基于Transformer模型的域间路由异常检测方法及系统

本发明属于域间路由安全中的域间异常检测领域，特别涉及一种基于transformer模型的域间路由异常检测方法。

背景技术：

1、边界网关协议（border gateway protocol，简称bgp）是运行于 tcp 上的一种自治系统的路由协议。bgp异常检测是通过主、被动获取的路由数据检测异常，并对可疑的路由信息（前缀、as等）进一步定位，使得运维人员可以快速溯源并缓释异常。这类方法通常使用海量的bgp历史路由数据，分析历史bgp路由行为规则和模式作为先验知识，检测as发送的bgp路由消息，有效识别bgp异常并进行溯源。

2、然而，现有异常检测方法在实时性、准确性和智能化方面，还具有较大提升空间。面对观测数据的偏向性和不完整性、bgp路由行为的动态变化以及大规模的bgp网络等诸多挑战，现有方法无法同时做到实时性和准确性。因此，需要开展bgp异常检测与溯源机制的研究，实时监测全球bgp运行态势，并进行溯源分析，保障国家域间网络安全。

技术实现思路

1、本发明针对现有异常检测方法面临的采集数据具有偏向性和不完整性；bgp路由行为的动态变化；bgp网络是分布式系统且规模庞大等挑战。

2、本发明的一个目的在于提供基于transformer模型的域间路由异常检测方法，旨在至少在一定程度上解决其中技术问题之一。

3、本发明的另一个目的在于提供一种基于transformer模型的域间路由异常检测系统。

4、为了达到上述的目的，本发明一方面提供一种基于transformer模型的域间路由异常检测方法，包括：

5、基于采集点采集bgp路由数据，构建动态bgp网络拓扑；

6、提取bgp网络拓扑中各as节点子图，并提取相关特征信息，获得图模型；

7、根据具有相关特征信息的图模型，基于simhash计算图模型的指纹信息；

8、根据前后时刻获得的指纹信息，采用transformer与gcn框架，构建异常检测模型，用于域间路由异常检测。

9、本发明进一步优选地技术方案为，所述基于采集点采集bgp路由数据，构建动态bgp网络拓扑；具体为：

10、基于全球采集点采集bgp路由数据，其中包含bgp路由表数据以及bgp路由更新数据；

11、根据bgp路由表数据构建全球路由拓扑；

12、再根据当前时刻的bgp路由更新数据，更新全球路由拓扑得到当前时刻的bgp网络拓扑。

13、作为优选，所述提取bgp网络拓扑中各as节点子图，并提取相关特征信息，获得图模型；具体为：

14、遍历bgp网络拓扑中的各个as节点，提取其一阶ego子图；

15、计算as节点的相关特征信息，包括边特征、局部拓扑特征、全局拓扑特征和路径相关特征。

16、作为优选，所述根据具有相关特征信息的图模型，基于simhash计算图模型的指纹信息；具体为：

17、使用循环冗余编码对bgp网络拓扑中的m个as节点和n条边名称进行哈希计算，形成b位二进制数，表达式为：

18、

19、式中，和分别表示为当前时刻t的节点和连接边集合；

20、对as节点特征进行归一化处理得到t时刻特征向量，并且根据得到的hash值进行正负反转，再按行求和，得到第i个as节点的指纹信息，表示为：

21、

22、式中，表示求取指纹信息的函数；表示为第i个as节点的第j个比特位；为当前t时刻第i个as节点的第j个特征，b为哈希函数输出的二进制位数；

23、然后将各as节点的指纹信息负值位置取0，正值位置取1，得到各个as节点的指纹向量，构成全球指纹矩阵，表示为：

24、

25、其中，。

26、作为优选，根据前后时刻获得的指纹信息，采用transformer与gcn框架，构建异常检测模型，用于域间路由异常检测；具体为：

27、首先将该时刻与上时刻的获得的全球指纹矩阵进行异或操作，将异或操作后的指纹信息输入到transformer模块，输出注意力向量矩阵，具体计算公式为：

28、

29、

30、

31、

32、其中，表示归一化的问询张量，表示键值张量，表示数值张量，n表示bgp网络拓扑中的节点数量，表示一个n维全1列向量；表示注意力网络的第一层输入，即指纹数据，为一个超参数表示残差连接的占比；

33、、和分别表示线性变换函数，表示取矩阵的对角线元素函数，表示弗洛贝尼乌斯范数；

34、同时将bgp网络拓扑的邻接信息，以及异或操作后的指纹信息输入到gcn网络中，进行池化操作，输出gcn表示张量，表示为：

35、

36、式中，表示gcn的第l层结构，表示as图的度矩阵，表示as图的邻接矩阵，表示第层的gcn输出矩阵，表示gcn第层的学习矩阵，表示隐藏层的向量维度，表示非线性激活函数，采用relu激活函数；

37、将得到的注意力向量矩阵与gcn表示张量进行连接，结果输入到多层感知机中得到当前t时刻的输出，通过计算二值交叉熵损失更新梯度变量，表示为：

38、

39、

40、式中，表示gcn网络时刻的输出矩阵，表示全球指纹矩阵，表示注意力网络的时刻的输出；表示异常类别数量，表示第i个样本第c个类别的标识，表示对于第i个样本第c个类别的输出打分；另外，表示矩阵的连接操作；

41、根据该检测模型，进行域间路由异常检测。

42、作为优选，根据构建的异常检测模型，通过重建损失构建溯源分析模型，表示为：

43、

44、式中，，分别表示偏差损失函数和分类损失函数；为第i个样本的标签。

45、本发明另一方面提供一种基于transformer模型的域间路由异常检测系统，包括：

46、数据采集与拓扑构建模块，用于基于采集点采集bgp路由数据，构建动态bgp网络拓扑；

47、特征提取模块，用于提取bgp网络拓扑中各as节点，并提取相关特征信息，获得图模型；

48、指纹信息计算模块，用于根据具有相关特征信息的图模型，基于simhash计算图模型的指纹信息；

49、异常检测模型构建模块，用于根据前后时刻获得的指纹信息，采用transformer与gcn框架，构建异常检测模型，用于域间路由异常检测。

50、本发明又一方面提供一种非暂态计算机可读存储介质，其上存储有计算机指令，该计算机指令使计算机执行上述的基于transformer模型的域间路由异常检测方法。

51、本发明又一方面提供一种电子设备，包括：处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信，处理器调用存储器中的逻辑指令，以执行上述的基于transformer模型的域间路由异常检测方法。

52、本发明再一方面提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机执行上述的基于transformer模型的域间路由异常检测方法。

53、有益效果：本发明基于transformer模型的域间路由异常检测方法，通过对全球bgp网络子图的抽样，进行simhash的计算得到逐个as的丰富指纹信息，其中包含子图的边信息和节点信息，从而可以准确捕获as在动态bgp网络中的行为信息；

54、本发明基于transformer模型的域间路由异常检测方法，通过计算线性注意力机制对全球as的指纹信息进行并行张量化处理，降低了复杂度，从而能够同时计算出全球as的向量表示，避免原始方法内存溢出的问题；

55、本发明为了克服采集点的局部不完整性信息，提出使用由图卷积提取的局部信息和注意力机制提取的全局信息相结合的方式，对不完整性信息进行准确弥补，从而提高异常检测和溯源的准确率。