一种恶意自治系统的检测方法

1.本技术实施例涉及网络技术领域，尤其涉及一种恶意自治系统的检测方法。


背景技术：

2.网络空间由若干自治系统（autonomous system，as）组成，每个自治系统可以宣告一个或多个路由前缀，自治系统之间通过边界网关协议（border gateway protocol，bgp）交换通往其他前缀的网络可达性信息。
3.bgp协议的最初设计建立在所有自治系统彼此信任的基础上，缺乏身份认证机制，任何自治系统宣告的任何前缀都被其他自治系统接受或传播。一些恶意自治系统正是利用bgp协议的脆弱性发起前缀劫持，利用劫持到的地址块进行恶意活动，对网间路由安全带来重大的安全隐患。尤其是，有些恶意自治系统在发起前缀劫持一段时间后，撤回其所有前缀，从互联网中消失，但以后依然存在再次宣告前缀的可能性，此类存在时间较短、且不定期出现的短时恶意自治系统存在检测不及时，难以溯源的问题。


技术实现要素：

4.有鉴于此，本技术实施例的目的在于提出一种恶意自治系统的检测方法，能够实现短时恶意自治系统的检测。
5.基于上述目的，本技术实施例提供了种恶意自治系统的检测方法，包括：获取自治系统的路由信息；根据所述路由信息检测异常前缀和消失的自治系统，将所述异常前缀添加于异常前缀集合中，将所述消失的自治系统添加于消失自治系统集合中；根据异常前缀集合和消失自治系统集合，确定存在异常前缀且消失的至少一个目标自治系统，根据网络连接度对至少一个目标自治系统进行筛选，将筛选出的目标自治系统作为恶意自治系统，添加于恶意自治系统黑名单中；根据所述恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征；根据各恶意自治系统的路由特征和预设的网络信息，确定各恶意自治系统的等级。
6.可选的，所述获取自治系统的路由信息之后，还包括：根据所述路由信息，构建前缀可达信息库；其中，所述前缀可达信息库包括前缀及其属性信息；根据所述路由信息检测异常前缀，将所述异常前缀添加于异常前缀集合中，包括：当获取撤回前缀可达路径的路由信息时，更新所述前缀可达信息库中发生变化的前缀及其属性信息；根据更新的前缀及其属性信息，判断该前缀是否为异常前缀；当判断该前缀为异常前缀时，将该前缀添加于所述异常前缀集合中。
7.可选的，所述属性信息包括用于记录宣告拥有前缀的所有自治系统的moas_set字段、用于记录前缀是否发生了moas冲突的is_moas字段和用于记录前缀是否已被网络注册机构注册的is_legal字段；所述根据更新的前缀及其属性信息，判断该前缀是否为异常前缀，包括：如果更新后的moas_set字段的取值为1，且更新前的is_moas字段的取值为存在moas冲突，确定对应的前缀为异常前缀；如果更新后的moas_set字段的取值为0，且is_legal字段的取值为未注册，确定对应的前缀为异常前缀。
8.可选的，所述属性信息包括用于记录前缀是否发生子前缀冲突的sub_moas字段,还包括：当获取宣告前缀可达路径的路由信息时，更新所述前缀可达信息库，判断所述前缀可达信息库中是否已经存在该前缀的记录，如果是，按照预设的冲突过滤条件判断该前缀是否发生moas冲突，如果不满足所述冲突过滤条件，更新is_moas字段的取值；如果否，判断该前缀是否属于所述前缀可达信息库中记录的发生子前缀冲突的子前缀，如果属于，更新所述sub_moas字段，按照所述冲突过滤条件判断该前缀是否发生moas冲突。
9.可选的，所述冲突过滤条件包括：发生冲突的前缀是否为已注册的私有前缀，是否属于同一区域，是否配置了接收路由策略，以及是否配置了发送路由策略。
10.可选的，所述获取自治系统的路由信息之后，还包括：根据所述路由信息，构建自治系统前缀库；其中，所述自治系统前缀库包括自治系统及其前缀；根据所述路由信息检测消失的自治系统，将所述消失的自治系统添加于消失自治系统集合中，包括：当获取撤回可达路径的路由信息时，更新所述前缀可达信息库中发生变化的前缀及其属性信息，更新所述自治系统前缀库中发生变化的自治系统及其前缀；根据更新的前缀及其属性信息、自治系统及其前缀，判断是否存在消失的自治系统；当判断存在消失的自治系统时，将所述消失的自治系统添加于所述消失自治系统集合中。
