一种恶意自治系统的检测方法

技术特征：
1.一种恶意自治系统的检测方法，其特征在于，包括：获取自治系统的路由信息；根据所述路由信息检测异常前缀和消失的自治系统，将所述异常前缀添加于异常前缀集合中，将所述消失的自治系统添加于消失自治系统集合中；根据异常前缀集合和消失自治系统集合，确定存在异常前缀且消失的至少一个目标自治系统，根据网络连接度对至少一个目标自治系统进行筛选，将筛选出的目标自治系统作为恶意自治系统，添加于恶意自治系统黑名单中；根据所述恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征；根据各恶意自治系统的路由特征和预设的网络信息，确定各恶意自治系统的等级。2.根据权利要求1所述的方法，其特征在于，所述获取自治系统的路由信息之后，还包括：根据所述路由信息，构建前缀可达信息库；其中，所述前缀可达信息库包括前缀及其属性信息；根据所述路由信息检测异常前缀，将所述异常前缀添加于异常前缀集合中，包括：当获取撤回前缀可达路径的路由信息时，更新所述前缀可达信息库中发生变化的前缀及其属性信息；根据更新的前缀及其属性信息，判断该前缀是否为异常前缀；当判断该前缀为异常前缀时，将该前缀添加于所述异常前缀集合中。3.根据权利要求2所述的方法，其特征在于，所述属性信息包括用于记录宣告拥有前缀的所有自治系统的moas_set字段、用于记录前缀是否发生了moas冲突的is_moas字段和用于记录前缀是否已被网络注册机构注册的is_legal字段；所述根据更新的前缀及其属性信息，判断该前缀是否为异常前缀，包括：如果更新后的moas_set字段的取值为1，且更新前的is_moas字段的取值为存在moas冲突，确定对应的前缀为异常前缀；如果更新后的moas_set字段的取值为0，且is_legal字段的取值为未注册，确定对应的前缀为异常前缀。4.根据权利要求3所述的方法，其特征在于，所述属性信息包括用于记录前缀是否发生子前缀冲突的sub_moas字段,还包括：当获取宣告前缀可达路径的路由信息时，更新所述前缀可达信息库，判断所述前缀可达信息库中是否已经存在该前缀的记录，如果是，按照预设的冲突过滤条件判断该前缀是否发生moas冲突，如果不满足所述冲突过滤条件，更新is_moas字段的取值；如果否，判断该前缀是否属于所述前缀可达信息库中记录的发生子前缀冲突的子前缀，如果属于，更新所述sub_moas字段，按照所述冲突过滤条件判断该前缀是否发生moas冲突。5.根据权利要求4所述的方法，其特征在于，所述冲突过滤条件包括：发生冲突的前缀是否为已注册的私有前缀，是否属于同一区域，是否配置了接收路由策略，以及是否配置了发送路由策略。6.根据权利要求2所述的方法，其特征在于，所述获取自治系统的路由信息之后，还包括：
根据所述路由信息，构建自治系统前缀库；其中，所述自治系统前缀库包括自治系统及其前缀；根据所述路由信息检测消失的自治系统，将所述消失的自治系统添加于消失自治系统集合中，包括：当获取撤回可达路径的路由信息时，更新所述前缀可达信息库中发生变化的前缀及其属性信息，更新所述自治系统前缀库中发生变化的自治系统及其前缀；根据更新的前缀及其属性信息、自治系统及其前缀，判断是否存在消失的自治系统；当判断存在消失的自治系统时，将所述消失的自治系统添加于所述消失自治系统集合中。7.根据权利要求6所述的方法，其特征在于，所述属性信息包括用于记录第n个自治域路由器前往前缀的可达路径的vp
n
字段；更新所述自治系统前缀库中发生变化的自治系统及其前缀，包括：对于所述自治系统前缀库中的每个自治系统，查询所述前缀可达信息库中所有vp
n
字段对应的可达路径，判断该自治系统是否为可达路径上的最后一个自治系统，如果是，删除该自治系统在自治系统前缀库中的记录；根据更新的前缀及其属性信息、自治系统及其前缀，判断是否存在消失的自治系统，包括：在更新后的自治系统前缀库中，判断是否存在前缀数量为0的自治系统，若存在，该自治系统为消失的自治系统。8.根据权利要求1-7中任意一项所述的方法，其特征在于，根据网络连接度对至少一个目标自治系统进行筛选，包括：每隔预定时间间隔，根据所述异常前缀集合和消失自治系统集合，确定存在所述异常前缀且消失的至少一个目标自治系统；将每个目标自治系统的网络连接度与预设的网络连接度阈值进行比较，筛选出小于所述网络连接度阈值的目标自治系统。9.根据权利要求1所述的方法，其特征在于，根据所述恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征，包括：对于所述恶意自治系统黑名单中的每个恶意自治系统：统计预定时间段内发生moas冲突的次数，moas冲突的持续时间指标，发生moas冲突的前缀在恶意自治系统所对应的所有前缀中所占的比例；统计预定时间段内恶意自治系统宣告前缀的数量、撤回前缀的数量、每个前缀的生命周期；统计预定时间段内恶意自治系统的前缀的数量变化指标、相邻时间戳的前缀相似度，利用预设的分布函数，统计前缀相似度的分布特征；在预定时间段内，计算相邻时间戳的各前缀的相似度，a类地址块的相似度、b类地址块的相似度和c类地址块的相似度，利用预设的分布函数，统计各相似度的分布特征；在预定时间段内，统计恶意自治系统在所述恶意自治系统黑名单中出现的次数，出现时间的时间分布。10.根据权利要求1或9所述的方法，其特征在于，根据各恶意自治系统的路由特征和预
设的网络信息，确定各恶意自治系统的等级，包括：对于每个恶意自治系统：根据该恶意自治系统的路由特征，计算该恶意自治系统的恶意评分；将该恶意自治系统的前缀与预设的网络地址进行匹配，得到第一匹配结果；和/或，将该恶意自治系统的网络搜索结果与预设的敏感词进行匹配，得到第二匹配结果；根据所述第一匹配结果和/或所述第二匹配结果确定该恶意自治系统的恶意等级；根据各恶意自治系统的恶意评分和恶意等级，确定各恶意自治系统的等级。

技术总结
本申请实施例提供一种恶意自治系统的检测方法，包括：获取自治系统的路由信息；根据路由信息检测异常前缀和消失的自治系统，将异常前缀添加于异常前缀集合中，将消失的自治系统添加于消失自治系统集合中；根据异常前缀集合和消失自治系统集合，确定存在异常前缀且消失的至少一个目标自治系统，根据网络连接度对目标自治系统进行筛选，将筛选出的恶意自治系统添加于恶意自治系统黑名单中；根据恶意自治系统黑名单中各恶意自治系统的路由信息，提取各恶意自治系统的路由特征；根据各恶意自治系统的路由特征和预设的网络信息，确定各恶意自治系统的等级。本申请能够实现短时恶意自治系统的检测，为配置路由策略提供支持。为配置路由策略提供支持。为配置路由策略提供支持。


技术研发人员：张沛 黄小红 舒思悦 张毓 文柯达 何方舟
受保护的技术使用者：北京邮电大学
技术研发日：2022.11.02
技术公布日：2022/11/29