基于机器学习的BGP异常定位方法研究
Jian Zhang .etc "Learning-Based Anomaly Dection in BGP Updates", 2005 ACM SIGCOMM workshop on Mining network data ,提出了基于机器学习方法 的BGP异常发现方法;类似的文章还有Murat Can Ganiz,Sudhan Kanitkar.etc "Dection of Interdomain Routing Anomalies Based on Higher-Order Path Analysis".
上述方法普遍存在运算效率不高的问题,更重要的是,在这些方法中,都 仅仅给出了边界网关协议网络异常发生的位置,而没有有效的推测出边界网关 协议网络异常的诱发原因。

发明内容
本发明的目的在于,提供一种边界网关协议网络的异常监测系统及方法, 以解决现有的边界网关协议的异常监测方法中所存在的运行效率低下以及不 能有效提供异常诱发原因的问题。
为了实现上述目的,本发明提供了一种边界网关协议网络的异常监测系 统,包括采集模块以及分析模块;
所述采集模块用于通过与边界网关协议网络中的特定的边界网关协议节 点建立边界网关协议邻接关系,而使所述采集模块通过所述特定的边界网关协议节点连接到所述边界网关协议网络中的所有边界网关协议节点,以及用于从 所述特定的边界网关协议节点接收边界网关协议更新报文;
所述分析模块用于当所述采集模块所接收到的边界网关协议更新报文满 足一定条件时,对所述采集模块所接收到的边界网关协议更新报文进行分析, 以判断所述边界网关协议网络中异常出现的位置以及异常出现的原因。
较佳的,在所述边界网关协议网络的异常监测系统中,所述采集模块所接 收到的边界网关协议更新报文满足一定条件,是指所述采集模块所接收到的边 界网关协议更新报文的数量在某一时间段内的数量大于等于一预设的最大值, 并在之后的某一时间段内的数量小于等于一预设的最小值。 较佳的,在所述边界网关协议网络的异常监测系统中 所述釆集模块中,包括连接模块和边界网关协议更新报文采集模块; 所述连接模块用于连接所述边界网关协议网络中的特定的边界网关协议 节点,以使所述采集模块通过所述特定的边界网关协议节点连接到所述边界网 关协议网络中的所有边界网关协议节点;
所述边界网关协议更新报文采集模块用于从所述特定的边界网关协议节 点接收边界网关协议更新报文。
较佳的,在所述边界网关协议网络的异常监测系统中 所述分析模块中,包括字符串模块和字符串分析模块;
所述字符串模块用于当所述采集模块所接收到的边界网关协议更新报文 满足一定条件时,从所述采集模块所接收到的边界网关协议更新报文中选取需 要进行分析的边界网关协议更新报文,将每个需要进行分析的边界网关协议更 新报文构造成字符串,并通过预先定义的规则从所述字符串中选取出符合标准 的字符子串;
所述字符串分析模块用于根据所述字符串模块选取出的字符子串,按照预 先设定的规则对所述字符子串进行分析,以判断所述边界网关协议网络中异常 出现的位置以及异常出现的原因。
较佳的,在所述边界网关协议网络的异常监测系统中,所述通过预先定义 的规则从所述字符串中选取出符合标准的字符子串是指从所述字符串中选取 出出现频率最高的符合以下形式的字符子串
<边界网关协议邻居的ip〉;<AS Path属性信息的最后一个边界网关协议节点,前缀信息>;
<AS Path属性信息中的,AS Path属性信息中的
<AS Path属性信息中的最后一个边界网关协议节点>; 〈nexth叩,AS Path属性信息中的第一个边界网关协议节点>。 较佳的,在所述边界网关协议网络的异常监测系统中 当选取出的字符子串的形式是<边界网关协议邻居的ip〉时,所述边界网 关协议网络异常发生的位置和异常出现的原因是所述边界网关协议邻居出现 故障或是所述采集器用于收集来自所述边界网关协议邻居的边界网络协议更 新报文的链路出现故障;
当选取出的字符子串的形式是〈AS Path属性信息中的"',AS Path属性信
息中的"'>时,所述边界网关协议网络异常发生的位置和异常出现的原因是边
界网关协议节点"'和边界网关协议节点之间的链路或是协议关系的有效性 故障;
当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点>时,所述边界网关协议网络异常发生的位置和异常出现的原因是所 述最后一个边界网关协议节点中出现了前缀劫持或路由黑洞;
当选取出的字符子串的形式是〈nexthop, AS Path属性信息中的第一个边 界网关协议节点〉时,则所述边界网关协议网络异常发生的位置和异常出现的 原因是所述第一个边界网关协议节点内部的多出口区分震荡或是内部网关协 议的流量工程。
较佳的,在所述边界网关协议网络的异常监测系统中,所述字符串分析模 块还用于根据所述字符串模块选取出的字符子串,结合所述边界网关协议更新 报文采集模块所接收到的显示宣告、显示撤销和隐式撤销报文的数量,按照预 先设定的规则对所述字符子串进行分析,以判断所述边界网关协议网络中异常 出现的位置以及异常出现的原因。
较佳的,在所述边界网关协议网络的异常监测系统中 当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关协议节点,前缀信息〉,并且所述边界网关协议网络中发生的显式宣告事件的 个数远远大于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关 协议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议节 点内部宣告前缀或是所述最后一个边界网关协议节点内部出现的链路或节点
的修复;
当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数约等于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关协 议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议节点 中发生了前缀的震荡或者波动;
当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数远远小于发生的显式撤销和隐式撤销两种事件数目之和时,则所述边界网 关协议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议 节点中删除前缀,或是所述最后一个边界网关协议节点中的内部链路或是节点 的修复。
较佳的,在所述边界网关协议网络的异常监测系统中,所述边界网关协议 网络中发生的显式宣告事件的个数远远大于发生显式撤销和隐式撤销两种事 件数目之和是指所述边界网关协议网络中显式宣告事件的个数大于等于显式 撤销和隐式撤销两种事件数目之和的10倍。
较佳的,在所述边界网关协议网络的异常监测系统中,所述边界网关协议 网络中发生的显式宣告事件的个数约等于发生显式撤销和隐式撤销两种事件 数目之和是指它们的差值小于等于所述显式宣告事件的个数的5%或所述显 式撤销和隐式撤销两种事件数目之和的5%中的至少一个。