11.可选的，所述属性信息包括用于记录第n个自治域路由器前往前缀的可达路径的vpn字段；更新所述自治系统前缀库中发生变化的自治系统及其前缀，包括：对于所述自治系统前缀库中的每个自治系统，查询所述前缀可达信息库中所有vpn字段对应的可达路径，判断该自治系统是否为可达路径上的最后一个自治系统，如果是，删除该自治系统在自治系统前缀库中的记录；根据更新的前缀及其属性信息、自治系统及其前缀，判断是否存在消失的自治系统，包括：在更新后的自治系统前缀库中，判断是否存在前缀数量为0的自治系统，若存在，该自治系统为消失的自治系统。
12.可选的，根据网络连接度对至少一个目标自治系统进行筛选，包括：
每隔预定时间间隔，根据所述异常前缀集合和消失自治系统集合，确定存在所述异常前缀且消失的至少一个目标自治系统；将每个目标自治系统的网络连接度与预设的网络连接度阈值进行比较，筛选出小于所述网络连接度阈值的目标自治系统。
13.可选的，根据所述恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征，包括：对于所述恶意自治系统黑名单中的每个恶意自治系统：统计预定时间段内发生moas冲突的次数，moas冲突的持续时间指标，发生moas冲突的前缀在恶意自治系统所对应的所有前缀中所占的比例；统计预定时间段内恶意自治系统宣告前缀的数量、撤回前缀的数量、每个前缀的生命周期；统计预定时间段内恶意自治系统的前缀的数量变化指标、相邻时间戳的前缀相似度，利用预设的分布函数，统计前缀相似度的分布特征；在预定时间段内，计算相邻时间戳的各前缀的相似度，a类地址块的相似度、b类地址块的相似度和c类地址块的相似度，利用预设的分布函数，统计各相似度的分布特征；在预定时间段内，统计恶意自治系统在所述恶意自治系统黑名单中出现的次数，出现时间的时间分布。
14.可选的，根据各恶意自治系统的路由特征和预设的网络信息，确定各恶意自治系统的等级，包括：对于每个恶意自治系统：根据该恶意自治系统的路由特征，计算该恶意自治系统的恶意评分；将该恶意自治系统的前缀与预设的网络地址进行匹配，得到第一匹配结果；和/或，将该恶意自治系统的网络搜索结果与预设的敏感词进行匹配，得到第二匹配结果；根据所述第一匹配结果和/或所述第二匹配结果确定该恶意自治系统的恶意等级；根据各恶意自治系统的恶意评分和恶意等级，确定各恶意自治系统的等级。
15.从上面所述可以看出，本技术实施例提供的恶意自治系统的检测方法，基于基础信息和路由信息检测异常前缀和消失的自治系统，确定存在异常前缀且消失的至少一个目标自治系统，根据网络连接度对目标自治系统进行筛选，将筛选出的恶意自治系统添加于恶意自治系统黑名单中，根据恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征，再根据各恶意自治系统的路由特征和预设的网络信息，确定各恶意自治系统的等级。本技术能够准确识别恶意自治系统和良性自治系统，利用短时恶意自治系统的时间敏感特性，准确检测短时恶意自治系统，为配置路由策略提供支持，提供网络安全性。
附图说明
16.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
17.图1为本技术实施例的方法流程示意图；图2为本技术实施例的检测异常前缀的方法流程示意图；图3为本技术实施例的检测消失的自治系统的方法流程示意图；图4为本技术实施例的装置结构示意图；图5为本技术实施例的电子设备结构示意图。
具体实施方式
18.为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。
19.需要说明的是，除非另外定义，本技术实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本技术实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。
20.如背景技术部分所述，由于bgp协议不会对自治系统进行认证，出现一些恶意自治系统通过宣告其他自治系统的前缀实现前缀劫持，导致到达此前缀的流量被劫持到错误的目的地。相关技术中，为检测恶意自治系统，对恶意活动进行基于数据平面的监控，通过测量一个自治系统内托管的恶意网络活动的密度，判断其恶意程度，或者基于控制平面利用bgp路由数据分析恶意自治系统和良性自治系统的路由行为，进行恶意自治系统路由特征的选择和计算，通过异常检测算法进行恶意自治系统的检测。
