CN103139219B - 基于可信交换机的生成树协议的攻击检测方法 - Google Patents
基于可信交换机的生成树协议的攻击检测方法 Download PDFInfo
- Publication number
- CN103139219B CN103139219B CN201310064556.2A CN201310064556A CN103139219B CN 103139219 B CN103139219 B CN 103139219B CN 201310064556 A CN201310064556 A CN 201310064556A CN 103139219 B CN103139219 B CN 103139219B
- Authority
- CN
- China
- Prior art keywords
- bpdu
- wait
- root
- conf
- sender
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明是一种基于可信交换机的生成树协议提出的攻击检测方法。它利用内部监控模块对由交换机自身引发的攻击行为进行监控,利用外部防护模块对来自交换机外部的攻击威胁进行检测,从而实现生成树协议的全面攻击检测。本方法首先按照交换机在不同阶段等待不同网桥协议数据单元(BPDU)的情况,画出状态图,根据状态转移条件对交换机整体运行行为进行监控,以检测设备自身发起的攻击行为。然后,对来自外部的BPDU进行分类,采用定时器并计数的方法对泛洪攻击进行检测。最后,在收到BID小于当前根BID的BPDU时,发送探测包对目标交换机进行合法性验证,若为根网桥,还需进行自我评估后决定是否更换根桥,以此检测根接管攻击。
Description
技术领域:
本发明涉及一种基于可信交换机生成树协议的攻击检测方法的评估。属于信息安全领域。
背景技术:
网络技术的快速发展和规模的不断扩大,使其正面临着严峻的安全挑战。交换机作为二层转发设备,经常受到攻击,比如非法获取交换机控制权,导致网络瘫痪等。生成树协议是交换机运行的一个主要协议,它可以将有环路的物理拓扑变成无环路的逻辑拓扑。针对生成树协议的攻击,是目前交换机面临的主要威胁之一。
生成树协议攻击有很多种,目前较为成熟的防护措施有思科提出的BPDU保护和根保护机制,其采用人工干预的方法强制阻止端口接收BPDU或BID小于根BID的BPDU,此方法需要管理员熟悉各网桥在网络中的位置。国内外针对BPDU缺少认证机制的研究有,修改BPDU格式增加认证头的方法、创建网桥地址许可列表(BridgeAccessPermitList)来实现简单BPDU认证的机制等等。现有的技术方案不能解决所有问题,同时仍存在缺陷。所以需要一种全面的生成树协议的攻击检测或防护方法。发明人提出一种基于可信交换机的生成树协议攻击检测方法,在此,默认每台交换机在接入可信网络之后,都会由CA认证中心向其颁发信任证书,内容包括交换机的平台及身份认证信息,平台认证信息的主要内容是对BID的认证,当改变交换机优先级时必须通知服务器并重新向CA申请证书。本发明在采用常规方法检测泛洪攻击之后,还将通过发送证书认证请求的方式检测根接管攻击(roottake-overattack)。最后对交换机生成树协议运行状态进行细致分类,结合各状态下可信行为,描绘状态机,检测内部非法行为。本方法无需管理员介入,灵活易操作,同时对存在威胁的交换机进行认证,实现重点认证机制,结合对外防护和对内监控模块,真正实现生成树协议的全面防护。
发明内容:
本发明的目的在于,针对生成树协议存在的缺点,提出一种简单灵活、全面有效的生成树协议攻击检测方法,实现对内监控和对外防护两方面监管,即基于可信交换机的生成树协议攻击检测方法。
本发明的特征在于依次包括以下步骤:
首先,执行交换机内部监控模块。本发明对交换机生成树协议在不同阶段等待BPDU情况进行了分类,将其分为以下六个状态:初始化、等待配置BPDU(CONF_BPDU)、等待拓扑变化BPDU(TC_BPDU)、等待拓扑变化通知BPDU(TCN_BPDU)、等待拓扑变化确认BPDU(TCA_BPDU)、等待证书BPDU(Cert_BPDU)。内部监控模块根据状态转移条件对交换机的生成树协议控制行为进行监控。若在某一状态收到非该状态下的触发事件,或在某一事件的触发下做出非该状态下的应答事件,则判定为相应的攻击行为。状态机描述如下:
1)初始化→等待CONF_BPDU。转移条件:发送CONF_BPDU。
2)等待CONF_BPDU→等待CONF_BPDU。转移条件:收到CONF_BPDU或TC_BPDU后,发送CONF_BPDU或TC_BPDU