较佳的,在所述边界网关协议网络的异常监测系统中,所述边界网关协议 网络中发生的显式宣告事件的个数远远小于发生的显式撤销和隐式撤销两种 事件数目之和是指所述边界网关协议网络中显式宣告事件的个数小于等于显 式撤销和隐式撤销两种事件数目之和的1/10。
为了实现上述目的,本发明还公开了一种边界网关协议网络的异常监测方 法,包括以下步骤.-
14步骤10,使用采集器通过与边界网关协议网络中的特定的边界网关协议 节点建立边界网关协议邻接关系,使所述采集器通过所述特定的边界网关协议 节点连接到所述边界网关协议中的所有边界网关协议节点,进入步骤20;
步骤20,所述采集器收集从所述特定的边界网关协议节点所接收到的全 部边界网关协议更新报文,并根据预先设定的所述报文到达的频度特征,收集 符合所述频度特征的报文作为待分析的报文集合,进入步骤30;
步骤30,对所述待分析的报文集合中的边界网关协议更新报文进行分析, 结合所述采集器在所述进行分析的开始时间前所接收到的边界网关协议更新 报文,检索出用于判断所述边界网关协议网络异常出现的位置以及异常出现的 原因的边界网关协议更新报文,并用每个检索出的报文构造字符串,进入步骤 40;
步骤40,从在步骤30中构造出的字符串中搜索符合预先设定的格式的字 符子串中出现频度最高的字符子串,进入步骤50;
步骤50,分析在步骤40中搜索出的出现频度最高的字符子串,判断所述 边界网关协议网络异常出现的位置以及异常出现的原因。
较佳的,在所述边界网关协议网络的异常监测方法中,所述步骤20中, 包括以下歩骤
步骤21所述采集器收集从所述特定的边界网关协议节点所接收到的全部 边界网关协议更新报文,并计算每个时间段内所接收到的更新报文的数量,如 果某一个时间段中所接收到的更新报文的数量大于等于一个预先设定的最大 值,则以这个时间段的开始时间作为迸行分析的起算时间,收集所有从这个开 始时间起所接收到的边界网关协议更新报文,进入步骤22;
步骤22,所述采集器继续计算每个时间段内所接收到的更新报文的数量, 如果某一个时间段中所接收到的更新报文的数量小于等于一个预先设定的最 小值,则以这个时间段的结束时间作为进行分析的结束时间,将从所述进行分 析的起算时间到所述进行分析的结束时间中所接收到的所有边界网关协议更 新报文作为待分析的报文集合。
较佳的,在所述边界网关协议网络的异常监测方法中,所述步骤30中, 包括以下步骤
步骤31,当与采集器具有相邻关系的边界网关协议网络节点所发送来的边界网关协议更新报文宣告了一个或是多个前缀信息时,进入步骤32,当与 采集器具有相邻关系的边界网关协议网络节点所发送来的边界网关协议更新 报文是针对一个或者多个前缀的撤销报文时,进入步骤33;
步骤32,当与采集器具有相邻关系的边界网关协议网络节点所发送来的
边界网关协议更新报文宣告了一个或是多个前缀信息时,根据所述边界网关协
议更新报文生成字符串<边界网关协议网络节点ip地址,nexthop的ip地址, AS Path的属性信息,到达的前缀>,同时,针对所述边界网关协议更新报文 中宣告的每一个前缀信息,检索由所述同一个边界网关协议网络节点发送而来 的具有相同前缀信息的历史更新报文,并根据检索出的具有相同前缀信息的历 史更新报文生成字符串〈边界网关协议网络节点的ip, nexthop的ip地址,AS Path的属性信息,到达的前缀>,操作结束;
步骤33,当与采集器具有相邻关系的边界网关协议网络节点所发送来的 边界网关协议更新报文是针对一个或者多个前缀的撤销报文时,针对所述边界 网关协议更新报文中的每一个前缀信息,检索由所述边界网关协议网络节点发 送而来的针对相同前缀信息的历史宣告报文,并根据所述历史宣告报文生成字 符串〈边界网关协议网络节点的ip地址,nexthop的ip地址,AS Path的属性 信息,到达的前缀>。
较佳的,在所述边界网关协议网络的异常监测方法中,在步骤40中,所 述预先设定的字符子串的格式包括以下种类
<边界网关协议邻居的ip〉;
<AS Path属性信息的最后一个边界网关协议节点,前缀信息>;
<AS Path属性信息中的 AS Path属性信息中的^ >;
<AS Path属性信息中的最后一个边界网关协议节点>; <nexthop, AS Path属性信息中的第一个边界网关协议节点〉。 较佳的,在所述边界网关协议网络的异常监测方法中,在步骤50中 当选取出的字符子串的形式是<边界网关协议邻居的ip〉时,所述边界网 关协议网络异常发生的位置和异常出现的原因是所述边界网关协议邻居出现 故障或是所述采集器用于收集来自所述边界网关协议邻居的边界网络协议更 新报文的链路出现故障;
16当选取出的字符子串的形式是〈AS Path属性信息中的"',AS Path属性信 息中的"。时,所述边界网关协议网络异常发生的位置和异常出现的原因是边
界网关协议节点"'和边界网关协议节点S之间的链路或是协议关系的有效性 故障;
当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点>时,所述边界网关协议网络异常发生的位置和异常出现的原因是所 述最后一个边界网关协议节点中出现了前缀劫持或路由黑洞;
当选取出的字符子串的形式是〈nexthop, AS Path属性信息中的第一个边 界网关协议节点>时,则所述边界网关协议网络异常发生的位置和异常出现的 原因是所述第一个边界网关协议节点内部的多出口区分震荡或是内部网关协 议的流量工程。
较佳的,在所述边界网关协议网络的异常监测方法中,在步骤50中,在 判断所述边界网关协议网络异常出现的位置以及异常出现的原因时,还包括一 结合由所述采集器统计的从所述采集器与所述特定的边界网关协议节点建立 邻接关系起所述边界网关协议网络中发生的显示宣告、显示撤销和隐式撤销的 事件的个数,对所述边界网关协议网络异常出现的位置以及异常出现的原因进 行判断的步骤。
较佳的,在所述边界网关协议网络的异常监测方法中,在步骤50中, 当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数远远大于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关 协议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议节 点内部宣告前缀或是所述最后一个边界网关协议节点内部出现的链路或节点 的修复;
当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数约等于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关协 议网络异常发生的位置和异常出现的原因是所述最后--个边界网关协议节点中发生了前缀的震荡或者波动;
当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数远远小于发生的显式撤销和隐式撤销两种事件数目之和时,则所述边界网 关协议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议 节点中删除前缀,或是所述最后一个边界网关协议节点中的内部链路或是节点 的修复。