21.申请人在实现本技术的过程中发现，相关的恶意自治系统检测方法，无法有效区分恶意自治系统和良性自治系统，缺乏对子前缀劫持sub-moas现象的检测，无法检测出危害性更大的潜在子前缀劫持事件，对于存在时间较短、且不定期出现的短时恶意自治系统，存在检测不及时，也无法溯源的问题。
22.有鉴于此，本技术实施例提供一种恶意自治系统的检测方法，通过获取的各自治系统的各项信息，检测出异常前缀和从互联网中消失的自治系统，根据网络连接度对存在异常前缀且已消失的自治系统进行筛选，得到包括恶意自治系统的恶意自治系统黑名单，对于黑名单中的各恶意自治系统提取路由特征，根据路由特征和预定的网络信息确定各恶意自治系统的等级，生成按照等级排名的恶意自治系统列表，为路由过滤或者主动防御提供策略支持。
23.以下，通过具体的实施例进一步详细说明本技术的技术方案。
24.如图1所示，本技术实施例提供一种恶意自治系统的检测方法，包括：s101：获取自治系统的路由信息；s102：根据路由信息检测异常前缀和消失的自治系统，将异常前缀添加于异常前缀集合中，将消失的自治系统添加于消失自治系统集合中；本实施例中，可从互联网注册机构获取所有自治系统的基础信息，可获取的基础
信息包括归属国家、import as、export as、所拥有的已注册前缀等。在获取基础信息之后，根据基础信息构建基础信息库，该基础信息库中保存所有自治系统的基础信息。一些方式中，在基础信息库中以键值对的形式保存所有自治系统的基础信息，每个自治系统的键值对为：以自治系统的编号为键，以自治系统的基础信息的名称为二级键，以基础信息的名称对应的基础信息的内容为值。例如，对于自治系统as1，键为as1的编号，二级键为归属国家，值为as1所归属的国家，二级键为已注册前缀，值为as1所有已注册的前缀值。
25.可从第三方权威组织在全球布置的bgp信息收集器（route-views collector，）获取路由信息，可获取的路由信息包括自治系统的前缀及前缀的属性信息，属性信息包括moas_set字段，first_time字段，original_as字段，vpn字段，is_moas字段，sub_moas字段，is_legal字段，moas_start_time字段。其中，moas_set字段用于记录宣告拥有该前缀的所有自治系统，first_time字段用于记录该前缀第一次被宣告的时间，original_as字段用于记录该前缀所属的源自治系统（源自治系统是前往该前缀的可达路径as path的最后一个自治系统, 一般是宣告该前缀的自治系统），vpn字段用于记录第n个自治域路由器（vantage point，vp）前往该前缀的可达路径as path，is_moas字段用于记录该前缀是否发生了moas冲突，moas_start_time字段用于记录该前缀发生moas冲突的起始时间，sub_moas字段用于记录该前缀是否发生sub-moas冲突以及其相关信息，相关信息包括sub-moas出现的次数、sub-moas的持续时间、具有sub-moas现象的前缀占总前缀的比例，is_legal字段用于记录该前缀是否被网络注册机构注册，即源自治系统是否合法宣告了该前缀，该字段的取值可以根据基础信息库中的已注册前缀信息确定，通过查询基础信息库，如果源自治系统已经注册了该前缀，则is_legal字段的取值为true。
26.在获取路由信息之后，根据路由信息构建前缀可达信息库，该前缀可达信息库中包括所获取的所有前缀及其属性信息，前缀可达信息库中以键值对的形式保存所有前缀的属性信息，每个前缀的键值对为：以前缀为键，前缀的属性信息的名称为二级键，以属性信息的内容为值；例如，对于前缀1，键为前缀1，二级键为first_time字段，值为first_time字段的取值。
27.一些方式中，考虑到存在自治系统宣告的前缀并未在网络注册机构注册的情况，根据获取的路由信息构建自治系统前缀库，在自治系统前缀库中保存所有自治系统及各自治系统对应的前缀，一个自治系统对应的前缀可以是一个或多个，可以是已注册的或未注册的，利用自治系统前缀库保存网络中真实完整的自治系统及其前缀信息。
28.在获取自治系统的路由信息之后，根据路由信息检测至少一个异常前缀，将检测出的异常前缀添加于异常前缀集合中，同时检测至少一个从互联网中消失的自治系统，将检测出的所有消失的自治系统添加于消失自治系统集合中，用于后续分析哪些为恶意自治系统。
