[发明专利]基于MOAS冲突事件的BGP劫持检测方法、装置及设备，可读存储介质

说明书

本公开提供一种基于MOAS冲突事件的BGP劫持检测方法、装置、设备及介质，方法包括：获取实时路由数据，并基于所述实时路由数据检测MOAS冲突事件；基于所述MOAS冲突事件的时间戳和观测点得到MOAS矩阵；基于所述MOAS矩阵的行为特征判断所述MOAS冲突事件是否为异常MOAS冲突事件；响应于所述MOAS冲突事件为异常MOAS冲突事件，确定发生BGP前缀劫持。根据本公开，通过MOAS冲突事件中表现出来的行为特征来判断该MOAS冲突事件是否异常，进而检测出BGP前缀劫持的发生。无需依赖第三方认证机制，降低了部署成本。

技术领域

本公开涉及通信技术领域，尤其涉及BGP劫持检测技术。

背景技术

边界网关协议(Border Gateway Protocol，BGP)是一种实现自治系统(Autonomous System，AS)之间的路由可达，并选择最佳路由的距离矢量的路由协议。然而，BGP协议在设计之初缺乏安全方面的考虑，存在诸多的安全漏洞，例如不存在授权和身份验证机制，对收到的BGP路由信息没有进行认证，并且不能保证路由信息在路由传播的过程中不被篡改，即AS完全信任来自邻居的路由可达信息，包括由于配置错误或恶意伪造产生的虚假路由信息。因此BGP协议成为许多网络犯罪的攻击目标，攻击者可以利用BGP劫持有效地欺骗其他网络，误导互联网流量，以获取攻击者的利益，如窥探、网络钓鱼或其他目的。

现有的BGP劫持检测是从控制平面来检测BGP前缀劫持，通常是通过检测报文中源AS来宣告的某前缀是否是被授权，而如果要保证前缀地址与源AS 映射关系的合法性，这就需要RPKI认证机制的支持。但是目前RPKI认证机制部署程度还不高，保护的前缀数目只占全部前缀数目的五分之一，因此现有的BGP劫持检测的范围就受到了较大的限制，同时还存在恶意攻击者冒充某一前缀所有者的可能。

发明内容

有鉴于此，本公开的目的在于提出一种基于MOAS冲突事件的BGP劫持检测方法。

基于上述目的，根据本公开的第一方面，提供了一种基于MOAS冲突事件的BGP劫持检测方法，包括：

获取实时路由数据，并基于所述实时路由数据检测MOAS冲突事件；

基于所述MOAS冲突事件的时间戳和观测点得到MOAS矩阵；

基于所述MOAS矩阵的行为特征判断所述MOAS冲突事件是否为异常 MOAS冲突事件；

响应于所述MOAS冲突事件为异常MOAS冲突事件，确定发生BGP前缀劫持。

可选地，所述基于所述实时路由数据检测MOAS冲突事件，包括：

基于所述实时路由数据中的BGP路由表数据得到初始路由表，并建立前缀信息表和冲突关系表；

基于所述实时路由数据中的BGP更新报文数据，更新所述前缀信息表以及记录路由状态变化，得到当前状态的前缀信息表；

基于当前状态的所述前缀信息表检测是否发生MOAS冲突事件，以及响应于检测到发生MOAS冲突事件，更新所述冲突关系表得到当前状态的冲突关系表且确定所述MOAS冲突事件的起始时间和结束时间。

可选地，所述基于所述MOAS冲突事件的时间戳和观测点得到MOAS矩阵，包括：

获取所述MOAS冲突事件中所有观测点和时间戳；

以所述观测点为列，所述顺序排列的时间戳为行构建所述MOAS事件矩阵[AS_ij]_n×m，其中，i＝1，2，……，n；j＝1，2，……，m；n为所述时间戳的个数；m为所述观测点的个数；AS_ij表示在时间i从观测点j观察到源AS号。

可选地，所述基于所述MOAS矩阵的行为特征判断所述MOAS冲突事件是否为异常MOAS冲突事件，包括：