较佳的,在所述边界网关协议网络的异常监测方法中,所述边界网关协议 网络中发生的显式宣告事件的个数远远大于发生显式撤销和隐式撤销两种事 件数目之和是指所述边界网关协议网络中显式宣告事件的个数大于等于显式 撤销和隐式撤销两种事件数目之和的10倍。
较佳的,在所述边界网关协议网络的异常监测方法中,所述边界网关协议 网络中发生的显式宣告事件的个数约等于发生显式撤销和隐式撤销两种事件 数目之和是指它们的差值小于等于所述显式宣告事件的个数的5%或所述显 式撤销和隐式撤销两种事件数目之和的5%中的至少一个。
较佳的,在所述边界网关协议网络的异常监测方法中,所述边界网关协议 网络中发生的显式宣告事件的个数远远小于发生的显式撤销和隐式撤销两种 事件数目之和是指所述边界网关协议网络中显式宣告事件的个数小于等于显 式撤销和隐式撤销两种事件数目之和的1/10。
本发明的有益效果是本发明的一种边界网关协议网络的异常监测系统及 方法,具有很强的实用性,能够更加有效的推测出BGP网络中异常发生的位 置和诱发原因,从而解决传统的几种边界网关协议网络异常监测方法运行效率 低下,没有给出事件诱发原因的问题,具有算法效率高以及分析准确率高等优 点。


图1为本发明的一种边界网关协议网络的异常监测方法的流程图-, 图2为骤S600中,对出现频度最高的字符子串结合显示宣告、显示撤销 和隐式撤销事件的数量进行分析的流程图3为本发明的一种边界网关协议网络的异常监测系统的框架图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实 施例,对本发明的一种边界网关协议网络的异常监测系统及方法进行进一步详 细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于 限定本发明。
请参照图1,此为本发明的一种边界网关协议网络的异常监测方法的流程 图。本发明的一种边界网关协议网络的异常监测方法,包括以下步骤
步骤SIOO,使用一采集器模拟路由器,通过与边界网关协议网络中的特 定的边界网关协议节点(自治系统)建立边界网关协议邻接关系,而使所述采 集器可以通过所述特定的边界网关协议节点连接到所述边界网关协议网络中 的所有边界网关协议节点,即,所有所述特定的边界网关协议节点在所述边界 网关协议网络中可以连接到的边界网关协议节点的并集为所述边界网关协议 网络中的所有边界网关协议节点。
步骤S200,所述采集器收集从与所述特定的边界网关协议节点建立邻接 关系成功起所接收到的全部边界网关协议更新(BGP Update)报文,并从与所 述特定的边界网关协议节点建立邻接关系成功起计算每个时间段Vt内所接收 到的更新报文的数量n,如果某一个时间段Vt中所接收到的更新报文的数量n 大于等于一个预先设定的最大值Nmax,则以这个时间段Vt的开始时间Tstart 作为进行分析的起算时间,收集所有从Tstart开始所接收到的更新报文以待分 析。其中,Vt和Nmax的值可以根据实际运用的需要进行设定,在本发明的 实施例中,设定Vt的值为30秒,Nmax的值为10,因此,在某个时间段的 30秒中,如果共接收到了 15个更新报文,即n的值为15,由于n大于设定的 Nmax,因此启动分析程序,以这个时间段的开始时间作为分析的起算时间, 并将在这个时间段内所接收到的15个报文添加到用于保存待分析更新报文的 报文集合U中,同时将在所述采集器中设置的用于指示是否进行分析的标志 位Status—Start的值设置为true,表示此时所述采集器已经进入分析状态,所 述标志位Status—Start在所述采集器收集与所述特定的边界网关协议节点建立 邻接关系时设置,并将其值设定为false。
步骤S300,所述采集器将在歩骤S200中所述的满足收到的更新报文的数量n大于Nmax的时间段Vt后的下一个时间段Vt,内所接收到的更新报文添加 到报文集合U中,并计算在所述时间段Vt'内所接收到的更新报文的数量n' 是否小于等于一个预先设定的最小值Nmin,如果在所述时间段Vt'内所接收到 的更新报文的数量n'小于等于Nmin,则以所述时间段Vt'的结束时间Tend作 为进行分析的结束时间,分析程序会将在时间段(Tstart, Tend)间接收到的 所有更新报文的报文集合U作为进行异常分析的数据集合;如果在所述时间 段Vt'内所接收到的更新报文的数量n'大于Nmin,则继续将下一时间段中所 接收到的更新报文添加到报文集合U中,并判断是否要将下一时间段的结束 时间作为分析的结束时间。在本发明的实施例中,在时间段Vt'以及每个时间 段开始时,系统都会首先检验所述标志位Status—Start的值是否为true,如果 是,则直接将这个时间段内所接收到的所有更新报文添加到报文集合U中。 在本步骤S300中,由于在步骤S200中已经将所述标志位Status—Start的值设 定为true,因此系统直接将在所述时间段Vt'中所接收到的所有更新报文添加 到报文集合U中,然后在所述时间段Vt'结束时,判断是否将以所述时间段 Vt'的结束时间作为进行分析的结束时间。在本发明的实施例中,设定Nmin 的值为5,因此,在所述时间段Vt'中,如果所接收到的更新报文的数量为2 个,即n'小于等于Nmin,则将所述时间段Vt'的结束时间Tend作为分析的结 束时间。此时,由于歩骤S200中的所述时间段Vt中接收到了 15个更新报文, 在本步骤中的所述时间段Vt'中接收到了 2个更新报文,因此所述报文集合U 中公有17个更新报文,这17个更新报文即为所要进行分析的分析对象。在得 出了分析结束时间Tend后,将所述采集器中的标志位Status—Start的值设置为 false,以使得从下一个时间段开始可以继续进行下一分析起算时间Tstart的判 断。
步骤S400,针对报文集合U中的每一个边界网关协议更新报文packet— current进行分析o
如果所述报文集合U中的由某一个与采集器具有相邻关系的边界网关协 议网络节点(BGP邻居)a所发送而来的边界网关协议更新报文b宣告了一个 或是多个前缀信息^^x (所述边界网关协议更新报文b中宣告的前缀信息记 载所述BGP邻居a可以到达的网络前缀),则针对所述边界网关协议更新报
文b中的每一个前缀信息^^^',检索由所述BGP邻居a发送而来的具有相同前缀信息^^、的历史更新报文packet—history (所述历史更新报文为在所述分 析起算时间Tstart前所接收到的边界网关协议更新报文),并根据检索出的具
有相同前缀信息的历史更新报文packet—history生成字符串v—history: <BGP
邻居的ip,nexthop的ip地址,AS Path的属性信息"",到达的前缀戸*'>; 同时,根据所述边界网关协议更新报文b生成字符串v一current: 〈BGP邻居的
