路由泄露的定位方法、装置、电子设备及存储介质

本技术涉及路由异常定位，特别涉及一种路由泄露的定位方法、装置、电子设备及存储介质。

背景技术：

1、bgp(border gateway protocol，边界网关协议)是目前唯一真正使用的域间路由协议，其将全世界的各种网络，即自治系统(as，autonomous system)连接起来。各自治系统通过交换bgp更新消息学习到各目的地网络的可达性。bgp更新消息中含有去往目的地网络的as_path，收到更新消息的自治系统可以沿着该消息中的as_path去往目的地网络。as_path可以理解为由一组自治系统的asn(autonomous system number，自治系统编号)组成的编码。如果自治系统没有遵守正确的路由策略进行路由宣告，而是将路由宣告给了错误的自治系统，路由泄露就有可能发生。路由泄露可能会导致流量被攻击者监听或丢弃，大规模的路由泄露往往会造成全球范围的长时间网络性能下降甚至大型网络应用的瘫痪。

2、互联网对于人类社会的重要性不言而喻。近些年国际互联网上发生了很多重大路由泄露事故，相应网络安全也成为重中之重。路由泄露的准确实时定位方法可以帮助网络管理员及时发现路由泄露位置，定位故障自治系统，生成相应的路由过滤器，最大化减少路由泄露事故带来的不良影响。

3、研究人员提出了基于自治系统商业关系的路由泄漏实时定位方法。这类方法检查as_path上的自治系统商业关系是否违背了无谷原则，即提取as_path中的自治系统三元组，逐个检查每个自治系统三元组是否违背了无谷原则。这类方法尽管设计了可以较准确地推断出一对自治系统之间商业关系的算法，但是其无法准确定位路由泄露。定位路由泄露需要同时获知两对自治系统之间商业关系，根据概率乘法原则，这种方法同时准确获知两对自治系统之间商业关系的准确率将大大下降。此外，这类方法无法定位发生在其预先不可见的自治系统边上的路由泄露。

4、另一类方法是将机器学习直接应用于大量bgp更新报文的统计特征，以此来检测路由泄漏。这类方法虽然实现了准确的路由泄漏检测，但是它们无法定位路由泄漏的位置，即发生泄露的自治系统，接收泄露路由的自治系统和泄露路由来源自治系统构成的三元组。因此，bgp安全专家仍然需要花费很长时间来定位路由泄漏。此外，这类方法需要用很长的时间来定期收集和计算统计特征，这将导致较大的检测延迟。综上，目前已有工作难以同时实现准确和实时的路由泄露定位。

技术实现思路

1、本技术提供一种路由泄露的定位方法、装置、电子设备及存储介质，以解决相关技术中无法准确定位路由泄露位置，定位花费时间长等问题。

2、本技术第一方面实施例提供一种路由泄露的定位方法，包括以下步骤：获取边界网关协议的更新消息；提取所述更新消息中由自治系统编号组成的编码，根据所述编码生成自治系统三元组，并提取所述自治系统三元组对应的自治系统三元组特征；将所述自治系统三元组和对应的自治系统三元组特征输入训练完成的随机森林分类器，输出路由泄露的实际位置。

3、可选地，所述随机森林分类器的训练包括：获取路由泄露事件，其中，所述路由泄露事件包括发生路由泄露的自治系统三元组和未发生路由泄露的自治系统三元组；根据所述发生路由泄露的自治系统三元组、所述未发生路由泄露的自治系统三元组以及各自对应的自治系统三元组特征生成正负样本；利用所述正负样本对随机森林分类器进行训练，直到满足训练停止条件，得到训练完成的随机森林分类器。

4、可选地，所述提取所述自治系统三元组对应的自治系统三元组特征，包括：以所述自治系统三元组为索引，查询预先建立的数据库，输出所述自治系统三元组特征。

5、可选地，所述数据库存储有间隔预设时长更新的自治系统特征，其中，通过第一路由数据源更新所述自治系统特征中的自治系统距离、自治系统度和自治系统类型，通过第二路由数据源和第三路由数据源更新所述自治系统特征中的自治系统地址空间，通过所述第一路由数据源和第四路由数据源更新所述自治系统特征中的自治系统地理位置。

6、可选地，所述根据所述编码生成自治系统三元组，包括：识别所述编码中预设编码、重复编号和目标字段；丢弃或移除所述预设编码，删除所述重复编码，对所述目标字段中包含的自治系统编号对应的自治系统生成各自对应的自治系统三元组，其中，对于满足预设条件的预设编码，丢弃所述编码对应的自治系统三元组。

7、可选地，在输出路由泄露的实际位置之后，还包括：生成路由泄露的报警信息，发送所述报警信息至预设终端。

8、本技术第二方面实施例提供一种路由泄露的定位装置，包括：获取模块，用于获取边界网关协议的更新消息；提取模块，用于提取所述更新消息中由自治系统编号组成的编码，根据所述编码生成自治系统三元组，并提取所述自治系统三元组对应的自治系统三元组特征；输出模块，用于将所述自治系统三元组和对应的自治系统三元组特征输入训练完成的随机森林分类器，输出路由泄露的实际位置。

9、可选地，所述输出模块进一步用于：获取路由泄露事件，其中，所述路由泄露事件包括发生路由泄露的自治系统三元组和未发生路由泄露的自治系统三元组；根据所述发生路由泄露的自治系统三元组、所述未发生路由泄露的自治系统三元组以及各自对应的自治系统三元组特征生成正负样本；利用所述正负样本对随机森林分类器进行训练，直到满足训练停止条件，得到训练完成的随机森林分类器。

10、可选地，所述提取模块进一步用于：以所述自治系统三元组为索引，查询预先建立的数据库，输出所述自治系统三元组特征。

11、可选地，所述数据库存储有间隔预设时长更新的自治系统特征，其中，通过第一路由数据源更新所述自治系统特征中的自治系统距离、自治系统度和自治系统类型，通过第二路由数据源和第三路由数据源更新所述自治系统特征中的自治系统地址空间，通过所述第一路由数据源和第四路由数据源更新所述自治系统特征中的自治系统地理位置。

12、可选地，所述提取模块进一步用于：识别所述编码中预设编码、重复编号和目标字段；丢弃或移除所述预设编码，删除所述重复编码，对所述目标字段中包含的自治系统编号对应的自治系统生成各自对应的自治系统三元组，其中，对于满足预设条件的预设编码，丢弃所述编码对应的自治系统三元组。

13、可选地，还包括：发送模块，用于在输出路由泄露的实际位置之后，生成路由泄露的报警信息，发送所述报警信息至预设终端。

14、本技术第三方面实施例提供一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如上述实施例所述的路由泄露的定位方法。

15、本技术第四方面实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行，以用于实现如上述实施例所述的路由泄露的定位方法。

16、由此，本技术至少具有如下有益效果：

17、本技术实施例可以通过获得自治系统三元组特征以及训练随机森林分类器从bgp更新消息中的as_path定位路由泄露；从单条bgp更新消息中提取as_path，生成多个自治系统三元组，然后对逐个自治系统三元组判断其是否发生路由泄露；自治系统三元组特征能够准确区分路由泄露和正常路由；使用相对稳定，不需要频繁收集的自治系统三元组特征，节省定位时间，并基于轻量的随机森林分类器，能够实时地定位路由泄露位置。由此，解决了相关技术中无法准确定位路由泄露位置，定位花费时间长等技术问题。

18、本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。