1.本发明涉及空间拓扑测绘技术领域,具体涉及一种识别目标网络骨干节点的方法。
背景技术:
2.近年来,大数据、物联网、云计算等新型信息技术迅速推广,网络空间作为人类生产生活的第五空间,规模越来越大、结构越来越复杂,其承载的海量信息在国家安全层面具有越来越重要的战略意义。网络空间拓扑结构分析是指通过建立算法模型,识别发现网络的关键节点和关键链路、及时掌握网络拓扑态势,旨在发现网络的高价值网络设备、规划数据传输路径,在网络空间对抗领域有重要应用价值。
3.传统的网络空间拓扑结构分析是基于网络设备的物理连接关系,如基于复杂网络理论的拓扑分析技术。该技术采用复杂网络的相关参数来衡量网络节点的关键程度,例如用度中心性衡量一个节点与其他节点的连接程度,用中介中心性衡量该节点作为媒介参与其他节点之间的最短传输路径的程度。一个节点的邻居节点越多、度中心性越大,作为媒介节点越频繁、中介中心性越大,说明该点的关键程度越高,这种技术多用于网络的信息传播、搜索算法、相继故障等拓扑行为分析,进一步结合复杂网络统计学分析,可用于网络联通性和鲁棒性分析。
4.然而在网络空间中,一个节点的重要程度不仅与其所在的物理位置有关,更取决于其所处的逻辑位置。基于复杂网络的关键节点识别技术从物理拓扑结构的角度发现位于重要物理位置的关键节点,这在实际应用中是远远不够的。这是因为:一方面,控制某个特定设备可以通过远程操作实现而无需物理空间接近,甚至无需存在物理连接,另一方面,设备之间的逻辑连接关系可以在不改变底层硬件的情况下进行人为构建和改变,这种逻辑关系的变化更灵活、更迅速。本发明从节点之间逻辑连接关系的角度出发,识别目标网络的骨干节点,完善了网络空间拓扑测绘领域关于高价值网络设备发现、网络通信路径规划等技术研究。
5.互联网是具有分布式网状拓扑结构的分组交换网络,采用分层结构模型,终端用户通过本地服务提供商接入区域级互联网系统,区域级互联网系统通过区域级网络服务提供商接入国家级或全球互联网系统,最后由国家级或全球顶层的网络服务提供商实现全球互联互通。根据这种通信模式,将互联网自底向上划分为五个层级,分别是:边缘用户层、边缘接入层、区域传输层、核心接入层和核心传输层。其中核心接入层和核心传输层的路由设备位于目标网络逻辑拓扑结构的关键位置,称为骨干节点。
6.骨干节点是一个大型网络中负责上层数据转发的路由设备,如果把一个大型网络的拓扑结构比作网络空间地图,骨干节点就是其中的关键地形,特别地,利用骨干节点可以获取网络所在地区的大量高价值信息,是网络安全领域的重要情报来源。对于国家级网络,骨干节点位于核心接入层和核心传输层,负责实现该国家最上层的数据交换;对于地区级和城市级网络,骨干节点位于区域传输层(含)之上。
7.以一个国家/地区/城市的网络为研究对象,采用路由跟踪拓扑探测的方式获取其ip级拓扑数据,通过建立as级骨干网络拓扑结构模型,识别位于目标网络上层的骨干as以及这些as中负责数据转发的骨干ip节点。这些骨干节点是获取目标网络情报的重要数据来源,是网络空间逻辑层地图的关键地形,在网络作战行动规划和作战资源调度方面有重要应用价值。
技术实现要素:
8.针对现有技术中的上述不足,本发明提供的一种识别目标网络骨干节点的方法解决了骨干ip节点难以获取的问题。
9.为了达到上述发明目的,本发明采用的技术方案为:一种识别目标网络骨干节点的方法,包括以下步骤:s1、通过拓扑探测方式获取探测节点到目标网络的全部ip路径;s2、根据ip节点所在的地理位置将ip路径切分为网络目标范围内外两部分;s3、将目标网络范围内的ip路径转化为对应的as路径;s4、获取as路径之间的商业关系数据集;s5、根据目标网络范围内的as路径和as路径之间的商业关系数据集建立as级骨干网络拓扑结构模型;s6、根据as级骨干网络拓扑结构模型获取目标网路的骨干ip节点。
10.进一步地:所述步骤s1具体为:从第三方数据平台获取目标网络的ip地址集,然后通过拓扑探测方式获取探测节点到目标网络的全部ip路径,其中,目标网络为某个国家/地区/城市的网络,拓扑探测可利用第三方机构或平台完成。
11.进一步地:所述步骤s2的具体步骤为:对探测结果进行清洗、去重、过滤得到目标网络的全部有效ip路径数据,然后对ip路径进行地理位置关联、切分等处理,得到位于目标网络范围内的ip路径。
