[发明专利]基于可信交换机的生成树协议的攻击检测方法

说明书

技术领域：

本发明涉及一种基于可信交换机生成树协议的攻击检测方法的评估。属于信息安全领域。

背景技术：

网络技术的快速发展和规模的不断扩大，使其正面临着严峻的安全挑战。交换机作为二层转发设备，经常受到攻击，比如非法获取交换机控制权，导致网络瘫痪等。生成树协议是交换机运行的一个主要协议，它可以将有环路的物理拓扑变成无环路的逻辑拓扑。针对生成树协议的攻击，是目前交换机面临的主要威胁之一。

生成树协议攻击有很多种，目前较为成熟的防护措施有思科提出的BPDU保护和根保护机制，其采用人工干预的方法强制阻止端口接收BPDU或BID小于根BID的BPDU，此方法需要管理员熟悉各网桥在网络中的位置。国内外针对BPDU缺少认证机制的研究有，修改BPDU格式增加认证头的方法、创建网桥地址许可列表（Bridge Access Permit List）来实现简单BPDU认证的机制等等。现有的技术方案不能解决所有问题，同时仍存在缺陷。所以需要一种全面的生成树协议的攻击检测或防护方法。发明人提出一种基于可信交换机的生成树协议攻击检测方法，在此，默认每台交换机在接入可信网络之后，都会由CA认证中心向其颁发信任证书，内容包括交换机的平台及身份认证信息，平台认证信息的主要内容是对BID的认证，当改变交换机优先级时必须通知服务器并重新向CA申请证书。本发明在采用常规方法检测泛洪攻击之后，还将通过发送证书认证请求的方式检测根接管攻击（root take-over attack）。最后对交换机生成树协议运行状态进行细致分类，结合各状态下可信行为，描绘状态机，检测内部非法行为。本方法无需管理员介入，灵活易操作，同时对存在威胁的交换机进行认证，实现重点认证机制，结合对外防护和对内监控模块，真正实现生成树协议的全面防护。

发明内容：

本发明的目的在于，针对生成树协议存在的缺点，提出一种简单灵活、全面有效的生成树协议攻击检测方法，实现对内监控和对外防护两方面监管，即基于可信交换机的生成树协议攻击检测方法。

本发明的特征在于依次包括以下步骤：

首先，执行交换机内部监控模块。本发明对交换机生成树协议在不同阶段等待BPDU情况进行了分类，将其分为以下六个状态：初始化、等待配置BPDU（CONF_BPDU）、等待拓扑变化BPDU（TC_BPDU）、等待拓扑变化通知BPDU（TCN_BPDU）、等待拓扑变化确认BPDU（TCA_BPDU）、等待证书BPDU（Cert_BPDU）。内部监控模块根据状态转移条件对交换机的生成树协议控制行为进行监控。若在某一状态收到非该状态下的触发事件，或在某一事件的触发下做出非该状态下的应答事件，则判定为相应的攻击行为。状态机描述如下：

1)初始化→等待CONF_BPDU。转移条件：发送CONF_BPDU。

2)等待CONF_BPDU→等待CONF_BPDU。转移条件：收到CONF_BPDU或TC_BPDU后，发送CONF_BPDU或TC_BPDU

3)等待CONF_BPDU→等待TCN_BPDU。转移条件：当前网桥为根网桥。

4)等待TCN_BPDU→等待TCN_BPDU。转移条件：发送CONF_BPDU。

5)等待TCN_BPDU→等待CONF_BPDU。转移条件：收到TCN_BPDU后，发送TC_BPDU和TCA_BPDU。

6)等待TCN_BPDU→等待Cert_BPDU。转移条件：收到BID小于当前根BID的BPDU后，发送探测BPDU。

7)等待CONF_BPDU→等待Cert_BPDU。转移条件：收到BID小于当前根BID的BPDU后，发送探测BPDU。

8)等待Cert_BPDU→等待CONF_BPDU。转移条件：收到cert_BPDU或超时。

9)等待CONF_BPDU→等待TCA_BPDU。转移条件：超时后发送TCN_BPDU，或收到TCN_BPDU后，发送TCN_BPDU和TCA_BPDU。

10)等待TCA_BPDU→等待TCA_BPDU。转移条件：发送TCN_BPDU。

11)等待TCA_BPDU→等待CONF_BPDU。转移条件：超时后，发送CONF_BPDU。

12)等待TCA_BPDU→等待TC_BPDU。转移条件：收到TCA_BPDU。

13)等待TC_BPDU→等待CONF_BPDU。转移条件：收到TC_BPDU后，发送TC_BPDU。