[发明专利]基于可信交换机的生成树协议的攻击检测方法

权利要求书

1.一种基于可信交换机的生成树协议提出的攻击检测方法,其特征在于包括以下步骤：

首先，执行交换机内部监控模块

对交换机生成树协议在不同阶段等待BPDU情况进行了分类，将其分为以下六个状态：初始化、等待配置BPDU以下简称为CONF_BPDU、等待拓扑变化BPDU以下简称为TC_BPDU、等待拓扑变化通知BPDU以下简称为TCN_BPDU、等待拓扑变化确认BPDU以下简称为TCA_BPDU、等待证书BPDU以下简称为Cert_BPDU；内部监控模块根据状态转移条件对交换机的生成树协议控制行为进行监控；若在某一状态收到非该状态下的触发事件，或在某一事件的触发下做出非该状态下的应答事件，则判定为相应的攻击行为；状态机描述如下：

1)初始化→等待CONF_BPDU；转移条件：发送CONF_BPDU；

2)等待CONF_BPDU→等待CONF_BPDU；转移条件：收到CONF_BPDU或TC_BPDU后，发送CONF_BPDU或TC_BPDU

3)等待CONF_BPDU→等待TCN_BPDU；转移条件：当前网桥为根网桥；

4)等待TCN_BPDU→等待TCN_BPDU；转移条件：发送CONF_BPDU；

5)等待TCN_BPDU→等待CONF_BPDU；转移条件：收到TCN_BPDU后，发送TC_BPDU和TCA_BPDU；

6)等待TCN_BPDU→等待Cert_BPDU；转移条件：收到BID小于当前根BID的BPDU后，发送探测BPDU；

7)等待CONF_BPDU→等待Cert_BPDU；转移条件：收到BID小于当前根BID的BPDU后，发送探测BPDU；

8)等待Cert_BPDU→等待CONF_BPDU；转移条件：收到cert_BPDU或超时；

9)等待CONF_BPDU→等待TCA_BPDU；转移条件：超时后发送TCN_BPDU，或收到TCN_BPDU后，发送TCN_BPDU和TCA_BPDU；

10)等待TCA_BPDU→等待TCA_BPDU；转移条件：发送TCN_BPDU；

11)等待TCA_BPDU→等待CONF_BPDU；转移条件：超时后，发送CONF_BPDU；

12)等待TCA_BPDU→等待TC_BPDU；转移条件：收到TCA_BPDU；

13)等待TC_BPDU→等待CONF_BPDU；转移条件：收到TC_BPDU后，发送TC_BPDU；

然后，执行交换机外部防护模块的泛洪攻击检测部分；当交换机接收到BPDU报文时，启动相应定时器并开始统计规定时间段内收到相同类型的BPDU次数，待定时器到时后，判断当前值是否大于阈值,是则判定为相应泛洪攻击，否则继续进行；其中CONF_BPDU对应阈值为最大节点数的平方，即最大交换机个数的平方，其它阈值根据网络规模而定，值越小，报警精度越高，同时误报率也越高；

最后，执行交换机外部防护模块的根接管攻击检测部分；当指定网桥收到BID小于当前根BID的BPDU时：

若发送者与该指定网桥直接相连，则向该BPDU的发送者发送探测包，请求验证发送者的身份证书和相关信息，并等待回复信息；收到回复后，对证书进行合法性验证，并判断发送者的度数，即与发送者直接相连的交换机的个数，是否大于当前根桥的度数，以此判断发送者在网络中的大致位置，验证通过后更新其所存储的根BID，否则发出根接管攻击警告；若发送者与该指定网桥非直接相连，则证明发送者已经经过与其直连的网桥的验证，此时直接更新根BID；

当根网桥收到BID小于当前根BID的BPDU时：

若发送者与根网桥直接相连，则向该BPDU的发送者发送探测包，请求验证发送者的身份证书和相关信息，并等待回复信息；收到回复后，对证书进行合法性验证，并判断发送者的度数是否大于当前根桥的度数，以此判断发送者在网络中的大致位置，验证通过后，根网桥继续收集自身信息，进行自我评估，评估内容包括修改Hello时间、转发延迟、最大生存时间的次数，出现内部报警次数，若两者均小于给定值，则评估通过，发出根接管攻击警告，其中，给定值为管理员自行设定，值越小精度越高，误报率也越高；不通过，则更新根BID，选举新交换机为根网桥；若发送者与根网桥非直接相连，则根网桥直接进行自我评估，评估通过，则判定为根接管攻击；不通过，则更新根BID，选举新交换机为根网桥。