3)等待CONF_BPDU→等待TCN_BPDU。转移条件:当前网桥为根网桥。
4)等待TCN_BPDU→等待TCN_BPDU。转移条件:发送CONF_BPDU。
5)等待TCN_BPDU→等待CONF_BPDU。转移条件:收到TCN_BPDU后,发送TC_BPDU和TCA_BPDU。
6)等待TCN_BPDU→等待Cert_BPDU。转移条件:收到BID小于当前根BID的BPDU后,发送探测BPDU。
7)等待CONF_BPDU→等待Cert_BPDU。转移条件:收到BID小于当前根BID的BPDU后,发送探测BPDU。
8)等待Cert_BPDU→等待CONF_BPDU。转移条件:收到Cert_BPDU或超时。
9)等待CONF_BPDU→等待TCA_BPDU。转移条件:超时后发送TCN_BPDU,或收到TCN_BPDU后,发送TCN_BPDU和TCA_BPDU。
10)等待TCA_BPDU→等待TCA_BPDU。转移条件:发送TCN_BPDU。
11)等待TCA_BPDU→等待CONF_BPDU。转移条件:超时后,发送CONF_BPDU。
12)等待TCA_BPDU→等待TC_BPDU。转移条件:收到TCA_BPDU。
13)等待TC_BPDU→等待CONF_BPDU。转移条件:收到TC_BPDU后,发送TC_BPDU。
然后,执行交换机外部防护模块的泛洪攻击检测部分。当交换机接收到BPDU报文时,启动相应定时器并开始统计规定时间段内收到相同类型的BPDU次数,待定时器到时后,判断当前值是否大于阈值,是则判定为相应泛洪攻击,否则继续进行。其中CONF_BPDU对应阈值为最大节点数即最大交换机个数的平方,即maxNode*maxNode,其它阈值根据网络规模而定,值越低,报警精度越高,同时误报率也越高,但通常不能低于网络中最大节点个数,即[maxNode,+∞)。
最后,执行交换机外部防护模块的根接管攻击检测部分。当指定网桥收到BID小于当前根BID的BPDU时:
若发送者与该指定网桥直接相连,则向该BPDU的发送者发送探测包,请求验证发送者的身份证书和相关信息,并等待回复信息。收到回复后,对证书进行合法性验证,并判断发送者的度数,即与发送者直接相连的交换机的个数,是否大于当前根网桥的度数,以此判断发送者在网络中的大致位置,验证通过后更新其所存储的根BID,否则发出根接管攻击警告;若发送者与该指定网桥非直接相连,则证明发送者已经经过与其直连的网桥的验证,此时直接更新根BID。
当根网桥收到BID小于当前根BID的BPDU时:
若发送者与根网桥直接相连,则向该BPDU的发送者发送探测包,请求验证发送者的身份证书和相关信息,并等待回复信息。收到回复后,对证书进行合法性验证,并判断发送者的度数是否大于当前根网桥的度数,以此判断发送者在网络中的大致位置,验证通过后,根网桥继续收集自身信息,进行自我评估,评估内容包括修改Hello时间、转发延迟、最大生存时间的次数,出现内部报警次数,若评估内容和内部报警次数两者均小于给定值(管理员自行设定,值越小精度越高,误报率也越高,通常不低于网络中最大节点个数,即[maxNode,+∞)),则评估通过,发出根接管攻击警告;不通过,则更新根BID,选举新交换机为根网桥;若发送者与根网桥非直接相连,则根网桥直接进行自我评估,评估通过,则判定为根接管攻击;不通过,则更新根BID,选举新交换机为根网桥。
本发明从内外两方面实现了生成树协议的攻击检测。创新点在于:
1)采用状态机规范交换机的内部行为,避免交换机被黑客获取控制权,而非法运行对网络中发起攻击的可能。针对外来攻击采用外部防护模块,因此状态机只需记录自身状态,而无需记录邻居状态,大大减小了其工作量。
2)外部防护模块中,由直连交换机对新加入的交换机进行认证,能够防止非正常授权交换机即无有效身份证书的交换机和用户伪装的交换机所发起的攻击行为,同时减轻由认证机制带来的网络流量负担。
3)根网桥自我评估机制,能有效避免恶意交换机申请替换根网桥,频繁更换根网桥的潜在根接管攻击行为。同时,当前根网桥发生不可靠行为时,允许新的根网桥选举。该机制既能有效防止根接管攻击,又不阻碍正常情况下的根网桥选举。
附图说明
图1是本发明实现交换机生成树协议内部监控模块的状态转移图。
图2是实现交换机生成树协议外部防护模块的泛洪攻击检测流程图。
图3是实现交换机生成树协议外部防护模块的根接管攻击检测流程图。
具体实施方式
下面结合附图1、2、3具体说明本发明的实现方法及步骤。
本发明是一种基于可信交换机生成树协议的攻击检测方法,它分为内部监控和外部防护两部分。交换机在成功介入网络之后,首先启动状态机,执行内部监控模块,规范生成树协议内部操作,如图1。当收到BPDU时,执行生成树协议外部防护模块的泛洪检测,检测来自外部的泛洪攻击行为,如图2。最后执行根接管攻击检测,发送验证并决定是否更换根网桥,如图3。
