基于加权相似度的域间路由系统安全状态感知方法和装置与流程

本发明涉及域间路由安全监测技术领域，特别涉及一种基于加权相似度的域间路由系统安全状态感知方法和装置。

背景技术：

伴随着互联网安全形势的日益严峻，以边界网关协议(bordergatewayprotocol，简称“bgp”)为通信机制、负责整个网络不同自治域间路由信息交换的域间路由系统面临的安全问题也越来越凸显，其中，域间路由系统安全监测方案由于不需要修改原有路由协议，不需要部署覆盖全网的密钥管理基础设施，可以根据用户需求增量式布置监测节点，实现成本低且可扩展性强，并且在仅对少数bgp核心节点实施监测的情况下，即可大幅提高域间路由系统整体的安全性，是目前较为有效且可行的域间路由系统安全解决方案。

现有的域间路由系统安全监测方案大多是对已检测出的异常路由数据集进行融合处理，由此得到域间路由系统的安全状态。显然，这类方法的有效性高度依赖于异常路由集的完备性，而异常路由集的获取本身就是域间路由系统安全监测的难点，其完备性更是无法保证，进而严重影响了此类方法所得结果的可靠性。

技术实现要素：

为了解决现有的域间路由系统安全监测方案监测结果可靠性不高的问题，本发明实施例提供了一种基于加权相似度的域间路由系统安全状态感知方法和装置。所述技术方案如下：

一方面，本发明提供了一种基于加权相似度的域间路由系统安全状态感知方法，所述方法包括：

获取域间路由系统安全状态特征的数据，所述域间路由系统的安全状态特征包括：路由事件发生频度、平均路径长度、以及路径编辑距离；

生成所述域间路由系统安全状态的标准特征集，所述标准特征集为正常运行状态下所述域间路由系统对应的安全状态特征数据的集合；

生成所述域间路由系统安全状态的实时特征集，所述实时特征集为所述域间路由系统的实时安全状态特征数据的集合；

根据预设的规则，计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度；

根据计算出的相似度，计算所述域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差；

当计算出的特征偏差小于预设阀值时，判断所述域间路由系统运行正常。

本发明上述的方法中，所述根据预设的规则，计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度，包括：

根据如下公式，计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度sim(i,s)：

其中，i均为所述实时特征集，iij为所述实时特征集i中第j次获取第i个安全状态特征的值，

s均为所述标准特征集，sij为标准特征集s中第j次获取第i个安全状态特征的值，j为范围为1至m的正整数，m为大于1的正整数，

wi表示第i个安全状态特征对应的权值，第1个安全状态特征为路由事件发生频度，第2个安全状态特征为平均路径长度，第3个安全状态特征为路径编辑距离。

本发明上述的方法中，初始时，w1＝0.4，w2＝0.3，w3＝0.3；

如果近期发生的异常主要为跨平面攻击，则通过如下方式调整权值：w1``＝w1`+δ，w2``＝w2`-δ/2，w3``＝w3`-δ/2；

如果近期发生的异常主要为基于无效信息的路由攻击，则通过如下方式调整权值：w1``＝w1`-δ，w2``＝w2`+δ/2，w3``＝w3`+δ/2；

其中，w1`、w2`、w3`为调整前采用的权值，w1``、w2``、w3``为调整后被 采用的权值，δ的范围为0至0.4。

本发明上述的方法中，所述根据计算出的相似度，计算实所述域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差，包括：

