基于可信交换机的生成树协议的攻击检测方法

摘要

本发明是一种基于可信交换机的生成树协议提出的攻击检测方法。它利用内部监控模块对由交换机自身引发的攻击行为进行监控，利用外部防护模块对来自交换机外部的攻击威胁进行检测，从而实现生成树协议的全面攻击检测。本方法首先按照交换机在不同阶段等待不同网桥协议数据单元（BPDU）的情况，画出状态图，根据状态转移条件对交换机整体运行行为进行监控，以检测设备自身发起的攻击行为。然后，对来自外部的BPDU进行分类，采用定时器并计数的方法对泛洪攻击进行检测。最后，在收到BID小于当前根BID的BPDU时，发送探测包对目标交换机进行合法性验证，若为根网桥，还需进行自我评估后决定是否更换根桥，以此检测根接管攻击。

说明书

技术领域：

本发明涉及一种基于可信交换机生成树协议的攻击检测方法的评估。属 于信息安全领域。

背景技术：

网络技术的快速发展和规模的不断扩大，使其正面临着严峻的安全挑战。 交换机作为二层转发设备，经常受到攻击，比如非法获取交换机控制权，导 致网络瘫痪等。生成树协议是交换机运行的一个主要协议，它可以将有环路 的物理拓扑变成无环路的逻辑拓扑。针对生成树协议的攻击，是目前交换机 面临的主要威胁之一。

生成树协议攻击有很多种，目前较为成熟的防护措施有思科提出的BPDU 保护和根保护机制，其采用人工干预的方法强制阻止端口接收BPDU或BID小 于根BID的BPDU，此方法需要管理员熟悉各网桥在网络中的位置。国内外针 对BPDU缺少认证机制的研究有，修改BPDU格式增加认证头的方法、创建网 桥地址许可列表（Bridge Access Permit List）来实现简单BPDU认证的机 制等等。现有的技术方案不能解决所有问题，同时仍存在缺陷。所以需要一 种全面的生成树协议的攻击检测或防护方法。发明人提出一种基于可信交换 机的生成树协议攻击检测方法，在此，默认每台交换机在接入可信网络之后， 都会由CA认证中心向其颁发信任证书，内容包括交换机的平台及身份认证信 息，平台认证信息的主要内容是对BID的认证，当改变交换机优先级时必须 通知服务器并重新向CA申请证书。本发明在采用常规方法检测泛洪攻击之后， 还将通过发送证书认证请求的方式检测根接管攻击（root take-over  attack）。最后对交换机生成树协议运行状态进行细致分类，结合各状态下 可信行为，描绘状态机，检测内部非法行为。本方法无需管理员介入，灵活 易操作，同时对存在威胁的交换机进行认证，实现重点认证机制，结合对外 防护和对内监控模块，真正实现生成树协议的全面防护。

发明内容：

本发明的目的在于，针对生成树协议存在的缺点，提出一种简单灵活、 全面有效的生成树协议攻击检测方法，实现对内监控和对外防护两方面监管， 即基于可信交换机的生成树协议攻击检测方法。

本发明的特征在于依次包括以下步骤：

首先，执行交换机内部监控模块。本发明对交换机生成树协议在不同阶 段等待BPDU情况进行了分类，将其分为以下六个状态：初始化、等待配置BPDU （CONF_BPDU）、等待拓扑变化BPDU（TC_BPDU）、等待拓扑变化通知BPDU （TCN_BPDU）、等待拓扑变化确认BPDU（TCA_BPDU）、等待证书BPDU （Cert_BPDU）。内部监控模块根据状态转移条件对交换机的生成树协议控制 行为进行监控。若在某一状态收到非该状态下的触发事件，或在某一事件的 触发下做出非该状态下的应答事件，则判定为相应的攻击行为。状态机描述 如下：