29.s103：根据异常前缀集合和消失自治系统集合，确定存在异常前缀且消失的至少一个目标自治系统，根据网络连接度对至少一个目标自治系统进行筛选，将筛选出的目标自治系统作为恶意自治系统，添加于恶意自治系统黑名单中；本实施例中，检测出异常前缀和消失的自治系统之后，计算异常前缀集合和消失自治系统集合的交集，确定既存在异常前缀且消失的至少一个目标自治系统，根据网络连接度对各目标自治系统进行筛选，筛选出满足网络连接度条件的恶意自治系统，将确定出
的恶意自治系统添加于恶意自治系统黑名单中。一些方式中，考虑恶意自治系统的网络连接度较低，可设置网络连接度阈值，将小于网络连接度阈值的目标自治系统确定为恶意自治系统。
30.s104：根据恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征；本实施例中，在确定出恶意自治系统黑名单之后，根据每个恶意自治系统的路由信息，提取出每个恶意自治系统的路由特征，用于分析各恶意自治系统的恶意程度。
31.一些实施例中，恶意自治系统区别于良性恶意自治系统所表现的路由特证，包括，1）存在moas冲突（多个自治系统对同一个前缀发起宣告）；恶意自治系统频繁地发起前缀的moas冲突，且发起moas冲突的持续时间较短；2）前缀可达性，尤其是前缀的宣告和回撤模式；恶意自治系统会在较短的时间内宣告或撤回大量前缀，且恶意自治系统的前缀的生命周期较短；3）前缀波动性；良性自治系统的前缀较为稳定，恶意自治系统的前缀的数量波动性较大且前缀集合较不稳定（前缀稳定性可以通过相邻两个时间段内前缀集合的相似度衡量，相似度越低越不稳定，不稳定说明该自治系统会更加频繁的撤回和宣告前缀）；4）地址碎片化；恶意自治系统会将其分配得到的ip地址空间划分成多个小的前缀，且在给定的时间只发布其中的部分前缀；5）自治系统活跃度；恶意自治系统具有较高的消失频率与较短的活跃时间；6）上下游连接度：恶意自治系统会频繁地更换所连接的网络设备从而躲避检测，且倾向与关注度较小的网络设备建立连接；7）网络连接度：恶意自治系统的网络连接度较低，从而避免频繁消失可能引起的重大网络中断事件。通过提取恶意自治系统的路由特征，能够有效区分恶意自治系统与良性自治系统。
32.s105：根据各恶意自治系统的路由特征和预设的网络信息，确定各恶意自治系统的等级。
33.本实施例中，在提取出每个恶意自治系统的路由特征之后，根据每个恶意自治系统的路由特征，以及预设的网络信息，分别确定每个恶意自治系统的等级，按照等级从高到低对各恶意自治系统进行排序，由排序后的各恶意自治系统构成恶意自治系统列表，该恶意自治系统列表可供制定路由策略，例如，按照恶意自治系统列表过滤恶意自治系统，也可供识别恶意自治系统，及时发出预警，提高网络安全性。
34.一些实施方式中，根据各恶意自治系统的路由特征和预设的网络信息，确定各恶意自治系统的等级，包括：对于每个恶意自治系统：根据恶意自治系统的路由特征，计算恶意自治系统的恶意评分；将恶意自治系统的前缀与预设的网络地址进行匹配，得到第一匹配结果；和/或，将恶意自治系统的网络搜索结果与预设的敏感信息进行匹配，得到第二匹配结果；根据第一匹配结果和/或第二匹配结果确定恶意自治系统的恶意等级；根据各恶意自治系统的恶意评分和恶意等级，确定各恶意自治系统的等级。
35.本实施例中，对于每个恶意自治系统按照下述方法确定对应的等级。在确定出恶意自治系统的各项路由特征之后，根据每项路由特征及其预设的权重值，通过加权求和得到恶意自治系统的恶意评分。将恶意自治系统的前缀与预设的网络地址进行匹配，如果匹配成功，该恶意自治系统的恶意等级设置为高恶意等级，如果不匹配，该恶意自治系统的恶
意等级设置为低恶意等级；从网络中搜索该恶意自治系统的相关网络信息，获得网络搜索结果，将网络搜索结果与预设的敏感信息进行匹配，如果匹配成功，该恶意自治系统的恶意等级设置为高恶意等级，如果不匹配，该恶意自治系统的恶意等级设置为低恶意等级。其中，可以选择通过网络地址匹配或者敏感信息匹配的方式确定恶意自治系统的恶意等级，也可以同时选用网络地址匹配和敏感信息匹配的方式确定恶意等级，对于同时匹配的方式，最终的恶意等级确定为较高的恶意等级，例如，通过网络地址匹配的匹配结果对应为高恶意等级，通过敏感词匹配的匹配结果对应为低恶意等级，那么最终的恶意等级为高恶意等级；当两种匹配结果均对应为高恶意等级时，也可以将最终的恶意等级设定为更高级的恶意等级。对于恶意等级的划分方式和恶意评分的计算方式，以上仅为示例性说明，不用于具体限定本技术的保护范围。
