一种路由事件的检测方法和系统
阅读说明:本技术 一种路由事件的检测方法和系统 (Method and system for detecting routing event ) 是由 黄小红 邝野 李建华 丛群 张晓冬 于 2021-07-05 设计创作,主要内容包括:本公开一个或多个实施例提供一种路由事件的检测方法和系统;所述方法包括:对网络中的多个源-目的地址对进行traceroute测量(路由追踪测量),并根据源-目的地址对的路径变化,推断出多个候选路由事件;并进一步为每个候选路由事件设计五项特征,并计算每项特征的特征值;基于得到的特征值,以假阳性和假阴性最小为目标,确定每项特征的筛选阈值;并根据确定的筛选阈值,从推断出的候选路由事件中过滤出最终的异常路由事件。由此可见,本方案有效减小了假阳性和假阴性对整体路由事件检测的影响,显著提高了检测的准确性。(One or more embodiments of the present disclosure provide a method and system for detecting a routing event; the method comprises the following steps: performing traceroute measurement (route tracking measurement) on a plurality of source-destination address pairs in the network, and deducing a plurality of candidate routing events according to the path change of the source-destination address pairs; further designing five features for each candidate routing event, and calculating the feature value of each feature; determining a screening threshold value of each feature by taking the minimum false positive and false negative as a target based on the obtained feature value; and filtering out final abnormal routing events from the inferred candidate routing events according to the determined screening threshold. Therefore, the method effectively reduces the influence of false positive and false negative on the detection of the whole routing event, and obviously improves the detection accuracy.)
技术领域
本公开一个或多个实施例涉及互联网安全领域,尤其涉及一种路由事件的检测方法和系统。
背景技术
在路由器组成的网络中,现有的对路由事件的检测方法中,由于探针位置的选取,数据可用性的不确定,检测算法的精度等问题,会受到假阳性和假阴性的影响,进而导致路由事件的检测结果的准确性不理想。
基于此,需要一种能够实现精准判断路由故障,降低假阳性和假阴性对检测结果的影响,提高检测结果准确率的方案。
发明内容
有鉴于此,本公开一个或多个实施例的目的在于提出一种路由事件的检测方法和系统,以解决路由事件检测中的准确率不高的问题。
基于上述目的,本公开一个或多个实施例提供了路由事件的检测方法,包括:
在网络中两个不同时刻之间,对多个源-目的地址对中每一个所包含的变化地址,组成一段持续时间内的变化地址集合;
对在所述变化地址集合之间重复出现的每个所述变化地址,确定与该所述变化地址相关的候选路由事件;
对所述候选路由事件预设多项特征,包括:距离特征、变化程度特征、拥塞程度特征、地址变化范围特征和持续时间特征;
对多个所述候选路由事件中的每一个,响应于所述候选路由事件中任一所述特征的特征值大于等于预设的筛选阈值,确定所述候选路由事件为路由事件。
基于同一发明构思,本公开一个或多个实施例还提供了一种异常路由事件的检测系统,包括:变化地址整理、路由事件候选系统、路由事件特征分析系统和路由事件筛选系统;
其中,所述变化地址整理系统,被配置为:在网络中两个不同时刻之间,对多个源-目的地址对中每一个所包含的变化地址,组成一段持续时间内的变化地址集合;
所述路由事件候选系统,被配置为:对在所述变化地址集合之间重复出现的每个所述变化地址,确定与该所述变化地址相关的候选路由事件;
所述路由事件特征分析系统,被配置为:对所述候选路由事件预设多项特征,包括:距离特征、变化程度特征、拥塞程度特征、地址变化范围特征和持续时间特征;
所述路由事件筛选系统,被配置为:对多个所述候选路由事件中的每一个,响应于所述候选路由事件中任一所述特征的特征值大于等于预设的筛选阈值,确定所述候选路由事件为路由事件;