根据如下公式，计算所述特征偏差dev(i,s)：

dev(i,s)＝1-sim(i,s)。

本发明上述的方法中，所述方法还包括：

如果判断所述域间路由系统的正常运行，则将所述实时特征集与所述标准特征集进行加权平均处理，得到新的标准特征集。

另一方面，本发明提供了一种基于加权相似度的域间路由系统安全状态感知装置，所述装置包括：

获取模块，用于获取域间路由系统安全状态特征的数据，所述域间路由系统的安全状态特征包括：路由事件发生频度、平均路径长度、以及路径编辑距离；

生成模块，用于生成所述域间路由系统安全状态的标准特征集，所述标准特征集为正常运行状态下所述域间路由系统对应的安全状态特征数据的集合；

所述生成模块，还用于生成所述域间路由系统安全状态的实时特征集，所述实时特征集为所述域间路由系统的实时安全状态特征数据的集合；

计算模块，用于根据预设的规则，计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度；

所述计算模块，还用于根据计算出的相似度，计算所述域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差；

处理模块，用于当计算出的特征偏差小于预设阀值时，判断所述域间路由系统运行正常。

本发明上述的装置中，所述计算模块，还用于根据如下公式，计算所述域间路由系统安全状态的实时特征集与标准特征集之间的相似度sim(i,s)：

其中，i均为所述实时特征集，iij为所述实时特征集i中第 j次获取第i个安全状态特征的值，

s均为所述标准特征集，sij为标准特征集s中第j次获取第i个安全状态特征的值，j为范围为1至m的正整数，m为大于1的正整数，

wi表示第i个安全状态特征对应的权值，第1个安全状态特征为路由事件发生频度，第2个安全状态特征为平均路径长度，第3个安全状态特征为路径编辑距离。

本发明上述的装置中，初始时，w1＝0.4，w2＝0.3，w3＝0.3；

如果近期发生的异常主要为跨平面攻击，则通过如下方式调整权值：w1``＝w1`+δ，w2``＝w2`-δ/2，w3``＝w3`-δ/2；

如果近期发生的异常主要为基于无效信息的路由攻击，则通过如下方式调整权值：w1``＝w1`-δ，w2``＝w2`+δ/2，w3``＝w3`+δ/2；

其中，w1`、w2`、w3`为调整前采用的权值，w1``、w2``、w3``为调整后被采用的权值，δ的范围为0至0.4。

本发明上述的装置中，所述计算模块还用于根据如下公式，计算所述特征偏差dev(i,s)：

dev(i,s)＝1-sim(i,s)。

本发明上述的装置中，所述处理模块，还用于当判断所述域间路由系统的正常运行时，将所述实时特征集与所述标准特征集进行加权平均处理，得到新的标准特征集。

本发明实施例提供的技术方案带来的有益效果是：

通过获取域间路由系统安全状态特征的数据，该域间路由系统的安全状态特征包括：路由事件发生频度、平均路径长度、以及路径编辑距离，上述安全状态特征既可以通过自行部署的监测节点获取，也可以从routeviews等公共项目得到，大大降低了数据获取的难度，同时也克服了对异常路由集的完备性的依赖，而且该方法通过根据预设的规则，计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度，然后，根据计算出的相似度，计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差，该特征偏差可以用于供管理员判断域间路由系统的安全状态，这样能对域间路由系统的安全状态进行实时判断，实时性强，且判断结果准确性高。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的一种基于加权相似度的域间路由系统安全状态感知方法流程图；

图2是本发明实施例一提供的一种基于加权相似度的域间路由系统安全状态感知方法流程图；

图3是本发明实施例二提供的一种基于加权相似度的域间路由系统安全状态感知装置结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例一

本发明实施例提供了一种基于加权相似度的域间路由系统安全状态感知方法，参见图1，该方法包括：

步骤s11，获取域间路由系统安全状态特征的数据，该域间路由系统的安全状态特征包括：路由事件发生频度、平均路径长度、以及路径编辑距离。

需要说明的是，能够反映域间路由系统的安全状态特征并不仅仅包括上述三个，但是，采用的安全状态特征越多也就意味着安全状态的计算越复杂，所要耗费的时间也越多，考虑到域间路由系统安全状态评估在实时性方面的严格要求，故只采用了上述三个特征。

在本实施例中，更新报文是bgp协议的核心内容，用于向其它路由器宣告路由信息的更新，包括新路由的增添和废旧路由的撤消。在更新报文的所有属性中，as_path是公认必选属性，它用带有顺序的as号序列来描述as间的路径或到某个具体nlri的路由，是反映域间路由系统运行状况及特性的关键信息。as_path的本质就是一个字符串，所以通常采用平均长度和路径编辑距离来度量不同时刻as_path的差异。另外，通过对采集到的大量域间路由历史数 据的分析，发现域间路由事件发生频率直接反映域间路由系统的稳定状况，其值越高，域间路由系统越倾向于不稳定状态。因为一旦有节点失效或更优路径被宣告，在域间路由系统内将产生大量的相关bgp更新报文，所以说路由事件发生频率也反映域间路由系统的稳定状况。

