BGP前缀劫持检测方法、装置、电子设备及存储介质

本申请涉及网络安全，特别涉及一种bgp前缀劫持检测方法、装置、电子设备及存储介质。

背景技术：

1、目前，互联网由7万多个as(autonomous system，自治系统)组成。as之间使用bgp(border gateway protocol，边界网关协议)协议发布各自的ip(internet protocol，网络互连协议)地址前缀，并相互交换路由信息。然而，由于bgp缺乏对路由信息真实性的验证，攻击者可以通过发布不属于自己的前缀路由来实施前缀劫持，用于流量中断，ddos攻击，垃圾邮件发送，以及加密货币窃取等攻击。因此，bgp前缀劫持已经成为目前互联网最重要的路由安全威胁之一，严重威胁域间路由的安全性和可靠性。

2、相关技术中，为抵御bgp前缀劫持和加强互联网的安全可信，提出了很多路由安全机制，其中，路由安全机制可以分为两类，一类是授权证书或加解密等安全认证手段，例如rpki，bgpsec等机制。

3、另一类路由安全机制，即独立的劫持检测系统。目前先进的第三方独立劫持检测系统，例如argus，通过在控制平面观测moas(multiple origin as)冲突，随后对每个moas冲突进行数据平面探测，最终根据探测点的控制平面污染状态以及数据平面可达性结果综合判断该moas冲突是否为bgp前缀劫持。

4、然而，相关技术中，授权证书或加解密等安全认证手段机制依赖部署，必须全球部署才能完全生效，独立的劫持检测系统无法仅依靠控制平面信息有效区分合法moas和劫持，海量控制平面的警告需要数据平面探测或人工确认，大大加重了处理开销，影响检测的实时性，考虑到bgp前缀劫持可以在不到两分钟的时间内污染90％的互联网，即使是一分钟的延迟也可能造成巨大的经济损失，有待改进。

技术实现思路

1、本申请提供一种bgp前缀劫持检测方法、装置、电子设备及存储介质，以解决相关技术中，授权证书或加解密等安全认证手段机制依赖部署，必须全球部署才能完全生效，独立的劫持检测系统处理效率低，且人工成本较高，易造成较大经济损失等技术问题。

2、本申请第一方面实施例提供一种bgp前缀劫持检测方法，包括以下步骤：提取前缀劫持事件和合法moas事件，并生成相应的ground truth数据集；分析所述ground truth数据集，得到分析结果，并基于所述分析结果提取多个控制平面特征；利用所述多个控制平面特征训练机器学习分类器，得到moas分类模型，以利用所述moas分类模型得到bgp前缀劫持检测结果。

3、可选地，在本申请的一个实施例中，在生成所述相应的ground truth数据集之前，还包括：清洗所述前缀劫持事件中的数据，得到清洗结果，并基于所述清洗结果得到所述ground truth数据集。

4、可选地，在本申请的一个实施例中，在基于所述清洗结果得到所述ground truth数据集之后，还包括：获取所述ground truth数据集的置信度，并判断所述ground truth数据集的置信度是否满足预设可信条件；如果所述置信度不满足所述预设可信条件，则判断所述ground truth数据集不可信，否则判断所述ground truth数据集可信。

5、可选地，在本申请的一个实施例中，所述分析所述ground truth数据集，并基于分析结果提取多个控制平面特征，包括：分析前缀劫持类型、moas商业关系、moas地理位置关系、历史bgp宣告稳定度和劫持活跃度中的至少一项的控制平面信息；基于分析结果提取用于区分所述合法moas事件和所述前缀劫持事件的多个控制平面特征；对所述多个控制平面特征根据特征重要性进行分析，以区分所述合法moas事件和所述前缀劫持事件。

6、本申请第二方面实施例提供一种bgp前缀劫持检测装置，包括：提取模块，用于提取前缀劫持事件和合法moas事件，并生成相应的ground truth数据集；分析模块，用于分析所述ground truth数据集，得到分析结果，并基于所述分析结果提取多个控制平面特征；训练模块，用于利用所述多个控制平面特征训练机器学习分类器，得到moas分类模型，以利用所述moas分类模型得到bgp前缀劫持检测结果。

7、可选地，在本申请的一个实施例中，还包括：清洗模块，用于清洗所述前缀劫持事件中的数据，得到清洗结果，并基于所述清洗结果得到所述ground truth数据集。

8、可选地，在本申请的一个实施例中，还包括：获取模块，用于获取所述groundtruth数据集的置信度，并判断所述ground truth数据集的置信度是否满足预设可信条件；判断模块，用于在所述置信度不满足所述预设可信条件时，判断所述ground truth数据集不可信，否则判断所述ground truth数据集可信。

9、可选地，在本申请的一个实施例中，所述分析模块包括：第一分析单元，用于分析前缀劫持类型、moas商业关系、moas地理位置关系、历史bgp宣告稳定度和劫持活跃度中的至少一项的控制平面信息；区分单元，用于基于分析结果提取用于区分所述合法moas事件和所述前缀劫持事件的多个控制平面特征；第二分析单元，用于对所述多个控制平面特征根据特征重要性进行分析，以区分所述合法moas事件和所述前缀劫持事件。

10、本申请第三方面实施例提供一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如上述实施例所述的bgp前缀劫持检测方法。

11、本申请第四方面实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上述实施例所述的bgp前缀劫持检测方法。

12、本申请实施例可以提取并分析前缀劫持事件和合法moas事件，从而提取多个控制平面特征，用于训练机器学习分类器，得到moas分类模型，以利用所述moas分类模型得到bgp前缀劫持检测结果，从而控制平面有效区分合法moas和bgp前缀劫持，提高控制平面检测的准确性和效率，降低人工成本。由此，解决了相关技术中，授权证书或加解密等安全认证手段机制依赖部署，必须全球部署才能完全生效，独立的劫持检测系统处理效率低，且人工成本较高，易造成较大经济损失等技术问题。

13、本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

技术特征：

1.一种bgp前缀劫持检测方法，其特征在于，包括以下步骤：提取前缀劫持事件和合法moas事件，并生成相应的ground truth数据集；

2.根据权利要求1所述的方法，其特征在于，在生成所述相应的ground truth数据集之前，还包括：

3.根据权利要求2所述的方法，其特征在于，在基于所述清洗结果得到所述groundtruth数据集之后，还包括：

4.根据权利要求1所述的方法，其特征在于，所述分析所述ground truth数据集，并基于分析结果提取多个控制平面特征，包括：

5.一种bgp前缀劫持检测装置，其特征在于，包括：

6.根据权利要求5所述的装置，其特征在于，还包括：

7.根据权利要求6所述的装置，其特征在于，还包括：

8.根据权利要求5所述的装置，其特征在于，所述分析模块包括：

9.一种电子设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如权利要求1-4任一项所述的bgp前缀劫持检测方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行，以用于实现如权利要求1-4任一项所述的bgp前缀劫持检测方法。

技术总结
本申请涉及一种BGP前缀劫持检测方法、装置、电子设备及存储介质，其中，方法包括：提取前缀劫持事件和合法MOAS事件，并生成相应的ground truth数据集；分析ground truth数据集，得到分析结果，并基于分析结果提取多个控制平面特征；利用多个控制平面特征训练机器学习分类器，得到MOAS分类模型，以利用MOAS分类模型得到BGP前缀劫持检测结果。由此，解决了相关技术中，授权证书或加解密等安全认证手段机制依赖部署，必须全球部署才能完全生效，独立的劫持检测系统处理效率低，且人工成本较高，易造成较大经济损失等技术问题。

技术研发人员：李丹,秦澜城,李瑞丰
受保护的技术使用者：清华大学
技术研发日：
技术公布日：2024/1/16