[发明专利]基于可信交换机的生成树协议的攻击检测方法有效
| 申请号: | 201310064556.2 | 申请日: | 2013-02-28 |
| 公开(公告)号: | CN103139219A | 公开(公告)日: | 2013-06-05 |
| 发明(设计)人: | 赖英旭;潘秋月;杨震;李健;刘静;李哲 | 申请(专利权)人: | 北京工业大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26 |
| 代理公司: | 北京思海天达知识产权代理有限公司 11203 | 代理人: | 刘萍 |
| 地址: | 100124 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明是一种基于可信交换机的生成树协议提出的攻击检测方法。它利用内部监控模块对由交换机自身引发的攻击行为进行监控,利用外部防护模块对来自交换机外部的攻击威胁进行检测,从而实现生成树协议的全面攻击检测。本方法首先按照交换机在不同阶段等待不同网桥协议数据单元(BPDU)的情况,画出状态图,根据状态转移条件对交换机整体运行行为进行监控,以检测设备自身发起的攻击行为。然后,对来自外部的BPDU进行分类,采用定时器并计数的方法对泛洪攻击进行检测。最后,在收到BID小于当前根BID的BPDU时,发送探测包对目标交换机进行合法性验证,若为根网桥,还需进行自我评估后决定是否更换根桥,以此检测根接管攻击。 | ||
| 搜索关键词: | 基于 可信 交换机 生成 协议 攻击 检测 方法 | ||
【主权项】:
一种基于可信交换机的生成树协议提出的攻击检测方法,其特征在于包括以下步骤:首先,执行交换机内部监控模块对交换机生成树协议在不同阶段等待BPDU情况进行了分类,将其分为以下六个状态:初始化、等待配置BPDU以下简称为CONF_BPDU、等待拓扑变化BPDU以下简称为TC_BPDU、等待拓扑变化通知BPDU以下简称为TCN_BPDU、等待拓扑变化确认BPDU以下简称为TCA_BPDU、等待证书BPDU以下简称为Cert_BPDU;内部监控模块根据状态转移条件对交换机的生成树协议控制行为进行监控;若在某一状态收到非该状态下的触发事件,或在某一事件的触发下做出非该状态下的应答事件,则判定为相应的攻击行为;状态机描述如下:1)初始化→等待CONF_BPDU;转移条件:发送CONF_BPDU;2)等待CONF_BPDU→等待CONF_BPDU;转移条件:收到CONF_BPDU或TC_BPDU后,发送CONF_BPDU或TC_BPDU3)等待CONF_BPDU→等待TCN_BPDU;转移条件:当前网桥为根网桥;4)等待TCN_BPDU→等待TCN_BPDU;转移条件:发送CONF_BPDU;5)等待TCN_BPDU→等待CONF_BPDU;转移条件:收到TCN_BPDU后,发送TC_BPDU和TCA_BPDU;6)等待TCN_BPDU→等待Cert_BPDU;转移条件:收到BID小于当前根BID的BPDU后,发送探测BPDU;7)等待CONF_BPDU→等待Cert_BPDU;转移条件:收到BID小于当前根BID的BPDU后,发送探测BPDU;8)等待Cert_BPDU→等待CONF_BPDU;转移条件:收到cert_BPDU或超时;9)等待CONF_BPDU→等待TCA_BPDU;转移条件:超时后发送TCN_BPDU,或收到TCN_BPDU后,发送TCN_BPDU和TCA_BPDU;10)等待TCA_BPDU→等待TCA_BPDU;转移条件:发送TCN_BPDU;11)等待TCA_BPDU→等待CONF_BPDU;转移条件:超时后,发送CONF_BPDU;12)等待TCA_BPDU→等待TC_BPDU;转移条件:收到TCA_BPDU;13)等待TC_BPDU→等待CONF_BPDU;转移条件:收到TC_BPDU后,发送TC_BPDU;然后,执行交换机外部防护模块的泛洪攻击检测部分;当交换机接收到BPDU报文时,启动相应定时器并开始统计规定时间段内收到相同类型的BPDU次数,待定时器到时后,判断当前值是否大于阈值,是则判定为相应泛洪攻击,否则继续进行;其中CONF_BPDU对应阈值为最大节点数的平方,即最大交换机个数的平方,其它阈值根据网络规模而定,值越小,报警精度越高,同时误报率也越高;最后,执行交换机外部防护模块的根接管攻击检测部分;当指定网桥收到BID小于当前根BID的BPDU时:若发送者与该指定网桥直接相连,则向该BPDU的发送者发送探测包,请求验证发送者的身份证书和相关信息,并等待回复信息;收到回复后,对证书进行合法性验证,并判断发送者的度数,即与发送者直接相连的交换机的个数,是否大于当前根桥的度数,以此判断发送者在网络中的大致位置,验证通过后更新其所存储的根BID,否则发出根接管攻击警告;若发送者与该指定网桥非直接相连,则证明发送者已经经过与其直连的网桥的验证,此时直接更新根BID;当根网桥收到BID小于当前根BID的BPDU时:若发送者与根网桥直接相连,则向该BPDU的发送者发送探测包,请求验证发送者的身份证书和相关信息,并等待回复信息;收到回复后,对证书进行合法性验证,并判断发送者的度数是否大于当前根桥的度数,以此判断发送者在网络中的大致位置,验证通过后,根网桥继续收集自身信息,进行自我评估,评估内容包括修改Hello时间、转发延迟、最大生存时间的次数,出现内部报警次数,若两者均小于给定值,则评估通过,发出根接管攻击警告,其中,给定值为管理员自行设定,值越小精度越高,误报率也越高;不通过,则更新根BID,选举新交换机为根网桥;若发送者与根网桥非直接相连,则根网桥直接进行自我评估,评估通过,则判定为根接管攻击;不通过,则更新根BID,选举新交换机为根网桥。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京工业大学,未经北京工业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310064556.2/,转载请声明来源钻瓜专利网。
