元组对应路由表所属于的网络前 缀地址;输入端口是指该数据流输入这一周边网络设备的实际入端口;查询入端口是指如 果以该数据流源地址作为逆向目的地址,查询路由表得到的输出端口记为查询入端口;输 出端口是指以该数据流目的地址查询路由表后得到的输出端口;状态探查结果S(i)是指 该数据流状态探查结果记录,分为S (i) =0正常状态和S (i) = 1触发状态两种,数据流状 态探查结果为正常状态表示路由器不存在异常转发行为。
[0022] 后续检测直接读取已有数据流状态表,并根据该数据流状态表首先对待检测数据 流的源地址、目的地址进行匹配检查,若待检测数据流的上述两项与数据流状态表中某条 目的源地址、目的地址均匹配成功,则直接按照数据流状态表该条目中记录的状态探查结 果给出待检测数据流的状态探查结果S (i)。
[0023] S3、若不匹配,则对待检测数据流进行状态探查,通过获取数据流各项特征参数计 算出相应状态探查结果S (i)。
[0024] 若未匹配成功,即待检测数据流的源地址与数据流状态表中的源网段地址不匹 配,或者待检测数据流的目的地址与数据流状态表中的目的网段地址不匹配,或者待检测 数据流的源地址和目的地址与数据流状态表中的源网段地址和目的网段地址均不匹配,此 时,需要对待检测数据流进行状态探查以生成状态探查结果。
[0025] 其中,计算状态探查结果S(i)的公式:
[0026]
【主权项】
1. 一种核屯、路由区域内路由器转发行为规范的检测方法,其特征在于,包括w下步 骤: 51、 针对待检测核屯、路由器,分别获取所述待检测核屯、路由器直连周边网络设备各端 口接收到的数据流,并作为待检测数据流; 52、 初始生成数据流状态表,读取并根据所述数据流状态表对所述待检测数据流进行 匹配检查; 53、 如果所述待检测数据流与所述数据流状态表不匹配,则对所述待检测数据流进行 状态探查,通过获取数据流各项特征参数计算出相应状态探查结果S(i); 54、 检查所述数据流状态表是否需要更新,如果需要,则执行该状态表更新操作;W及 55、 判断所述状态探查结果是否为触发状态,如果是,则联合所述待检测核屯、路由器各 周边网络设备,计算所述待检测核屯、路由器转发行为状态r,并最终根据转发行为状态r判 定是否存在转发行为异常,若存在,则产生告警日志结果。
2. 如权利要求1所述的核屯、路由区域内路由器转发行为规范的检测方法,其特征在 于,其中,所述数据流状态表包括;源网段地址、目的网段地址、输入端口、查询入端口、输出 端口、状态探查结果S(i)。
3. 如权利要求1所述的核屯、路由区域内路由器转发行为规范的检测方法,其特征在 于, 所述状态探查结果S(i) =fa(Xi,X2) 0fb(X3)lfa=0+fa(Xl,X2) 0fc(X4)L=l,初始时fa =0, fb= 1,f c= 0。
4. 如权利要求1所述的核屯、路由区域内路由器转发行为规范的检测方法,其特征在 于,其中,所述核屯、路由区域中核屯、路由器的转发行为状态
> 表示该核屯、路由 器所属各端口j(j= 0, 1,2,…n)对应的状态,P(j)初始化为0,且P(j)基于状态探查结果S(i)判断得到。
5. 如权利要求4所述的核屯、路由区域内路由器转发行为规范的检测方法,其特征在 于,其中,当r声0时判定所述核屯、路由器存在转发行为异常。
6. 如权利要求1所述的核屯、路由区域内路由器转发行为规范的检测方法,其中,还包 括: 当出现W下情况时对所述数据流状态表进行更新: 1) 在所述步骤S3中产生了数据流状态表更新条目,对相应新增条目进行存储; 2) 需要与路由表动态变化相同步时; 3) 数据流状态表预设存储条目数达到上限时。
7. -种核屯、路由区域内路由器转发行为规范的检测系统,其特征在于,包括: 采集模块,用于所述核屯、路由区域内各待检测路由器端口状态P(j)的采集,所述核屯、 路由区域内不同路由器之间可W互为周边网络设备,所有周边网络设备均采用如权利要求 1所述检测方法进行接收数据流匹配检测,进而生成转发行为异常的路由器端口状态供采 集模块提取; 判断模块,用于对所述核屯、路由区域内每一待检测路由器分别计算转发行为状态r化),判断r化)是否为0,如果不为0,则判定路由器k存在转发行为异常;W及 处理模块,用于处理计算所述核屯、路由区域的转发行为状态R,并根据转发行为状态R判定该区域是否存在转发行为异常,若存在,则产生告警日志结果。
8. 如权利要求7所述的核屯、路由区域内路由器转发行为规范的检测系统, 其特征在于,其中,所述核屯、路由区域内每一待检测路由器各自的转发行为状态
,j=n,l,"n,Pk(j)表示第k个待检测路由器的j端口状态,初始时r(k) =0。
9. 如权利要求7所述的核屯、路由区域内路由器转发行为规范的检测系统,其特征在 于,其中,所述核屯、路由区域的转发行为状态
1£=1,2...111,初始时1? = 〇,经处理 如果R不为0,则判定所述核屯、路由区域(包含m个核屯、路由器的核屯、区域)存在转发行为 异常,产生告警日志结果。
【专利摘要】本发明提供了一种核心路由区域内路由器转发行为规范的检测方法及系统,该方法包括:获取待检测核心路由器直连周边网络设备各端口接收到的数据流,并作为待检测数据流;初始生成数据流状态表,读取并根据数据流状态表对待检测数据流进行匹配检查;若不匹配,则对待检测数据流进行状态探查以生成状态探查结果S(i);检查数据流状态表是否需要更新,如果是,则执行该状态表更新操作;判断状态探查结果是否为触发状态,如果是,则联合待检测核心路由器各周边网络设备,计算待检测核心路由器转发行为状态r,并根据转发行为状态r判定是否存在转发行为异常,若存在,则产生告警日志结果。该检测方法可以有效检测出路由器是否存在转发行为异常。
【IPC分类】H04L12-24, H04L12-26
【公开号】CN104796291
【申请号】CN201510203080
【发明人】徐恪, 杨帆, 沈蒙, 陈文龙, 赵有健
【申请人】清华大学
【公开日】2015年7月22日
【申请日】2015年4月27日