首先,根据图1中的状态图,对生成树协议的整个运行过程进行监控。具体说明如下:
1)Init→等待CONF_BPDU:交换机从初始状态进入等待配置消息状态,通过发送CONF_BPDU准备参与生成树计算。
2)等待CONF_BPDU→等待CONF_BPDU:计算生成树阶段和正常运行之后,交换机每隔2秒都会收到CONF_BPDU,更新自己BPDU存储内容,并向其他邻居发送新的CONF_BPDU;当拓扑发生变化时,交换机将收到上游网桥传送的TC_BPDU消息,并继续发送TC_BPDU给下游网桥。
3)等待CONF_BPDU→等待TCN_BPDU:当前网桥为根网桥,进入等待TCN_BPDU状态,等待处理下游网桥发送的拓扑变化通知。
4)等待TCN_BPDU→等待TCN_BPDU:网络正常运行过程中,根网桥每隔2秒向下游网桥发送CONF_BPDU,此时保持状态不变。
5)等待TCN_BPDU→等待CONF_BPDU:根网桥收到TCN_BPDU,首先向发送者回复确认消息TCA_BPDU,然后向所有下游网桥发送TC_BPDU。
6)等待TCN_BPDU→等待Cert_BPDU:根网桥收到BID小于当前根BID的BPDU,向发送者发送探测包,并进入等待证书状态。
7)等待CONF_BPDU→等待Cert_BPDU:指定网桥收到BID小于当前根BID的BPDU,向发送者发送探测包,并进入等待证书状态。
8)等待Cert_BPDU→等待CONF_BPDU:收到目标交换机的证书回复或超时,回到等待配置状态。
9)等待CONF_BPDU→等待TCA_BPDU:在等待配置消息状态下超时未收到任何消息,则向根网桥发送TCN_BPDU,进入等待TCA_BPDU状态;或收到TCN_BPDU,回复TCA_BPDU确认消息,并转发TCN_BPDU,进入等待TCA_BPDU状态。
10)等待TCA_BPDU→等待TCA_BPDU:在该状态下持续发送TCN_BPDU,直到收到TCA_BPDU确认消息或超时为止。
11)等待TCA_BPDU→等待CONF_BPDU:在等待TCA_BPDU状态下未收到确认信息直至超时,发送CONF_BPDU,声称根网桥重新计算生成树。
12)等待TCA_BPDU→等待TC_BPDU:收到TCA_BPDU确认消息,进入等待TC_BPDU状态。
13)等待TC_BPDU→等待CONF_BPDU:收到TC_BPDU,并向下游交换机转发该消息,回到等待CONF_BPDU状态。
然后执行图2步骤。当交换机接收到来自外部的BPDU配置包时,首先根据BPDU类型将其分为配置消息(CONF_BPDU)和拓扑变化通知(TCN_BPDU)消息。若是TCN_BPDU,则启动TCN_BPDU定时器,对其进行计数;若是CONF_BPDU,则再继续判断其是拓扑变化包(TC_BPDU)还是BID小于当前根BID的BPDU(较优BPDU)包,根据不同结果启动相应定时器。如果是较优BPDU,则还需启动根选举定时器。待各定时器(除根选举定时器)到时后,根据其是否超过阈值来判定其是否为泛洪攻击。在此设定,CONF_BPDU、TCN_BPDU、TC_BPDU、根选举定时器值分别为3秒、1秒、1秒、60秒,CONF_BPDU、TCN_BPDU、TC_BPDU对应阈值分别为最大节点数*最大节点数、100、50。若启动了根选举定时器,在该定时器到时后,执行图3步骤,如下:
当指定网桥收到BID小于当前根BID的BPDU时:
若发送者与该指定网桥直接相连,则向该BPDU的发送者发送探测包,请求验证发送者的身份证书和相关信息,并等待回复信息。收到回复后,对证书进行合法性验证,并判断发送者的度数,是否大于当前根网桥的度数,以此判断发送者在网络中的大致位置,验证通过后更新其所存储的根BID,否则发出根接管攻击警告;若发送者与该指定网桥非直接相连,则证明发送者已经经过与其直连的网桥的验证,此时直接更新根BID。
当根网桥收到BID小于当前根BID的BPDU时:
若发送者与根网桥直接相连,则向该BPDU的发送者发送探测包,请求验证发送者的身份证书和相关信息,并等待回复信息。收到回复后,对证书进行合法性验证,并判断发送者的度数是否大于当前根网桥的度数,以此判断发送者在网络中的大致位置,验证通过后,根网桥继续收集自身信息,进行自我评估,评估内容包括修改Hello时间、转发延迟、最大生存时间的次数,出现内部报警次数,若两者均小于给定值,则评估通过,发出根接管攻击警告;不通过,则更新根BID,选举新交换机为根网桥;若发送者与根网桥非直接相连,则根网桥直接进行自我评估,评估通过,则判定为根接管攻击;不通过,则更新根BID,选举新交换机为根网桥。
