一种BGP路由安全监测系统及方法与流程

本发明属于通信网络，尤其涉及一种bgp路由安全监测系统及方法。

背景技术：

1、互联网internet是一个全球性的网络系统，是由多个自治域网络组成的“网状网”。路由系统实现了不同网络之间互联互通，是整个互联网的“神经中枢”。

2、为了实现大规模网络互联，尤其是超大型网络的互联，边界网关协议bordergateway protocol（bgp）应运而生，边界网关协议是一种实现自治系统autonomous system（as）之间的路由可达，并选择最佳路由的距离矢量路由协议。在此之后，全球互联网蓬勃发展，形成了今天的全球互联网。

3、边界网关协议在设计之初时是作为一种基于信任的路由协议开发的，没有内置安全相关措施，仅在as 与as之间更新的路由协议，这意味着网络运营商被迫相互信任，网络运营商也可能无心犯下配置错误导致网络大规模中断，缺乏有效的安全保护也可能会导致边界网关协议路由劫持。

技术实现思路

1、本发明实施例的目的在于提供一种bgp路由安全监测系统及方法，旨在解决上述背景技术中所提出的技术问题。

2、为实现上述目的，本发明提供了如下的技术方案。

3、在本发明的第一方面，提供了一种bgp路由安全监测系统，该系统包括：

4、数据访问层101，用于对数据库进行访问并实现对数据库中数据进行增、改、删、查的处理；所述数据访问层采用orm映射机制；

5、业务逻辑层102，用于业务规则的制定、业务流程的实现，所述业务逻辑层通过数据访问层提供数据访问接口，并对数据服务层提供业务逻辑实现的调用接口；

6、数据服务层103，用于对内部应用系统的不同客户端提供业务服务接口和数据服务接口，业务服务包括http rest服务、web server服务以及comet服务，数据服务包括xml、json、html的多种返回数据格式；

7、表示层104，所述表示层采用html5、ajax技术，以轻量级jquery ajax框架为基础搭建客户端架构，图表、视频监视采用com组件；在统一认证的基础上，采用ajax、jsonp技术在表示层上将已建成系统各应用集成至平台的同一页面中，形成bgp路由安全监测系统。

8、进一步的，所述业务逻辑层包括数据采集单元，数据采集单元包括数据采集模块和线程管理模块，线程管理模块用于创建、监控和销毁线程；其中，线程包括收包线程、协议解析线程、流表管理线程和流表超时回收线程。

9、进一步的，所述业务逻辑层还包括数据创建单元，数据创建单元用于通过数据采集收包管理、数据采集捕包管理、数据采集流表管理及数据采集应用层解析完成数据采集及数据初步加工后，得到基础数据信息，将基础数据存储于数据库系统。

10、进一步的，所述业务逻辑层还包括数据分析单元，数据分析单元用于在得到采集的数据后，对所有基础数据按需进行分析处理。

11、进一步的，所述数据分析单元包括数据加载模块、数据清洗模块和数据分析模块，其中：数据加载模块用于对互联网抓取的路由数据进行加载、保存的处理，并通过中间件组件进行数据报文解析，提取并入库；

12、数据清洗模块用于对原始数据进行etl处理，通过原始数据并按照数据类型分地域、分业务以及分特定源宿，以统计差异性、数据匹配程度；通过对比分析、占比分析、topn分析和趋势分析，揭示不同数据类型、不同时间差异性、匹配度、不同地域之状况，掌握特定路由库涵盖度、准确性；

13、数据分析模块用于结合数据仓库模型，通过界面对报表数据详细展示，分析路由库的涵盖度和准确度。

14、在本发明的第二方面，提供了一种bgp路由安全监测方法，该监测方法包括：

15、步骤s201：数据采集，数据采集模块统一由线程管理模块进行管理，线程管理模块用于创建、监控和销毁线程，其中，系统中的线程包括收包线程、协议解析线程、流表管理线程和流表超时回收线程；线程管理模块用于提供调用接口，创建或者销毁线程；还用于提供线程的监控，在发生异常时重启；

