CN116318800A - 一种bgp路由数据的监测方法、装置、及电子设备 - Google Patents
一种bgp路由数据的监测方法、装置、及电子设备 Download PDFInfo
- Publication number
- CN116318800A CN116318800A CN202211667889.XA CN202211667889A CN116318800A CN 116318800 A CN116318800 A CN 116318800A CN 202211667889 A CN202211667889 A CN 202211667889A CN 116318800 A CN116318800 A CN 116318800A
- Authority
- CN
- China
- Prior art keywords
- bgp
- data
- bgp route
- routing data
- bgp routing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络信息安全技术领域,尤其涉及一种BGP路由数据的监测方法、装置、及电子设备。该方法中,获取BGP路由数据。解析BGP路由数据,得到BGP路由数据的第一特征。根据BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征。对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果。根据上述聚类结果,确定BGP路由数据的可信度。在可信度满足预设规则的情况下,确定BGP路由数据为异常BGP路由数据。上述方案,充分结合了BGP路由数据的第一特征以及历史BGP路由数据的第一特征,对BGP路由数据进行监测,实现监测BGP路由数据,提高BGP路由数据的监测效率。
Description
技术领域
本申请涉及网络信息安全技术领域,尤其涉及一种BGP路由数据的监测方法、装置、及电子设备。
背景技术
在现实网络中,边界网关(Border Gateway Protocol,BGP)协议路由信息的变化十分复杂,会存在正常的路由调整和异常的路由劫持情况,带来的路由信息改变情况也是错综复杂的。
目前对于路由信息异常的判断指标单一,利用简单的规则方式或者是流量占比判断路由信息的异常与否,容易带来一些误判情况,不能够满足对BGP路由数据的监测需求。
发明内容
本申请实施例提供了一种BGP路由数据的监测方法、装置、及电子设备,用以监测BGP路由数据,提高BGP路由数据的监测效率。
第一方面,本申请实施例提供了一种BGP路由数据的监测方法。上述方法包括:获取BGP路由数据。解析BGP路由数据,得到BGP路由数据的第一特征。其中,BGP路由数据的第一特征包括BGP路由数据中的要素。根据BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征。其中,历史BGP路由数据的第一特征包括历史BGP路由数据中的要素。对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果。其中,聚类结果用于表征BGP路由数据在要素上的分散程度。根据聚类结果,确定BGP路由数据的可信度。在可信度满足预设规则的情况下,确定BGP路由数据为异常BGP路由数据。
上述方法中,相较于传统方案通过模型分类的方式监测BGP路由数据,本申请充分结合了BGP路由数据的第一特征以及历史BGP路由数据的第一特征监测BGP路由数据,提高了BGP路由数据监测准确性。同时,本申请充分结合了BGP路由数据的流式特点,提高了BGP路由数据监测的实时性。便于用户后续根据异常BGP路由数据进行快速干预和处理,提升网络安全性。
可选的,上述方法还包括:确定BGP路由数据中包括预设无效值的BGP路由数据。删除包括预设无效值的BGP路由数据。确定BGP路由数据中缺失公认必遵属性的BGP路由数据。其中,公认必遵属性包括自治系统路径AS_Path属性、路由起源Origin属性、下一跳NextHop属性。删除缺失公认必遵属性的BGP路由数据。
上述方法中,通过删除BGP数据中包括预设无效值的BGP路由数据以及缺失公认必遵属性的BGP路由数据,可以清理BGP路由数据中不可用的数据,留下正常可用的数据,纠正BGP路由数据中可识别的错误。
可选的,上述方法还包括:将BGP路由数据归一化。
上述方法中,通过将BGP路由数据进行归一化、可以减少BGP路由数据的规模、特征以及分布差异等对于聚类结果的影响,使聚类结果更加准确。
可选的,上述方法还包括:根据路由前缀,获取历史BGP路由数据。将BGP路由数据与历史BGP路由数据作比较,删除重复的BGP路由数据,得到BGP路由变化数据,BGP路由数据包括BGP路由变化数据。
上述方法中,通过将BGP路由数据与历史BGP路由数据作比较,删除重复的BGP路由数据,得到BGP路由变化数据。可以减少系统需要处理的数据量,便于后续提高确定BGP路由变化数据的可信度的处理速度,提高BGP路由数据监测的效率。
可选的,上述方法还包括:将BGP路由变化数据按照路由前缀进行哈希分桶,得到多个哈希桶。其中,多个哈希桶中任一哈希桶包括的BGP路由变化数据的路由前缀相同。将BGP路由变化数据与BGP路由变化数据对应的可信度按照多个哈希桶的分组存储在路由增量数据库中。
上述方法中,通过将BGP路由变化数据进行哈希分桶,在均衡负载的同时便于后续的查找对比,方便用户后续分析BGP路由数据时,提高数据的处理效率,增加并行度。采用哈希分桶的方式存储BGP路由变化数据还可以减少存储空间的消耗,占用较少的内存资源。
可选的,上述方法还包括:将BGP路由数据按照预设的不同标准进行分组,得到多组BGP路由数据。
上述方法中,通过将BGP路由数据进行分组处理,在后续服务端监测BGP路由数据时,可以减少系统损耗,更快的确定BGP路由数据的可信度,提升监测效率。
可选的,上述方法还包括:采用连接Connect算子将规则流与分组流进行合流数据统计,得到异常BGP路由数据集合。其中,规则流与分组流是将BGP路由数据分组得到的。将异常BGP路由数据集合存储在异常路由数据库中。
上述方法中,通过Connect算子将规则流与分组流进行合流数据统计,得到异常BGP路由数据集合,将异常BGP路由数据集合存储在异常路由数据库中。可以便于用户在后续分析异常BGP路由数据集合,实时采集监测异常BGP路由信息。