12.进一步地:所述步骤s3的具体步骤为:从第三方数据平台获取ip地址与as的对应关系数据集,将ip路径中每个ip地址用其所属as进行替换,对于连续多个ip地址属于同一个as路径的情况,将这几个ip地址聚合为一个as,同时统计数据传入和传出该as时经过的路由网关ip地址。
13.进一步地:所述步骤s4中商业关系数据集为as_link数据集,即相邻as之间的provider-customer关系和peer-peer关系。
14.进一步地:所述步骤s5具体为:以目标网络的边界as所在层级为基准,建立as级骨干网络拓扑模型,组成骨干网络的as为骨干as。
15.进一步地:所述as级骨干网络拓扑结构模型包括as路径预处理模块、骨干as链路筛选模块、骨干as网络拓扑构建模块,所述as路径预处理模块中的as路径为目标网络范围内的as路径。
16.进一步地:所述步骤s6具体为:将骨干as的边界路由网络作为骨干ip节点,每个骨干ip节点的骨干等级为所属as的骨干等级。
17.本发明的有益效果为:(1)本发明将数据传输路径和互联网架构相结合识别骨干网络和骨干节点,采用
的ip路径无需覆盖目标网络的全部物理链路,无需建立目标网络的ip级拓扑结构,无需计算每个节点的拓扑结构参数,识别算法灵活、高效,分析结果可以实现实时监测与更新。
18.(2)本发明将拓扑探测获取的ip路径切分目标网络范围内外两部分,并且将位于目标网络范围内的ip路径作为研究对象,这种方法弱化了探测节点的物理位置对分析结果的干扰,提高了本发明的普适性。
19.(3)本发明以目标网络的边界as为出发点,采取一定策略得到了边界as所在的网络层级以及该层级之上的骨干as集合,进而建立as级骨干网络拓扑模型,研究对象从目标网络本身转化为目标网络的as级骨干网络,聚焦研究范围,有效提高了骨干节点的识别效率和识别准确率。
附图说明
20.图1是本发明实施例的一种识别目标网络骨干节点的方法的流程图;图2是本发明实施例通过拓扑探测方式获取ip路径示意图;图3是本发明实施例在具有分层结构的互联网中数据转发路径示意图;图4是本发明实施例流程图中s110构建目标网络as级骨干拓扑结构算法组成;图5是本发明实施例骨干as拓扑结构模型示意图。
具体实施方式
21.下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
22.如图1所示,一种识别目标网络骨干节点的方法,包括以下步骤:步骤s1:通过拓扑探测方式获取探测节点到目标网络的全部ip路径,目标网络是指某个国家/地区/城市的网络,首先从第三方数据平台获取目标网络的ip地址集,然后通过拓扑探测方式获取探测节点到目标网络的全部ip路径。
23.从第三方数据平台获取全球ip地址与所在国家/地区/城市的对应关系数据集,其中ip地址以网段的形式存在,从中选取目标国家/地区/城市的网络覆盖的全部ip地址集合,常用的第三方数据平台有maxmind、ip2location、全球路由信息数据库(简称irr)等。
24.通过拓扑探测方式获取探测节点到目标网络的全部ip路径,拓扑探测过程是基于拓扑探测平台,需要说明的是,本发明对于拓扑探测平台的管理者和使用者不作要求。拓扑探测平台由许多探测节点组成,这些探测节点分布在目标国家/地区/城市之外的全球各地,利用位于管理中心的服务器实现远程部署、调度和管理,探测节点越多,距离目标网络位置越远,则识别的骨干节点可信度越高。
25.拓扑探测工具为部署在每个探测节点上的路由跟踪载荷(windows采用tracert工具或mtr,linux采用traceroute)。在本发明实施例中,探测节点利用路由跟踪载荷向目标ip地址发送数据包,探测结果记录了数据包从探测节点到目标ip经过的全部路由设备的ip地址,最后回传或下载至本地。
26.图2表示通过拓扑探测方式获取ip路径的示意图,图中a0是探测节点,ai是探测目
标ip地址,拓扑探测过程为:a0向ai发送traceroute数据包,数据包依次经过路由转发节点a1~a13,得到ip路径表示为a0,a1,
…
a12,a13,ai。
27.步骤s2:根据ip节点所在的地理位置将ip路径切分为目标网络范围内外两部分,包括:首先对探测结果进行清洗、去重、过滤得到目标网络的全部有效ip路径数据,然后对ip路径进行地理位置关联、切分等处理,得到位于目标网络范围内的ip路径。