本公开的异常路由事件的检测系统还包括:测量系统,被配置为:在所述网络中,在两个所述不同时刻之间,对网络中多个所述源-目的地址对进行traceroute测量(路由追踪测量),以得到每个所述源-目的地址对的变化地址;
其中,得到的所述变化地址是在所述一段持续时间内,所测量到的消失地址和新增地址。
从上面所述可以看出,本公开一个或多个实施例提供的一种路由事件的检测方法和系统,基于互联网网络的安全领域,综合考虑了探针位置,事件影响程度等因素对路由事件检测结果的影响,从而有效减小了假阳性和假阴性对整体路由事件检测的影响,显著提高了检测的准确性。
附图说明
为了更清楚地说明本公开一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个或多个实施例的路由事件检测方法流程图;
图2为本公开一个或多个实施例的路由事件检测系统示意图;
图3为本公开一个或多个实施例的路由事件推断的场景图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。
如背景技术部分所述,现有的异常路由事件的检测方法还难以满足对路由网络中路由异常故障检测的需要。
申请人在实现本公开的过程中发现,现有的异常路由事件的检测方法存在的主要问题在于:现有的异常路由事件的检测方式受制于探针的布设位置,算法精度等因素,检测方式不够全面,经常出现对路由事件的判断不准确。
有鉴于此,本公开一个或多个实施例提供了一种路由事件的检测方法,以下,通过具体的实施例进一步详细说明本公开的技术方案。
具体的,利用探针在网络中进行traceroute测量(路由追踪测量),得到traceroute路径的变化地址,并组成包含该traceroute路径中全部变化地址的多个变化地址集合;在所有的变化地址中,获取同时存在于不少于2个变化地址集合中的变化地址,并将该变化地址所对应的多个变化地址集合组成针对该变化地址的候选路由事件;进一步的,为候选路由事件设计5项特征,分别为:距离特征、变化程度特征、拥塞程度特征、持续时间特征和地址变化范围特征,并对每个所述候选路由事件分别取得全部5项特征的特征值,以及该特征的区间范围;进一步的,在每项特征的区间范围中随机选取的候选阈值,将候选路由事件分为主要候选路由事件和次要候选路由事件,并通过不断变化候选阈值的选取,得到单位异常时间下的变化地址集合数量与单位正常时间下的变化地址集合数量的比值,在其比值最大时,得到各个特征的筛选阈值,并依据该筛选阈值,过滤出最终的路由事件。
可以理解,该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。
以下,通过具体的实施例,来详细说明本公开一个或多个实施例的技术方法。
参考图1,本公开一个实施例的一种路由事件的检测方法,包括以下步骤:
步骤S101、在网络中两个不同时刻之间,对多个源-目的地址对中每一个所包含的变化地址,组成一段持续时间内的变化地址集合。
在本公开的实施例中,结合图3示出的一个具体的路由事件推断的场景图,其中,探针P1与探针P2布设在地址1,探针P3布设在地址2,并且分别获取了不同的源-目的地址对的路径数据,其中,P1获取了地址1-地址5的地址对之间的路径数据,P2获取了地址1-地址12的地址对之间的路径数据,P3获取了地址2-地址5的地址对之间的路径数据;
以及,所述探针P1,P2和P3的测量时间为第一时刻t,也即源-目的地址对的原始路径发生变换的时刻;至第二时刻t+1,也即源-目的地址对的路径在发生变换后又再次变换回所述原始路径的时刻之间的一段持续时间。
根据图3所示,探针P1、P2和P3分别在一段持续事件内,获取了各自流向目的地址的两条不同traceroute数据,也即两条不同路径,具体包括:
探针P1获取的原始traceroute路径:地址1-地址2-地址3-地址4-地址5;和变换traceroute路径:地址1-地址6地址7-地址8-地址5;
探针P2获取的原始traceroute路径:地址1-地址2-地址3-地址4-地址12;和变换traceroute路径:地址1-地址2-地址9-地址10-地址4-地址12;
探针P3获取的原始traceroute路径:地址2-地址3-地址4-地址5;和变换traceroute路径:地址2-地址3-地址11-地址5;
其中,每个地址可以代表一个路由器。
进一步的,在数据服务器内对得到的traceroute路径数据进行分析,将其中针对同一对源-目的地址对中的变化地址进行整合:具体的,首先确定同一源目的地址对,在t时刻与t+1时刻之间的变化地址,其中包括:新增地址与消失地址。
进一步的,将确定的变化地址,按照各自所属的源-目的地址对的原则,分别组成各自不同的集合,得到变化地址集合;
具体的,参照图3所示,针对探针P1在t时刻至t+1时刻的路径变化:地址2,地址3,和地址4消失,并且新增了地址6,地址7,和地址8,因此针对探针P1的变化地址集合可以表示为:
其中,S表示变化地址集合;S上角标表达了探针测量的第一时刻至第二时刻;S下角标表达了源地址至目的地址;集合中各个地址的上角标以pre表示消失地址,以post表示新增地址。