在实际应用中，路由事件发生频度(frequencyofroutingevents,简称“fre”)、平均路径长度(averagepathlength，简称“apl”)以及路径编辑距离(patheditdistance，简称“ped”)的数据，既可以通过自行部署的监测节点获取，也可以从routeviews等公共项目得到(具体地，通过对自行部署的监测节点或者routeviews等公共项目采集的原始数据进行统计分析，得到域间路由系统安全状态特征的数据)，大大降低了数据获取的难度，同时也克服了对异常路由集的完备性的依赖。

步骤s12，生成域间路由系统安全状态的标准特征集，该标准特征集为正常状态下域间路由系统对应的安全状态特征数据的集合。

在本实施例中，也可以采用矩阵的形式来存储标准特征集s，例如：

其中，sij为标准特征集s中第j次获取第i个安全状态特征的值(在本实施例中，第1个安全状态特征为fre，第2个安全状态特征为apl，第3个安全状态特征为ped，在实际应用中上述顺序可以更改，这里不做限制)，j的取值范围为1至m的正整数，m为大于1的正整数，其中，m的大小取决于采样的总时间除去采样的时间间隔。

步骤s13，生成域间路由系统安全状态的实时特征集，该实时特征集为域间路由系统的实时安全状态特征数据的集合。

在本实施例中，可以采用矩阵的形式来存储实时特征集i，例如：

其中，iij为实时特征集i中第j次获取第i个安全状态特征的值(在本实施例中，第1个安全状态特征为fre，第2个安全状态特征为apl，第3个安全状态特征为ped，在实际应用中上述顺序可以更改，这里不做限制)，j的取值范围为1至m的正整数，m为大于1的正整数，其中，m的大小取决于采样的 总时间除去采样的时间间隔。需要说明的是，在生成实时特征集i时，如果获取到的安全状态特征的值不够，则可以在相应的位置补零。

步骤s14，根据预设的规则，计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度。

具体，上述步骤s14可以通过如下方式实现：

根据如下公式，计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度：

其中，sim(i,s)为实时特征集i与标准特征集s之间的相似度，w为上述三个安全状态特征对应的权值集合，wi为第i个安全状态特征的权值(本实施例中，第1个安全状态特征为fre，第2个安全状态特征为apl，第3个安全状态特征为ped)。

需要说明的是，采用上述公式可以将相似度的范围控制在0至1的范围内，这样便于后续计算和处理。

进一步地，初始时，w1＝0.4，w2＝0.3，w3＝0.3；

如果近期发生的异常主要为跨平面攻击，则通过如下方式调整权值：w1``＝w1`+δ，w2``＝w2`-δ/2，w3``＝w3`-δ/2；

如果近期发生的异常主要为基于无效信息的路由攻击，则通过如下方式调整权值：w1``＝w1`-δ，w2``＝w2`+δ/2，w3``＝w3`+δ/2；

其中，w1`、w2`、w3`为调整前采用的权值，w1``、w2``、w3``为调整后被采用的权值。

在本实施例中，δ可以由管理员根据实际需要取值，其取值范围可以为0至0.4。

在本实施例中，通过对三个安全状态特征的数据进行权重修正，可以更准确的反映实时特征集与标准特征集之间的相似度，以保障后续计算结果的准确性。

步骤s15，根据计算出的相似度，计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差，该特征偏差可以用于供管理员判断域间路由系统的安全状态。

在本实施例中，特征偏差dev(i,s)可以通过如下公式计算：dev(i,s)＝1-sim(i,s)。

步骤s16，当计算出的特征偏差小于预设阀值时，判断该域间路由系统运行正常。

在实际应用中，该特征偏差可以用于供管理员判断域间路由系统的安全状态，例如：通过特征偏差与预设阀值进行比较，如果特征偏差高于预设阈值，则说明域间路由系统的安全状态较差或者出现异常，需要向管理员发送异常报警；如果特征偏差不高于预设阈值，则说明域间路由系统的安全状态处于正常水平。需要说明的是，关于上述预设阀值的选取，如果管理员对网络发生异常较为敏感，可以取较小阈值，如：0.3；如果管理员只想关注较大规模的异常，则可以选取较大阈值，如：0.5。