28.对探测结果进行清洗、去重、过滤是指对于ip路径中存在缺失的ip地址(通常用“*”表示)的情况,数据清洗策略为将缺失的ip地址忽略;对于ip路径中重复出现多个ip地址的情况,则只保留一个;对于ip路径中前后出现同一个ip地址的情况,即出现ip环路,则将该ip路径删除。
29.需要说明的是,缺失ip地址是由于路径中存在匿名路由,或一些路由设备对拓扑探测数据包不返回响应数据;而出现ip环路则不符合路由传递规则。
30.由于拓扑探测节点位于目标网络之外,因此ip路径中必然存在一部分路径位于目标网络之外,利用步骤s1获取的ip与地理位置对应关系,将每一条ip路径切分为目标网络范围内外两部分,且只保留目标网络范围内的路径作为后续分析研究对象。以图2所示的ip路径为例,节点a1~a5位于目标网络之外,节点a6~a13位于目标网络范围内,经过切分只保留a6~a13的路径部分。
31.步骤s3:将目标网络范围内的ip路径转化为对应的as路径,从第三方数据平台获取ip地址与as的对应关系数据集,将ip路径中每个ip地址用其所属as进行替换,对于连续多个ip地址属于同一个as的情况,将这几个ip地址聚合为一个as,同时统计数据传入和传出该as时经过的路由网关ip地址。
32.从第三方数据源获取ip地址与其所属as的对应关系数据集,常用的第三方数据源有maxmind和whois。
33.进入目标网络的第一个ip节点称为地理边界路由网关,对应的as称为边界as,数据流入一个as或从这个as流出经过的路由器称为as边界路由网关。
34.在本发明实施例中,以图2所示的目标网络范围内的ip路径a6~a13为例,a6是进入目标网络的第一个ip节点,称为地理边界路由网关,所属as是as3,则as3称为目标网络的边界as,ip节点a6、a9是as3的as边界路由网关,a7、a8是as3的内部路由器。经过关联、去重、统计等操作得到:(1)对应的as路径为:as3, as4, as5,(2)每个as与其as边界路由网关的集合:。
35.步骤s4:获取as之间的商业关系数据集,其中as之间的商业关系包括相邻as之间的provider-customer(简称p2c)关系和peer-peer(简称p2p)关系,常用的第三方数据来源为caida的全球as_link数据集,或采用相关算法模型计算所得。
36.图3表示在具有分层结构的互联网中数据转发路径的示意图,这是本发明实施例中判断一个网络(自治域)是否为骨干网络的基本依据。已知互联网由许多不同规模、不同
作用的网络组成,被称为网络的网络,维持、驱动互联网生态健康发展的内在因素是网络之间的商业关系,这使得互联网具有明显的层级结构。图中网络a-f在互联网中代表自治域as,连线表示两者之间存在数据转发服务关系,箭头方向表示付费的方向,连边没有箭头则双方不产生数据转发费用。例如网络b向网络a付费,网络a向网络b提供数据转发服务,a和b是p2c的关系;网络b和网络c互相提供数据转发服务,两者是p2p的关系。设网络d向f发送数据包,则路径有两条:dbacf或dbcf,即互联网的边缘用户层d和f,需要依赖中间接入层b和c、核心转发层a实现路由数据转发。由此可见核心转发层a的节点相比于中间接入层b和c的节点具有更高的骨干等级,而边缘网络d、e、f、g的骨干层级最低。综上所述,在具有分层结构的互联网中,数据转发路径服从自底向上和自顶向下的原则。
37.步骤s15:建立as级骨干网络拓扑结构模型,包括3个算法模块,分别为:as路径预处理模块、骨干as链路筛选模块、骨干as网络拓扑构建模块,如图4所示。需要说明的是,本步骤中所述as路径为步骤s3所得的位于目标网络范围内的as路径。
38.as路径预处理模块具有两个功能,分别是:(1)获取目标网络的全部边界as集合。设共x条as路径,用p表示,对于所有p
x
,第一个as节点就是边界as。边界as集合用se表示。
39.(2)获取目标网络的全部as链路集合。将步骤s106得到的as路径进行拆分,获取as链路集合,其中拆分原则为:在as路径中,as节点用s表示,sb和sa相邻表示sb和sa代表的网络之间存在直连的数据传输路径,设数据传输方向为从sb到sa,则as链路表示为:,sa称为as链路后端节点,sb称为as链路前端节点。以as路径为例,拆分为as链路集合表示为。对所有路径p
