[发明专利]基于MOAS冲突事件的BGP劫持检测方法、装置及设备，可读存储介质

权利要求书

1.一种基于MOAS冲突事件的BGP劫持检测方法，包括：

获取实时路由数据；

基于所述实时路由数据中的边界网关协议BGP路由表数据得到初始路由表，并建立前缀信息表和冲突关系表；基于所述实时路由数据中的BGP更新报文数据，更新所述前缀信息表以及记录路由状态变化，得到当前状态的前缀信息表；基于当前状态的所述前缀信息表检测是否发生多源自治系统MOAS冲突事件，以及响应于检测到发生MOAS冲突事件，更新所述冲突关系表得到当前状态的冲突关系表且确定所述MOAS冲突事件的起始时间和结束时间；

获取所述MOAS冲突事件中所有观测点和时间戳；以所述观测点为列，顺序排列的所述时间戳为行构建MOAS事件矩阵[AS_ij]_n×m，其中，i为整数，且1≤i≤n；j为整数，且1≤j≤m；n为所述时间戳的个数；m为所述观测点的个数；AS_ij表示在时间i从观测点j观察到源自治系统AS号；

基于所述MOAS事件矩阵进行特征提取，得到源AS的变化率、源AS的不变率以及MOAS事件可见观测点集合；其中，源AS的变化率=源AS的变化次数/源AS切换次数；源AS的不变率=源AS的不变次数/源AS切换次数；所述MOAS事件可见观测点集合表示对于所述MOAS冲突事件，在不同的时间点观测到不同的源AS的观测点的集合；基于所述源AS的变化率、源AS的不变率以及MOAS事件可见观测点集合和预设规则，判断所述MOAS冲突事件是否为异常MOAS冲突事件；

响应于所述MOAS冲突事件为异常MOAS冲突事件，确定发生BGP劫持。

2.根据权利要求1所述的方法，其中，所述基于所述MOAS事件矩阵进行特征提取，得到源AS的变化率、源AS的不变率以及MOAS事件可见观测点集合，包括：

基于所述MOAS事件矩阵计算源AS切换次数；

基于所述MOAS事件矩阵的列和所述源AS切换次数计算源AS的变化率和源AS的不变率；

基于所述MOAS事件矩阵的行计算可见所述MOAS冲突事件的观测点，得到可见观测点集合。

3.根据权利要求1所述的方法，其中，在所述获取所述MOAS冲突事件中所有观测点和时间戳之前，还包括：

判断所述MOAS冲突事件中的前缀-多源自治系统号映射关系prefix-moasn映射关系是否有效存在于预设的prefix-moasn映射关系数据库中；

响应于所述MOAS冲突事件的prefix-moasn映射关系未有效存在于所述预设的prefix-moasn映射关系数据库中，基于所述MOAS冲突事件和不同的观测点得到MOAS事件矩阵。

4.根据权利要求3所述的方法，其中，所述预设的prefix-moasn映射关系数据库包括正常prefix-moasn映射关系数据库和异常prefix-moasn映射关系数据库；所述方法还包括：

响应于所述MOAS冲突事件的prefix-moasn映射关系有效存在于所述预设的prefix-moasn映射关系数据库中，基于所述MOAS冲突事件的prefix-moasn映射关系存在于正常prefix-moasn映射关系数据库或异常prefix-moasn映射关系数据库，判断所述MOAS冲突事件是否异常；

响应于所述MOAS冲突事件的prefix-moasn映射关系存在于异常prefix-moasn映射关系数据库，确定所述MOAS冲突事件为异常MOAS冲突事件以及发生BGP劫持。