基于特征分析的BGP路由起源认证诊断方法及装置

本技术涉及互联网，特别涉及一种基于特征分析的bgp路由起源认证诊断方法及装置。

背景技术：

1、资源公钥基础设施rpki(resource public key infrastructure)，能够实现防御源路由劫持的标准化解决，作为边界网关协议安全bgpsec(border gatewayprotocolspecification)和路径操纵防御机制的基础，其对互联网路由安全意义重大。相关技术中，在rpki的应用部署下，网络机构能够使用路由起源验证rov(route originvalidation)过滤非法路由，以避免遭受bgp源路由劫持攻击。

2、然而，相关技术中，因当前路由起源验证的假阳性误诊概率较高，导致网络服务质量产生中断等负面影响，降低了路由起源验证的效率和准确性，使得互联网路由表项对应路由起源授权数据对象roa(route origin authorization)的设置普及率下降，影响了rpki和rov应用部署的推广，亟待解决。

技术实现思路

1、本技术提供一种基于特征分析的bgp路由起源认证诊断方法及装置，以解决相关技术中，因当前路由起源验证的假阳性误诊概率较高，导致网络服务质量产生中断等负面影响，降低了路由起源验证的效率和准确性，使得互联网路由表项对应路由起源授权数据对象的设置普及率下降，影响了rpki和rov应用部署的推广等问题。

2、本技术第一方面实施例提供一种基于特征分析的bgp路由起源认证诊断方法，包括以下步骤：获取rpki的所有路由起源授权数据对象，利用所述所有路由起源授权数据对象得到目标bgp全局路由表中每一个路由对应的验证载荷信息；基于所述验证载荷信息，在所述目标bgp全局路由表中提取满足预设验证无效条件的所有验证无效路由，并确认所述所有验证无效路由中每个验证无效路由的实际诊断类型；基于所述实际诊断类型对所述每个验证无效路由匹配至少一个目标诊断特征，分别根据所述至少一个目标诊断特征对所述每个验证无效路由进行诊断，得到所述每个验证无效路由的特征诊断结果；基于所述实际诊断类型和所述特征诊断结果生成所述每个验证无效路由的实际无效类型，以根据所述实际无效类型得到所述目标bgp全局路由表的起源认证诊断结果。

3、可选地，在本技术的一个实施例中，所述根据所述实际无效类型得到所述目标bgp全局路由表的诊断结果，包括：基于所述实际无效类型确认所述目标bgp全局路由表的所有假阳性验证路由，并对所述假阳性验证路由的验证载荷信息进行更新，得到更新后的所有验证载荷信息；对所述更新后的所有验证载荷信息进行迭代诊断，直至满足预设迭代停止条件，得到所述起源认证诊断结果。可选地，在本技术的一个实施例中，所述基于所述实际无效类型确认所述目标bgp全局路由表的所有假阳性验证路由，并对所述假阳性验证路由的验证载荷信息进行更新，包括：根据所述实际无效类型得到当前验证无效路由的信任等级，并判断所述信任等级是否满足预设安全条件；若所述信任等级满足所述预设安全条件，则判定所述当前验证无效路由为假阳性验证路由，并根据所述实际无效类型生成所述假阳性验证路由的本地起源授权数据对象，以利用所述本地起源授权数据对象更新所述假阳性验证路由的验证载荷信息。

4、可选地，在本技术的一个实施例中，所述基于所述实际诊断类型对所述每个验证无效路由匹配至少一个目标诊断特征，包括：在所述实际诊断类型为前缀匹配失败类型的情况下，判定所述目标诊断特征为路径重叠特征和竞争状态特征；在所述实际诊断类型为as匹配失败类型的情况下，判定所述目标诊断特征为路径邻居特征、所述竞争状态特征和相同组织特征；在所述实际诊断类型同时包括所述as匹配失败类型和所述前缀匹配失败类型的情况下，判定所述目标诊断特征为所述路径邻居特征、所述相同组织特征、所述路径重叠特征和所述竞争状态特征。

5、本技术第二方面实施例提供一种基于特征分析的bgp路由起源认证诊断装置，包括：获取模块，用于获取rpki的所有路由起源授权数据对象，利用所述所有路由起源授权数据对象得到目标bgp全局路由表中每一个路由对应的验证载荷信息；提取模块，用于基于所述验证载荷信息，在所述目标bgp全局路由表中提取满足预设验证无效条件的所有验证无效路由，并确认所述所有验证无效路由中每个验证无效路由的实际诊断类型；匹配模块，用于基于所述实际诊断类型对所述每个验证无效路由匹配至少一个目标诊断特征，分别根据所述至少一个目标诊断特征对所述每个验证无效路由进行诊断，得到所述每个验证无效路由的特征诊断结果；诊断模块，用于基于所述实际诊断类型和所述特征诊断结果生成所述每个验证无效路由的实际无效类型，以根据所述实际无效类型得到所述目标bgp全局路由表的起源认证诊断结果。

6、可选地，在本技术的一个实施例中，所述诊断模块包括：更新单元，用于基于所述实际无效类型确认所述目标bgp全局路由表的所有假阳性验证路由，并对所述假阳性验证路由的验证载荷信息进行更新，得到更新后的所有验证载荷信息；迭代单元，用于对更新后的所有验证载荷信息进行迭代诊断，直至满足预设迭代停止条件，得到所述起源认证诊断结果。

7、可选地，在本技术的一个实施例中，所述更新单元具体用于：根据所述实际无效类型得到当前验证无效路由的信任等级，并判断所述信任等级是否满足预设安全条件；若所述信任等级满足所述预设安全条件，则判定所述当前验证无效路由为假阳性验证路由，并根据所述实际无效类型生成所述假阳性验证路由的本地起源授权数据对象，以利用所述本地起源授权数据对象更新所述假阳性验证路由的验证载荷信息。

8、可选地，在本技术的一个实施例中，所述匹配模块包括：第一判定单元，用于在所述实际诊断类型为前缀匹配失败类型的情况下，判定所述目标诊断特征为路径重叠特征和竞争状态特征；第二判定单元，用于在所述实际诊断类型为as匹配失败类型的情况下，判定所述目标诊断特征为路径邻居特征、所述竞争状态特征和相同组织特征；第三判定单元，用于在所述实际诊断类型同时包括所述as匹配失败类型和所述前缀匹配失败类型的情况下，判定所述目标诊断特征为所述路径邻居特征、所述相同组织特征、所述路径重叠特征和所述竞争状态特征。

9、本技术第三方面实施例提供一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如上述实施例所述的基于特征分析的bgp路由起源认证诊断方法。

10、本技术第四方面实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机程序，该程序被处理器执行时实现如上的基于特征分析的bgp路由起源认证诊断方法。

11、本技术第五方面实施例提供一种计算机程序，所述计算机程序被执行时实现如上的基于特征分析的bgp路由起源认证诊断方法。

12、本技术实施例通过对bgp全局路由表的路由进行特征分类，根据不同诊断类别进行特征分析，从而确认路由的实际无效类型，实现bgp全局路由表的起源认证诊断，从而提高了路由起源验证数据的准确性，降低了路由起源验证假阳性，提升了互联网路的安全管理水平，使路由起源验证的准确性更强。由此，解决了相关技术中，因当前路由起源验证的假阳性误诊概率较高，导致网络服务质量产生中断等负面影响，降低了路由起源验证的效率和准确性，使得互联网路由表项对应路由起源授权数据对象的设置普及率下降，影响了rpki和rov应用部署的推广等问题。

13、本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。