可选的,上述方法还包括:复制BGP路由数据。将复制后的BGP路由数据存储在路由全量数据库中。
上述方法中,通过将BGP路由数据存储在路由全量数据库中,便于后续基于用户的其他需求对路由全量数据库中的BGP路由数据进行其他分析。
可选的,根据聚类结果,确定BGP路由数据的可信度,具体包括:将聚类结果映射到用户预设的可信度区间,得到BGP路由数据的可信度。
上述方法中,通过将聚类结果映射到用户预设的可信度区间,得到BGP路由数据的可信度。可以及时获得BGP路由数据的可信度,便于后续通过可信度监测BGP路由数据。
可选的,上述方法还包括:将BGP路由数据的第一特征存储在数据库中。
上述方法中,通过将BGP路由数据的第一特征存储在数据库中。可以便于后续监测BGP路由数据时,及时获得历史BGP路由数据的第一特征,提高监测BGP路由数据的效率。
第二方面,本申请实施例还提供了一种BGP路由数据的监测装置,装置包括:
获取模块,用于获取BGP路由数据;
解析模块,用于解析BGP路由数据,得到BGP路由数据的第一特征,BGP路由数据的第一特征包括BGP路由数据中的要素;
处理模块,用于根据BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征,历史BGP路由数据的第一特征包括历史BGP路由数据中的要素;
处理模块,还用于对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果,聚类结果用于表征BGP路由数据在要素上的分散程度;
处理模块,还用于根据聚类结果,确定BGP路由数据的可信度;
处理模块,还用于在可信度满足预设规则的情况下,确定BGP路由数据为异常BGP路由数据。
第三方面,本申请实施例还提出了一种电子设备,其包括处理器和存储器,其中,存储器存储有程序代码,当程序代码被处理器执行时,使得处理器执行上述第一方面的BGP路由数据的监测方法的步骤。
第四方面,本申请实施例还提出了一种计算机可读存储介质,其包括程序代码,当程序代码在电子设备上运行时,程序代码用于使电子设备执行上述第一方面的BGP路由数据的监测方法的步骤。
第五方面,本申请实施例还提供了一种计算机程序产品,计算机程序产品在被计算机调用时,使得计算机执行如第一方面的BGP路由数据的监测方法步骤。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示例性示出了本申请实施例适用的一种BGP路由数据的监测方法的应用场景示意图;
图2示例性示出了本申请实施例提供的一种BGP路由数据的监测方法的实施流程示意图;
图3示例性示出了本申请实施例提供的一种BGP路由数据的第一特征的示意图;
图4示例性示出了本申请实施例提供的一种BGP路由数据的监测方法的实施流程示意图;
图5示例性示出了本申请实施例提供的一种BGP路由数据的监测装置的结构示意图;
图6示例性示出了本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请技术方案保护的范围。
需要说明的是,在本申请的描述中“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。A与B连接,可以表示:A与B直接连接和A与B通过C连接这两种情况。另外,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
以下,结合附图对本申请实施例提供的技术方案进行解释说明。应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请实施例及实施例中的特征可以相互组合。
BGP协议,是组成我们当今网络的一种去中心化的自治系统间的动态路由协议。BGP协议允许网络上不同自治域系统(Autonomous System,AS)之间自动交换互联网协议地址(Internet Protocol Address,IP地址)、路由信息和可达信息。BGP协议最主要功能在于控制路由的传播和选择最优的路由,并且还具备冗余备份、消除环路的特点。虽然BGP协议在互联网中起着至关重要的作用,但是其安全性却很脆弱,一般BGP互联的两个AS之间,对于接收的IP前缀路由缺乏有效的认证机制,导致无条件地接收或传播邻居AS的路由,从而导致可能接收攻击者发布的错误路由。
BGP路由劫持是指攻击者恶意改变互联网流量的路由,攻击者通过宣布错误的路由前缀的所有权,来达到恶意改变互联网流量的路由的效果。BGP路由劫持会造成受害者的流量被“黑洞”,正常访问中断,网络延迟增加,甚至受害者的流量被中间人监听或攻击,或重定向到虚假网站以窃取数据。
目前,一般通过采集现网数据进行分析、网络主动探测等方式,对IP前缀劫持进行监测、定位和缓解,虽然监测与缓解技术目前具有较高的实用性,但现有方案在实时性与覆盖率方面仍存在一定的局限性,无法避免漏报与误报,且难以预防安全事件的发生。
可见,由于路由数据本身的变化复杂且路由数据量庞大,对路由劫持的攻击反馈的实时性要求高,这对数据处理的性能提出了很大的挑战。BGP路由劫持的实时监测的准确度、实时性都有待提高。如何实现对BGP路由数据的实时监测,提高BGP路由数据监测的准确度,是目前亟需解决的问题。
有鉴于此,本申请实施例中,为了实时监测BGP路由数据,提出了一种BGP路由数据的监测方法,包括:获取BGP路由数据。解析BGP路由数据,得到BGP路由数据的第一特征。其中,BGP路由数据的第一特征包括BGP路由数据中的要素。根据BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征。其中,历史BGP路由数据的第一特征包括历史BGP路由数据中的要素。对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果,聚类结果用于表征BGP路由数据在要素上的分散程度。根据聚类结果,确定BGP路由数据的可信度。在可信度满足预设规则的情况下,确定BGP路由数据为异常BGP路由数据。
图1示出了本申请一种可选的BGP路由监测方法的应用场景示意图,该场景中包括服务端100以及终端101,服务端100与终端101之间可以通过网络实现可通信的连接,以实现本申请的BGP路由数据的监测方法。