自我评估内容中修改Hello时间、转发延迟、最大生存时间中任一者,总次数均加一。内部报警指状态机运行过程中出现非法行为所导致的报警。在此,两者阈值均设为10。
Claims (1)
1.一种基于可信交换机的生成树协议提出的攻击检测方法,其特征在于包括以下步骤:
首先,执行交换机内部监控模块
对交换机生成树协议在不同阶段等待BPDU情况进行了分类,将其分为以下六个状态:初始化、等待配置BPDU以下简称为CONF_BPDU、等待拓扑变化BPDU以下简称为TC_BPDU、等待拓扑变化通知BPDU以下简称为TCN_BPDU、等待拓扑变化确认BPDU以下简称为TCA_BPDU、等待证书BPDU以下简称为Cert_BPDU;内部监控模块根据状态转移条件对交换机的生成树协议控制行为进行监控;若在某一状态收到非该状态下的触发事件,或在某一事件的触发下做出非该状态下的应答事件,则判定为相应的攻击行为;状态机描述如下:
1)初始化→等待CONF_BPDU;转移条件:发送CONF_BPDU;
2)等待CONF_BPDU→等待CONF_BPDU;转移条件:收到CONF_BPDU或TC_BPDU后,发送CONF_BPDU或TC_BPDU
3)等待CONF_BPDU→等待TCN_BPDU;转移条件:当前网桥为根网桥;
4)等待TCN_BPDU→等待TCN_BPDU;转移条件:发送CONF_BPDU;
5)等待TCN_BPDU→等待CONF_BPDU;转移条件:收到TCN_BPDU后,发送TC_BPDU和TCA_BPDU;
6)等待TCN_BPDU→等待Cert_BPDU;转移条件:收到BID小于当前根BID的BPDU后,发送探测BPDU;
7)等待CONF_BPDU→等待Cert_BPDU;转移条件:收到BID小于当前根BID的BPDU后,发送探测BPDU;
8)等待Cert_BPDU→等待CONF_BPDU;转移条件:收到Cert_BPDU或超时;
9)等待CONF_BPDU→等待TCA_BPDU;转移条件:超时后发送TCN_BPDU,或收到TCN_BPDU后,发送TCN_BPDU和TCA_BPDU;
10)等待TCA_BPDU→等待TCA_BPDU;转移条件:发送TCN_BPDU;
11)等待TCA_BPDU→等待CONF_BPDU;转移条件:超时后,发送CONF_BPDU;
12)等待TCA_BPDU→等待TC_BPDU;转移条件:收到TCA_BPDU;
13)等待TC_BPDU→等待CONF_BPDU;转移条件:收到TC_BPDU后,发送TC_BPDU;
然后,执行交换机外部防护模块的泛洪攻击检测部分;当交换机接收到BPDU报文时,启动相应定时器并开始统计规定时间段内收到相同类型的BPDU次数,待定时器到时后,判断当前值是否大于阈值,是则判定为相应泛洪攻击,否则继续进行;其中CONF_BPDU对应阈值为最大节点数的平方,即最大交换机个数的平方,其它阈值根据网络规模而定,值越小,报警精度越高,同时误报率也越高;
最后,执行交换机外部防护模块的根接管攻击检测部分;当指定网桥收到BID小于当前根BID的BPDU时:
若发送者与该指定网桥直接相连,则向该BPDU的发送者发送探测包,请求验证发送者的身份证书和相关信息,并等待回复信息;收到回复后,对证书进行合法性验证,并判断发送者的度数,即与发送者直接相连的交换机的个数,是否大于当前根网桥的度数,以此判断发送者在网络中的大致位置,验证通过后更新其所存储的根BID,否则发出根接管攻击警告;若发送者与该指定网桥非直接相连,则证明发送者已经经过与其直连的网桥的验证,此时直接更新根BID;
当根网桥收到BID小于当前根BID的BPDU时:
若发送者与根网桥直接相连,则向该BPDU的发送者发送探测包,请求验证发送者的身份证书和相关信息,并等待回复信息;收到回复后,对证书进行合法性验证,并判断发送者的度数是否大于当前根网桥的度数,以此判断发送者在网络中的大致位置,验证通过后,根网桥继续收集自身信息,进行自我评估,评估内容包括修改Hello时间、转发延迟、最大生存时间的次数,出现内部报警次数,若评估内容和内部报警次数两者均小于给定值,则评估通过,发出根接管攻击警告,其中,给定值为管理员自行设定,值越小精度越高,误报率也越高;不通过,则更新根BID,选举新交换机为根网桥;若发送者与根网桥非直接相连,则根网桥直接进行自我评估,评估通过,则判定为根接管攻击;不通过,则更新根BID,选举新交换机为根网桥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310064556.2A