[发明专利]一种恶意自治系统的检测方法

权利要求书

1.一种恶意自治系统的检测方法，其特征在于，包括：

获取自治系统的路由信息；

根据所述路由信息，构建前缀可达信息库和自治系统前缀库；其中，所述前缀可达信息库包括前缀及其属性信息；所述自治系统前缀库包括自治系统及其前缀；

当获取撤回前缀可达路径的路由信息时，更新所述前缀可达信息库中发生变化的前缀及其属性信息；

根据更新的前缀及其属性信息，判断该前缀是否为异常前缀；

当判断该前缀为异常前缀时，将该前缀添加于异常前缀集合中；

当获取撤回可达路径的路由信息时，更新所述前缀可达信息库中发生变化的前缀及其属性信息，更新所述自治系统前缀库中发生变化的自治系统及其前缀；

根据更新的前缀及其属性信息、自治系统及其前缀，判断是否存在消失的自治系统；

当判断存在消失的自治系统时，将所述消失的自治系统添加于消失自治系统集合中；

根据异常前缀集合和消失自治系统集合，确定存在异常前缀且消失的至少一个目标自治系统，根据网络连接度对至少一个目标自治系统进行筛选，将筛选出的目标自治系统作为恶意自治系统，添加于恶意自治系统黑名单中；

根据所述恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征；

根据各恶意自治系统的路由特征和预设的网络信息，确定各恶意自治系统的等级。

2.根据权利要求1所述的方法，其特征在于，所述属性信息包括用于记录宣告拥有前缀的所有自治系统的moas_set字段、用于记录前缀是否发生了MOAS冲突的is_moas字段和用于记录前缀是否已被网络注册机构注册的is_legal字段；

所述根据更新的前缀及其属性信息，判断该前缀是否为异常前缀，包括：

如果更新后的moas_set字段的取值为1，且更新前的is_moas字段的取值为存在MOAS冲突，确定对应的前缀为异常前缀；

如果更新后的moas_set字段的取值为0，且is_legal字段的取值为未注册，确定对应的前缀为异常前缀。

3.根据权利要求2所述的方法，其特征在于，所述属性信息包括用于记录前缀是否发生子前缀冲突的sub_moas字段,还包括：

当获取宣告前缀可达路径的路由信息时，更新所述前缀可达信息库，判断所述前缀可达信息库中是否已经存在该前缀的记录，如果是，按照预设的冲突过滤条件判断该前缀是否发生MOAS冲突，如果不满足所述冲突过滤条件，更新is_moas字段的取值；如果否，判断该前缀是否属于所述前缀可达信息库中记录的发生子前缀冲突的子前缀，如果属于，更新所述sub_moas字段，按照所述冲突过滤条件判断该前缀是否发生MOAS冲突。

4.根据权利要求3所述的方法，其特征在于，所述冲突过滤条件包括：发生冲突的前缀是否为已注册的私有前缀，是否属于同一区域，是否配置了接收路由策略，以及是否配置了发送路由策略。

5.根据权利要求1所述的方法，其特征在于，所述属性信息包括用于记录第n个自治域路由器前往前缀的可达路径的vp_n字段；

更新所述自治系统前缀库中发生变化的自治系统及其前缀，包括：

对于所述自治系统前缀库中的每个自治系统，查询所述前缀可达信息库中所有vp_n字段对应的可达路径，判断该自治系统是否为可达路径上的最后一个自治系统，如果是，删除该自治系统在自治系统前缀库中的记录；

根据更新的前缀及其属性信息、自治系统及其前缀，判断是否存在消失的自治系统，包括：

在更新后的自治系统前缀库中，判断是否存在前缀数量为0的自治系统，若存在，该自治系统为消失的自治系统。

6.根据权利要求1-5中任意一项所述的方法，其特征在于，根据网络连接度对至少一个目标自治系统进行筛选，包括：

每隔预定时间间隔，根据所述异常前缀集合和消失自治系统集合，确定存在所述异常前缀且消失的至少一个目标自治系统；

将每个目标自治系统的网络连接度与预设的网络连接度阈值进行比较，筛选出小于所述网络连接度阈值的目标自治系统。