ip地址,nexthop的ip地址,AS Path的属性信息到达的前缀戸力x'>; 而后,将所述生成的字符串v—history和字符串v一current添加到一字符串集合 V中。举例来说,在本发明的具体实施例中,当读取到报文集合U中的一个 边界网关协议更新报文c时,所述边界网关协议更新报文c是由ip地址为 192.168.30.1的边界网关协议节点发送而来的,对前缀Prefix: 192.169.30.0/24 的宣告(其中的/24表示所述前缀掩码的长度),其下一跳nexthop的ip地址 是192.168.30.17,宣告更新报文中的As Path为5, 4, 2;此时,系统就会根 据上述信息来构造与之相对应的字符串v—current: <192.168.30.1, 192.68.30.7, 5,4,2, 192.169.30.0。而后,系统检索同样是由ip地址为192.168.30.1的边界 网关协议节点所发送过来的,宣告前缀为192.169.30.0/24的历史更新报文,系 统检索得到的结果是BGP邻居的IP地址192.168.30.1,宣告前缀 192.169.30.0/24,下一跳nexthop的ip地址192.168.30.51, AS Path: 6, 4, 2; 此时,系统就会根据上述信息构造字符串vjiistory: <192.168.30.1, 192.168.30.51, 6, 4, 2, 192.169.30.0>。之后,系统将所述构造的字符串v—current 和字符串v一history添加到字符串集合V中。
如果所述报文集合U中的由某一个与采集器具有相邻关系的边界网关协 议网络节点(BGP邻居)d所发送而来的边界网关协议更新报文e是针对一个 或者多个前缀的撤销报文,则针对所述边界网关协议更新报文e中的每一个前
缀信息^一^ ,检索由所述BGP邻居c发送而来的针对相同前缀信息7^"'的 历史宣告报文packet—announce',并根据检索出的针对相同前缀信息^^、的
历史宣告报文packet一announce,生成字符串v—withdraw: <BGP邻居的ip地址, nexthop的ip地址,ASPath的属性信息"'^,…"",到达的前缀戸^〉;而后,
21将所述生成的字符串v—withdraw添加到字符串集合V中。举例来说,在本发 明的具体实施例中,当读取到报文集合U中的一个边界网关协议更新报文f 时,所述边界网关协议更新报文f是由ip地址为192.168.40.1的边界网关协议 节点发送而来的,关于一个前缀192.169.70.0/24的撤销报文;此时,系统就会 检索同样是由ip地址为192.168.40.1的边界网关协议节点发送而来的,关于前 缀是192.169.70.0/24的历史宣告报文packet—announce,,系统检索得到的结果 是BGP邻居的IP地址192.168.40.1,宣告前缀191169.70.0/24,下一跳nexthop 的ip地址192.168.40.51, AS Path为12, 4;此时,系统就会根据上述信息 构造字符串v—withdraw: 〈192.168.40.1, 192.168.40.51, 12,4, 192.169.70.0。而 后,系统将所述构造的字符串v—withdraw添加到字符串集合V中。
步骤S500,在所述字符串集合V中搜索出现频度最高的字符子串Vsub。 在本发明的具体实施例中,所述字符子串Vsub的形式包括以下种类
1) <与采集器具有相邻关系的边界网关协议网络节点(BGP邻居)的ip〉;
2) <AS Path属性信息的最后一个自治系统"",前缀信息P"^^;
3) <AS Path属性信息中的、AS Path属性信息中的 〉;
4) <AS Path属性信息中的最后一个自治系统"">;
5) <nexthop, AS Path属性信息中的第一个自治系统"'>。
因此,在所述字符串集合V中搜索具有上述5种形式的字符子串,在所 得到的结果中,确定出现频度最高的字符子串Vsub,以待在后续步骤中对所 述字符子串Vsub进行分析。
步骤S600,分析在所述步骤S500中搜索出的出现频度最高的字符子串 Vsub,结合由所述采集器统计的从所述采集器与所述特定的边界网关协议节点 建立邻接关系起所述边界网关协议网络中发生的显示宣告、显示撤销和隐式撤 销的事件的个数,判断所述边界网关协议网络异常出现的位置以及异常出现的 原因。其中,显示宣告、显示撤销和隐式撤销都是边界网关协议更新报文,显 示宣告用于宣告一条路由,显示撤销用于明确表示撤销某条路由,隐式撤销用 于通过宣告一条具有"更好"的路径的路由a来取代之前的路由b而间接撤销 路由b。在本发明的具体实施例中,预先通过路由行为分析的方法,得出一特 征与边界网关协议网络异常的对照表,其中,"特征"中为所述字符子串Vsub的形式或所述字符子串Vsub的形式与显示宣告、显示撤销、隐式撤销的个数 的结合,"边界网关协议网络异常"为边界网关协议网络异常发生的位置和异 常出现的原因,所述"特征"和所述"便捷网关协议网络异常"为一一对应的
关系。请参照图2,此为步骤S600中,对出现频度最高的字符子串Vsub结合
显示宣告、显示撤销和隐式撤销事件的数量进行分析的流程图,其中显示了所 述特征与边界网关协议网络异常的对照关系。所述特征与边界网关协议网络异
常的对照表中的对照关系包括以下种类
1) 当所述字符子串Vsub的形式为某一个与采集器具有相邻关系的边界 网关协议网络节点(BGP邻居)的ip时,则所述边界网关协议网络异常发生 的位置和异常出现的原因是所述BGP邻居出现故障或是所述采集器用于收集 来自所述BGP邻居的边界网络协议更新报文的链路出现故障。举例来说,当 所述Vsub为192.168.30.1时,所述边界网关协议网络异常发生的位置和异常 出现的原因是由于ip地址为192.168.30.1的这个BGP邻居出现故障或是所述 采集器与所述ip地址为192.168.30.1的自治系统之间用于建立邻居关系的链路 出现故障。
2) 当所述字符子串Vsub的形式为〈AS Path属性信息中的"',AS Path属 性信息中的"^时,则所述边界网关协议网络异常发生的位置和异常出现的原
因是自治系统"'和自治系统"'之间的链路或是协议关系的有效性故障,如链路
或是协议关系的建立,断开或是重启。举例来说,当所述Vsub为〈3,6〉时,所 述边界网关协议网络异常发生的位置和异常出现的原因是自治系统3和自治 系统6之间的链路出现故障或修复,或是自治系统3和自治系统6之间的邻居 关系建立或断开。
3) 当所述字符子串Vsub的形式为〈AS Path属性信息中的最后一个自治 系统"">时,则所述边界网关协议网络异常发生的位置和异常出现的原因是自
治系统""中出现了前缀劫持(即由网络中攻击者恶意宣告一个不存在的网络) 或路由黑洞。举例来说,当所述Vsub为〈6、并且自治系统6为ASPath属性
信息中的最后一个自治系统号时,所述边界网关协议网络异常发生的位置和异 常出现的原因是自治系统6中出现了前缀劫持或路由黑洞。4) 当所述字符子串Vsub的形式为〈nexthop, AS Path属性信息中的第一