用户可以使用服务端100通过网络与终端101交互,例如接收或发送消息等。终端101上可以安装有各种客户端应用程序,例如程序编写类应用、网页浏览器应用、搜索类应用等。终端101可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、台式计算机等等。服务端100可以为独立的服务器或者是多个服务器组成的服务器集群来实现。
服务端100用于获取BGP路由数据。解析BGP路由数据,得到BGP路由数据的第一特征。其中,BGP路由数据的第一特征包括BGP路由数据中的要素。根据BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征。其中,历史BGP路由数据的第一特征包括历史BGP路由数据中的要素。对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果,聚类结果用于表征BGP路由数据在要素上的分散程度。根据聚类结果,确定BGP路由数据的可信度。在可信度满足预设规则的情况下,确定BGP路由数据为异常BGP路由数据。
可以理解的是,本申请实施例提供的BGP路由数据的监测方法可以由服务端100执行。
如图2所示,本申请实施例提供的一种BGP路由数据的监测方法流程图,具体可以包括以下操作。以下,以服务端为执行主体为例进行说明。
S201:服务端获取BGP路由数据。
在一种可能的实施例中,服务端可以访问基础网络运营商对应的骨干网站,通过卡夫卡(Kafka)实时获取BGP路由数据。服务端获取到的BGP路由数据以多线程路由工具包(Multi-threaded RoutingToolkit,MRT)的二进制格式进行存储。服务端可以再将获取到的BGP路由数据通过Kafka传入分布式(Flink)大数据平台,便于后续进行流式计算处理,监测BGP路由数据。
其中,基础网络运营商可以包括中国移动、中国联通等基础网络运营商。Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者在网站中的所有动作流数据。Flink大数据平台是一个分布式处理引擎框架,用于对无界和有界数据流进行有状态计算,具备极高的故障恢复性能和容错性能。流式计算是一种高频的,增量的,实时的数据处理模式,具有很强的实时性。流式计算可以对源源不断产生的数据实时进行处理,使数据不积压、不丢失。
可选的,在获取到BGP路由数据之后,服务端可以通过处理(Process)算子对实时获得的BGP路由数据的数据流进行一次旁路输出。即服务端可以复制上述BGP路由数据,将复制后的BGP路由数据借助时间窗口(Time Windows)将实时BGP路由数据传入路由全量数据库中。其中,路由全量数据库可以是完全面向列式的分布式数据库(ClickHouse)。
上述方法中,通过将BGP路由数据存储在路由全量数据库中,便于后续基于用户的其他需求对路由全量数据库中的BGP路由数据进行其他分析。
S202、服务端解析BGP路由数据,得到BGP路由数据的第一特征。
其中,BGP路由数据的第一特征包括BGP路由数据中的要素。
由于在路由劫持过程中BGP路由数据中一些要素会产生变化。因此,服务端可以根据上述产生变化的要素,确定BGP路由数据是否发生路由劫持,更加准确地监测BGP路由数据。例如:IP前缀劫持会引起前缀信息的变化。1.0.0.1/24在历史数据中一直由AS1宣告,突变为AS2宣告,则可以被认为是疑似异常行为,需要进一步确定是否发生路由劫持。其中,上述异常行为中涉及到Prefix和AS Path的变化。
在一种可能的实施例中,服务端可以根据获取到的BGP路由数据对应的BGP路由协议,通过FlatMap算子解析BGP路由数据,得到BGP路由数据的第一特征。例如,BGP路由数据的第一特征可以包括路由前缀(Prefix)、下一跳(Next Hop)IP地址、自治域系统路径(ASPath)、本地优先属性(Local-Pref)、最优路径(Multi-Exit Discriminators,MED)属性、共享(Community)属性。
可选的,为了确定BGP路由数据与该BGP路由数据的路由前缀对应的历史BGP路由数据是否发生变化。第一特征还可以包括路由条目数、自治域系统路径长度、AS路径相邻二元组个数、AS入度以及AS出度。其中,路由条目数是指包含该路由前缀的BGP路由数据的条数。
可以理解的是,BGP路由数据的第一特征还可以包括除上述信息以外的,可以通过BGP路由数据获取的其他的能够表征BGP路由数据的要素的信息。
S203:服务端根据BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征。
其中,历史BGP路由数据的第一特征包括历史BGP路由数据中的要素。
在一种可能的实施例中,服务端根据BGP路由数据的路由前缀,可以从路由增量数据库中获取历史BGP路由数据的第一特征。其中,历史BGP路由数据的第一特征可以包括历史BGP路由数据的路由前缀(Prefix)、下一跳(Next Hop)、IP地址、AS Path、Local-Pref、MED属性、Community属性以及历史BGP路由数据对应的自治域系统路径长度、AS路径、相邻二元组个数、AS入度以及AS出度。
如图3所示,本申请实施例提供一种BGP路由数据的特征示意图。在图3中,BGP路由数据的第一特征包括Prefix、AS Path、Next Hop、Local-Pref、MED、Community、Prefix对应的路由条目数、Prefix对应的AS路径长度、Prefix对应的AS路径相邻二元组个数、Prefix对应的AS入度,以及Prefix对应的AS出度。
可选的,在服务端确定BGP路由数据的第一特征之后,服务端还可以将上述BGP路由数据的第一特征存储在数据库中。例如,服务端可以将BGP路由数据的第一特征存储在路由增量数据库中。上述方法中,通过将BGP路由数据的第一特征存储在数据库中。可以便于后续监测BGP路由数据时,及时获得历史BGP路由数据的第一特征,提高监测BGP路由数据的效率。
如图3所示,本申请实施例提供一种BGP路由数据的第一特征的示意图。在图3中,BGP路由数据的第一特征包括Prefix、AS Path、Next Hop、Local-Pref、MED、Community。BGP路由数据的第一特征包括Prefix对应的路由条目数、Prefix对应的AS路径长度、Prefix对应的AS路径相邻二元组个数、Prefix对应的AS入度,以及Prefix对应的AS出度。
在一些实施例中,在服务端确定BGP路由数据的第一特征以及历史BGP路由数据的第一特征之后,对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果之前,服务端可以将BGP路由数据按照预设的不同标准进行分组,得到多组BGP路由数据。可以理解的是,预设的不同标准可以为本领域技术人员根据BGP路由协议预先设置的经验值,并且可以根据具体的应用场景进行合理设置。例如,服务端可以将BGP路由数据分为四组,分别为:打开分组(open)、存活分组(keepalive)、更新分组(update)、通知分组(notification)。又例如,服务端可以将BGP路由数据进行分组得到规则流以及分组流。
上述方法中,通过将BGP路由数据进行分组处理,在后续服务端监测BGP路由数据时,可以减少系统损耗,更快的确定BGP路由数据的可信度,提升监测效率。
在另一些实施例中,服务端还可以将BGP路由数据进行清洗。检查数据的合法性。例如,服务端可以确定BGP路由数据中包括预设无效值的BGP路由数据,删除包括预设无效值的BGP路由数据。服务端还可以确定BGP路由数据中缺失公认必遵属性的BGP路由数据。服务端删除缺失公认必遵属性的BGP路由数据。其中,公认必遵属性包括自治系统路径AS_Path属性、路由起源Origin属性、下一跳Next Hop属性。
可以理解的是,预设无效值可以为本领域技术人员预先设置的经验数值,并且可以根据具体的应用场景进行合理设置。例如,私网IP地址,下一跳不可达的IP地址等其他值。本申请对服务端检查数据合法性的方式并不做具体限定。例如,采用BGP路由数据的关键字检查BGP路由数据的合法性。
上述方法中,通过删除BGP数据中包括预设无效值的BGP路由数据以及缺失公认必遵属性的BGP路由数据,可以清理BGP路由数据中不可用的数据,留下正常可用的数据,纠正BGP路由数据中可识别的错误。
在另一些实施例中,在服务端对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果之前,服务端还可以将BGP路由数据进行归一化。例如,将BGP路由数据归一化至[0,1]区间。上述方法中,通过将BGP路由数据进行归一化、可以减少BGP路由数据的规模、特征以及分布差异等对于聚类结果的影响,使聚类结果更加准确。
S204、服务端对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果。
其中,聚类结果用于表征BGP路由数据在要素上的分散程度。
在一种可能的实施例中,服务端可以采用k均值聚类(K-means)算法对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果。
需要说明的是,本申请实施例并不对聚类算法进行限定,服务端还可以采用其他的聚类算法,如均值漂移聚类算法、层次聚类算法等对BGP路由数据的第一特征以及历史BGP路由数据的第一特征进行聚类。
S205、服务端根据聚类结果,确定BGP路由数据的可信度。
聚类结果可以包含多个聚簇。每个聚簇可以看作是由多维空间中的点组成的。多维空间中的点可以看做是BGP路由数据的第一特征以及历史BGP路由数据的第一特征。每个聚簇都有一个质心。可以理解的是,质心可能是对应BGP路由数据的第一特征或历史BGP路由数据的第一特征的点。质心也可能是根据聚簇中的点确定的虚拟的点。
在一种可能的实施方式中,服务端可以将聚类结果根据预设的映射关系映射到预设的可信度区间,得到该BGP路由数据的可信度。例如,假设预设的聚类结果与可信度的映射关系包括将聚类结果中第一特征的点距离质心的距离放大10倍,得到可信度。某条BGP路由数据1.0.0.1/24的聚类结果中第一特征的点距离质心的距离为0.21。则服务端可以根据预设的聚类结果与可信度的映射关系,将距离质心的距离放大10倍,得到该BGP路由数据的可信度为2.1。又例如,假设预设的聚类结果与可信度的映射关系包括将聚类结果中第一特征的点距离质心的距离缩小5倍,得到可信度。某条BGP路由数据1.0.0.1/26的聚类结果中第一特征的点距离质心的距离为20。则服务端可以根据预设的聚类结果与可信度的映射关系,将距离质心的距离缩小5倍,得到该BGP路由数据的可信度为4。通过该方法,将聚类结果映射到用户预设的可信度区间,得到BGP路由数据的可信度。可以及时获得BGP路由数据的可信度,便于后续通过可信度监测BGP路由数据。
可以理解的是,聚类结果与可信度的映射关系可以为本领域技术人员预先设置的经验数值,并且可以根据具体的应用场景进行合理设置。聚类结果与可信度的映射关系还可以是服务端根据大量的历史BGP路由数据训练生成的路由前缀可信度模型确定的。
另一种可能的实施方式中,服务端还可以确定聚类结果中包含的要素的数量,确定可信度。如,可以预先设置BGP路由数据的第一特征与历史BGP路由数据的第一特征中Prefix对应的AS路径相邻二元组个数的数量在[a,b]区间,则确定可信度为c等等。
S206、服务端在可信度满足预设规则的情况下,确定BGP路由数据为异常BGP路由数据。
在一种可能的情况中,预设规则可以为满足异常可信度区间的路由数据为异常BGP路由数据。例如,假设预设规则为满足异常可信度区间的路由数据为异常BGP路由数据。异常可信度区间为分数区间[2-4]。服务端确定BGP路由数据的可信度为2。则在BGP路由数据的可信度2满足异常可信度区间的情况下,服务端可以确定该BGP路由数据为异常BGP路由数据。
在另一种可能的情况中,预设规则还可以为不超过第一阈值的可信度为异常BGP路由数据。例如,假设预设规则为不超过第一阈值的可信度为异常BGP路由数据。第一阈值为5。则在BGP路由数据的可信度3不超过第一阈值5的情况下,服务端可以确定该BGP路由数据为异常BGP路由数据。
可以理解的是,上述预设规则可以为本领域技术人员预先设置的,并且可以根据具体的应用场景进行合理设置。
在服务端确定BGP路由数据的可信度之后,在一种可能的情况中,服务端可以将BGP路由数据与该BGP路由数据对应的可信度进行汇总。服务端可以按照可信度的数值由大到小的顺序对上述BGP路由数据的可信度进行排名。并按照上述排名顺序,将BGP路由数据与BGP路由数据对应的可信度进行存储。上述方法可以实时动态的更新BGP路由数据的可信度排名,采集BGP路由数据的可信度,提高了BGP路由数据监测的准确性。