36.一些方式中，预设的网络地址可以是网络中的重要域名对应的网络地址，重要域名例如是在网络流量中排名靠前的域名。预设的敏感信息可以是包括军事类、政治类等的敏感词，也可以是恶意自治系统的投诉信息，具体不做限定。
37.如图2所示，一些实施例中，根据路由信息检测异常前缀，将异常前缀添加于异常前缀集合中，包括：s201：当获取撤回可达路径的路由信息时，更新前缀可达信息库中发生变化的前缀及其属性信息；s202：根据更新的前缀及其属性信息，判断该前缀是否为异常前缀；s203：当判断该前缀为异常前缀时，将该前缀添加于异常前缀集合中。
38.本实施例中，基于当前时刻采集的路由信息构建前缀可达信息库之后，后续根据实时获取的路由信息更新前缀可达信息库，并根据更新的前缀可达信息库检测是否存在异常前缀以及异常前缀何时消失。具体的：一种情况中，当获取的路由信息为自治域路由器撤回通往特定前缀的可达路径时，在前缀可达信息库中，以该特定前缀为键查找对应的键值对，根据该键值对确定该自治域路由器对应的vpn字段（二级键），删除该二级键及其对应的值；同时，重新计算moas_set字段的取值，并根据重新计算的取值更新二级键moas_set字段对应的值。例如，自治域路由器vp1撤回了通过前缀1的可达路径，则在前缀可达信息库中查找前缀1对应的键值对，查找前缀1的二级键vp1字段，删除该二级键及其对应的值。
39.一些方式中，根据更新的前缀及其属性信息，判断该前缀是否为异常前缀，包括：如果更新后的moas_set字段的取值为1，且更新前的is_moas字段的取值为存在moas冲突，确定前缀为异常前缀；如果更新后的moas_set字段的取值为0，且is_legal字段的取值为前缀未注册，确定前缀为异常前缀。
40.本实施例提供判别异常前缀的方法，当路由信息为撤回特定前缀的可达路径时，更新前缀可达信息库中该特定前缀对应的属性信息。之后，判断更新后的moas_set字段的取值是否为1，即是否只有一个自治系统宣告该特定前缀，如果取值为1且更新前的is_moas字段（即上个时刻的取值）的取值为存在moas冲突，可以确定该特定前缀被恶意自治系统所劫持，自治域路由器撤回了通往该特定前缀的路径，该前缀为被劫持的异常前缀，且劫持前缀事件已结束。如果更新后的moas_set字段的取值为0，且根据is_legal字段的取值确定该
特定前缀未注册，表明自治系统撤回了对该未经注册的前缀的宣告，该特定前缀为异常前缀。
41.确定出异常前缀之后，根据异常前缀查询自治系统前缀库，确定异常前缀对应的自治系统，将异常前缀添加于异常前缀集合中，该异常前缀集合包括所有异常前缀及其异常信息，异常前缀集合中以键值对的形式保存所有异常前缀的异常信息，每个异常前缀的键值对为，以异常前缀对应的自治系统的编号为键，以该自治系统对应的所有异常前缀的异常信息为值，异常信息包括异常前缀被劫持的起始时间start_time、结束时间end_time、被劫持前缀victim（劫持事件的受害者，指被劫持前缀所属自治系统）。
42.另一种情况中，当获取的路由信息为自治域路由器宣告通往特定前缀的可达路径时，在前缀可达信息库中查找是否已存在特定前缀的键值对，如果已存在，则根据该键值对，将该自治域路由器对应的vpn字段添加为二级键，该vpn字段的取值添加为该二级键的值；同时，重新计算moas_set字段的取值，并根据重新计算的取值更新二级键moas_set字段对应的值，根据预设的冲突过滤条件判断是否发生moas冲突，如果不满足冲突过滤条件则确定发生了moas冲突，更新is_moas字段的取值，根据冲突发生时间更新moas_start_time字段的取值。如果前缀可达信息库中不存在特定前缀的键值对，则判断其是否属于前缀可达信息键库中记录的发生子前缀冲突的子前缀，如果属于，进行前缀相关信息以及sub_moas字段中信息的更新，并按照冲突过滤条件判断该前缀是否发生moas冲突，如果不属于子前缀，则进行前缀相关基本信息的记录。