1)初始化→等待CONF_BPDU。转移条件：发送CONF_BPDU。

2)等待CONF_BPDU→等待CONF_BPDU。转移条件：收到CONF_BPDU或 TC_BPDU后，发送CONF_BPDU或TC_BPDU

3)等待CONF_BPDU→等待TCN_BPDU。转移条件：当前网桥为根网桥。

4)等待TCN_BPDU→等待TCN_BPDU。转移条件：发送CONF_BPDU。

5)等待TCN_BPDU→等待CONF_BPDU。转移条件：收到TCN_BPDU后， 发送TC_BPDU和TCA_BPDU。

6)等待TCN_BPDU→等待Cert_BPDU。转移条件：收到BID小于当前根 BID的BPDU后，发送探测BPDU。

7)等待CONF_BPDU→等待Cert_BPDU。转移条件：收到BID小于当前 根BID的BPDU后，发送探测BPDU。

8)等待Cert_BPDU→等待CONF_BPDU。转移条件：收到cert_BPDU或 超时。

9)等待CONF_BPDU→等待TCA_BPDU。转移条件：超时后发送TCN_BPDU， 或收到TCN_BPDU后，发送TCN_BPDU和TCA_BPDU。

10)等待TCA_BPDU→等待TCA_BPDU。转移条件：发送TCN_BPDU。

11)等待TCA_BPDU→等待CONF_BPDU。转移条件：超时后，发送 CONF_BPDU。

12)等待TCA_BPDU→等待TC_BPDU。转移条件：收到TCA_BPDU。

13)等待TC_BPDU→等待CONF_BPDU。转移条件：收到TC_BPDU后， 发送TC_BPDU。

然后，执行交换机外部防护模块的泛洪攻击检测部分。当交换机接收到 BPDU报文时，启动相应定时器并开始统计规定时间段内收到相同类型的BPDU 次数，待定时器到时后，判断当前值是否大于阈值，是则判定为相应泛洪攻 击，否则继续进行。其中CONF_BPDU对应阈值为最大节点数即最大交换机个 数的平方，即maxNode*maxNode，其它阈值根据网络规模而定，值越低，报警 精度越高，同时误报率也越高，但通常不能低于网络中最大节点个数，即 [maxNode,+∞）。

最后，执行交换机外部防护模块的根接管攻击检测部分。当指定网桥 收到BID小于当前根BID的BPDU时：

若发送者与该指定网桥直接相连，则向该BPDU的发送者发送探测包，请 求验证发送者的身份证书和相关信息，并等待回复信息。收到回复后，对证 书进行合法性验证，并判断发送者的度数，即与发送者直接相连的交换机的 个数，是否大于当前根桥的度数，以此判断发送者在网络中的大致位置，验 证通过后更新其所存储的根BID，否则发出根接管攻击警告；若发送者与该指 定网桥非直接相连，则证明发送者已经经过与其直连的网桥的验证，此时直 接更新根BID。

当根网桥收到BID小于当前根BID的BPDU时：

若发送者与根网桥直接相连，则向该BPDU的发送者发送探测包，请求验 证发送者的身份证书和相关信息，并等待回复信息。收到回复后，对证书进 行合法性验证，并判断发送者的度数是否大于当前根桥的度数，以此判断发 送者在网络中的大致位置，验证通过后，根网桥继续收集自身信息，进行自 我评估，评估内容包括修改Hello时间、转发延迟、最大生存时间的次数， 出现内部报警次数，若两者均小于给定值（管理员自行设定，值越小精度越 高，误报率也越高，通常不低于网络中最大节点个数，即[maxNode,+∞））， 则评估通过，发出根接管攻击警告；不通过，则更新根BID，选举新交换机为 根网桥；若发送者与根网桥非直接相连，则根网桥直接进行自我评估，评估 通过，则判定为根接管攻击；不通过，则更新根BID，选举新交换机为根网桥。

本发明从内外两方面实现了生成树协议的攻击检测。创新点在于：

1)采用状态机规范交换机的内部行为，避免交换机被黑客获取控制 权，而非法运行对网络中发起攻击的可能。针对外来攻击采用外部防护模 块，因此状态机只需记录自身状态，而无需记录邻居状态，大大减小了其 工作量。

2)外部防护模块中，由直连交换机对新加入的交换机进行认证，能够 防止非正常授权交换机即无有效身份证书的交换机和用户伪装的交换机所 发起的攻击行为，同时减轻由认证机制带来的网络流量负担。

3)根桥自我评估机制，能有效避免恶意交换机申请替换根桥，频繁更 换根桥的潜在根接管攻击行为。同时，当前根桥发生不可靠行为时，允许 新的根桥选举。该机制既能有效防止根接管攻击，又不阻碍正常情况下的 根桥选举。

附图说明

图1是本发明实现交换机生成树协议内部监控模块的状态转移图。

图2是实现交换机生成树协议外部防护模块的泛洪攻击检测流程图。

图3是实现交换机生成树协议外部防护模块的根接管攻击检测流程图。

具体实施方式

下面结合附图1、2、3具体说明本发明的实现方法及步骤。

本发明是一种基于可信交换机生成树协议的攻击检测方法，它分为内部 监控和外部防护两部分。交换机在成功介入网络之后，首先启动状态机，执 行内部监控模块，规范生成树协议内部操作，如图1。当收到BPDU时，执行 生成树协议外部防护模块的泛洪检测，检测来自外部的泛洪攻击行为，如图2。 最后执行根接管攻击检测，发送验证并决定是否更换根桥，如图3。

首先，根据图1中的状态图，对生成树协议的整个运行过程进行监控。 具体说明如下：

1)Init→等待CONF_BPDU：交换机从初始状态进入等待配置消息状态，

通过发送CONF_BPDU准备参与生成树计算。

2)等待CONF_BPDU→等待CONF_BPDU：计算生成树阶段和正常运行之 后，交换机每隔2秒都会收到CONF_BPDU，更新自己BPDU存储内容，并向 其他邻居发送新的CONF_BPDU；当拓扑发生变化时，交换机将收到上游网 桥传送的TC_BPDU消息，并继续发送TC_BPDU给下游网桥。