x
进行拆分,得到as链路集合asc
x
,进一步依次进行取并集、去重等操作,得到目标网络的as链路集合,用as_link表示。
40.骨干as链路筛选模块是利用步骤s4中获取的as之间商业关系数据,对as_link中的元素对进行筛选,得到:(1)具有p2c关系的as链路集合,用as_link_p2c表示;(2)具有p2p关系的as链路集合,用as_link_p2p表示。as_link_p2c和as_link_p2p用于构建目标网络的骨干as网络。
41.骨干as网络拓扑构建模块,首先,对于as_link_p2c中每一个as链路,统计每个后端节点的前端节点集合,即获取每个后端节点的provider集合,用p2c_set表示。如对于,统计得到,即的provider集合为,的provider集合为;同理,对as_link_p2p中每个as链路的后端节点统计其peer集合,用p2p_set表示;
其次,选取基准as,将其骨干等级设为1,同时将其所有peer as的骨干等级设为1。选取基准as的规则为:统计每个as的peer集合中(含自身)边界as的个数,选择其中最大值对应的as作为基准as,令其骨干等级为1。以为例,边界as集合为,经统计,s0的peer集合中属于边界as的节点为,共4个,s1的peer集合中属于边界as的节点为,共2个,以此类推,s2有2个,s3有3个,s7有0个,因此选择s0为基准,其骨干等级为1,且s1, s2, s3, s8的骨干等级设为1;最后,标注骨干as的骨干等级,根据p2c_set获取每个骨干等级设为1的as的provider as,将这些provider as的骨干等级设为2,进一步获取每个骨干等级设为2的as的provider as,将这些provider as的骨干等级设为3,以此类推,最终得到骨干等级自底向上单向传输的as级拓扑图。图5为骨干as拓扑结构模型,每个节点表示一个as,连线的箭头方向表示付费的方向,即as11和as12向as21付费,as21是provider。
42.需要说明的是,在图5中,as14骨干等级为1,as22和as23骨干等级为2,三者的provider均为as24,则as24的骨干等级将从2增加为3,用as32表示。as的骨干等级越高,说明其在目标网络中的服务等级越高,对于网络的运行状态影响越大,所在位置越核心。
43.需要说明的是,根据算法模型得到的骨干as网络拓扑结构为目标网络的as级骨干网络,组成骨干网络的as称为骨干as。
44.需要说明的是,根据步骤s4中所述,在具有分层结构的互联网中,数据转发路径服从自底向上和自顶向下的原则,本发明认为骨干网络位于边界as所在的网络及其上层网络,特别地,边界as的上层网络为核心网络。as路径预处理模块和骨干as链路筛选模块保证了筛选获得的as链路以及这些链路中涉及的as(网络)均位于边界as所在的网络及其上层网络,因此本发明采用as_link_p2c和as_link_p2p构建的拓扑模型为目标网络的as级骨干拓扑模型。
45.步骤s6:根据as级骨干网络获取目标网络的骨干ip节点。
46.步骤s5获取了骨干网络as,且每个骨干as均具备骨干等级,根据步骤s106可以得到每个骨干as的边界由路网关ip节点集合,这些边界路由网关ip节点即为目标网络的骨干节点,每个骨干节点的骨干等级为所属as的骨干等级。
47.需要说明的是,在实际应用中,通常需要结合骨干等级、所属as、地理位置等拓扑属性,设备类型、应用协议、操作系统等资产属性对骨干节点进行深入评估、筛选和定位。
48.本发明将互联网自底向上和自顶向下的路由转发原则与拓扑探测数据相结合,根
据as之间存在的网络服务提供商与网络使用客户端的商业关系,设计算法模型,识别位于目标网络逻辑上层的骨干网络和骨干ip节点。根据算法模型,骨干节点位于目标网络的骨干层级,一方面为下层边缘用户提供数据转发服务,另一方面负责骨干网络之间的互联互通,对目标网络的整体运行效率和运行状态有较大影响。另外,骨干节点位于所属as的逻辑边缘位置,是所属as与外界进行路由交换的门户,其物理拓扑连接结构反应了所属as的路由策略,是研究该as商业逻辑的重要途径。