[发明专利]恶意BGP劫持的精确实时识别

权利要求书

1.一种检测路由器劫持事件的方法，所述方法包括：

通过数据收集模块接收来自至少一个BGP路由器的与边界网关协议(BGP)事件相关联的路由数据；

通过数据处理器处理所述路由数据以生成与源、前缀或上游装置相关联的特征列表；

使用所述路由数据和所述特征列表生成劫持检测模型；以及

使用所述BGP劫持模型将所述BGP事件分类为恶意事件或良性事件。

2.根据权利要求1所述方法，其中所述生成所述劫持检测模型包括：

检索历史确认的BGP劫持数据集；

使用所述路由数据的保持数据子集生成阈值截止值；以及

通过采用具有数据输入和概率输出的机器学习技术来计算所述恶意事件的概率，其中所述数据输入耦接以接收所述历史确认的BGP劫持数据集和所述路由数据；

其中当所述概率大于所述阈值截止值时，所述BGP事件被分类为所述恶意事件。

3.根据权利要求2所述的方法，其中所述机器学习技术为具有正数据输入、未标记数据输入以及概率输出的正样本未标记(PU)学习算法，其中所述正数据输入被耦接以接收所述历史确认的BGP劫持数据集，并且所述未标记数据输入被耦接以接收所述路由数据。

4.根据权利要求1所述方法，其中所述分类所述BGP事件包括：

接收来自所述劫持检测模型的劫持事件的概率；

确定所述概率是否大于预定值；以及

响应于所述概率大于所述预定值，将所述BGP事件分类为所述恶意事件。

5.根据权利要求1所述的方法，还包括：

检测每个事件是否是负误识或正误识；

响应于检测到负误识或正误识，校正所述历史确认的BGP劫持数据集；以及

使用所述校正的历史确认的BGP劫持数据集来重新训练所述BGP劫持模型。

6.根据权利要求1所述的方法，还包括：

响应于恶意事件，生成IP地址块的信誉评分；以及

将所述信誉评分传输到至少一个耦接的自治系统(AS)。

7.根据权利要求1所述的方法，还包括：

响应于恶意事件，确定与所述恶意事件相关联的IP地址块；

访问路由表以识别至少一个损坏的路径；

使用所述路由表生成校正的路径；以及

利用所述校正的路径更新所述路由表。

8.一种路由器劫持检测系统，所述路由器劫持检测系统包括：

数据收集模块，所述数据收集模块被耦接以接收来自至少一个BGP路由器的与BGP事件相关联的路由数据；

存储器，所述存储器耦接到所述数据收集模块；和

处理器，所述处理器耦接到存储器和所述数据收集模块，所述处理器包括：

数据处理模块，所述数据处理模块耦接到所述数据收集模块以生成与所述路由数据相关联的特征列表；

模型生成模块，所述模型生成模块耦接到数据收集模块和所述数据处理模块，以基于所述路由数据和所述特征列表生成劫持检测模型；和

检测单元，所述检测单元耦接到所述模型生成模块，以使用所述BGP劫持模型和所述劫持检测模型将所述BGP事件分类为恶意事件或良性事件。

9.根据权利要求8所述的路由器劫持检测系统，其中所述模型生成模块包括：

接收器，所述接收器被耦接以接收历史确认的BGP劫持数据集；

阈值模块，所述阈值模块耦接到所述数据收集模块，以使用所述路由数据的保持数据子集生成阈值截止值；

处理单元，所述处理单元耦接到所述阈值模块和所述数据收集模块；其中所述处理单元被配置为采用具有数据输入和概率输出的机器学习技术来计算所述恶意事件的概率，其中所述数据输入被耦接以接收所述历史确认的BGP劫持数据集和所述BGP路由数据；其中当所述概率大于所述阈值截止值时，所述BGP事件被分类为所述恶意事件。