参见图2，在本实施例中，如果特征偏差低于上述预设阈值，则执行步骤s17。

步骤s17，如果判断域间路由系统的正常运行，则将实时特征集与标准特征集进行加权平均处理，得到新的标准特征集。

在本实施例中，新的标准特征集s`＝(s+i)/2，如果通过特征偏差判断出此时域间路由系统正常运行，则可以根据上述方法来更新标准特征集s，这样可以使得判断结果更加准确可靠。

需要说明的是，该域间路由系统安全状态感知方法可以实时监测域间路由系统的安全状态，可为网络管理员掌握全局网络的运行情况，适时制定、调整合理的路由策略提供量化的数据参考(例如：特征偏差)。因为域间路由系统的安全状态直接反映是否有异常域间路由事件发生，如果域间路由系统的安全状态较差，即表明有异常事件发生，由此网络管理员就可以快速做出反应，调整路由策略。

本发明实施例通过获取域间路由系统安全状态特征的数据，该域间路由系统的安全状态特征包括：路由事件发生频度、平均路径长度、以及路径编辑距离，上述安全状态特征既可以通过自行部署的监测节点获取，也可以从routeviews等公共项目得到，大大降低了数据获取的难度，同时也克服了对异常路由集的完备性的依赖，而且该方法通过根据预设的规则，计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度，然后，根据计算出的相似度， 计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差，该特征偏差可以用于供管理员判断域间路由系统的安全状态，这样能对域间路由系统的安全状态进行实时判断，实时性强，且判断结果准确性高。

实施例二

本发明实施例提供了一种基于加权相似度的域间路由系统安全状态感知装置，参见图3，该装置包括：获取模块10、生成模块20、计算模块30、以及处理模块40。

获取模块10，用于获取域间路由系统安全状态特征的数据，该域间路由系统的安全状态特征包括：路由事件发生频度、平均路径长度、以及路径编辑距离。

需要说明的是，能够反映域间路由系统的安全状态特征并不仅仅包括上述三个，但是，采用的安全状态特征越多也就意味着安全状态的计算越复杂，所要耗费的时间也越多，考虑到域间路由系统安全状态评估在实时性方面的严格要求，故只采用了上述三个特征。

在本实施例中，更新报文是bgp协议的核心内容，用于向其它路由器宣告路由信息的更新，包括新路由的增添和废旧路由的撤消。在更新报文的所有属性中，as_path是公认必选属性，它用带有顺序的as号序列来描述as间的路径或到某个具体nlri的路由，是反映域间路由系统运行状况及特性的关键信息。as_path的本质就是一个字符串，所以通常采用平均长度和路径编辑距离来度量不同时刻as_path的差异。另外，通过对采集到的大量域间路由历史数据的分析，发现域间路由事件发生频率直接反映域间路由系统的稳定状况，其值越高，域间路由系统越倾向于不稳定状态。因为一旦有节点失效或更优路径被宣告，在域间路由系统内将产生大量的相关bgp更新报文，所以说路由事件发生频率也反映域间路由系统的稳定状况。

在实际应用中，路由事件发生频度(frequencyofroutingevents,简称“fre”)、平均路径长度(averagepathlength，简称“apl”)以及路径编辑距离(patheditdistance，简称“ped”)的数据，既可以通过自行部署的监测节点获取，也可以从routeviews等公共项目得到(具体地，通过对自行部署的监测节点或者routeviews等公共项目采集的原始数据进行统计分析，得到域间路由 系统安全状态特征的数据)，大大降低了数据获取的难度，同时也克服了对异常路由集的完备性的依赖。

生成模块20，用于生成域间路由系统安全状态的标准特征集，该标准特征集为正常状态下域间路由系统对应的安全状态特征数据的集合。

在本实施例中，也可以采用矩阵的形式来存储标准特征集s，例如：

其中，sij为标准特征集s中第j次获取第i个安全状态特征的值(在本实施例中，第1个安全状态特征为fre，第2个安全状态特征为apl，第3个安全状态特征为ped，在实际应用中上述顺序可以更改，这里不做限制)，j的取值范围为1至m的正整数，m为大于1的正整数，其中，m的大小取决于采样的总时间除去采样的时间间隔。