个自治系统")>时,则所述边界网关协议网络异常发生的位置和异常出现的原 因是自治系统"'内部的多出口区分(MED)震荡(MED震荡是由于MED值 震荡出现的路由波动事件)或是内部网关协议(IGP)的流量工程(TE,将业 务流量映射到实际的物理路径上)。举例来说,当所述Vsub为〈192.168.30.1, 4>,并且自治系统4为ASPath属性信息中的第一个自治系统号时,所述边界 网关协议网络异常发生的位置和异常出现的原因是自治系统4内部出现了 MED震荡或是IGP的流量工程。
5) 当所述字符子串Vsub的形式为〈AS Path属性信息中的最后一个自治
系统"",前缀信息,^x〉,并且所述边界网关协议网络中发生的显式宣告事件 的个数远远大于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网
关协议网络异常发生的位置和异常出现的原因是自治系统""内部宣告前缀 ^-"或是自治系统""内部出现的链路或节点的修复。其中,在本发明的具体 实施例中,当所述边界网关协议网络中显式宣告事件的个数大于等于显式撤销 和隐式撤销两种事件数目之和的IO倍时,认为所述显式宣告事件的个数远远 大于显式撤销和隐式撤销两种事件数目之和。举例来说,当所述Vsub为 <3,192.168.30.0>,自治系统3为AS Path属性信息中的最后一个自治系统号, 并且所述边界网关协议网络中的显式宣告的个数为21,显式撤销和隐式撤销 的数目之和为2,则所述边界网关协议网络异常发生的位置和异常出现的原因 是在自治系统3内宣告了一个新的前缀192.168.30.0,或是自治系统3内部到 达前缀192.168.30.0的链路出现故障或修复。
6) 当所述字符子串Vsub的形式为为〈AS Path属性信息中的最后一个自
治系统"",前缀信息卩^">,并且所述边界网关协议网络中发生的显式宣告事 件的个数约等于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网
关协议网络异常发生的位置和异常出现的原因是自治系统""中发生了前缀的 震荡或者波动(即前缀出现了连续性的宣告,撤销事件)。其中,在本发明的 具体实施例中,当所述边界网关协议网络中显式宣告事件的个数与显式撤销和 隐式撤销两种事件数目之和的差值小于等于所述显式宣告事件的个数的5% 或所述显式撤销和隐式撤销两种事件数目之和的5%中的至少一个时,认为所 述边界网关的、议网络中发生的显式宣告事件的个数约等于显式撤销和隐式撤
24销两种事件数目之和。举例来说,当所述Vsub为〈6, 192.168.30.0,自治系统 6为AS Path属性信息中的最后一个自治系统号,并且所述边界网关协议网络 中的显式宣告的个数为21,显式撤销和隐式撤销的数目之和为20,则所述边 界网关协议网络异常发生的位置和异常出现的原因是在自治系统6中发生了 前缀为192.168.30.0的前缀的震荡或是波动。
7)当所述字符子串Vsub的形式为〈AS Path属性信息中的最后一个自治
系统"",前缀信息^^^>,并且所述边界网关协议网络中发生的显式宣告事件 的个数远远小于发生的显式撤销和隐式撤销两种事件数目之和时,则所述边界
网关协议网络异常发生的位置和异常出现的原因是自治系统""中删除前缀,或 是自治系统""中的内部链路或是节点的修复。其中,在本发明的具体实施例中, 当所述边界网关协议网络中显式宣告事件的个数小于等于显式撤销和隐式撤 销两种事件数目之和的1/10时,认为所述显式宣告事件的个数远远小于显式 撤销和隐式撤销两种事件数目之和。举例来说,当所述Vsub为<6, 192.168.30.0,自治系统6为ASPath属性信息中的最后一个自治系统号,并 且所述边界网关协议网络中的显式宣告的个数为2,显式撤销和隐式撤销的数 目之和为21,则所述边界网关协议网络异常发生的位置和异常出现的原因是 在自治系统6中发生了前缀撤销,或是在自治系统6中发生了链路或是节点的 修复。
请参照图3,此为本发明的边界网关协议网络的异常监测系统的框架图。 本发明的边界网关协议网络的异常监测系统10中,包括采集模块11以及分析 模块12。
所述采集模块11用于模拟路由器,通过与边界网关协议网络中的特定的 边界网关协议节点(自治系统)建立边界网关协议邻接关系,而使所述采集模 块11可以通过所述特定的边界网关协议节点连接到所述边界网关协议网络中 的所有边界网关协议节点,同时所述采集模块11还用于从所述特定的边界网 关协议节点接收边界网关协议更新(BGP Update)报文。
所述分析模块12用于当所述采集模块11所接收到的边界网关协议更新报 文满足一定条件时,对所述采集模块11所接收到的边界网关协议更新报文进 行分析,以判断所述边界网关协议网络中异常出现的位置以及异常出现的原 因。
25所述采集模块11中,包括连接模块111和边界网关协议更新报文采集模 块112。所述连接模块111用于连接所述边界网关协议网络中的特定的边界网 关协议节点(自治系统),而使所述采集模块11可以通过所述特定的边界网 关协议节点连接到所述边界网关协议网络中的所有边界网关协议节点。所述边 界网关协议更新报文采集模块112用于从所述特定的边界网关协议节点接收
边界网关协议更新(BGP Update)报文。
所述分析模块12中,包括字符串模块121和字符串分析模块122。所述 字符串模块121用于当所述采集模块11所接收到的边界网关协议更新报文满 足一定条件时,从所述采集模块11所接收到的边界网关协议更新报文中选取 需要进行分析的边界网关协议更新报文,将每个需要进行分析的边界网关协议 更新报文构造成字符串,并通过预先定义的规则从所述字符串中选取出符合标 准的字符子串。所述字符串分析模块122用于根据所述字符串模块121选取出 的字符子串,结合所述边界网关协议更新报文采集模块112所接收到的显示宣 告、显示撤销和隐式撤销报文的数量,按照预先设定的规则对所述字符子串进 行分析,以判断所述边界网关协议网络中异常出现的位置以及异常出现的原 因。
在本发明的具体实施例中,当所述边界网关协议网络的异常监测系统10 运作时,先由所述连接模块111连接所述边界网关协议网络中的特定的边界网 关协议节点,并由所述边界网关协议更新报文采集模块112从所述特定的边界 网关协议节点接收边界网关协议更新(BGP Update)报文。
而后,所述字符串模块121实时监控所述边界网关协议更新报文采集模块 112接收到的边界网关协议更新报文,计算每一时间段Vt中接收到的边界网 关协议更新报文的数量n是否大于等于一预设值Nmax,当某一时间段Vt中 的n大于等于Nmax时,以所述时间段Vt的起始时间点Tstart作为起算时间, 收集从Tstart开始所接收到的所有边界网关协议更新报文,同时,计算之后的 每一时间段Vt'中接收到的边界网关协议更新报文的数量n'是否小于等于一预 设值Nmin,当某一时间段Vt'中的n'小于等于Nmin时,以所述时间段Vt'的 结束时间Tend作为结束时间,分析在时间段(Tstart, Tend)间接收到的所有 边界网关协议更新报文。
在对时间段(Tstart, Tend)间接收到的所有边界网关协议更新报文进行
26分析时,如果其中的由某一个与采集器具有相邻关系的边界网关协议网络节点
(BGP邻居)a所发送而来的边界网关协议更新报文b宣告了一个或是多个前
缀信息^w、则针对所述边界网关协议更新报文b中的每一个前缀信息