可选的,服务端也可以根据路由前缀,从路由增量数据库中获取历史BGP路由数据。服务端再将BGP路由数据与历史BGP路由数据作比较,删除重复的BGP路由数据,得到BGP路由变化数据。其中,BGP路由数据包括BGP路由变化数据。在得到BGP路由变化数据之后,通过可信度监测BGP路由变化数据的方式与上文中监测BGP路由数据的方式相同,此处不再赘述。路由增量数据库可以为分布式文件系统(Hadoop Distributed File System,HDFS)。
例如,服务端可以将BGP路由数据的第一特征与历史BGP路由数据中的第一特征。即服务端可以将BGP路由数据与历史BGP路由数据中的Prefix、AS Path、Next Hop、Local-Pref、MED、Community作比较。进一步,服务端可以确定重复的BGP路由数据,再删除重复的BGP路由数据,得到BGP路由变化数据。
上述方法中,通过将BGP路由数据与历史BGP路由数据作比较,删除重复的BGP路由数据,得到BGP路由变化数据。可以减少系统需要处理的数据量,便于后续提高确定BGP路由变化数据的可信度的处理速度,提高BGP路由数据监测的实时性。
由于在BGP路由数据监测过程中,对BGP路由数据的快速查询等处理和数据分区规划对监测的实时性有着重要的影响。因此,在服务端确定BGP路由变化数据的可信度之后,服务端可以将BGP路由变化数据按照路由前缀进行哈希分桶,得到多个哈希桶。其中,多个哈希桶中任一哈希桶包括的BGP路由变化数据的路由前缀相同。服务端可以将BGP路由变化数据与BGP路由变化数据对应的可信度按照多个哈希桶的分组存储在路由增量数据库中。例如,服务端可以将BGP路由变化数据按照路由前缀的前8位进行哈希分桶,得到多个哈希桶。
上述方法中,通过将BGP路由变化数据进行哈希分桶并存储的方式,在均衡负载的同时便于后续的查找对比,方便用户后续分析BGP路由数据时,提高数据的处理效率,增加并行度。采用哈希分桶的方式存储BGP路由变化数据还可以减少存储空间的消耗,占用较少的内存资源。
在另一种可能的情况中,由于在BGP路由数据监测过程中,对BGP路由数据的快速查询等处理和数据分区规划对监测的实时性有着重要的影响。因此,服务端还可以采用连接(Connect)算子将规则流与分组流进行合流数据统计,得到异常BGP路由数据集合。其中,规则流与分组流是将BGP路由数据分组得到的。服务端可以将异常BGP路由数据集合存储在异常路由数据库中。例如,异常路由数据库可以是关系型数据库管理系统(MySQL)。
上述方法中,通过Connect算子将规则流与分组流进行合流数据统计,得到异常BGP路由数据集合,将异常BGP路由数据集合存储在异常路由数据库中。可以便于用户在后续分析异常BGP路由数据集合,实时采集监测异常BGP路由信息。
在另一种可能的实施例中,服务端还可以将确定的异常BGP路由数据反馈给用户。例如,服务端可以通过短信提醒的形式,将上述异常BGP路由数据发送给用户。又例如,服务端还可以将异常BGP路由数据发送给终端,终端在接收到上述异常BGP路由数据之后,将异常BGP路由数据显示在电子屏幕中,以使用户进行查看。本申请对服务端将异常BGP路由数据反馈给用户的方式,不做具体限定。
上述方法中,通过将异常BGP路由数据及时反馈给用户,可以便于用户及时分析异常BGP路由数据,提升网络安全防护的效率,提高用户使用体验。
本申请实施例通过机器学习技术来进行路由前缀可信度的评估。通过BGP路由数据的特征综合评判BGP路由数据的可信度。再通过可信度确定是否发生了路由劫持。相较于现有技术模型分类监测BGP路由数据的准确率高。同时,本申请通过将BGP路由数据进行哈希分桶并存储,对路由数据进行分区存储以及更新,提高路由数据搜索查询效率,提高吞吐量,提高路由劫持监测判断的实时性,便于快速干预和处理。
下面对图2的实施方式进行举例说明。
例如,服务端采用基础网络运营商的数据获取能力,通过Kafka获取实时的BGP路由数据,将获取的MRT数据格式的BGP路由数据通过Kafka传入Flink大数据平台。在服务端获取到BGP路由数据之后,服务端复制BGP路由数据,采用Windows时间窗口将上述复制的BGP路由数据存储到路由全量数据库Clickhouse中。
服务端再根据路由前缀,获取历史BGP路由数据。将获取到的BGP路由数据,与该BGP路由数据与历史BGP路由数据作比较,删除重复的BGP路由数据,得到BGP路由变化数据。服务端将上述BGP路由变化数据通过Key By进行多个不同标准的业务流分组。
服务端可以采用利用FlatMap算子解析BGP路由数据,得到BGP路由数据第一特征。其中,BGP路由数据第一特征包括Prefix、AS Path、Next Hop、Local-Pref、MED、Community、Prefix对应的路由条目数、Prefix对应的AS路径长度、Prefix对应的AS路径相邻二元组个数、Prefix对应的AS入度,以及Prefix对应的AS出度。服务端根据该BGP路由变化数据的路由前缀,获取历史BGP路由数据的第一特征。其中,历史BGP路由数据的第一特征包括Prefix、AS Path、Next Hop、Local-Pref、MED、Community、Prefix对应的路由条目数、Prefix对应的AS路径长度、Prefix对应的AS路径相邻二元组个数、Prefix对应的AS入度,以及Prefix对应的AS出度。
服务端对BGP路由变化数据进行清洗与归一化,检查数据的合法性,服务端确定BGP路由变化数据中包括预设无效值的BGP路由变化数据,删除上述包括预设无效值的BGP路由变化数据。服务端确定BGP路由变化数据中缺失公认必遵属性的BGP路由变化数据,删除上述缺失公认必遵属性的BGP路由变化数据。
服务端将BGP路由变化数据归一化至[0,1]区间,采用K-means算法对BGP路由变化数据的第一特征以及历史BGP路由数据的第一特征进行聚类,得到聚类结果。服务端将该聚类结果按照预设的聚类结果与可信度区间的映射关系进行映射,得到BGP路由变化数据的可信度为3。假设异常可信度区间为[2,4]。由于该BGP路由变化数据的可信度符合异常可信度区间,因此该BGP路由变化数据为异常BGP路由变化数据。