43.一些实施方式中，冲突过滤条件为发生冲突的前缀是否为已注册的私有前缀，是否属于同一区域，是否配置了接收路由策略（import policy），是否配置了发送路由策略（export policy）。
44.根据冲突过滤条件过滤冲突的前缀包括：判断发生冲突的前缀是否为已注册的私有前缀，如果是则判定未发生moas冲突，无需更新is_moas字段；判断发生冲突的前缀是否属于同一区域（一般认为属于同一区域的两个自治系统不会发生恶意劫持），如果属于同一区域则判定未发生moas冲突；判断发生冲突的前缀是否配置了接收路由策略，如果是判定未发生moas冲突（接收路由策略下会将冲突的前缀过滤掉）；判断发生冲突的前缀是否配置了发送路由策略，如果是判定未发生moas冲突（发送路由策略下会将冲突的前缀过滤掉）。举例来说，自治系统1和自治系统2先后宣告了前缀1，且自治系统1与自治系统2属于同一区域，则前缀1未发生冲突；或者，自治系统1和自治系统2先后宣告了前缀1，而自治系统3的接收路由策略中配置了自治系统2，即自治系统3会过滤自治系统2的路由，则前缀1未发生冲突。通过冲突过滤条件对疑似发生冲突的前缀进行过滤，可以准确的检测出真正发生冲突的异常前缀。
45.如图3所示，一些实施例中，根据路由信息检测消失的自治系统，将消失的自治系统添加于消失自治系统集合中，包括：s301：当获取撤回可达路径的路由信息时，更新前缀可达信息库中发生变化的前缀及其属性信息，更新自治系统前缀库中发生变化的自治系统及其前缀；s302：根据更新的前缀及其属性信息、自治系统及其前缀，判断是否存在消失的自治系统；s303：当判断存在消失的自治系统时，将消失的自治系统添加于消失自治系统集
合中。
46.本实施例中，当获取的路由信息为自治域路由器撤回或宣告通往特定前缀的可达路径，更新前缀可达信息库中的特定前缀的属性信息。对于撤回可达路径的情况，对于自治系统前缀库中的每个自治系统，查询前缀可达信息库中所有vpn字段对应的可达路径aspath，判断该自治系统是否为可达路径上的最后一个自治系统，如果是，则该自治系统撤回了对该可达路径对应的前缀的宣告，删除该自治系统在自治系统前缀库中的记录，更新自治系统前缀库。
47.根据更新的前缀及其属性信息、自治系统及其前缀，判断是否存在消失的自治系统，包括：判断更新后的自治系统前缀库中是否存在前缀数量为0的自治系统，若存在，该自治系统已撤回所有前缀，从网络中消失，该自治系统为消失的自治系统。
48.当确定出消失的自治系统时，将消失的自治系统添加于消失自治系统集合中，利用消失自治系统集合记录所有消失的自治系统的时间信息，包括自治系统的出现时间、消失时间以及从出现到消失的存活时间。
49.一些实施例中，根据网络连接度对至少一个目标自治系统进行筛选，包括：每隔预定时间间隔，根据异常前缀集合和消失自治系统集合，确定存在异常前缀且消失的至少一个目标自治系统；将每个目标自治系统的网络连接度与预设的网络连接度阈值进行比较，筛选出小于网络连接度阈值的目标自治系统。
50.本实施例中，考虑到恶意自治系统的网络连接度较低，在确定出异常前缀集合和消失自治系统集合后，从两个集合中选取出存在异常前缀且已消失的可能是恶意自治系统的目标自治系统，将每个目标自治系统的网络连接度与预设的网络连接度阈值进行比较，如果目标自治系统的网络连接度低于网络连接度阈值，将其归类为恶意自治系统加入恶意自治系统黑名单中，同时，将已确定的恶意自治系统从消失自治系统集合中删除，将恶意自治系统对应的前缀从异常前缀集合中删除，更新消失自治系统集合和异常前缀集合。
51.一些实施例中，根据恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征，包括：对于恶意自治系统黑名单中的每个恶意自治系统：统计预定时间段内发生moas冲突的次数，moas冲突的持续时间指标，发生moas冲突的前缀在恶意自治系统所对应的所有前缀中的比例；统计预定时间段内恶意自治系统宣告前缀的数量、撤回前缀的数量、每个前缀的生命周期；统计预定时间段内恶意自治系统的前缀的数量变化指标、相邻时间戳的前缀相似度，利用预设的分布函数，统计前缀相似度的分布特征；在预定时间段内，计算相邻时间戳的各前缀的相似度，a类地址块的相似度、b类地址块的相似度和c类地址块的相似度，利用预设的分布函数，统计各相似度的分布特征；在预定时间段内，统计恶意自治系统在恶意自治系统黑名单中出现的次数，出现时间的时间分布。