CN103139219B (zh) | 2013-02-28 | 2013-02-28 | 基于可信交换机的生成树协议的攻击检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310064556.2A CN103139219B (zh) | 2013-02-28 | 2013-02-28 | 基于可信交换机的生成树协议的攻击检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103139219A CN103139219A (zh) | 2013-06-05 |
CN103139219B true CN103139219B (zh) | 2016-03-02 |
Family
ID=48498524
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310064556.2A Active CN103139219B (zh) | 2013-02-28 | 2013-02-28 | 基于可信交换机的生成树协议的攻击检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103139219B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9408063B2 (en) * | 2014-09-15 | 2016-08-02 | Intel Corporation | Jurisdiction-based adaptive communication systems and methods |
CN108471365A (zh) * | 2017-02-23 | 2018-08-31 | 联想企业解决方案(新加坡)有限公司 | 用于在通信网络中选择根网桥的方法 |
CN107528857A (zh) * | 2017-09-28 | 2017-12-29 | 北京东土军悦科技有限公司 | 一种基于端口的认证方法、交换机及存储介质 |
CN111478896A (zh) * | 2020-04-03 | 2020-07-31 | 中电科航空电子有限公司 | 一种解决rstp假冒根桥攻击的方法 |
CN113422696B (zh) * | 2021-06-18 | 2023-03-21 | 深圳前海微众银行股份有限公司 | 监控数据更新方法、系统、设备及可读存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1855874A (zh) * | 2005-04-29 | 2006-11-01 | 阿尔卡特公司 | 桥接网络生成树异常探测 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050071672A1 (en) * | 2003-09-29 | 2005-03-31 | Hei-Tao Fung | [bridge protocol data unit (bpdu) authentication mechanismusing bridge address permit list (bapl)] |
-
2013
- 2013-02-28 CN CN201310064556.2A patent/CN103139219B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1855874A (zh) * | 2005-04-29 | 2006-11-01 | 阿尔卡特公司 | 桥接网络生成树异常探测 |
Non-Patent Citations (2)
Title |
---|
Spanning Tree Protocol Root Guard Enhancement;思科;《思科网站》;20050830;全文 * |
生成树协议安全;郭振勇,袁志军;《福建电脑》;20120125;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN103139219A (zh) | 2013-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10681079B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