16、步骤s202：数据创建，在步骤s201中通过数据采集收包管理、数据采集捕包管理、数据采集流表管理及数据采集应用层解析完成数据采集及数据初步加工后，得到基础数据信息，将基础数据存储于专用数据库系统；

17、步骤s203：数据分析，在得到采集的数据后，对所有基础数据按需进行分析处理；其中：数据分析过程包括对互联网抓取的路由数据进行加载、保存；数据加载通过中间件组件进行数据报文解析，提取并入库；对原始数据进行etl处理，通过原始数据并按照数据类型分地域、分业务以及分特定源宿，以统计差异性、数据匹配程度；通过对比分析、占比分析、topn分析和趋势分析，揭示不同数据类型、不同时间差异性、匹配度、不同地域之状况，掌握特定路由库涵盖度、准确性；结合数据仓库模型，通过界面对报表数据详细展示，分析路由库的涵盖度和准确度；

18、步骤s204：数据服务，针对系统在运行过程中形成的大量高价值数据，通过统一接口方式，对其他平台系统提供数据服务；

19、步骤s205：系统展示，将步骤s202中的数据分析结果，以图形界面方式，通过手机、平板、电脑的多种接入方式向用户进行访问展示。

20、与现有技术相比，本发明一种bgp路由安全监测系统及方法的有益效果是：

21、本发明可以实现对全球rpki分布、全球irr分布、国内活跃as分布、国内外网络互联关系、国内网络互联关系、as和ip地址资源归属情况、骨干网络拓扑等进行有效监测，感知发现路由层面的网络运行风险，支撑国内骨干网络监测与安全保障，防止路由劫持，进而对bgp路由劫持等互联网高等级安全风险进行有效防护，减少大规模的网络中断，保障骨干互联网网络安全稳定。

技术特征：

1.一种bgp路由安全监测系统，其特征在于，该系统包括：

2.根据权利要求1所述的bgp路由安全监测系统，其特征在于，所述业务逻辑层包括数据采集单元，数据采集单元包括数据采集模块和线程管理模块，线程管理模块用于创建、监控和销毁线程；其中，线程包括收包线程、协议解析线程、流表管理线程和流表超时回收线程。

3.根据权利要求2所述的bgp路由安全监测系统，其特征在于，所述业务逻辑层还包括数据创建单元，数据创建单元用于通过数据采集收包管理、数据采集捕包管理、数据采集流表管理及数据采集应用层解析完成数据采集及数据初步加工后，得到基础数据信息，将基础数据存储于数据库系统。

4.根据权利要求3所述的bgp路由安全监测系统，其特征在于，所述业务逻辑层还包括数据分析单元，数据分析单元用于在得到采集的数据后，对所有基础数据按需进行分析处理。

5.根据权利要求4所述的bgp路由安全监测系统，其特征在于，所述数据分析单元包括数据加载模块、数据清洗模块和数据分析模块，其中：数据加载模块用于对互联网抓取的路由数据进行加载、保存的处理，并通过中间件组件进行数据报文解析，提取并入库；

6.一种bgp路由安全监测方法，其特征在于，该监测方法包括：

技术总结本发明属于通信网络技术领域，提供了一种BGP路由安全监测系统，包括数据访问层、业务逻辑层、数据服务层和表示层，表示层采用HTML5、AJAX技术，以轻量级Jquery AJAX框架为基础搭建客户端架构，图表、视频监视采用COM组件；在统一认证的基础上，采用AJAX、JSONP等技术在表示层上将已建成系统各应用集成至平台的同一页面中，形成BGP路由安全监测系统。本发明还提供了一种BGP路由安全监测方法。本发明可以实现对全球RPKI分布、全球IRR分布、国内活跃AS分布、国内外网络互联关系、国内网络互联关系、AS和IP地址资源归属情况、骨干网络拓扑等进行有效监测，减少大规模的网络中断，保障骨干互联网网络安全稳定。技术研发人员：邱亮,伍颜晖,刘涛,柏刚受保护的技术使用者：北京金钻芯科技有限公司技术研发日：技术公布日：2024/7/23