生成模块20，还用于生成域间路由系统安全状态的实时特征集，该实时特征集为域间路由系统的实时安全状态特征数据的集合。

在本实施例中，可以采用矩阵的形式来存储实时特征集i，例如：

其中，iij为实时特征集i中第j次获取第i个安全状态特征的值(在本实施例中，第1个安全状态特征为fre，第2个安全状态特征为apl，第3个安全状态特征为ped，在实际应用中上述顺序可以更改，这里不做限制)，j的取值范围为1至m的正整数，m为大于1的正整数，其中，m的大小取决于采样的总时间除去采样的时间间隔。需要说明的是，在生成实时特征集i时，如果获取到的安全状态特征的值不够，则可以在相应的位置补零。

计算模块30，用于根据预设的规则，计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度。

具体地，该计算模块30，用于根据如下公式，计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度：

其中，sim(i,s)为实时特征集i与标准特征集s之间的相似度，w为上述三 个安全状态特征对应的权值集合，wi为第i个安全状态特征的权值(本实施例中，第1个安全状态特征为fre，第2个安全状态特征为apl，第3个安全状态特征为ped)。

需要说明的是，采用上述公式可以将相似度的范围控制在0至1的范围内，这样便于后续计算和处理。

进一步地，初始时，w1＝0.4，w2＝0.3，w3＝0.3；

如果近期发生的异常主要为跨平面攻击，则通过如下方式调整权值：w1``＝w1`+δ，w2``＝w2`-δ/2，w3``＝w3`-δ/2；

如果近期发生的异常主要为基于无效信息的路由攻击，则通过如下方式调整权值：w1``＝w1`-δ，w2``＝w2`+δ/2，w3``＝w3`+δ/2；

其中，w1`、w2`、w3`为调整前采用的权值，w1``、w2``、w3``为调整后被采用的权值。

在本实施例中，δ可以由管理员根据实际需要取值，其取值范围可以为0至0.4。

在本实施例中，通过对三个安全状态特征的数据进行权重修正，可以更准确的反映实时特征集与标准特征集之间的相似度，以保障后续计算结果的准确性。

计算模块30，还用于根据计算出的相似度，计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差，该特征偏差可以用于供管理员判断域间路由系统的安全状态。

在本实施例中，特征偏差dev(i,s)可以通过如下公式计算：dev(i,s)＝1-sim(i,s)。

处理模块40，用于当计算出的特征偏差小于预设阀值时，判断该域间路由系统运行正常。

在实际应用中，该特征偏差可以用于供管理员判断域间路由系统的安全状态，例如：通过特征偏差与预设阀值进行比较，如果特征偏差高于预设阈值，则说明域间路由系统的安全状态较差或者出现异常，需要向管理员发送异常报警；如果特征偏差不高于预设阈值，则说明域间路由系统的安全状态处于正常水平。需要说明的是，关于上述预设阀值的选取，如果管理员对网络发生异常较为敏感，可以取较小阈值，如：0.3；如果管理员只想关注较大规模的异常， 则可以选取较大阈值，如：0.5。

处理模块40，还用于当判断域间路由系统的正常运行时，将实时特征集与标准特征集进行加权平均处理，得到新的标准特征集。

在本实施例中，新的标准特征集s`＝(s+i)/2，如果通过特征偏差判断出此时域间路由系统正常运行，则可以根据上述方法来更新标准特征集s，这样可以使得判断结果更加准确可靠。

本发明实施例通过获取模块获取域间路由系统安全状态特征的数据，该域间路由系统的安全状态特征包括：路由事件发生频度、平均路径长度、以及路径编辑距离，上述安全状态特征既可以通过自行部署的监测节点获取，也可以从routeviews等公共项目得到，大大降低了数据获取的难度，同时也克服了对异常路由集的完备性的依赖，而且该装置通过计算模块，根据预设的规则，计算域间路由系统安全状态的实时特征集与标准特征集之间的相似度，然后，根据计算出的相似度，计算域间路由系统安全状态的实时特征集与标准特征集之间的特征偏差，该特征偏差可以用于供管理员判断域间路由系统的安全状态，这样能对域间路由系统的安全状态进行实时判断，实时性强，且判断结果准确性高。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是：上述实施例提供的基于加权相似度的域间路由系统安全状态感知装置在实现基于加权相似度的域间路由系统安全状态感知方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的基于加权相似度的域间路由系统安全状态感知装置与基于加权相似度的域间路由系统安全状态感知方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的 精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。