/^/ x(,检索由所述BGP邻居a发送而来的具有相同前缀信息^^x'的历史更 新报文packet—history,并根据检索出的具有相同前缀信息的历史更新报文 packet—history生成字符串v—history: <BGP邻居的ip, nexthop的ip地址,AS
Path的属性信息 ""…、到达的前缀戸^'〉;同时,根据所述边界网关协议 更新报文b生成字符串v—current: 〈BGP邻居的ip地址,nexthop的ip地址,
AS Path的属性信息"',""…、到达的前缀^一、。如果其中的由某一个与采 集器具有相邻关系的边界网关协议网络节点(BGP邻居)c所发送而来的边界 网关协议更新报文d是针对一个或者多个前缀的撤销报文,则针对所述边界网
关协议更新报文d中的每一个前缀信息卩^、,检索由所述BGP邻居c发送而 来的针对相同前缀信息卩^^的历史宣告报文packet一aimoimce',并根据检索
出的针对相同前缀信息F^、的历史宣告报文packet一annoimce'生成字符串 v—w池draw: <BGP邻居的ip地址,nexthop的ip地址,AS Path的属性信息
""""』",到达的前缀P",^。
而后,所述字符串模块121从所有生成的字符串v—history、字符串v一current 和字符串v一withdraw中,按照预先设定的字符子串Vsub的形式,搜索出现频 度最高的字符子串Vsub。其中,所述字符子串Vsub的形式包括以下种类
1) <与采集器具有相邻关系的边界网关协议网络节点(BGP邻居)的ip〉;
2) <AS Path属性信息的最后一个自治系统"",前缀信息^e,^
3) <AS Path属性信息中的"',AS Path属性信息中的
4) <AS Path属性信息中的最后一个自治系统"">;
5) <nexthop, AS Path属性信息中的第一个自治系统"1>。
最后,所述字符串分析模块122用于根据所述字符串模块121选取出的字符子串,结合所述边界网关协议更新报文采集模块112所接收到的显示宣告、 显示撤销和隐式撤销报文的数量,按照预先设定的规则对所述字符子串进行分 析,以判断所述边界网关协议网络中异常出现的位置以及异常出现的原因。
当所述字符子串Vsub的形式为某一个与采集器具有相邻关系的边界网关 协议网络节点(BGP邻居)的ip时,则所述边界网关协议网络异常发生的位
置和异常出现的原因是所述BGP邻居出现故障或是所述采集器用于收集来自 所述BGP邻居的边界网络协议更新报文的链路出现故障。
当所述字符子串Vsub的形式为〈AS Path属性信息中的、AS Path属性
信息中的"^时,则所述边界网关协议网络异常发生的位置和异常出现的原因
是自治系统"'和自治系统^之间的链路或是协议关系的有效性故障,如链路或
是协议关系的建立,断开或是重启。
当所述字符子串Vsub的形式为〈AS Path属性信息中的最后一个自治系统
"">时,则所述边界网关协议网络异常发生的位置和异常出现的原因是自治系
统""中出现了前缀劫持或路由黑洞。
当所述字符子串Vsub的形式为〈nexthop, AS Path属性信息中的第一个自
治系统"1>时,则所述边界网关协议网络异常发生的位置和异常出现的原因是 自治系统"'内部的多出口区分(MED)震荡或是内部网关协议(IGP)的流量 工程(TE,将业务流量映射到实际的物理路径上)。
当所述字符子串Vsub的形式为〈AS Path属性信息中的最后一个自治系统
"",前缀信息P"^〉,并且所述边界网关协议网络中发生的显式宣告事件的个 数远远大于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关协
议网络异常发生的位置和异常出现的原因是自治系统""内部宣告前缀P—x或
是自治系统^内部出现的链路或节点的修复。
当所述字符子串Vsub的形式为为〈AS Path属性信息中的最后一个自治系
统"",前缀信息^^^>,并且所述边界网关协议网络中发生的显式宣告事件的 个数约等于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关协
议网络异常发生的位置和异常出现的原因是自治系统^中发生了前缀的震荡 或者波动。当所述字符子串Vsub的形式为〈AS Path属性信息中的最后一个自治系统
a、前缀信息P^^〉,并且所述边界网关协议网络中发生的显式宣告事件的个 数远远小于发生的显式撤销和隐式撤销两种事件数目之和时,则所述边界网关
协议网络异常发生的位置和异常出现的原因是自治系统""中删除前缀,或是自 治系统^中的内部链路或是节点的修复。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情 况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但 这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种边界网关协议网络的异常监测系统,其特征在于,包括采集模块以及分析模块;所述采集模块用于通过与边界网关协议网络中的特定的边界网关协议节点建立边界网关协议邻接关系,而使所述采集模块通过所述特定的边界网关协议节点连接到所述边界网关协议网络中的所有边界网关协议节点,以及用于从所述特定的边界网关协议节点接收边界网关协议更新报文;所述分析模块用于当所述采集模块所接收到的边界网关协议更新报文满足一定条件时,对所述采集模块所接收到的边界网关协议更新报文进行分析,以判断所述边界网关协议网络中异常出现的位置以及异常出现的原因。
2、 根据权利要求1所述的一种边界网关协议网络的异常监测系统,其特 征在于,所述采集模块所接收到的边界网关协议更新报文满足一定条件,是指 所述采集模块所接收到的边界网关协议更新报文的数量在某一时间段内的数 量大于等于一预设的最大值,并在之后的某一时间段内的数量小于等于一预设 的最小值。
3、 根据权利要求1所述的一种边界网关协议网络的异常监测系统,其特 征在于所述采集模块中,包括连接模块和边界网关协议更新报文采集模块; 所述连接模块用于连接所述边界网关协议网络中的特定的边界网关协议节点,以使所述采集模块通过所述特定的边界网关协议节点连接到所述边界网关协议网络中的所有边界网关协议节点;所述边界网关协议更新报文采集模块用于从所述特定的边界网关协议节点接收边界网关协议更新报文。
4、 根据权利要求1所述的一种边界网关协议网络的异常监测系统,其特 征在于.-所述分析模块中,包括字符串模块和字符串分析模块; 所述字符串模块用于当所述采集模块所接收到的边界网关协议更新报文 满足一定条件时,从所述采集模块所接收到的边界网关协议更新报文中选取需 要进行分析的边界网关协议更新报文,将每个需要进行分析的边界网关协议更新报文构造成字符串,并通过预先定义的规则从所述字符串中选取出符合标准的字符子串;所述字符串分析模块用于根据所述字符串模块选取出的字符子串,按照预 先设定的规则对所述字符子串进行分析,以判断所述边界网关协议网络中异常 出现的位置以及异常出现的原因。