52.本实施例中，针对短时恶意自治系统具有的生存时间断、不定时出现等时间敏感性特点，通过提取预定时间段内恶意自治系统的各项路由特征，有效识别短时恶意自治系
统。其中，由于恶意自治系统会频繁的发起moas冲突，因而可通过统计一定时间段内发生moas冲突的频率，每次moas冲突的持续时间指标（例如，持续时间的方差、均值、时间范围等），以及恶意自治系统所拥有的所有前缀中发生moas冲突的前缀所占的比例等，用于表征恶意自治系统的moas冲突特征。由于恶意自治系统会在短时间内宣告或撤回大量前缀，因而可通过统计一定时间段宣告前缀的数量、撤回前缀的数量、以及每个前缀的存活的生命周期，用于表征恶意自治系统的前缀可达性特征（例如，宣告/撤回前缀的数量及生命周期的方差、均值等指标）。由于恶意自治系统的前缀存在不稳定性，因而可通过一定时间内统计前缀的数量变化均值、方差等指标，相邻时间戳的前缀的相似度（例如，计算jaccard相似度）等，用于表征恶意自治系统的前缀波动性特征。由于恶意自治系统倾向于将分配得到的ip地址划分为多个前缀，其在一定时间只发布其中的部分前缀，因而可通过计算相邻时间戳的前缀相似度、/8地址块相似度、/16地址块相似度、/24地址块相似度（例如，计算jaccard相似度），然后计算一定时间内各相似度的分布特征，用于表征恶意自治系统的地址碎片化特征。由于恶意自治系统在网络中会频繁的消失，且每次的存活时间较短，因而可通过统计一定时间段内每个恶意自治系统出现的次数，出现时间等，用于表征恶意自治系统的活跃度。
53.本技术实施例提供的恶意自治系统的检测方法，实时获取的路由信息，根据自治系统的前缀的可达路径的变化情况和自治系统的变化情况，检测出异常前缀和从网络中消失的自治系统，选取出存在异常前缀且消失的目标自治系统，从目标自治系统中筛选出网络连接度小于网络连接度阈值的恶意自治系统，对于每个恶意自治系统，统计一定时间段内的路由特征，根据各恶意自治系统的路由特征和预设的网络信息，确定出各恶意自治系统的等级，还可按照等级从高到低对各恶意自治系统进行排序，生成包括排名后的恶意自治系统的恶意自治系统列表。本技术利用动态变化的路由信息，能够有效区分恶意自治系统和良性自治系统，充分考虑短时恶意自治系统的时间敏感特性，通过提取路由特征能够及时检测是否存在短时恶意自治系统并追溯确定出短时恶意自治系统，通过周期性的生成恶意自治系统列表，可用于网络设备配置过滤恶意自治系统的策略，为主动防御恶意自治系统提供预警支持。
54.需要说明的是，本技术实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本技术实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
55.需要说明的是，上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
56.如图4所示，本技术实施例还提供一种恶意自治系统的检测装置，包括：获取模块，用于获取自治系统的路由信息；检测模块，用于根据路由信息检测异常前缀和消失的自治系统，将异常前缀添加于异常前缀集合中，将消失的自治系统添加于消失自治系统集合中；
识别模块，用于根据异常前缀集合和消失自治系统集合，确定存在异常前缀且消失的至少一个目标自治系统，根据网络连接度对至少一个目标自治系统进行筛选，将筛选出的目标自治系统作为恶意自治系统，添加于恶意自治系统黑名单中；特征提取模块，用于根据所述恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征；等级确定模块，用于根据各恶意自治系统的路由特征和预设的网络信息，确定各恶意自治系统的等级。
57.为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本技术实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
58.上述实施例的装置用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
59.图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线 1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
60.处理器1010可以采用通用的cpu（central processing unit，中央处理器）、微处理器、应用专用集成电路（application specific integrated circuit，asic）、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。
61.存储器1020可以采用rom（read only memory，只读存储器）、ram（random access memory，随机存取存储器）、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。
62.输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/ 模块可以作为组件配置在设备中（图中未示出），也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
63.通信接口1040用于连接通信模块（图中未示出），以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式（例如usb、网线等）实现通信，也可以通过无线方式（例如移动网络、wifi、蓝牙等）实现通信。
64.总线1050包括一通路，在设备的各个组件（例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040）之间传输信息。
65.需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。
66.上述实施例的电子设备用于实现前述实施例中相应的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
67.本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以
由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存（pram）、静态随机存取存储器（sram）、动态随机存取存储器（dram）、其他类型的随机存取存储器（ram）、只读存储器（rom）、电可擦除可编程只读存储器（eeprom）、快闪记忆体或其他内存技术、只读光盘只读存储器（cd-rom）、数字多功能光盘（dvd）或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。
68.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围（包括权利要求）被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本技术实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。
69.另外，为简化说明和讨论，并且为了不会使本技术实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路（ic）芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本技术实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本技术实施例的平台的（即，这些细节应当完全处于本领域技术人员的理解范围内）。在阐述了具体细节（例如，电路）以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本技术实施例。因此，这些描述应被认为是说明性的而不是限制性的。
70.尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构（例如，动态ram（dram））可以使用所讨论的实施例。
71.本技术实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本技术实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。