3)等待CONF_BPDU→等待TCN_BPDU：当前网桥为根网桥，进入等待 TCN_BPDU状态，等待处理下游网桥发送的拓扑变化通知。

4)等待TCN_BPDU→等待TCN_BPDU：网络正常运行过程中，根网桥每 隔2秒向下游网桥发送CONF_BPDU，此时保持状态不变。

5)等待TCN_BPDU→等待CONF_BPDU：根网桥收到TCN_BPDU，首先向 发送者回复确认消息TCA_BPDU，然后向所有下游网桥发送TC_BPDU。

6)等待TCN_BPDU→等待Cert_BPDU：根网桥收到BID小于当前根BID 的BPDU，向发送者发送探测包，并进入等待证书状态。

7)等待CONF_BPDU→等待Cert_BPDU：指定网桥收到BID小于当前 根BID的BPDU，向发送者发送探测包，并进入等待证书状态。

8)等待Cert_BPDU→等待CONF_BPDU：收到目标交换机的证书回复或 超时，回到等待配置状态。

9)等待CONF_BPDU→等待TCA_BPDU：在等待配置消息状态下超时未 收到任何消息，则向根桥发送TCN_BPDU，进入等待TCA_BPDU状态；或收 到TCN_BPDU，回复TCA_BPDU确认消息，并转发TCN_BPDU，进入等待 TCA_BPDU状态。

10)等待TCA_BPDU→等待TCA_BPDU：在该状态下持续发送 TCN_BPDU，直到收到TCA_BPDU确认消息或超时为止。

11)等待TCA_BPDU→等待CONF_BPDU：在等待TCA_BPDU状态下未 收到确认信息直至超时，发送CONF_BPDU，声称根桥重新计算生成树。

12)等待TCA_BPDU→等待TC_BPDU：收到TCA_BPDU确认消息，进 入等待TC_BPDU状态。

13)等待TC_BPDU→等待CONF_BPDU：收到TC_BPDU，并向下游交换 机转发该消息，回到等待CONF_BPDU状态。

然后执行图2步骤。当交换机接收到来自外部的BPDU配置包时，首先根 据BPDU类型将其分为配置消息（CONF_BPDU）和拓扑变化通知（TCN_BPDU） 消息。若是TCN_BPDU，则启动TCN_BPDU定时器，对其进行计数；若是 CONF_BPDU，则再继续判断其是拓扑变化包（TC_BPDU）还是BID小于当前根 BID的BPDU（较优BPDU）包，根据不同结果启动相应定时器。如果是较优 BPDU，则还需启动根选举定时器。待各定时器（除根选举定时器）到时后， 根据其是否超过阈值来判定其是否为泛洪攻击。在此设定，CONF_BPDU、 TCN_BPDU、TC_BPDU、根选举定时器值分别为3秒、1秒、1秒、60秒，CONF_BPDU、 TCN_BPDU、TC_BPDU对应阈值分别为最大节点数*最大节点数、100、50。若启 动了根选举定时器，在该定时器到时后，执行图3步骤，如下：

当指定网桥收到BID小于当前根BID的BPDU时：

若发送者与该指定网桥直接相连，则向该BPDU的发送者发送探测包，请 求验证发送者的身份证书和相关信息，并等待回复信息。收到回复后，对证 书进行合法性验证，并判断发送者的度数，是否大于当前根桥的度数，以此 判断发送者在网络中的大致位置，验证通过后更新其所存储的根BID，否则发 出根接管攻击警告；若发送者与该指定网桥非直接相连，则证明发送者已经 经过与其直连的网桥的验证，此时直接更新根BID。

当根网桥收到BID小于当前根BID的BPDU时：

若发送者与根网桥直接相连，则向该BPDU的发送者发送探测包，请求验 证发送者的身份证书和相关信息，并等待回复信息。收到回复后，对证书进 行合法性验证，并判断发送者的度数是否大于当前根桥的度数，以此判断发 送者在网络中的大致位置，验证通过后，根网桥继续收集自身信息，进行自 我评估，评估内容包括修改Hello时间、转发延迟、最大生存时间的次数， 出现内部报警次数，若两者均小于给定值，则评估通过，发出根接管攻击警 告；不通过，则更新根BID，选举新交换机为根网桥；若发送者与根网桥非直 接相连，则根网桥直接进行自我评估，评估通过，则判定为根接管攻击；不 通过，则更新根BID，选举新交换机为根网桥。

自我评估内容中修改Hello时间、转发延迟、最大生存时间中任一者， 总次数均加一。内部报警指状态机运行过程中出现非法行为所导致的报警。 在此，两者阈值均设为10。