本申請公開了一種BGP異常檢測方法及系統，方法包括：獲取異常數據集，對異常數據集進行數據標準化處理，從特征集中選擇出能同時最大化類間距離和最小化類內距離的特征，并得到各個特征度量分類能力的特征權值，優化高斯核函數，參數尋優，確定最優特征子集。本申請能夠基于改進的高斯核函數以及基于網格搜索與交叉驗證進行參數尋優，以提高模型分類準確率，基于最優特征子集來評價模型綜合性能。

技術領域

本申請涉及異常檢測技術領域，尤其涉及一種BGP(Border Gateway Protocol，邊界網關協議)異常檢測方法及系統。

背景技術

根據事件后果，BGP異常可分為數據流劫持異常和更新報文激增異常。數據流劫持異常會導致受害網絡數據流的重定向，形成流量黑洞等，破壞了受害網絡的可達性。更新報文激增異常會導致在極短時間內產生大量的BGP更新報文，破壞了全球互聯網的穩定性。

目前BGP異常檢測方法一般分為五類，分別是基于統計模式識別的方法、基于歷史BGP更新報文的方法、基于可達性驗證的方法，以及基于時間序列分析的方法和基于機器學習的方法。基于統計模式識別的方法采用統計概率論進行模式識別，根據模式之間的距離函數來判定異常，能夠同時檢測數據流劫持異常和更新報文激增異常。但該方法面臨著正確估計高維數據分布的困難性，檢測速度慢，實際應用中需人工確定模型參數的閾值。基于歷史BGP更新報文的方法和基于可達性驗證的方法僅能檢測數據流劫持異常，前者利用歷史數據來對BGP異常路由進行檢測，后者根據目標前綴的可達性驗證結果進行異常檢測。基于時間序列分析的方法和基于機器學習的方法能夠檢測更新報文激增異常。其中，基于時間序列分析的方法將BGP更新報文視為一個多維的時間序列，通過選擇合適的滑動時間窗口實現異常檢測。但該方法難以確定時間窗口的大小，時間窗口過小會導致模型可利用的信息量不夠，時間窗口過大又會導致模型對局部異常不敏感，使得漏報率上升。近年來，機器學習方法在BGP異常檢測領域得到了一定應用。從機器學習角度來看，BGP異常檢測問題可抽象為二分類問題，目的是將未知的BGP更新報文識別為正常報文或異常報文，從而實現BGP異常檢測。

綜上所述，傳統的BGP異常檢測方法存在著諸如檢測準確率較低、參數閾值估計困難、檢測速度較慢、部署難度大、依賴于知識庫的完備性等一系列實際問題。

因此，如何解決現有技術分類準確率較低，效果不太良好，未對模型的綜合性能做出評價，是一項亟待解決的問題。

發明內容

有鑒于此，本申請提供了一種BGP異常檢測方法，能夠基于改進的高斯核函數以及基于網格搜索與交叉驗證進行參數尋優，以提高模型分類準確率，基于最優特征子集來評價模型綜合性能。

本申請提供了一種BGP異常檢測方法，所述方法包括：

獲取異常數據集；

對所述異常數據集進行數據標準化處理；

采用Fisher-Markov Selector特征選擇算法，從特征集中選擇出能同時最大化類間距離和最小化類內距離的特征，并得到各個特征度量分類能力的特征權值；

采用曼哈頓距離和特征權值優化高斯核函數，其中，所述曼哈頓距離作為高斯核函數中衡量兩個向量之間的距離測度方法；

基于網格搜索與交叉驗證對支持向量機模型進行參數尋優；

確定最優特征子集。

優選地，所述獲取異常數據集包括：

從自治系統中獲取異常數據集。

優選地，所述對所述異常數據集進行數據標準化處理包括：

采用樣本均值代替總體均值，采用樣本標準差代替總體標準差。

優選地，所述優化高斯核函數包括：