本發(fā)明屬于域間路由安全中的域間異常檢測(cè)領(lǐng)域，特別涉及一種基于transformer模型的域間路由異常檢測(cè)方法。

背景技術(shù)：

1、邊界網(wǎng)關(guān)協(xié)議（border?gateway?protocol，簡(jiǎn)稱bgp）是運(yùn)行于?tcp?上的一種自治系統(tǒng)的路由協(xié)議。bgp異常檢測(cè)是通過主、被動(dòng)獲取的路由數(shù)據(jù)檢測(cè)異常，并對(duì)可疑的路由信息（前綴、as等）進(jìn)一步定位，使得運(yùn)維人員可以快速溯源并緩釋異常。這類方法通常使用海量的bgp歷史路由數(shù)據(jù)，分析歷史bgp路由行為規(guī)則和模式作為先驗(yàn)知識(shí)，檢測(cè)as發(fā)送的bgp路由消息，有效識(shí)別bgp異常并進(jìn)行溯源。

2、然而，現(xiàn)有異常檢測(cè)方法在實(shí)時(shí)性、準(zhǔn)確性和智能化方面，還具有較大提升空間。面對(duì)觀測(cè)數(shù)據(jù)的偏向性和不完整性、bgp路由行為的動(dòng)態(tài)變化以及大規(guī)模的bgp網(wǎng)絡(luò)等諸多挑戰(zhàn)，現(xiàn)有方法無(wú)法同時(shí)做到實(shí)時(shí)性和準(zhǔn)確性。因此，需要開展bgp異常檢測(cè)與溯源機(jī)制的研究，實(shí)時(shí)監(jiān)測(cè)全球bgp運(yùn)行態(tài)勢(shì)，并進(jìn)行溯源分析，保障國(guó)家域間網(wǎng)絡(luò)安全。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明針對(duì)現(xiàn)有異常檢測(cè)方法面臨的采集數(shù)據(jù)具有偏向性和不完整性；bgp路由行為的動(dòng)態(tài)變化；bgp網(wǎng)絡(luò)是分布式系統(tǒng)且規(guī)模龐大等挑戰(zhàn)。

2、本發(fā)明的一個(gè)目的在于提供基于transformer模型的域間路由異常檢測(cè)方法，旨在至少在一定程度上解決其中技術(shù)問題之一。

3、本發(fā)明的另一個(gè)目的在于提供一種基于transformer模型的域間路由異常檢測(cè)系統(tǒng)。

4、為了達(dá)到上述的目的，本發(fā)明一方面提供一種基于transformer模型的域間路由異常檢測(cè)方法，包括：

5、基于采集點(diǎn)采集bgp路由數(shù)據(jù)，構(gòu)建動(dòng)態(tài)bgp網(wǎng)絡(luò)拓?fù)洌?/p>

6、提取bgp網(wǎng)絡(luò)拓?fù)渲懈鱝s節(jié)點(diǎn)子圖，并提取相關(guān)特征信息，獲得圖模型；

7、根據(jù)具有相關(guān)特征信息的圖模型，基于simhash計(jì)算圖模型的指紋信息；

8、根據(jù)前后時(shí)刻獲得的指紋信息，采用transformer與gcn框架，構(gòu)建異常檢測(cè)模型，用于域間路由異常檢測(cè)。

9、本發(fā)明進(jìn)一步優(yōu)選地技術(shù)方案為，所述基于采集點(diǎn)采集bgp路由數(shù)據(jù)，構(gòu)建動(dòng)態(tài)bgp網(wǎng)絡(luò)拓?fù)?；具體為：

10、基于全球采集點(diǎn)采集bgp路由數(shù)據(jù)，其中包含bgp路由表數(shù)據(jù)以及bgp路由更新數(shù)據(jù)；

11、根據(jù)bgp路由表數(shù)據(jù)構(gòu)建全球路由拓?fù)洌?/p>

12、再根據(jù)當(dāng)前時(shí)刻的bgp路由更新數(shù)據(jù)，更新全球路由拓?fù)涞玫疆?dāng)前時(shí)刻的bgp網(wǎng)絡(luò)拓?fù)洹?/p>

13、作為優(yōu)選，所述提取bgp網(wǎng)絡(luò)拓?fù)渲懈鱝s節(jié)點(diǎn)子圖，并提取相關(guān)特征信息，獲得圖模型；具體為：

14、遍歷bgp網(wǎng)絡(luò)拓?fù)渲械母鱾€(gè)as節(jié)點(diǎn)，提取其一階ego子圖；

15、計(jì)算as節(jié)點(diǎn)的相關(guān)特征信息，包括邊特征、局部拓?fù)涮卣鳌⑷滞負(fù)涮卣骱吐窂较嚓P(guān)特征。

16、作為優(yōu)選，所述根據(jù)具有相關(guān)特征信息的圖模型，基于simhash計(jì)算圖模型的指紋信息；具體為：

17、使用循環(huán)冗余編碼對(duì)bgp網(wǎng)絡(luò)拓?fù)渲械膍個(gè)as節(jié)點(diǎn)和n條邊名稱進(jìn)行哈希計(jì)算，形成b位二進(jìn)制數(shù)，表達(dá)式為：

18、

19、式中，和分別表示為當(dāng)前時(shí)刻t的節(jié)點(diǎn)和連接邊集合；

20、對(duì)as節(jié)點(diǎn)特征進(jìn)行歸一化處理得到t時(shí)刻特征向量，并且根據(jù)得到的hash值進(jìn)行正負(fù)反轉(zhuǎn)，再按行求和，得到第i個(gè)as節(jié)點(diǎn)的指紋信息，表示為：

21、

22、式中，表示求取指紋信息的函數(shù)；表示為第i個(gè)as節(jié)點(diǎn)的第j個(gè)比特位；為當(dāng)前t時(shí)刻第i個(gè)as節(jié)點(diǎn)的第j個(gè)特征，b為哈希函數(shù)輸出的二進(jìn)制位數(shù)；

23、然后將各as節(jié)點(diǎn)的指紋信息負(fù)值位置取0，正值位置取1，得到各個(gè)as節(jié)點(diǎn)的指紋向量，構(gòu)成全球指紋矩陣，表示為：

24、

25、其中，。

26、作為優(yōu)選，根據(jù)前后時(shí)刻獲得的指紋信息，采用transformer與gcn框架，構(gòu)建異常檢測(cè)模型，用于域間路由異常檢測(cè)；具體為：

27、首先將該時(shí)刻與上時(shí)刻的獲得的全球指紋矩陣進(jìn)行異或操作，將異或操作后的指紋信息輸入到transformer模塊，輸出注意力向量矩陣，具體計(jì)算公式為：

28、

29、

30、

31、

32、其中，表示歸一化的問詢張量，表示鍵值張量，表示數(shù)值張量，n表示bgp網(wǎng)絡(luò)拓?fù)渲械墓?jié)點(diǎn)數(shù)量，表示一個(gè)n維全1列向量；表示注意力網(wǎng)絡(luò)的第一層輸入，即指紋數(shù)據(jù)，為一個(gè)超參數(shù)表示殘差連接的占比；

33、、和分別表示線性變換函數(shù)，表示取矩陣的對(duì)角線元素函數(shù)，表示弗洛貝尼烏斯范數(shù)；

34、同時(shí)將bgp網(wǎng)絡(luò)拓?fù)涞泥徑有畔?，以及異或操作后的指紋信息輸入到gcn網(wǎng)絡(luò)中，進(jìn)行池化操作，輸出gcn表示張量，表示為：

35、

36、式中，表示gcn的第l層結(jié)構(gòu)，表示as圖的度矩陣，表示as圖的鄰接矩陣，表示第層的gcn輸出矩陣，表示gcn第層的學(xué)習(xí)矩陣，表示隱藏層的向量維度，表示非線性激活函數(shù)，采用relu激活函數(shù)；

37、將得到的注意力向量矩陣與gcn表示張量進(jìn)行連接，結(jié)果輸入到多層感知機(jī)中得到當(dāng)前t時(shí)刻的輸出，通過計(jì)算二值交叉熵?fù)p失更新梯度變量，表示為：

38、

39、

40、式中，表示gcn網(wǎng)絡(luò)時(shí)刻的輸出矩陣，表示全球指紋矩陣，表示注意力網(wǎng)絡(luò)的時(shí)刻的輸出；表示異常類別數(shù)量，表示第i個(gè)樣本第c個(gè)類別的標(biāo)識(shí)，表示對(duì)于第i個(gè)樣本第c個(gè)類別的輸出打分；另外，表示矩陣的連接操作；

41、根據(jù)該檢測(cè)模型，進(jìn)行域間路由異常檢測(cè)。

42、作為優(yōu)選，根據(jù)構(gòu)建的異常檢測(cè)模型，通過重建損失構(gòu)建溯源分析模型，表示為：

43、

44、式中，，分別表示偏差損失函數(shù)和分類損失函數(shù)；為第i個(gè)樣本的標(biāo)簽。

45、本發(fā)明另一方面提供一種基于transformer模型的域間路由異常檢測(cè)系統(tǒng)，包括：

46、數(shù)據(jù)采集與拓?fù)錁?gòu)建模塊，用于基于采集點(diǎn)采集bgp路由數(shù)據(jù)，構(gòu)建動(dòng)態(tài)bgp網(wǎng)絡(luò)拓?fù)洌?/p>

47、特征提取模塊，用于提取bgp網(wǎng)絡(luò)拓?fù)渲懈鱝s節(jié)點(diǎn)，并提取相關(guān)特征信息，獲得圖模型；

48、指紋信息計(jì)算模塊，用于根據(jù)具有相關(guān)特征信息的圖模型，基于simhash計(jì)算圖模型的指紋信息；

49、異常檢測(cè)模型構(gòu)建模塊，用于根據(jù)前后時(shí)刻獲得的指紋信息，采用transformer與gcn框架，構(gòu)建異常檢測(cè)模型，用于域間路由異常檢測(cè)。

50、本發(fā)明又一方面提供一種非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)指令，該計(jì)算機(jī)指令使計(jì)算機(jī)執(zhí)行上述的基于transformer模型的域間路由異常檢測(cè)方法。

51、本發(fā)明又一方面提供一種電子設(shè)備，包括：處理器、通信接口、存儲(chǔ)器和通信總線，其中，處理器，通信接口，存儲(chǔ)器通過通信總線完成相互間的通信，處理器調(diào)用存儲(chǔ)器中的邏輯指令，以執(zhí)行上述的基于transformer模型的域間路由異常檢測(cè)方法。

52、本發(fā)明再一方面提供一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序，計(jì)算機(jī)程序存儲(chǔ)在非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)，計(jì)算機(jī)執(zhí)行上述的基于transformer模型的域間路由異常檢測(cè)方法。

53、有益效果：本發(fā)明基于transformer模型的域間路由異常檢測(cè)方法，通過對(duì)全球bgp網(wǎng)絡(luò)子圖的抽樣，進(jìn)行simhash的計(jì)算得到逐個(gè)as的豐富指紋信息，其中包含子圖的邊信息和節(jié)點(diǎn)信息，從而可以準(zhǔn)確捕獲as在動(dòng)態(tài)bgp網(wǎng)絡(luò)中的行為信息；

54、本發(fā)明基于transformer模型的域間路由異常檢測(cè)方法，通過計(jì)算線性注意力機(jī)制對(duì)全球as的指紋信息進(jìn)行并行張量化處理，降低了復(fù)雜度，從而能夠同時(shí)計(jì)算出全球as的向量表示，避免原始方法內(nèi)存溢出的問題；

55、本發(fā)明為了克服采集點(diǎn)的局部不完整性信息，提出使用由圖卷積提取的局部信息和注意力機(jī)制提取的全局信息相結(jié)合的方式，對(duì)不完整性信息進(jìn)行準(zhǔn)確彌補(bǔ)，從而提高異常檢測(cè)和溯源的準(zhǔn)確率。