服务端还可以将该BGP路由变化数据按照路由前缀前8位进行哈希分桶,将该BGP存储在对应的哈希桶所在的路由增量数据库HDFS中。服务端将分组得到的规则流与分组流使用Connect算子进行合流数据统计,提取出BGP异常路由数据集合。服务端将再上述BGP异常路由数据集合存储在异常路由数据库MySQL中。
如图4所示,本申请提供一种BGP路由数据监测的示例性流程图。
S401、获取BGP路由数据;
S402、解析BGP路由数据,得到BGP路由数据的第一特征;
S403、复制BGP路由数据;
S404、将复制后的BGP路由数据存储在路由全量数据库中;
S405、根据路由前缀,获取历史BGP路由数据;
S406、将BGP路由数据与历史BGP路由数据作比较,删除重复的BGP路由数据,得到BGP路由变化数据;
S407、根据BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征;
S408、将BGP路由变化数据按照预设的不同标准进行分组,得到多组BGP路由变化数据;
S409、确定BGP路由变化数据中包括预设无效值的BGP路由变化数据;
S410、删除包括预设无效值的BGP路由变化数据;
S411、确定BGP路由变化数据中缺失公认必遵属性的BGP路由变化数据;
S412、删除缺失公认必遵属性的BGP路由变化数据。
S413、将删除包括预设无效值的BGP路由变化数据以及缺失公认必遵属性的BGP路由变化数据后的BGP路由变化数据归一化;
S414、BGP路由数据的第一特征以及历史BGP路由数据的第一特征,得到聚类结果;
S415、将聚类结果映射到预设的可信度区间,得到BGP路由数据的可信度;
S416、将BGP路由变化数据按照路由前缀进行哈希分桶,得到多个哈希桶;
S417、将BGP路由变化数据与BGP路由变化数据对应的可信度按照多个哈希桶的分组存储在路由增量数据库中;
S418、在可信度满足预设规则的情况下,确定BGP路由数据为异常BGP路由数据;
S419、采用连接Connect算子将规则流与分组流进行合流数据统计,得到异常BGP路由数据集合,规则流与分组流是将BGP路由数据分组得到的;
S420、将异常BGP路由数据集合存储在异常路由数据库中。
进一步地,基于相同的技术构思,本申请实施例还提供了一种BGP路由数据的监测装置,该BGP路由数据的监测装置用以实现本申请实施例的上述的BGP路由数据的监测方法流程。参阅图5所示,该BGP路由数据的监测装置包括:获取模块501、解析模块502、处理模块503,其中:
获取模块501,用于获取BGP路由数据;
解析模块502,用于解析所述BGP路由数据,得到所述BGP路由数据的第一特征,所述BGP路由数据的第一特征包括所述BGP路由数据中的要素;
处理模块503,用于根据所述BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征,所述历史BGP路由数据的第一特征包括所述历史BGP路由数据中的要素;
处理模块503,还用于对所述BGP路由数据的第一特征以及所述历史BGP路由数据的第一特征进行聚类,得到聚类结果,所述聚类结果用于表征所述BGP路由数据在所述要素上的分散程度;
处理模块503,还用于根据聚类结果,确定BGP路由数据的可信度;
处理模块503,还用于在可信度满足预设规则的情况下,确定BGP路由数据为异常BGP路由数据。
可选的,处理模块503还用于:
确定BGP路由数据中包括预设无效值的BGP路由数据;
删除包括预设无效值的BGP路由数据;
确定BGP路由数据中缺失公认必遵属性的BGP路由数据,公认必遵属性包括自治系统路径AS_Path属性、路由起源Origin属性、下一跳Next Hop属性;
删除缺失公认必遵属性的BGP路由数据。
可选的,处理模块503还用于:
将BGP路由数据归一化。
可选的,在解析BGP路由数据,得到BGP路由数据的第一特征之前,处理模块503还用于:
根据所述路由前缀,获取所述历史BGP路由数据;
将BGP路由数据与历史BGP路由数据作比较,删除重复的BGP路由数据,得到BGP路由变化数据,BGP路由数据包括BGP路由变化数据。
可选的,处理模块503还用于:
将BGP路由变化数据按照路由前缀进行哈希分桶,得到多个哈希桶,多个哈希桶中任一哈希桶包括的BGP路由变化数据的路由前缀相同;
将BGP路由变化数据与BGP路由变化数据对应的可信度按照多个哈希桶的分组存储在路由增量数据库中。
可选的,处理模块503还用于:
将BGP路由数据按照预设的不同标准进行分组,得到多组BGP路由数据。
可选的,处理模块503还用于:
采用连接Connect算子将规则流与分组流进行合流数据统计,得到异常BGP路由数据集合,规则流与分组流是将BGP路由数据分组得到的;
将异常BGP路由数据集合存储在异常路由数据库中。
可选的,处理模块503还用于:
复制BGP路由数据;
将复制后的BGP路由数据存储在路由全量数据库中。
可选的,根据聚类结果,确定BGP路由数据的可信度,处理模块503用于:
将聚类结果映射到预设的可信度区间,得到BGP路由数据的可信度。
可选的,处理模块503还用于:
将所述BGP路由数据的第一特征存储在数据库中。
基于相同的技术构思,本申请实施例还提供了一种电子设备,该电子设备可实现本申请上述实施例提供的BGP路由数据的监测方法流程。在一种实施例中,该电子设备可以是服务器,也可以是终端设备或其他电子设备。如图6所示,该电子设备可包括:
至少一个处理器601,以及与至少一个处理器601连接的存储器602,本申请实施例中不限定处理器601与存储器602之间的具体连接介质,图6中是以处理器601和存储器602之间通过总线600连接为例。总线600在图6中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线600可以分为地址总线、数据总线、控制总线等,为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器601也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器602存储有可被至少一个处理器601执行的指令,至少一个处理器601通过执行存储器602存储的指令,可以执行前文论述的一种BGP路由数据的监测方法。处理器601可以实现图5所示的装置中各个模块的功能。
其中,处理器601是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器601可包括一个或多个处理单元,处理器601可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。在一些实施例中,处理器601和存储器602可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器601可以是通用处理器,例如CPU、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的一种BGP路由数据的监测方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器602作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器601进行设计编程,可以将前述实施例中介绍的一种BGP路由数据的监测方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图2所示的实施例的一种BGP路由数据的监测方法的步骤。如何对处理器601进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行前文论述的一种BGP路由数据的监测方法。
在一些可能的实施方式中,本申请提供一种BGP路由数据的监测方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在装置上运行时,程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种BGP路由数据的监测方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (13)
1.一种BGP路由数据的监测方法,其特征在于,所述方法包括:
获取BGP路由数据;
解析所述BGP路由数据,得到所述BGP路由数据的第一特征,所述BGP路由数据的第一特征包括所述BGP路由数据中的要素;
根据所述BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征,所述历史BGP路由数据的第一特征包括所述历史BGP路由数据中的要素;
对所述BGP路由数据的第一特征以及所述历史BGP路由数据的第一特征进行聚类,得到聚类结果,所述聚类结果用于表征所述BGP路由数据在所述要素上的分散程度;
根据所述聚类结果,确定所述BGP路由数据的可信度;
在所述可信度满足预设规则的情况下,确定所述BGP路由数据为异常BGP路由数据。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述BGP路由数据中包括预设无效值的BGP路由数据;
删除所述包括预设无效值的BGP路由数据;
确定所述BGP路由数据中缺失公认必遵属性的BGP路由数据,所述公认必遵属性包括自治系统路径AS_Path属性、路由起源Origin属性、下一跳Next Hop属性;
删除所述缺失公认必遵属性的BGP路由数据。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
将所述BGP路由数据归一化。
4.根据权利要求1所述的方法,其特征在于,在所述解析所述BGP路由数据,得到所述BGP路由数据的第一特征之前,所述方法还包括:
根据所述路由前缀,获取所述历史BGP路由数据;
将所述BGP路由数据与所述历史BGP路由数据作比较,删除重复的BGP路由数据,得到BGP路由变化数据,所述BGP路由数据包括所述BGP路由变化数据。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
将所述BGP路由变化数据按照路由前缀进行哈希分桶,得到多个哈希桶,所述多个哈希桶中任一哈希桶包括的所述BGP路由变化数据的路由前缀相同;
将所述BGP路由变化数据与所述BGP路由变化数据对应的可信度按照所述多个哈希桶的分组存储在路由增量数据库中。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述BGP路由数据按照预设的不同标准进行分组,得到多组BGP路由数据。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
采用连接Connect算子将规则流与分组流进行合流数据统计,得到异常BGP路由数据集合,所述规则流与分组流是将所述BGP路由数据分组得到的;
将所述异常BGP路由数据集合存储在异常路由数据库中。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
复制所述BGP路由数据;
将所述复制后的BGP路由数据存储在路由全量数据库中。
9.根据权利要求1所述的方法,所述根据所述聚类结果,确定所述BGP路由数据的可信度,其特征在于,具体包括:
将所述聚类结果映射到预设的可信度区间,得到所述BGP路由数据的可信度。
10.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述BGP路由数据的第一特征存储在数据库中。
11.一种BGP路由数据的监测装置,其特征在于,包括:
获取模块,用于获取BGP路由数据;
解析模块,用于解析所述BGP路由数据,得到所述BGP路由数据的第一特征,所述BGP路由数据的第一特征包括所述BGP路由数据中的要素;
处理模块,用于根据所述BGP路由数据的路由前缀,获取历史BGP路由数据的第一特征,所述历史BGP路由数据的第一特征包括所述历史BGP路由数据中的要素;
所述处理模块,还用于对所述BGP路由数据的第一特征以及所述历史BGP路由数据的第一特征进行聚类,得到聚类结果,所述聚类结果用于表征所述BGP路由数据在所述要素上的分散程度;
所述处理模块,还用于根据所述聚类结果,确定所述BGP路由数据的可信度;
所述处理模块,还用于在所述可信度满足预设规则的情况下,确定所述BGP路由数据为异常BGP路由数据。