Cameron et al. | Using self-organizing architectures to mitigate the impacts of denial-of-service attacks on voltage control schemes | |
EP3577872B1 (en) | Method and attack detection function for detection of a distributed attack in a wireless network | |
CN103139219B (zh) | 基于可信交换机的生成树协议的攻击检测方法 | |
Wang et al. | SECO: SDN sEcure COntroller algorithm for detecting and defending denial of service attacks | |
Wang et al. | A survey on bad data injection attack in smart grid | |
EP2769571A1 (en) | Mobile risk assessment | |
JP2011175639A (ja) | ネットワークにおけるセキュリティ保全のための方法及びシステム | |
Sahu et al. | A comprehensive survey on intrusion detection in MANET | |
Signorini et al. | Advise: anomaly detection tool for blockchain systems | |
Thakur et al. | Detection and prevention of botnets and malware in an enterprise network | |
Cheetancheri et al. | A distributed host-based worm detection system | |
Liyakat | Detecting Malicious Nodes in IoT Networks Using Machine Learning and Artificial Neural Networks | |
Sedjelmaci et al. | Smart grid security: A new approach to detect intruders in a smart grid neighborhood area network | |
CN108322454B (zh) | 一种网络安全检测方法及装置 | |
CN116170110B (zh) | 面向时间敏感网络的时间同步架构、安全方法及装置 | |
Desai et al. | Packet forwarding misbehavior detection in next-generation networks | |
CN110881016B (zh) | 一种网络安全威胁评估方法及装置 | |
Seth et al. | DADCNF: Diagnoser design for duplicate address detection threat using conjunctive Normal form | |
Raj et al. | Sink Hole attack detection using two step verification technique in wireless sensor networks | |
CN102164042A (zh) | 一种连通性故障告警方法及装置 | |
Cerullo et al. | Critical Infrastructure Protection: having SIEM technology cope with network heterogeneity | |
Srivastava et al. | A survey on mobile agent based intrusion detection system | |
Mitra et al. | IDS for ARP spoofing using LTL based discrete event system framework | |
Coppolino et al. | A hidden markov model based intrusion detection system for wireless sensor networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |