[发明专利]一种用于实现BGP异常检测的方法、设备及系统

说明书

本申请实施例公开了一种用于实现BGP异常检测的方法、设备及系统，涉及通信技术领域，能够提高BGP异常检测的时效性和准确度。具体方案为：训练设备获取第一BGP更新update消息，以及历史BGP update消息的属性信息，历史BGP update消息为接收第一BGP update消息的路由设备在接收第一BGP update消息之前接收的BGP update消息，第一BGP update消息和历史BGP update消息宣告的路由前缀信息相同；训练设备根据第一BGP update消息，以及历史BGP update消息的属性信息，获取训练样本数据；训练设备基于训练样本数据进行模型训练，获取BGP异常检测模型。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种用于实现BGP异常检测的方法、设备及系统。

背景技术

边界网关协议(border gateway protocol，BGP)是运行于传输控制协议(Transmission Control Protocol，TCP)上的一种自治系统(autonomous system，AS)的路由协议，用于在不同的自治系统之间交换路由信息。目前，安全缺陷是全球互联网现存最大最严重的安全漏洞，对网络稳定性和业务性能影响较大，可以基于BGP异常检测判断网络安全。常见的BGP路由异常事件包括劫持、泄露等。BGP消息类型可以包括5大类，其中，BGPupdate消息用于在对等体之间交换路由信息，BGP update消息包含的字段信息(例如，路径属性As_path)可以为BGP异常检测提供依据。

现有的一种BGP异常检测技术，基于网络在一段时间内的整体统计情况提取特征，训练有监督模型。例如，按时间段划分样本，一段时间内所有的BGP update消息整体产生一个样本，通过对样本内BGP update消息做统计提取特征，并进行模型训练。但是，该方法是以一个时间段内的所有BGP update消息的统计值作为样本，因此在设备上需要收集一个时间段的数据才能进行判别，导致BGP异常检测缺乏时效性。而且该方法中，提取的特征只能反映样本在当前时间段的信息，因此根据该样本训练的模型的准确度不高。

发明内容

本申请实施例提供一种用于实现BGP异常检测的方法、设备及系统，能够提高BGP异常检测的时效性，提升异常检测的准确率。

为达到上述目的，本申请实施例采用如下技术方案：

本申请实施例的第一方面，提供一种用于实现BGP异常检测的方法，该方法包括：训练设备获取第一BGP更新update消息，以及历史BGP update消息的属性信息，该历史BGPupdate消息为接收第一BGP update消息的路由设备在接收该第一BGP update消息之前接收的BGP update消息，上述第一BGP update消息和上述历史BGP update消息宣告的路由前缀信息相同；上述训练设备根据上述第一BGP update消息，以及上述历史BGP update消息的属性信息，获取训练样本数据；上述训练设备基于该训练样本数据进行模型训练，获取BGP异常检测模型。基于本方案，通过根据路由前缀相同的第一BGP update消息和历史BGPupdate消息，提取特征得到样本数据，因此建立的模型在进行异常检测时的时效性较好，能够检测当前某一个BGP update消息是否异常。而且通过当前处理的消息(第一BGP update消息)和当前处理的消息之前接收的历史消息(历史BGP update消息)提取样本数据，能够反映历史消息到当前处理的消息的变化情况，因此，建立的异常检测模型的准确度较高。

结合第一方面，在一种可能的实现方式中，上述属性信息包括统计信息。基于本方案，通过根据历史消息的统计信息提取特征得到样本数据，进行模型训练，得到的异常检测模型能够反映历史消息到当前处理的消息的变化情况，因此，建立的异常检测模型的准确度较高。