5、 根据权利要求4所述的一种边界网关协议网络的异常监测系统,其特 征在于,所述通过预先定义的规则从所述字符串中选取出符合标准的字符子串是指从所述字符串中选取出出现频率最高的符合以下形式的字符子串 <边界网关协议邻居的ip〉;<AS Path属性信息的最后一个边界网关协议节点,前缀信息>;<AS Path属性信息中的,AS Path属性信息中的"'>;<AS Path属性信息中的最后一个边界网关协议节点>; <nexthop, AS Path属性信息中的第一个边界网关协议节点>。
6、 根据权利要求5所述的一种边界网关协议网络的异常监测系统,其特 征在于当选取出的字符子串的形式是<边界网关协议邻居的ip〉时,所述边界网 关协议网络异常发生的位置和异常出现的原因是所述边界网关协议邻居出现 故障或是所述边界网关协议网络的异常监测系统用于收集来自所述边界网关 协议邻居的边界网络协议更新报文的链路出现故障;当选取出的字符子串的形式是〈AS Path属性信息中的"',AS Path属性信息中的"'>时,所述边界网关协议网络异常发生的位置和异常出现的原因是边界网关协议节点"'和边界网关协议节点"'之间的链路或是协议关系的有效性 故障;当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点>时,所述边界网关协议网络异常发生的位置和异常出现的原因是所 述最后一个边界网关协议节点中出现了前缀劫持或路由黑洞;当选取出的字符子串的形式是〈nexthop, AS Path属性信息中的第一个边界网关协议节点>时,则所述边界网关协议网络异常发生的位置和异常出现的 原因是所述第一个边界网关协议节点内部的多出口区分震荡或是内部网关协 议的流量工程。
7、 根据权利要求5所述的一种边界网关协议网络的异常监测系统,其特 征在于,所述字符串分析模块还用于根据所述字符串模块选取出的字符子串, 结合所述边界网关协议更新报文采集模块所接收到的显示宣告、显示撤销和隐 式撤销报文的数量,按照预先设定的规则对所述字符子串进行分析,以判断所 述边界网关协议网络中异常出现的位置以及异常出现的原因。
8、 根据权利要求7所述的一种边界网关协议网络的异常监测系统,其特征在于当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数远远大于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关 协议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议节 点内部宣告前缀或是所述最后一个边界网关协议节点内部出现的链路或节点 的修复;当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数约等于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关协 议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议节点 中发生了前缀的震荡或者波动;当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数远远小于发生的显式撤销和隐式撤销两种事件数目之和时,则所述边界网 关协议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议 节点中删除前缀,或是所述最后一个边界网关协议节点中的内部链路或是节点 的修复。
9、 根据权利要求8所述的一种边界网关协议网络的异常监测系统,其特 征在于,所述边界网关协议网络中发生的显式宣告事件的个数远远大于发生显 式撤销和隐式撤销两种事件数目之和是指所述边界网关协议网络中显式宣告事件的个数大于等于显式撤销和隐式撤销两种事件数目之和的10倍。
10、 根据权利要求8所述的一种边界网关协议网络的异常监测系统,其特 征在于,所述边界网关协议网络中发生的显式宣告事件的个数约等于发生显式 撤销和隐式撤销两种事件数目之和是指它们的差值小于等于所述显式宣告事 件的个数的5%或所述显式撤销和隐式撤销两种事件数目之和的5%中的至少一个。
11、 根据权利要求8所述的一种边界网关协议网络的异常监测系统,其特 征在于,所述边界网关协议网络中发生的显式宣告事件的个数远远小于发生的 显式撤销和隐式撤销两种事件数目之和是指所述边界网关协议网络中显式宣 告事件的个数小于等于显式撤销和隐式撤销两种事件数目之和的1/10。
12、 一种边界网关协议网络的异常监测方法,其特征在于,包括以下步骤步骤10,使用采集器通过与边界网关协议网络中的特定的边界网关协议 节点建立边界网关协议邻接关系,使所述采集器通过所述特定的边界网关协议节点连接到所述边界网关协议中的所有边界网关协议节点,进入步骤20;步骤20,所述采集器收集从所述特定的边界网关协议节点所接收到的全 部边界网关协议更新报文,并根据预先设定的所述边界网关协议更新报文到达 的频度特征,收集符合所述频度特征的边界网关协议更新报文作为待分析的边界网关协议更新报文集合,进入步骤30;步骤30,对所述待分析的边界网关协议更新报文集合中的边界网关协议 更新报文进行分析,结合所述采集器在所述进行分析的开始时间前所接收到的 边界网关协议更新报文,检索出用于判断所述边界网关协议网络异常出现的位 置以及异常出现的原因的边界网关协议更新报文,并用每个检索出的边界网关协议更新报文构造字符串,进入步骤40;步骤40,从在步骤30中构造出的字符串中搜索符合预先设定的格式的字符子串中出现频度最高的字符子串,进入步骤50;步骤50,分析在步骤40中搜索出的出现频度最高的字符子串,判断所述 边界网关协议网络异常出现的位置以及异常出现的原因。
13、 根据权利要求12所述的一种边界网关协议网络的异常监测方法,其 特征在于,所述步骤20中,包括以下步骤歩骤21所述采集器收集从所述特定的边界网关协议节点所接收到的全部边界网关协议更新报文,并计算每个时间段内所接收到的边界网关协议更新报 文的数量,如果某一个时间段中所接收到的边界网关协议更新报文的数量大于 等于一个预先设定的最大值,则以这个时间段的开始时间作为进行分析的起算 时间,收集所有从这个开始时间起所接收到的边界网关协议更新报文,进入步 骤22;步骤22,所述采集器继续计算每个时间段内所接收到的边界网关协议更 新报文的数量,如果某一个时间段中所接收到的边界网关协议更新报文的数量 小于等于一个预先设定的最小值,则以这个时间段的结束时间作为进行分析的 结束时间,将从所述进行分析的起算时间到所述进行分析的结束时间中所接收 到的所有边界网关协议更新报文作为待分析的报文集合。
14、根据权利要求12所述的一种边界网关协议网络的异常监测方法,其 特征在于,所述步骤30中,包括以下步骤步骤31,当与采集器具有相邻关系的边界网关协议网络节点所发送来的 边界网关协议更新报文宣告了一个或是多个前缀信息时,进入步骤32,当与 采集器具有相邻关系的边界网关协议网络节点所发送来的边界网关协议更新 报文是针对一个或者多个前缀的撤销报文时,进入步骤33;步骤32,当与采集器具有相邻关系的边界网关协议网络节点所发送来的 边界网关协议更新报文宣告了一个或是多个前缀信息时,根据所述边界网关协 议更新报文生成字符串<边界网关协议网络节点ip地址,nexthop的ip地址, AS Path的属性信息,到达的前缀>,同时,针对所述边界网关协议更新报文 中宣告的每一个前缀信息,检索由所述同一个边界网关协议网络节点发送而来 的具有相同前缀信息的历史边界网关协议更新报文,并根据检索出的具有相同 前缀信息的历史边界网关协议更新报文生成字符串<边界网关协议网络节点的 ip, nexthop的ip地址,ASPath的属性信息,到达的前缀>,操作结束;步骤33,当与采集器具有相邻关系的边界网关协议网络节点所发送来的 边界网关协议更新报文是针对一个或者多个前缀的撤销报文时,针对所述边界 网关协议更新报文中的每一个前缀信息,检索由所述边界网关协议网络节点发 送而来的针对相同前缀信息的历史边界网关协议宣告报文,并根据所述边界网 关协议历史宣告报文生成字符串<边界网关协议网络节点的ip地址,nexthop 的ip地址,ASPath的属性信息,到达的前缀>。
15、 根据权利要求12所述的一种边界网关协议网络的异常监测方法,其特征在于,在步骤40中,所述预先设定的字符子串的格式包括以下种类<边界网关协议邻居的ip>;<AS Path属性信息的最后一个边界网关协议节点,前缀信息>;<AS Path属性信息中的"',AS Path属性信息中的"^;<AS Path属性信息中的最后一个边界网关协议节点>; <nexthop, AS Path属性信息中的第一个边界网关协议节点>。
16、 根据权利要求12所述的一种边界网关协议网络的异常监测方法,其 特征在于,在步骤50中当选取出的字符子串的形式是<边界网关协议邻居的ip〉时,所述边界网 关协议网络异常发生的位置和异常出现的原因是所述边界网关协议邻居出现 故障或是所述采集器用于收集来自所述边界网关协议邻居的边界网络协议更 新报文的链路出现故障;当选取出的字符子串的形式是〈AS Path属性信息中的《,AS Path属性信息中的"'〉时,所述边界网关协议网络异常发生的位置和异常出现的原因是边界网关协议节点"'和边界网关协议节点"'之间的链路或是协议关系的有效性 故障;当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点>时,所述边界网关协议网络异常发生的位置和异常出现的原因是所 述最后一个边界网关协议节点中出现了前缀劫持或路由黑洞;当选取出的字符子串的形式是〈nexthop, AS Path属性信息中的第一个边 界网关协议节点>时,则所述边界网关协议网络异常发生的位置和异常出现的 原因是所述第一个边界网关协议节点内部的多出口区分震荡或是内部网关协 议的流量工程。
17、 根据权利要求15所述的一种边界网关协议网络的异常监测方法,其 特征在于,在步骤50中,在判断所述边界网关协议网络异常出现的位置以及 异常出现的原因时,还包括一结合由所述采集器统计的从所述采集器与所述特定的边界网关协议节点建立邻接关系起所述边界网关协议网络中发生的显示 宣告、显示撤销和隐式撤销的事件的个数,对所述边界网关协议网络异常出现 的位置以及异常出现的原因进行判断的步骤。
18、 根据权利要求17所述的一种边界网关协议网络的异常监测方法,其 特征在于,在步骤50中,当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数远远大于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关 协议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议节 点内部宣告前缀或是所述最后一个边界网关协议节点内部出现的链路或节点 的修复;当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数约等于发生显式撤销和隐式撤销两种事件数目之和时,则所述边界网关协 议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议节点 中发生了前缀的震荡或者波动;当选取出的字符子串的形式是〈AS Path属性信息中的最后一个边界网关 协议节点,前缀信息>,并且所述边界网关协议网络中发生的显式宣告事件的 个数远远小于发生的显式撤销和隐式撤销两种事件数目之和时,则所述边界网 关协议网络异常发生的位置和异常出现的原因是所述最后一个边界网关协议 节点中删除前缀,或是所述最后一个边界网关协议节点中的内部链路或是节点 的修复。
19、 根据权利要求18所述的一种边界网关协议网络的异常监测方法,其 特征在于,所述边界网关协议网络中发生的显式宣告事件的个数远远大于发生 显式撤销和隐式撤销两种事件数目之和是指所述边界网关协议网络中显式宣 告事件的个数大于等于显式撤销和隐式撤销两种事件数目之和的10倍。
20、 根据权利要求18所述的一种边界网关协议网络的异常监测方法,其 特征在于,所述边界网关协议网络中发生的显式宣告事件的个数约等于发生显 式撤销和隐式撤销两种事件数目之和是指它们的差值小于等于所述显式宣告 事件的个数的5%或所述显式撤销和隐式撤销两种事件数目之和的5%中的至少一个。
21、根据权利要求18所述的一种边界网关协议网络的异常监测方法,其 特征在于,所述边界网关协议网络中发生的显式宣告事件的个数远远小于发生 的显式撤销和隐式撤销两种事件数目之和是指所述边界网关协议网络中显式 宣告事件的个数小于等于显式撤销和隐式撤销两种事件数目之和的1/10。
全文摘要
本发明涉及计算机网络技术,公开了一种边界网关协议网络的异常监测系统及方法。在本发明中,在边界网关协议网络中收集边界网关协议更新宣告报文,针对收集到的每个边界网关协议更新报文构造相应的字符串v,并将字符串v添加到字符串集合V中,在字符串集合V中搜寻出现频度最高的字符子串v<sub>sub</sub>为边界网关协议网络异常的发生位置,并根据字符子串v<sub>sub</sub>的内容按照路由行为分析的方法推测边界网关协议网络异常的诱发原因。本发明能够更加有效的进行边界网关协议网络异常监测以及异常原因分析,在准确性和易用性上都有很大的提高。
文档编号H04L12/26GK101471824SQ20071030855
公开日2009年7月1日 申请日期2007年12月29日 优先权日2007年12月29日
发明者伟 梁, 毕经平, 强 马 申请人:中国科学院计算技术研究所
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:马强;梁伟;毕经平
  • 技术所有人:中国科学院计算技术研究所
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
边界网关协议相关技术
可信边界安全网关相关技术
边界网关相关技术
sae网络的边界网关相关技术
可信边界网关相关技术
边界网关和网闸的区别相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2