12.一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-10中任一项所述的方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-10中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211667889.XA CN116318800A (zh) | 2022-12-23 | 2022-12-23 | 一种bgp路由数据的监测方法、装置、及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211667889.XA CN116318800A (zh) | 2022-12-23 | 2022-12-23 | 一种bgp路由数据的监测方法、装置、及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116318800A true CN116318800A (zh) | 2023-06-23 |
Family
ID=86817468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211667889.XA Pending CN116318800A (zh) | 2022-12-23 | 2022-12-23 | 一种bgp路由数据的监测方法、装置、及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116318800A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118381670A (zh) * | 2024-06-21 | 2024-07-23 | 北京天元特通科技有限公司 | 确定边界网关协议流量方法、装置、电子设备及存储介质 |
-
2022
- 2022-12-23 CN CN202211667889.XA patent/CN116318800A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118381670A (zh) * | 2024-06-21 | 2024-07-23 | 北京天元特通科技有限公司 | 确定边界网关协议流量方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11528283B2 (en) | System for monitoring and managing datacenters | |
| US10505819B2 (en) | Method and apparatus for computing cell density based rareness for use in anomaly detection | |
| US10154053B2 (en) | Method and apparatus for grouping features into bins with selected bin boundaries for use in anomaly detection | |
| US10333815B2 (en) | Real-time detection of abnormal network connections in streaming data | |
| US11818014B2 (en) | Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments | |
| US11784974B2 (en) | Method and system for intrusion detection and prevention | |
| CN109831507B (zh) | 物联网系统、负载均衡方法和存储介质 | |
| US20230064625A1 (en) | Method and system for recommending runbooks for detected events | |
| US10425273B2 (en) | Data processing system and data processing method | |
| US20160269428A1 (en) | Data processing | |
| CN102447707A (zh) | 一种基于映射请求的DDoS检测与响应方法 | |
| JP6375047B1 (ja) | ファイアウォール装置 | |
| CN116318800A (zh) | 一种bgp路由数据的监测方法、装置、及电子设备 | |
| CN112261019A (zh) | 分布式拒绝服务攻击检测方法、装置及存储介质 | |
| JP2017199250A (ja) | 計算機システム、データの分析方法、及び計算機 | |
| CN110545268A (zh) | 一种基于过程要素的多维度拟态表决方法 | |
| CN113992364A (zh) | 一种网络数据包阻断优化方法以及系统 | |
| US11693851B2 (en) | Permutation-based clustering of computer-generated data entries | |
| CN115002205B (zh) | 一种基于表路由代理模式的Kapacitor集群方法 | |
| JP7366690B2 (ja) | 機器種別推定システム | |
| Daghistani et al. | Guard: Attack-Resilient Adaptive Load Balancing in Distributed Streaming Systems | |
| US20240143746A1 (en) | Context aware behavioral anomaly detection in computing systems | |
| CN117544474A (zh) | 一种告警消息的处理方法、装置、电子设备及存储介质 | |
| CN113765978A (zh) | 热点请求探测系统、方法、装置、服务器及介质 | |
| CN117411670A (zh) | 基于动态概率的蜜庭访问请求转发方法、电子设备、介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |