检测方法及相关设备

本技术涉及网络空间安全，尤其涉及一种检测方法及相关设备。

背景技术：

1、现有的域间路由中断事件的检测方法主要包括三大类，第一类是基于规则的检测方法，将高影响路由事件的概念形式化，将高影响路由事件的发现转化为布尔张量分解问题，并识别导致事件的网络元素、使用边界网关协议(border gateway protocol，bgp)的团体属性(community)确定互联网交换中心(internet exchange point，ixp)和托管设置的地理位置，通过查阅信息资源元库(information resource，irr)和自治系统(autonomoussystem，as)门户网站获得各as的bgp community语义，形成基础设施级别的路径图，使用bgp路由信息检测基础设施路由路径的变化，实现基础设施粒度的中断检测。但当as在进行流量工程或发生网络波动时，上述检测方法会产生大量的误报。

2、第二类是基于机器学习的检测方法，其将bgp的更新信息(updates)作为数据源，以分钟为粒度将其表示为数据段(databin)，使用聚类方法将上述数据段进行聚类，得到正常簇和异常簇，进而通过计算待检测期间的数据段与bgp正常行为的偏离程度来检测大规模的bgp异常，但其在检测过程中仅考虑到as自身的特征，但是as在互联网中是否连通不仅取决于该as本身，也取决于该as的上游as在互联网中的连通性。

3、第三类是主动探测的检测方法，其通过导出简单的网络模型，捕获与中断相关的信息，用长期数据来填充模型，并通过网络控制报文协议(internet control messageprotocol，icmp)主动探测了解当前网络状态、通过主动探测揭示路由器重新启动，分析as级互联网对单个路由器的依赖性。但主动探测检测网络状态的方法需要发送大量的探测报文，产生背景辐射流量，增加互联网的负担，而且，主动探测方法通常只能对特定的网络进行检测。

技术实现思路

1、有鉴于此，本技术的目的在于提出一种检测方法及相关设备。

2、基于上述目的，本技术提供了一种检测方法，包括：

3、根据获取的路由表数据和预设的互联网协议地理定位信息构建国家自治系统拓扑图；

4、从获取的路由更新数据中提取得到时间序列特征；所述时间序列特征用于检测路由中断事件；

5、基于获取的真实路由中断事件信息，对所述时间序列特征进行标记；

6、利用所述国家自治系统拓扑图和标记后的所述时间序列特征对待训练的图神经网络进行训练，得到训练后的图神经网络；

7、将待检测路由提取得到的所述时间序列特征和所述待检测路由对应的所述国家自治系统拓扑图输入所述训练后的图神经网络，得到路由中断检测结果。

8、在一种可能的实现方式中，所述根据获取的路由表数据和预设的互联网协议地理定位信息构建国家自治系统拓扑图，包括：

9、基于所述路由表数据，提取得到每个自治系统对应的网络前缀；

10、基于所述预设的互联网协议地理定位信息，统计所述网络前缀所对应的所属于不同国家的所述互联网协议地理定位信息的数量，得到至少一个国家计数信息；

11、将至少一个所述国家计数信息中数量最大的所述国家计数信息对应的国家作为所述网络前缀对应的所述自治系统的所属国家；

12、基于所述自治系统的所属国家，遍历所述路由表数据中的自治系统路径信息，构建得到所述国家自治系统拓扑图。

13、在一种可能的实现方式中，所述基于所述预设的互联网协议地理定位信息，统计所述网络前缀所对应的所属于不同国家的所述互联网协议地理定位信息的数量，得到至少一个国家计数信息，包括：

14、基于所述网络前缀构建得到网络前缀树；

15、基于所述网络前缀树，得到所述预设的互联网协议地理定位信息库中的每个互联网协议地理定位信息所对应的网络前缀；

16、统计所述网络前缀所对应的所属于不同国家的所述互联网协议地理定位信息的数量，得到至少一个国家计数信息。

17、在一种可能的实现方式中，所述从获取的路由更新数据中提取得到时间序列特征，包括：

18、构建字典；所述字典的键为所述自治系统；所述字典的值为二元组；所述二元组的第一个元素为预设时间内获取的观测点收到的属于所述自治系统的网络前缀的回撤消息数量；所述二元组的第二个元素为预设时间内获取的观测点收到的属于所述自治系统的网络前缀的宣告消息数量；

19、基于多段所述预设时间中所述路由更新文件中所述自治系统对应的条目类型，对所述字典的值进行更新，得到所述时间序列特征。

20、在一种可能的实现方式中，所述基于多段所述预设时间中所述路由更新文件中所述自治系统对应的条目类型，对所述字典的值进行更新，得到所述时间序列特征，包括：

21、判断每段预设时间中所述路由更新文件中的条目类型是否属于所述自治系统；

22、响应于所述路由更新文件中的条目类型属于所述自治系统，判断所述条目类型是否为路由回撤或路由更新；

23、响应于所述条目类型为所述路由回撤，更新所述回撤消息数量的值；

24、响应于所述条目类型为所述路由更新，更新所述宣告消息数量的值；

25、根据更新后的所述回撤消息数量和更新后的所述宣告消息数量，构建得到所述时间序列特征。

26、在一种可能的实现方式中，所述真实路由中断事件信息包括：中断事件的自治系统、中断开始时间和中断结束时间；

27、所述基于获取的真实路由中断事件信息，对所述时间序列特征进行标记，包括：

28、将所述中断事件的自治系统、中断开始时间和中断结束时间与所述时间序列特征进行匹配；

29、分别对匹配成功的和未匹配成功的所述时间序列特征进行标记。

30、在一种可能的实现方式中，所述利用所述国家自治系统拓扑图和标记后的所述时间序列特征对待训练的图神经网络进行训练，得到训练后的图神经网络，包括：

31、将所述时间序列特征依据预设的时间间隔进行划分，得到时间窗口；

32、将每个时间窗口中最后一个时间点的标签作为所述时间窗口的标签；

33、利用所述时间窗口、所述时间窗口的标签和所述国家自治系统拓扑图对所述待训练的图神经网络进行训练，得到训练后的图神经网络。

34、基于同一发明构思，本技术实施例还提供了一种检测装置，包括：

35、构建模块，被配置为根据获取的路由表数据和预设的互联网协议地理定位信息构建国家自治系统拓扑图；

36、提取模块，被配置为从获取的路由更新数据中提取得到时间序列特征；所述时间序列特征用于检测路由中断事件；

37、标记模块，被配置为基于获取的真实路由中断事件信息，对所述时间序列特征进行标记；

38、训练模块，被配置为利用所述国家自治系统拓扑图和标记后的所述时间序列特征对待训练的图神经网络进行训练，得到训练后的图神经网络；

39、检测模块，被配置为将待检测路由提取得到的所述时间序列特征和所述待检测路由对应的所述国家自治系统拓扑图输入所述训练后的图神经网络，得到路由中断检测结果。

40、基于同一发明构思，本技术实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任意一项所述的检测方法。

41、基于同一发明构思，本技术实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行上述任一所述的检测方法。

42、从上面所述可以看出，本技术提供的检测方法及相关设备，通过根据获取的路由表数据和预设的互联网协议地理定位信息构建国家自治系统拓扑图；从获取的路由更新数据中提取得到时间序列特征；所述时间序列特征用于检测路由中断事件；基于获取的真实路由中断事件信息，对所述时间序列特征进行标记；利用所述国家自治系统拓扑图和标记后的所述时间序列特征对待训练的图神经网络进行训练，得到训练后的图神经网络；将待检测路由提取得到的所述时间序列特征和所述待检测路由对应的所述国家自治系统拓扑图输入所述训练后的图神经网络，得到路由中断检测结果。本技术实施例通过构建以国家为粒度的自治系统路径拓扑，以及根据历史边界网关协议路由信息来提取得到自治系统的中断时间序列特征，来对图神经网络模型进行训练，进而利用训练好的图神经网络模型来对路由中断事件进行检测。本技术通过提取自治系统的终端时间序列特征，并在后续过程中将其与真实发生的中断事件进行匹配，能够有效避免将流量工程以及网络波动检测为路由中断事件，有效提高了检测的正确率，还通过利用图神经网络在处理特征时，不仅考虑节点本身的特征，还能够考虑到其相邻节点的特征的这一特性，在检测过程中有效考虑到自身以及相邻节点的中断相关信息，使得在进行后续检测时能够考虑到更多节点的信息，有效提高了中断检测的准确性并有效降低了误报率。另外的，本技术在对路由进行检测时无需发送大量的探测报文，也并没有应用范围的限制，因此也不会产生背景辐射流量，相比于现有技术而言有效减轻了互联网的负担，还有效的提升了检测方法的泛用性。