[发明专利]一种基于自编码器的BGP团体属性异常检测方法及系统

说明书

本发明公开了一种基于自编码器的BGP团体属性异常检测方法及系统，该方法包括：步骤S1：预处理BGP路由更新报文，得到向量化的BGP团体属性相关特征数据；步骤S2：使用预处理后的数据训练自编码器；步骤S3：使用训练好的自编码器对待检测BGP路由更新报文进行异常检测。该系统用来实施上述方法。本发明具有原理简单、操作简便、检测精度高等优点。

技术领域

本发明主要涉及到互联网安全技术领域，特指一种基于自编码器的BGP团体属性异常检测方法及系统。

背景技术

随着网络的发展，互联网的连接变得越来越复杂，其安全问题也日益加深。边界网关协议(Border Gateway Protocol,BGP)在互联网上传递可达性信息，是域间通信最为重要的路由协议，其安全性也严重影响着全球互联网的安全。由于BGP协议在设计上存在一定的脆弱性，导致每年互联网上都会出现很多由BGP引发的网络安全事件，对其安全问题的研究也成为国内外安全研究人员关注的一项重要课题。

在BGP协议的众多属性中，团体属性(Community)是一个功能强大、用途灵活的重要属性。该属性被运营商广泛使用，可以用来管理路由策略、减轻网络攻击以及处理流量。它是携带在路由更新报文中的可选传递属性，运营商经常将其网络基础架构配置为通过团体属性标签来采取不同的措施。因此，团体属性能够提供在自治系统(Autonomous System,AS)之间以及自治系统内路由器之间传递语义的功能。

上述团体属性是一组4个字节的数值，前2个字节表示AS号，后2个字节表示基于管理目的设置的标示符，格式为AA：NN。尽管BGP团体属性是一个非常有用，且似乎无害的功能，但近几年来，已有多个安全团队提出了基于BGP团体属性的路由攻击方案。通过构造并发送包含异常BGP团体属性的路由更新报文，能够实现隐蔽劫持路由、定向感染目标路由器等攻击效果。同时，现有的安全方案如前缀过滤、路由源认证和AS路径过滤等都难以防范基于BGP团体属性的攻击。

目前，针对BGP的异常检测方法可分为两种：

第一、基于异常规则的方法，主要根据已知异常现象制定具体检测规则，例如通过检测BGP路由更新报文中IP前缀域、AS路径域中出现的多源AS冲突现象、无效AS连接现象等检测路由异常行为。

第二、基于机器学习的方法，主要通过机器学习算法对BGP路由更新报文的种类、时间等特征进行学习，建立正常路由状态模型，并根据路由状态的偏差检测异常行为，该种方法可实现部分未知异常类型的检测。

由于基于BGP团体属性的路由攻击方式是一种新型攻击方式，目前尚未出现针对BGP路由更新报文的社团属性进行检测的异常检测方法。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种原理简单、操作简便、检测精度高的基于自编码器的BGP团体属性异常检测方法及系统。

为解决上述技术问题，本发明采用以下技术方案：

一种基于自编码器的BGP团体属性异常检测方法，其包括：

步骤S1：预处理BGP路由更新报文，得到向量化的BGP团体属性相关特征数据；

步骤S2：使用预处理后的数据训练自编码器；

步骤S3：使用训练好的自编码器对待检测BGP路由更新报文进行异常检测。

作为本发明方法的进一步改进：所述步骤S1中，将训练用的BGP路由更新报文和待检测的BGP路由更新报文进行预处理，形成向量化的BGP团体属性相关特征数据。

作为本发明方法的进一步改进：所述步骤S1的流程包括：

步骤S101：形成AS号序列；

步骤S102：向量化，对得到的AS号序列进行向量化。