针对探针P2在t时刻至t+1时刻的路径变化:地址3消失,并且新增了地址9和地址10,因此针对探针P2的变化地址集合可以表示为:
针对探针P3在t时刻至t+1时刻的路径变化:地址4消失,并且新增了地址11,因此针对探针P3的变化地址集合可以表示为:
步骤S102、确定在所述变化地址集合之间重复出现的所述变化地址,对每个重复出现的所述变化地址,确定与其对应的所有所述变化地址集合,并将其组成为与该所述变化地址相关的候选路由事件。
在本公开的实施例中,在数据服务器对变化地址等数据进行整理后,由数据服务器对整理后的变化地址集合按照是否具备共同的变化地址的原则,对候选路由事件进行提取。
首先,将所有变化地址集合中的所有变化地址,全部依次进行不重复地罗列;具体的,结合场景图图3,基于在上述过程中得到的针对P1、P2和P3的变化地址集合,将和中的所有变化地址全部罗列出,得到:
2pre,3pre,4pre,6post,7post,8post,3pre,9post,10post,4pre,11post
遵循上述的不重复罗列的原则,剔除2个消失地址3pre和4pre,得到剩余的变化地址:
2pre,3pre,4pre,6post,7post,8post,9post,10post,11post;
进一步的,对上述筛选出的所有的变化地址,依次判断每个变化地址所属的变化地址集合,以及包含该变化地址的变化地址集合的数量;具体的,在本实施例中,按照图3所示:变化地址2pre属于变化地址集合变化地址3pre属于变化地址集合和变化地址4pre属于变化地址集合和变化地址6post属于变化地址集合变化地址7post属于变化地址集合变化地址8post属于变化地址集合变化地址9post属于变化地址集合变化地址10post属于变化地址集合变化地址11post属于变化地址集合
并进一步地,将只被单个变化地址集合所包含的变化地址排除,得到被不少于两个变化地址集合所包含的变化地址,其中,所述变化地址可以是一个或多个。
具体的,在本公开的实施例中,基于上述判断出的变化地址与变化地址集合的所属关系,排除只被单个变化地址集合所包含的变化地址,得到:
变化地址3pre属于变化地址集合和
变化地址4pre属于变化地址集合和
因此变化地址3pre的异常,可以导致P1对应的traceroute路径和P2对应的traceroute路径,两条源-目的地址对的traceroute路径变化;变化地址4pre的异常,可以导致P1对应的traceroute路径和P3对应的traceroute路径,两条源-目的地址对的traceroute路径变化。
进一步的,针对可以导致不少于2条路径变化的变化地址,将与该所述变化地址对应的所有变化地址集合,组成关于该所述变化地址的候选路由事件。
在本实施例中,可以得到分别针对变化地址3pre和变化地址4pre的2个候选路由事件;其中,针对变化地址3pre的候选路由事件包括2个变化地址集合,分别为:和针对变化地址4pre的候选路由事件包括2个变化地址集合,分别为:和
步骤S103、为所述候选路由事件设计多项特征,对每个所述候选路由事件,计算其每项所述特征的特征值,以及该所述特征的区间范围。
在本公开中,基于上一过程中获取的每个候选路由事件所包含的变化地址集合,以及该所述候选路由事件影响的traceroute路径数量,为所述候选路由事件设计5项特征,并对多个候选路由事件中的每个候选路由事件,计算其每项特征的特征值,其中包括:
距离特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取第一个变化地址与源地址之间的跳数,将其作为该所述变化地址集合的最小跳数,记为hn;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行相同的最小跳数的计算;将获取的每个最小跳数数值进行累加求和,得到最终的该所述候选路由事件距离特征的特征值,并记为∑hn。
变化程度特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取在消失路径中的消失地址以及在新增路径中的新增地址,也即该所述变化地址集合中的所有变化地址个数,记为an;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行化地址个数的计算;对所有变化地址集合的计算结果做并集运算,得到最终的该所述候选路由事件变化程度特征的特征值,并记为∑an。
拥塞程度特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其在第一时刻探针所测量的变化前的原始路径的RTT(往返延时),并获取其在第二时刻探针所测量的变化后的路径的RTT,进一步计算变化前后的RTT的差值,记为rn;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行相同的差值计算,进一步对所有变化地址集合的RTT差值求和,得到最终的该所述候选路由事件拥塞程度特征的特征值,并记为∑rn。
地址变化范围特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其变化过程中消失顺序与新增顺序互相对应的消失地址与新增的地址,并计算其之间的编辑距离,例如:第一个消失地址与第一个新增地址之间的编辑距离,并记为e1;第二个消失地址与第二个新增地址之间的编辑距离,并记为e2;以及第n个消失地址与第n个新增地址之间的编辑距离,并记为en;并对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合,执行相同的编辑距离的计算,进一步对所有变化地址集合的编辑距离求和,得到最终的该所述候选路由事件地址变化范围特征的特征值,并记为∑en。需要说明的是,在计算过程中,当新增地址多于消失地址时,也即部分新增地址无法找到与之对应的消失地址时,将多出的新增地址与全0地址之间计算编辑距离;当消失地址多于新增地址时,则多出的消失地址无需加入编辑距离的计算中。
持续时间特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其变化的持续时间,也即测量该traceroute路径的探针在第一时刻至第二时刻之间的持续时间,记为tm;并对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合,执行相同的持续时间的计算,进一步对得出的所有变化地址集合的持续时间取交集,得到最终的该所述候选路由事件持续时间特征的特征值,并记为∩tm。
在本公开的实施例中,根据图3所示,基于上一过程中获取的针对变化地址3pre的候选路由事件及其变化地址集合:和针对变化地址4pre的候选路由事件及其变化地址集合:和计算每个候选路由事件的上述5项特征的特征值。
以候选路由事件为例,具体包括:
距离特征:根据图3所示,其中变化地址集合中,探针P1的traceroute测量路径从地址1开始变化,其为traceroute路径中对应的第1跳,因此该变化地址集合的最小跳数hn1为1;变化地址集合中,探针P2的traceroute测量路径从地址2开始变化,其为traceroute路径中对应的第2跳,因此该变化地址集合的最小跳数hn2为2;对两个变化地址集合的最小跳数求和,∑hn为3。
变化程度特征:根据图3所示,其中变化地址集合中包括{2pre,3pre,4pre,6post,7post,8post}在内的6个变化地址,an1为6;变化地址集合中包括{3pre,9post,10post}在内的3个变化地址,an2为3;进一步对两个变化地址集合中的变化地址求并集,得到{2pre,3pre,4pre,6post,7post,8post,9post,10post}在内的8个变化地址,因此∑an为8。
拥塞程度特征:根据图3所示,其中变化地址集合中,需要计算探针P1在路径发生变化后,也即在第二时刻,t+1时刻的RTT,与探针P1在路径发生变化前,也即在第一时刻,t时刻测量的RTT,并对两个RTT的值求差值得到rn1;以及,对变化地址集合中,探针P2在路径发生变化后,也即在第二时刻,t+1时刻的RTT,与探针P2在路径发生变化前,也即在第一时刻,t时刻的RTT,并对两个RTT的值求差值得到rn2;进一步的,对rn1和rn2累加,得到∑rn=rn1+rn2。
地址变化范围特征:根据图3所示,其中变化地址集合中,探针P1的traceroute测量路径的消失地址为:地址2、地址3和地址4,新增地址为:地址6、地址7和地址8,因此针对探针P1的路径变化,需要计算地址6与地址2的编辑距离en1、地址7与地址3的编辑距离en2、地址8与地址4的编辑距离en3;在变化地址集合中,探针2的traceroute测量路径的消失地址为:地址3,新增地址为:地址9、地址10,因此针对探针P2的路径变化,需要计算地址9与地址3的编辑距离en4、地址10与全0地址的编辑距离en5;进一步的,对所有编辑距离求和,得到∑en=en1+en2+en3+en4+en5。
持续时间特征:根据图3所示,其中变化地址集合中,探针进行traceroute测量持续时间为第一时刻t至第二时刻t+1,因此其持续时间tm1为1;变化地址集合中,探针进行traceroute测量持续时间为第一时刻t至第二时刻t+1,因此其持续时间tm2为1;进一步的,对两个变化地址集合的持续时间求交集,得到∩tm为1。
进一步的,对候选路由事件及其变化地址集合和执行与上述相同特征的特征值相同的计算步骤,并得出相应的特征值。
步骤S104、对于每项所述特征,在其所述区间范围中选取其候选阈值,确定针对该所述特征的主要候选路由事件和次要候选路由事件;根据所述主要候选路由事件和所述次要候选路由事件的数量比例变化,得出不同的变化数量比;将最大的所述变化数量比对应的所述候选阈值,确定为该所述特征的筛选阈值,并依据所述筛选阈值过滤出最终的路由事件。
在本公开中,基于上一过程中得出的每个候选路由事件中五项特征的特征值,在其特征值中选取最大值作为该特征值的上限,选取最小值作为该特征值的下限,并依此得出该所述特征的区间范围为自特征值中的上限至特征值中的下限。
进一步的,对于多个特征中的每个特征执行如下操作:在该特征的区间范围中任意选取一个值,作为该特征的候选阈值;提取所有候选路由事件中该特征的特征值,比较每个候选路由事件中该特征的特征值与候选阈值的大小;将特征值大于等于候选阈值的候选路由事件定义为主要候选路由事件,将特征值小于候选阈值的候选路由事件定义为次要候选路由事件。
其中,主要候选路由事件是导致路由故障的主要影响因素,其影响力大破坏力强;而次要候选路由事件不是导致路由故障的主要影响因素,其影响力小破坏力弱,且可以忽略。
进一步的,确定单位异常时间下traceroute路径的变化数量,与单位正常时间下traceroute路径的变化数量的比值。
在本公开中,异常时间被设计为:取所有主要候选路由事件的持续时间的并集;其中,依据上一过程中对持续时间特征的计算,主要候选路由事件的持续时间为∩tm,因此可以通过取并集得出异常时间;进一步的,将探针进行traceroute路径测量的总时长,与异常时间做差值计算,得出正常时间。
进一步的,获取在异常时间下发生变化的traceroute路径数量,也即异常时间下源-目的地址对的变化地址集合的数量,并将该变化地址集合的数量与异常时间做比值,得到单位异常时间的traceroute路径变化数量;以及,在正常时间下发生变化的traceroute路径数量,也即正常时间下源-目的地址对的变化地址集合的数量,并将该变化地址集合的数量与正常时间做比值,得到单位异常时间的traceroute路径变化数量,并按照如下公式,对数量结果做比值得到变化数量比X:
需要说明的是,在判断主要候选路由事件的过程中,由于阈值是在特征的区间范围中随机选取,因此判断出的主要候选路由事件中,既包含了正确推断出的主要候选路由事件的结果,也包含了将次要候选路由事件错误推断为主要候选路由事件的假阳性结果;同样的,判断出的次要候选路由事件中,既包含了正确推断的次要候选路由事件的结果,也包含了将主要候选路由事件错误推断为次要候选路由事件的假阴性结果。
因此,上述的异常时间中包含了正确推断为主要候选路由事件的时间集合T阳性,和将次要候选路由事件推断为主要候选路由事件的时间集合T假阳性,也即:
异常时间=T阳性+T假阳性
同样的,上述的正常时间中包含了正确推断为次要候选路由事件的时间集合T阴性,与将主要候选路由事件推断为次要候选路由事件的时间集合T假阴性,也即:
正常时间=T阴性+T假阴性
为了达到最大程度减少假阳性与假阴性的对检测的影响,利用与变化数量比X相关的如下公式,对T假阳性和T假阴性进行分析:
其中,N1表示在正常时间的状态下,在单位时间内采集事件影响的traceroute路径变化数;N1+N2则是在异常时间的状态下,在单位时间内采集事件影响的traceroute路径变化数。
分别对T假阳性和T假阴性求偏导,可以发现T假阳性和T假阴性是基于变化数量比X的减函数,故此在所述变化数量比X达到最大值时,T假阳性和T假阴性都达到了最小值,也即对于主要候选路由事件和次要候选路由事件的准确性都达到了最大。
依据上述最大变化数量比X的理论依据,可以在每个特征的区间范围中均不断选取不同的值作为候选阈值,进行变化数量比X的计算,并得到最大的变化数量比Xmax;进一步,将得到所述Xmax时的候选阈值,确定为该特征的筛选阈值。
进一步的,对于所有特征均执行上述相同的候选阈值计算分析,以确定所有5项特征各自的筛选阈值,并记为Q1、Q2、Q3、Q4和Q5,分别对应特征值∑hn、∑an、∑rn、∑en和∩tm。
基于得到的筛选阈值,在每个候选路由事件的各个特征中,以该筛选阈值为基准,在所有候选路由事件中,过滤出其所有5项特征中任一所述特征的特征值大于等于该阈值的候选路由事件,并将其判定为最终的路由事件。
可见,本公开一个或多个实施例提供的一种路由事件的检测方法和系统,基于互联网网络的安全领域,综合考虑了探针位置,事件影响程度等因素对路由事件检测结果的影响,从而有效减小了假阳性和假阴性对整体路由事件检测的影响,显著提高了检测的准确性。
需要说明的是,本公开一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本公开特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本公开一个或多个实施例还提供了一种异常路由事件的检测系统。
参考图2,探针测量系统,候选路由事件分析系统,特征值计算系统,以及异常路由事件确定系统;
其中,所述探针测量系统S201,被配置为:对网络中多个源-目的地址对进行traceroute测量,并得到每个所述源-目的地址对在不同时刻的变化地址,以组成针对该所述源-目的地址对在任意两个所述时刻之间的一段持续时间内的变化地址集合;
所述候选路由事件分析系统S202,被配置为:确定在所述变化地址集合之间重复出现的所述变化地址,对每个重复出现的所述变化地址,确定与其对应的所有所述变化地址集合,并将其组成为与该所述变化地址相关的候选路由事件;
所述特征值计算系统S203,被配置为:为所述候选路由事件设计多项特征,对每个所述候选路由事件,计算其每项所述特征的特征值,以及该所述特征的区间范围;
所述异常路由事件确定系统S204,被配置为:对于每项所述特征,在其所述区间范围中选取其候选阈值,确定针对该所述特征的主要候选路由事件和次要候选路由事件;根据所述主要候选路由事件和所述次要候选路由事件的数量比例变化,得出不同的变化数量比;将最大的所述变化数量比对应的所述候选阈值,确定为该所述特征的筛选阈值,并依据所述筛选阈值过滤出最终的路由事件。
作为一个可选的实施例,所述探针测量系统S201,具体被配置为:结合图3示出的一个具体的路由事件推断的场景图,其中,探针P1与探针P2布设在地址1,探针P3布设在地址2,并且分别获取了不同的源-目的地址对的路径数据,其中,P1获取了地址1-地址5的地址对之间的路径数据,P2获取了地址1-地址12的地址对之间的路径数据,P3获取了地址2-地址5的地址对之间的路径数据;
以及,所述探针P1,P2和P3的测量时间为第一时刻t,也即源-目的地址对的原始路径发生变换的时刻;至第二时刻t+1,也即源-目的地址对的路径在发生变换后又再次变换回所述原始路径的时刻之间的一段持续时间。
根据图3所示,探针P1、P2和P3分别在一段持续事件内,获取了各自流向目的地址的两条不同traceroute数据,也即两条不同路径,具体包括:
探针P1获取的原始traceroute路径:地址1-地址2-地址3-地址4-地址5;和变换traceroute路径:地址1-地址6地址7-地址8-地址5;
探针P2获取的原始traceroute路径:地址1-地址2-地址3-地址4-地址12;和变换traceroute路径:地址1-地址2-地址9-地址10-地址4-地址12;
探针P3获取的原始traceroute路径:地址2-地址3-地址4-地址5;和变换traceroute路径:地址2-地址3-地址11-地址5;
其中,每个地址可以代表一个路由器。
进一步的,在数据服务器内对得到的traceroute路径数据进行分析,将其中针对同一对源-目的地址对中的变化地址进行整合:具体的,首先确定同一源目的地址对,在t时刻与t+1时刻之间的变化地址,其中包括:新增地址与消失地址。
进一步的,将确定的变化地址,按照各自所属的源-目的地址对的原则,分别组成各自不同的集合,得到变化地址集合;
具体的,参照图3所示,针对探针P1在t时刻至t+1时刻的路径变化:地址2,地址3,和地址4消失,并且新增了地址6,地址7,和地址8,因此针对探针P1的变化地址集合可以表示为:
其中,S表示变化地址集合;S上角标表达了探针测量的第一时刻至第二时刻;S下角标表达了源地址至目的地址;集合中各个地址的上角标以pre表示消失地址,以post表示新增地址。
针对探针P2在t时刻至t+1时刻的路径变化:地址3消失,并且新增了地址9和地址10,因此针对探针P2的变化地址集合可以表示为:
针对探针P3在t时刻至t+1时刻的路径变化:地址4消失,并且新增了地址11,因此针对探针P3的变化地址集合可以表示为:
作为一个可选的实施例,所述候选路由事件分析系统S202,具体被配置为:在数据服务器对变化地址等数据进行整理后,由数据服务器对整理后的变化地址集合按照是否具备共同的变化地址的原则,对候选路由事件进行提取。
首先,将所有变化地址集合中的所有变化地址,全部依次进行不重复地罗列;具体的,结合场景图图3,基于在上述过程中得到的针对P1、P2和P3的变化地址集合,将和中的所有变化地址全部罗列出,得到:
2pre,3pre,4pre,6post,7post,8post,3pre,9post,10post,4pre,11post
遵循上述的不重复罗列的原则,剔除2个消失地址3pre和4pre,得到剩余的变化地址:
2pre,3pre,4pre,6post,7post,8post,9post,10post,11post;
进一步的,对上述筛选出的所有的变化地址,依次判断每个变化地址所属的变化地址集合,以及包含该变化地址的变化地址集合的数量;具体的,在本实施例中,按照图3所示:变化地址2pre属于变化地址集合变化地址3pre属于变化地址集合和变化地址4pre属于变化地址集合和变化地址6post属于变化地址集合变化地址7post属于变化地址集合变化地址8post属于变化地址集合变化地址9post属于变化地址集合变化地址10post属于变化地址集合变化地址11post属于变化地址集合
并进一步地,将只被单个变化地址集合所包含的变化地址排除,得到被不少于两个变化地址集合所包含的变化地址,其中,所述变化地址可以是一个或多个。
具体的,在本公开的实施例中,基于上述判断出的变化地址与变化地址集合的所属关系,排除只被单个变化地址集合所包含的变化地址,得到:
变化地址3pre属于变化地址集合和
变化地址4pre属于变化地址集合和
因此变化地址3pre的异常,可以导致P1对应的traceroute路径和P2对应的traceroute路径,两条源-目的地址对的traceroute路径变化;变化地址4pre的异常,可以导致P1对应的traceroute路径和P3对应的traceroute路径,两条源-目的地址对的traceroute路径变化。
进一步的,针对可以导致不少于2条路径变化的变化地址,将与该所述变化地址对应的所有变化地址集合,组成关于该所述变化地址的候选路由事件。
在本实施例中,可以得到分别针对变化地址3pre和变化地址4pre的2个候选路由事件;其中,针对变化地址3pre的候选路由事件包括2个变化地址集合,分别为:和针对变化地址4pre的候选路由事件包括2个变化地址集合,分别为:和
作为一个可选的实施例,所述特征值计算系统S203,具体被配置为:基于上一过程中获取的每个候选路由事件所包含的变化地址集合,以及该所述候选路由时间影响的traceroute路径数量,为所述候选路由事件设计5项特征,并计算每类特征的特征值,其中包括:
距离特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取第一个变化地址与源地址之间的跳数,将其作为该所述变化地址集合的最小跳数,记为hn;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行相同的最小跳数的计算;将获取的每个最小跳数数值进行累加求和,得到最终的该所述候选路由事件距离特征的特征值,并记为∑hn。
变化程度特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取在消失路径中的消失地址以及在新增路径中的新增地址,也即该所述变化地址集合中的所有变化地址个数,记为an;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行化地址个数的计算;对所有变化地址集合的计算结果做并集运算,得到最终的该所述候选路由事件变化程度特征的特征值,并记为∑an。
拥塞程度特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其在第一时刻探针所测量的变化前的原始路径的RTT(往返延时),并获取其在第二时刻探针所测量的变化后的路径的RTT,进一步计算变化前后的RTT的差值,记为rn;并进一步对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合执行相同的差值计算,进一步对所有变化地址集合的RTT差值求和,得到最终的该所述候选路由事件拥塞程度特征的特征值,并记为∑rn。
地址变化范围特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其变化过程中消失顺序与新增顺序互相对应的消失地址与新增的地址,并计算其之间的编辑距离,例如:第一个消失地址与第一个新增地址之间的编辑距离,并记为e1;第二个消失地址与第二个新增地址之间的编辑距离,并记为e2;以及第n个消失地址与第n个新增地址之间的编辑距离,并记为en;并对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合,执行相同的编辑距离的计算,进一步对所有变化地址集合的编辑距离求和,得到最终的该所述候选路由事件地址变化范围特征的特征值,并记为∑en。需要说明的是,在计算过程中,当新增地址多于消失地址时,也即部分新增地址无法找到与之对应的消失地址时,将多出的新增地址与全0地址之间计算编辑距离;当消失地址多于新增地址时,则多出的消失地址无需加入编辑距离的计算中。
持续时间特征,具体定义方式为:取候选路由事件中的1个变化地址集合,由于该所述变化地址集合表示一个源目的地址对的traceroute路径的变化,针对该traceroute路径的变化,获取其变化的持续时间,也即测量该traceroute路径的探针在第一时刻至第二时刻之间的持续时间,记为tm;并对该所述候选路由事件下,其多个变化地址集合中的每一个变化地址集合,执行相同的持续时间的计算,进一步对得出的所有变化地址集合的持续时间取交集,得到最终的该所述候选路由事件持续时间特征的特征值,并记为∩tm。
在本公开的实施例中,根据图3所示,基于上一过程中获取的针对变化地址3pre的候选路由事件及其变化地址集合:和针对变化地址4pre的候选路由事件及其变化地址集合:和计算每个候选路由事件的上述5项特征的特征值。
以候选路由事件为例,具体包括:
距离特征:根据图3所示,其中变化地址集合中,探针P1的traceroute测量路径从地址1开始变化,其为traceroute路径中对应的第1跳,因此该变化地址集合的最小跳数hn1为1;变化地址集合中,探针P2的traceroute测量路径从地址2开始变化,其为traceroute路径中对应的第2跳,因此该变化地址集合的最小跳数hn2为2;对两个变化地址集合的最小跳数求和,∑hn为3。
变化程度特征:根据图3所示,其中变化地址集合中包括{2pre,3pre,4pre,6post,7post,8post}在内的6个变化地址,an1为6;变化地址集合中包括{3pre,9post,10post}在内的3个变化地址,an2为3;进一步对两个变化地址集合中的变化地址求并集,得到{2pre,3pre,4pre,6post,7post,8post,9post,10post}在内的8个变化地址,因此∑an为8。
拥塞程度特征:根据图3所示,其中变化地址集合中,需要计算探针P1在路径发生变化后,也即在第二时刻,t+1时刻的RTT,与探针P1在路径发生变化前,也即在第一时刻,t时刻测量的RTT,并对两个RTT的值求差值得到rn1;以及,对变化地址集合中,探针P2在路径发生变化后,也即在第二时刻,t+1时刻的RTT,与探针P2在路径发生变化前,也即在第一时刻,t时刻的RTT,并对两个RTT的值求差值得到rn2;进一步的,对rn1和rn2累加,得到∑rn=rn1+rn2。
地址变化范围特征:根据图3所示,其中变化地址集合中,探针P1的traceroute测量路径的消失地址为:地址2、地址3和地址4,新增地址为:地址6、地址7和地址8,因此针对探针P1的路径变化,需要计算地址6与地址2的编辑距离en1、地址7与地址3的编辑距离en2、地址8与地址4的编辑距离en3;在变化地址集合中,探针2的traceroute测量路径的消失地址为:地址3,新增地址为:地址9、地址10,因此针对探针P2的路径变化,需要计算地址9与地址3的编辑距离en4、地址10与全0地址的编辑距离en5;进一步的,对所有编辑距离求和,得到∑en=en1+en2+en3+en4+en5。
持续时间特征:根据图3所示,其中变化地址集合中,探针进行traceroute测量持续时间为第一时刻t至第二时刻t+1,因此其持续时间tm1为1;变化地址集合中,探针进行traceroute测量持续时间为第一时刻t至第二时刻t+1,因此其持续时间tm2为1;进一步的,对两个变化地址集合的持续时间求交集,得到∩tm为1。
进一步的,对候选路由事件及其变化地址集合和执行与上述相同特征的特征值相同的计算步骤,并得出相应的特征值。
作为一个可选的实施例,所述异常路由事件确定系统S204,具体被配置为:基于上一过程中得出的每个候选路由事件中五项特征的特征值,在其特征值中选取最大值作为该特征值的上限,选取最小值作为该特征值的下限,并依此得出该所述特征的区间范围为自特征值中的上限至特征值中的下限。
进一步的,对于多个特征中的每个特征执行如下操作:在该特征的区间范围中任意选取一个值,作为该特征的候选阈值;提取所有候选路由事件中该特征的特征值,比较每个候选路由事件中该特征的特征值与候选阈值的大小;将特征值大于等于候选阈值的候选路由事件定义为主要候选路由事件,将特征值小于候选阈值的候选路由事件定义为次要候选路由事件。
其中,主要候选路由事件是导致路由故障的主要影响因素,其影响力大破坏力强;而次要候选路由事件不是导致路由故障的主要影响因素,其影响力小破坏力弱,且可以忽略。
进一步的,确定单位异常时间下traceroute路径的变化数量,与单位正常时间下traceroute路径的变化数量的比值。
在本公开中,异常时间被设计为:取所有主要候选路由事件的持续时间的并集;其中,依据上一过程中对持续时间特征的计算,主要候选路由事件的持续时间为∩tm,因此可以通过取并集得出异常时间;进一步的,将探针进行traceroute路径测量的总时长,与异常时间做差值计算,得出正常时间。
进一步的,获取在异常时间下发生变化的traceroute路径数量,也即异常时间下源-目的地址对的变化地址集合的数量,并将该变化地址集合的数量与异常时间做比值,得到单位异常时间的traceroute路径变化数量;以及,在正常时间下发生变化的traceroute路径数量,也即正常时间下源-目的地址对的变化地址集合的数量,并将该变化地址集合的数量与正常时间做比值,得到单位异常时间的traceroute路径变化数量,并按照如下公式,对数量结果做比值得到变化数量比X:
需要说明的是,在判断主要候选路由事件的过程中,由于阈值是在特征的区间范围中随机选取,因此判断出的主要候选路由事件中,既包含了正确推断出的主要候选路由事件的结果,也包含了将次要候选路由事件错误推断为主要候选路由事件的假阳性结果;同样的,判断出的次要候选路由事件中,既包含了正确推断的次要候选路由事件的结果,也包含了将主要候选路由事件错误推断为次要候选路由事件的假阴性结果。
因此,上述的异常时间中包含了正确推断为主要候选路由事件的时间集合T阳性,和将次要候选路由事件推断为主要候选路由事件的时间集合T假阳性,也即:
异常时间=T阳性+T假阳性
同样的,上述的正常时间中包含了正确推断为次要候选路由事件的时间集合T阴性,与将主要候选路由事件推断为次要候选路由事件的时间集合T假阴性,也即:
正常时间=T阴性+T假阴性
为了达到最大程度减少假阳性与假阴性的对检测的影响,利用与变化数量比X相关的如下公式,对T假阳性和T假阴性进行分析:
其中,N1表示在正常时间的状态下,在单位时间内采集事件影响的traceroute路径变化数;N1+N2则是在异常时间的状态下,在单位时间内采集事件影响的traceroute路径变化数。
分别对T假阳性和T假阴性求偏导,可以发现T假阳性和T假阴性是基于变化数量比X的减函数,故此在所述变化数量比X达到最大值时,T假阳性和T假阴性都达到了最小值,也即对于主要候选路由事件和次要候选路由事件的准确性都达到了最大。
依据上述最大变化数量比X的理论依据,可以在每个特征的区间范围中均不断选取不同的值作为候选阈值,进行变化数量比X的计算,并得到最大的变化数量比Xmax;进一步,将得到所述Xmax时的候选阈值,确定为该特征的筛选阈值。
进一步的,对于所有特征均执行上述相同的候选阈值计算分析,以确定所有5项特征各自的筛选阈值,并记为Q1、Q2、Q3、Q4和Q5,分别对应特征值∑hn、∑an、∑rn、∑en和∩tm。
基于得到的筛选阈值,在每个候选路由事件的各个特征中,以该筛选阈值为基准,在所有候选路由事件中,过滤出其所有5项特征中任一所述特征的特征值大于该阈值的候选路由事件,并将其判定为最终的路由事件。
为了描述的方便,描述以上系统时以功能分为各种模块分别描述。当然,在实施本公开一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的异常路由事件的检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。
本公开一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。