CN110113328B

CN110113328B - 一种基于区块链的软件定义机会网络DDoS防御方法

Info

Publication number: CN110113328B
Application number: CN201910349501.3A
Authority: CN
Inventors: 颜昕; 马千里; 柳星
Original assignee: Wuhan University of Technology WUT
Current assignee: Wuhan University of Technology WUT
Priority date: 2019-04-28
Filing date: 2019-04-28
Publication date: 2021-01-15
Anticipated expiration: 2039-04-28
Also published as: CN110113328A

Abstract

本发明公开了一种基于区块链的软件定义机会网络DDoS防御方法，首先，利用SDN能够在控制层进行逻辑集中管控能力特点，对网络状态进行实时动态监控，然后，通过分析监控所得的流量特征分析其存在DDoS放大攻击的可能性，再根据溯源算法确定攻击者地址，最后，使用区块链架构维护一个可公共访问的攻击者黑名单，协助应用层进行恶意流量过滤，以实现DDoS攻击的防御。本发明提高了攻击源追踪的精准度，结合区块链架构实现了攻击源“黑名单”地址的存储，基于分布式账本技术的攻击源存储架构能在保持数据可靠性的同时，有效防止数据被篡改或破坏。全网通过查询“黑名单”地址，可在数据包接受阶段进行过滤，从根源处预防DDoS攻击。

Description

一种基于区块链的软件定义机会网络DDoS防御方法

技术领域

本发明涉及计算机技术领域，具体涉及一种基于区块链的软件定义机会网络DDoS防御方法。

背景技术

DDoS(即分布式拒绝服务攻击)是指攻击者通过网络操控大量僵尸主机共同向一个或少数主机发起攻击，通过汇聚数倍于单个主机的服务或资源请求导致被攻击者瘫痪，随着科技的进步，一般主机的Memory存储能力或CPU计算能力都不断提升，高级服务器的带宽甚至已经达到了千兆的级别，这为传统DoS攻击的有效实施以及实际效果都增加的难度，而DDoS相较于传统的DoS攻击而言，充分利用了网络的连通性特征，攻击者通过系统的漏洞或后门程序入侵数以千计的异域主机，并在极短的时间内通过主控程序多次激活代理程序，当僵尸主机收到代理程序的指令后，就会向目标主机、服务器、路由器等设备发送大量看似正常的无用数据包来耗尽其资源或带宽，从而达到使其瘫痪的目的。

在软件定义网络中，控制层决定了整个网络的正常运行，从安全角度来看，这为SDN引入了一个新型的单点故障问题，如果控制器关闭或无法连接，整个网络将崩溃。可以用来攻击SDN控制器的攻击方法之一是DDoS攻击，DDoS攻击也有很多方法来压制控制器的资源，例如常见的SYNFlood和ICMPFlood等。

本申请发明人在实施本发明的过程中，发现现有技术的方法，至少存在如下技术问题：

在大多数现有的SDN体系中，控制层和数据层间的南向接口底层都是以OpenFlow协议为基础实现的，这种设计有利于控制层实时更新网络配置和随意添加交换机规则，OpenFlow协议的正常执行完全依赖于控制器和交换机之间的安全信道，若该通道被迫关闭，整个SDN体系就会因为丧失核心控制器而崩溃。一个完整的SDN网络拓扑通常包含多个网络切片，每个切片包含一个控制器和多台交换机，当某个切片的控制器失效时，交换机会暂时使用传统方式进行数据包的交换和处理，但这种应急策略不能从根本上解决问题。DDoS攻击过程中用于占用资源或带宽的垃圾数据包的源地址较为特殊，交换机无法在流表中找到与其相匹配的流表项，此时交换机的策略是将这些数据包封装成Packet_IN消息发送给控制器，当Packet_IN消息过多超过控制器的处理能力时，控制器就无法向新的数据包提供服务，软件定义机会网络中控制层的集中化使得这种攻击方式更具有破坏性。

由此可知，现有技术中软件定义机会网络抵御DDOS攻击的效果较差的技术问题。

发明内容

有鉴于此，本发明提供了一种基于区块链的软件定义机会网络DDoS防御方法，用以解决或者至少部分解决现有技术中软件定义机会网络抵御DDOS攻击的效果较差的技术问题。

本发明第一方面提供了一种基于区块链的软件定义机会网络DDoS防御方法，包括：

对软件定义机会网络中的数据流进行监控，其中，监控的数据流特征包括数据流标识和路径标识，数据流标识包括源地址、目的地址、源端口、目的端口以及协议号，路径标识包括交换机ID和入口端口号；

根据监控的数据流标识和路径标识，采用数据流溯源算法确定数据流的攻击源地址，并将攻击源地址与数据流的源地址进行对比，当不一致时，则将数据流对应的请求源交换机ID标记为异常源，形成异常源集合；

采用区块链的智能合约存储上述异常源集合，维护一个可公共访问的攻击者黑名单，以实现DDoS攻击的防御。

在一种实施方式中，对软件定义机会网络中的数据流的状态进行监控，包括：

采用MiniNet-WIFI的流量监控软件对软件定义机会网络拓扑结构中的数据流进行监控；

当数据包的设定带宽放大因素大于阈值时，将超出阈值部分的数据包截获并记录；

根据预设规则将数据流提取为数据流标识和路径标识两个部分，其中，路径标识用以唯一标识该数据包传输路径的每一跳位置的信息。

在一种实施方式中，根据监控的数据流标识和路径标识，采用数据流溯源算法确定攻击源地址，包括：

分析截获的数据包的数据流标识，得到该数据包的特征向量

然后扫描网络中所有交换机的支点，对传送了包含特征向量

的部分进行标记，采用数据流溯源算法对数据流进行路径重构，并获得溯源结果，溯源结果包括攻击源地址。

在一种实施方式中，在采用数据流溯源算法对数据流进行路径重构，并获得溯源结果之前，所述方法还包括：

根据数据流标识Flow_ID对各个数据流进行分组，每组的分类结果为一个数据流的所有采样字段集合，将其记录为Set_flow；

将Set_flow集合中所有交换机ID进行提取，构成集合Set_sw＝{SW_i}，每个SW_i包含入口端口号Input_port和其他端口号，入口端口号用P_i表示，其他端口号用P_others表示。

在一种实施方式中，采用数据流溯源算法对数据流进行路径重构，并获得溯源结果，具体包括：

将所有交换机IDSwitch_ID和端口列表中的入口端口号Input_port提取并组合成CH＝{SW_i:P_in}_n，SW_i∈Set_sw，P_in∈Set_port，CH集合中每一项CH_i表示该数据流经由端口号P_in进入交换机i，根据端口列表找到每一项CH_i中的交换机在表中对应的其他端口号P_others；

将集合CH中所有项的NHij组成集合NH，然后，将CH、NH两集合各项对应构成Link表，Link表的每一项表示CHi到NHij经由的链路，其中，NHij用以表示当下一跳到达的设备为交换机设备，该交换机IDSwitch_ID及进入该交换机的入口端口号的记录；

求取CH、NH两集合的并集AH，AH集合表示数据流可能到达的所有设备集合，且集合AH内元素总数的绝对值N为单个数据流可能达到设备的最大数量，以此构建N阶方阵A，并根据方阵A重构数据流的路径，其中，该方阵以CHi为行，以NHi为列，方阵中各点的值满足以下条件：

其中，若a_ij＝(r,c)对应的值为0表示数据流从r到c的传输过程，反之，a_ij＝(r,c)值为1则表示从c到r的传输过程；

根据重构的路径，确定攻击源地址。

在一种实施方式中，所述方法还包括：将攻击源地址与数据流的源地址进行对比，当一致时，则表示数据流合法，不具有DDoS攻击威胁。

在一种实施方式中，采用区块链的智能合约存储上述异常源集合，维护一个可公共访问的攻击者黑名单，包括：

定义两个全局数组auth_users和attackers，数组auth_users用于存储网络拓扑中的终端设备地址，数组attackers用于存储采用数据流溯源算法得到的攻击源地址，当智能合约被创建时，通过调用其构造函数将合约执行过程记录下来，同时将所有终端设备地址添加到auth_users数组中，从而使所有交换机和控制器拥有攻击者黑名单内容的权限。

本申请实施例中的上述一个或多个技术方案，至少具有如下一种或多种技术效果：

本发明提出了一种联合区块链技术和SDN网络架构的DDoS防御方法，首先，利用SDN能够在控制层进行逻辑集中管控能力特点，对网络状态进行实时动态监控，然后，通过分析监控所得的流量特征分析其存在DDoS放大攻击的可能性，再根据溯源算法确定攻击者地址，最后，使用区块链架构维护一个可公共访问的攻击者黑名单，协助应用层进行恶意流量过滤，以实现DDoS攻击的防御。

本发明采用基于SDN和区块链技术的DDoS防御策略、区块链技术的DDoS预防策略，提出了数据流溯源算法，提高了攻击源追踪的精准度，结合区块链架构实现了攻击源“黑名单”地址的存储，基于分布式账本技术的攻击源存储架构能在保持数据可靠性的同时，有效防止数据被篡改或破坏。全网通过查询“黑名单”地址，可在数据包接受阶段进行过滤，从根源处预防DDoS攻击。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中基于区块链的软件定义机会网络DDoS防御方法的流程图；

图2为DDoS攻击原理图；

图3为本发明实施例中数据包采样格式示意图；

图4为本发明实施例中溯源技术原理图；

图5为本发明实施例中溯源场景拓扑结构示意图；

图6为具体示例中数据包过滤字段对转发延时的影响示意图；

图7为具体示例中数据包条数对重构收敛值的影响示意图；

图8(a)为采用传统方法和本发明的方法采集的数据包总数的示意图；

图8(b)为采用传统方法和本发明的方法的漏报率对比示意图；

图8(c)为采用传统方法和本发明的方法的攻击检测率对比示意图。

具体实施方式

本发明的目的在于针对现有技术中软件定义机会网络抵御DDOS攻击的效果较差的技术问题，提供了一种基于区块链的软件定义机会网络DDoS防御方法。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

本申请发明人通过大量的实践发现，软件定义机会网络是一种通过节点自由移动，随机相遇来进行消息传输的特殊网络结构，它不依赖于移动节点之间的完整路由，以“存储-携带-转发”的路由模式来形成通信机会并逐跳通信。但是这种通讯模式也带来了新的问题。软件定义机会网络不需要在建立通讯的两个节点之间存在固定可靠的传输信道，不要求网络具有全连通性，节点的随机移动也会导致通讯的不稳定性等。在安全方面，软件定义机会网络中节点稀疏性较高，导致恶意节点可以随意加入当前的网络环境中，恶意节点会恶意传播虚假信息，其次且恶意节点会俘获正常节点来误导其进行正常的消息传播，使得整个网络内消息的真实性无法保证。

其次，软件定义机会网络无法建立端到端的可靠连接，因此无法采用在线向集中式认证中心进行实时通信，任何鉴别节点身份和消息的可靠性都只能通过传统密码学解决，具有较大局限性。另外，在隐私保护方面，软件定义机会网络中节点携带信息的方式容易被恶意截取或篡改，数据的完整性和设备的容错性都受到很大威胁。

区块链可视为一种能解决软件定义机会网络中安全性问题的工具。在离散网络中，区块链可以维护一个所有成员一致认同的数据库，即使节点无法与集中式认证中心实时通信，也能够保证区块中数据的安全可靠。区块链是有序的链表结构，每个“块”中除了数据外，还存储了时间戳、前趋块的引用等，且每次修改、更新都要获得所有成员的共同许可，区块链中所有成员均处于完全对等的地位，并保持相同的区块链副本。区块链的核心是“挖矿”权力的选择策略，本发明通过模仿区块链常用的选举机制，设计了一种联合了工作量证明机制和股权证明机制相结合的信任偏移量“区块”更新方案，其数据存储结构具有良好的容错性，在没有足够的算力支撑下，任何恶意节点都无法篡改链中的记录。

使用区块链技术优化机会网络的安全性具有以下优点:

1)去中心化：区块链结构下，数据由各个分布式节点相互协作维护，每个节点都保留一个区块链副本，有效防止单点故障，整个系统的可扩展性也得到提高；

2)防篡改：基于链表的存储结构使得恶意节点在试图篡改链中数据时，同时需要重建整个链表，使得犯罪成本呈指数增长；

3)数据一致性：区块链结构中，数据库由所有节点共同维护，只有达成共识的操作才会被允许，任何节点发出的查询请求都回得到完全相同的结果；

4)更新时效性：基于股权证明机制的更新策略，使得每次更新区块链操作能最大化反映节点信任度的变化，从而确保了链中数据的更新时效性；

5)容错性：基于工作量证明机制的“矿工”选举策略，使得在部分节点失效或被俘获的情况下，只要有足够的算力支撑，仍能够保证系统的正常运作。

本实施例提供了一种基于区块链的软件定义机会网络DDoS防御方法，请参见图1，该方法包括：

步骤S1：对软件定义机会网络中的数据流进行监控，其中，监控的数据流特征包括数据流标识和路径标识，数据流标识包括源地址、目的地址、源端口、目的端口以及协议号，路径标识包括交换机ID和入口端口号。

具体来说，利用SDN能够在控制层进行逻辑集中管控能力特点，对网络状态进行实时动态监控，然后，通过分析监控所得的流量特征，从而分析其存在DDoS放大攻击的可能性。

请参见图3，数据流标识Flow_ID包含源地址Source_IP，目的地址Destination_IP，源端口Source_Port，目的端口Destination_Port以及协议号Protocol组成；路径标识则是指用来唯一标识该数据包传输路径的每一跳位置的信息，其内容包括交换机IDSwitch_ID以及该数据流的入口端口号Input_Port。

DDoS(即分布式拒绝服务攻击)是指攻击者通过网络操控大量僵尸主机共同向一个或少数主机发起攻击，通过汇聚数倍于单个主机的服务或资源请求导致被攻击者瘫痪。图2示出了DDoS攻击的原理。

步骤S2：根据监控的数据流标识和路径标识，采用数据流溯源算法确定数据流的攻击源地址，并将攻击源地址与数据流的源地址进行对比，当不一致时，则将数据流对应的请求源交换机ID标记为异常源，形成异常源集合。

具体来说，根据步骤S1中得到的数据流监控结果，使用溯源技术(即数据流溯源算法)追踪数据流的攻击源，该技术通过解析捕获的数据包的相关标记路径信息，即步骤S1的路径标识来重构数据包路径，从而定位攻击源地址。

在具体的实施过程中，溯源技术的原理如图4所示，最下层的H_i(i＝1,2,3,...)表示网络拓扑中的主机，H_i可能为DDoS攻击发起者，也可能为被攻击者，S_i(i＝1,2,3,...)表示交换机，各个交换机间通过支点(A,B,C,...)相连。SDN中的网络拓扑通常为树状结构，各个主机(无论是攻击发起者还是被攻击者)都处于树状结构的叶子节点处，攻击发起者H_i通过交换机S_i发送伪造的数据包向被攻击者H_j(i≠j)发起攻击，中间这段路由就是攻击路径。

步骤S3：采用区块链的智能合约存储上述异常源集合，维护一个可公共访问的攻击者黑名单，以实现DDoS攻击的防御。

具体来说，本发明提出基于区块链技术的DDoS防御方案，通过编程实现专门的智能合约用于存储数据流溯源算法追踪所得的异常源集合——攻击者“黑名单”，提供动态增删、查询“黑名单”内容，相较于SDN在数据层集中存储的方案，基于区块链技术的优势在于，能够以共识机制保证数据在静态存储、动态修改时的安全性能，有效降低SDN控制层的部署开销，克服了不同网络切片间的联合通信难度，网络拓扑中的所有交换机及控制器都能够准确查询到“黑名单”用户，“黑名单”的每次更新都由所有控制器共同投票决定，所有区域控制器都具有查询权限。

集中的SDN存储方案无法针对大规模DDoS进行有效防御，本发明方案通过在以太坊平台上开发智能契约，实现了不同网络切片间的“黑名单”信息共享，且不需要修改现有的网络协议和基础架构，具有良好的扩展性。

具体来说，本实施例采用MiniNet-WIFI的流量监控APPWireShark对SDN拓扑结构中的流量波动进行监控，将该阶段称为采样阶段。

在WireShark中设定数据包检测内容为所有按照DNS协议来发送请求和回复请求的数据包总数，同时设定带宽放大因素BAF的阈值&BAF，当数据包检测结果满足条件BAF≥&BAF时，将超出&BAF阈值部分的数据包截获并记录，以便进行数据流的溯源。根据月射规则将结果的数据流提取为数据流标识和路径标识两个部分。

分析截获的数据包的数据流标识，得到该数据包的特征向量

然后扫描网络中所有交换机的支点，对传送了包含特征向量

具体来说，通讯过程中，所有交换机的接口都是开启的，当某主机H_j受到攻击，首先通过分析截获数据包得到该数据包的特征向量

然后扫描网络中所有交换机的支点，对传送了包含特征向量

的部分进行标记，如图4所示，当H₁向H₄发送垃圾数据包时，根据向量

重构攻击路径(S₃_B,S₃_C,S₂_B,S₂_A,S₄_C,S₄_A)，从而实现数据溯源。

具体来说，由于监控采样所得的数据流是完全无序的，故在溯源之前根据数据流标识Flow_ID分组，这样一来，每组的分类结果都是一个数据流的所有采样字段集合，将其记录为Set_flow，将该集合中所有交换机IDSwitch_ID提取出来构成集合Set_sw＝{SW_i}，每个SW_i包含入口端口号Input_port和其他端口号，分别用P_i和P_others表示，即Set_port＝{P_in,P_others}，表示，将图5场景中的集合Set_sw端口列表整理后可得如下表1-1所示。

表1-1交换机端口列表

根据重构的路径，确定攻击源地址。

具体来说，根据图5中的拓扑依次将P_others视为输出端口号，由此找到下一个将该端口作为下一跳的交换机，若下一跳到达的设备为交换机设备，则将该交换机IDSwitch_ID及进入该交换机的入口端口号Input_port记录并记作NHij；若下一跳设备为主机，则将该主机的MAC地址视为Switch_ID，该入口端口号设为空NULL，将集合CH中所有项的NHij组成集合NH，然后，将CH、NH两集合各项对应构成Link表，表中的每一项表示CHi到NHij经由的链路。

表1-2为图5所示拓扑构成的Link表，表中第二项所示对应的CH集合中的值为C3，表示该数据流从端口3经由交换机C，且即将到达的下一跳设备有两种可能，从端口2经由交换机D，或者从端口2经由交换机E。

表1-2链路列表

得到由图4的拓扑对应的方阵如表1-3所示，方阵中，若a_ij＝(r,c)对应的值为0表示数据流从r到c的传输过程，反之，a_ij＝(r,c)值为1则表示从c到r的传输过程，方阵中任意行的所有值为0的元素表示这些数据流都是从CHi发出的，所有值为1的元素表示所有从不同上一跳设备到达CHi的数据流，故找出所有只包括0元素而没有1元素的行，即可找出以r为起点转发的数据流，记为a_r。由表1-3可知，方阵第一列的流量起点为F2，即a_r＝F2。当某数据流以F2节点为起点，即上表中a₄₁＝(F2,C3)＝0，表示数据流从F2出发，到达C3，然后在C3所在的列找到所有值为1的元素，a₃₁和a₂₁，这表示有两条分支符合条件，分支1的数据包先从C3到达E2，然后根据a₃₅＝(E2,V)从E2出发到达目的主机V，同理可得分支2先后经由F2、C3、D2，最终到达主机V，两条路径分别为F2→C3→E2→V和F2→C3→D2→V。

表1-3对应方阵

本发明采用数据源溯源算法对网络拓扑中的所有数据流进行源头追踪，将溯源结果提取组成集合。溯源结果中的攻击源地址即DDoS数据包的真实源IP地址。

在具体实现时，将溯源结果集合中所有路径按照源IP地址和目的IP地址对响应数据流的上下行路径进行对比汇总，对比过程中源IP和目的IP可交换位置，每组对比都需要将发起请求数据包的源交换机ID Switch_ID与距离目的主机最近的交换机ID Switch_ID进行对比，若地址不一致，则将请求源交换机ID标记为异常源Si，最后，将所有异常源集合的“黑名单”列表返还给控制器。其中，Swith_ID为每个交换机自带的一个编号，是自动生成的，用来与某个具体的交换机设备进行绑定。

其中，将攻击源地址与数据流的源地址进行对比，当一致时，则表示数据流合法，不具有DDoS攻击威胁。

具体来说，算法1-1给出了以太坊智能合约实现“黑名单”存储算法伪代码，主要用于实现“黑名单”的添加、删除、修改以及查询功能，这段代码使用Solidity0.4.0编辑器实现。

当控制层进行更新网络拓扑时，使用addAuth函数来添加认证终端设备，只有owner权限才有权力调用该函数，调用期间需要对待添加者身份进行验证，若验证不通过则抛出异常；deleteAuth函数的实现流程与addAuth类似，但其在实现过程中使用一个循环遍历数组来查找，若找到则删除；addAttacker函数的功能时添加溯源所得的攻击源地址，首先在循环体中判断添加“黑名单”动作的发起者是否通过认证，通过验证则允许将新的攻击源地址添加至attacker数组，否则抛出异常，deleteAttacker函数同理；最后，由于基于区块链的存储结构使得恶意节点在试图篡改链中数据时，同时需要重建整个链表，所以查询“黑名单”函数queryAttackers无需进行身份验证，任何终端设备调用该函数都能够实时获取准确可信的攻击源信息，在此基础上，过滤来自攻击源输出的垃圾流量，有效防御DDoS攻击

需要说明的是，owner表示使用该方案的管理者，具体的owner权限是在具体的代码中实现的。待添加者是指已经确认的合法设备，当需要调用addAuth函数将某一合法设备添加到auth_users数组中时，该合法设备就是待添加者。上述对待添加者身份进行验证的具体过程实际上就是前述方法中的流量监控、分析、溯源过程。

表1-4“黑名单”存储算法结构

为了更清楚地说明本发明提供的方法的有益效果，下面通过一个具体示例予以说明。

本示例使用MiniNet-Wifi仿真平台模拟DDoS攻击场景，在以太坊平台上开发智能契约算法，以验证基于区块链技术的攻击源“黑名单”存储方案的DDoS预防效果。本示例实验模拟了两个网络拓扑，一个用于发起DDoS攻击，该拓扑包括30台主机，其中有20台为恶意主机用于发送大流量攻击，剩余10台为正常主机；另一个拓扑则参照智能合约上的攻击源“黑名单”信息进行查询，将从黑名单上可疑地址发出的流量进行过滤。两个网络拓扑间带宽限制为100Mb/s，每台主机间的带宽限制为100Kb/s。

本示例实验将以下三个参数作为该方案预防DDoS攻击的性能指标：1)“黑名单”查询时间；2)流量检测率；3)攻击源误报率。本示例共进行10轮模拟实验，每一轮的DDoS攻击的速率不同，分别观察实验结果。

表1-5 DDoS预防性能数据表

实验具体数据如上表1-5所示，由实验数据可知，随着模拟DDoS每秒攻击次数的增加，查询攻击源“黑名单”地址信息的时间消耗并没有明显的变化趋势，这是由于基于链表的存储结构需要在每次查询时，根据待查询区块的哈希头信息遍历整个链，直至当前区块的哈希值与其匹配，查询操作理论上的时间复杂度为O(n)，n为链的长度。即使如此，从数据上可以看出，由于正向哈希计算的高效性，使得每次查询的时长总能保持在100ms左右，耗时极低，保证了DDoS预防的及时性。随着DDoS攻击次数的增加，本方案的流量检测率呈缓慢下降的趋势，但攻击源检测的误报率始终保持在1％左右的较低水平，这是由于相比原本的IDPM算法，本发明使用的DDoS防御方案对于采样阶段的数据包完整性要求较低，且能够在这一条件下保证相比于原始策略更低的攻击源检测遗漏比率，即更加完整的追踪到所有的攻击源地址，保证了攻击源“黑名单”信息的准确性。

总体来说，本发明通过分析SDN网络架构中的DDoS攻击特点创新性的提出一种联合区块链技术的DDoS防御方案，利用SDN架构的集中管控能力对网络拓扑中的数据流量采样，针对DDoS攻击中僵尸主机输出的攻击数据包特点，设置过滤阈值，将可能存在威胁的流量截获并压缩成特定数据包格式，为下一步追溯攻击源做准备。然后，追溯采样阶段的可疑流量的攻击源地址，本发明提出使用数据流溯源算法替代传统的IDPM算法，该方案重构所需数据包数量较低，重构路径准确，并通过数学模型论证了溯源算法的执行过程及溯源结果的可靠性。在此基础上，创新性的提出基于区块链架构的DDoS攻击源“黑名单”存储策略，通过编程实现了区块链智能合约部分的开发，该存储方案能够动态校验数据的可靠性，有效防止“黑名单”数据被篡改或伪造，以实现DDoS攻击的及时预防。最后，通过实验验证了数据源追溯算法和攻击源“黑名单”存储方案的有效性，通过对比实验证明了本发明提出的联合区块链技术的DDoS防御策略显著优于原有方法。

下面采用推理方式推导出本发明的优点：

本发明提供的方法使用数据流溯源算法替代传统的IDPM算法，该方案重构所需数据包数量较低，重构路径准确，并通过数学模型论证了溯源算法的执行过程及溯源结果的可靠性。在此基础上，创新性的提出基于区块链架构的DDoS攻击源“黑名单”存储策略，通过编程实现了区块链智能合约部分的开发，该存储方案能够动态校验数据的可靠性，有效防止“黑名单”数据被篡改或伪造，以实现DDoS攻击的及时预防。

通过实验验证了数据源追溯算法和攻击源“黑名单”存储方案的有效性，通过对比实验证明了本发明提出的联合区块链技术的DDoS防御策略显著优于原有方案。SDN数据层的集中式数据存储方式容易受到DDoS攻击的威胁，DDoS攻击通常攻击源众多，且每单次攻击在单位时间内发生的概率相互独立，假设SDN网络拓扑中，有可能受到DDoS攻击的终端设备数量为M，用参数state表示单个终端设备内存储信息的安全状态，state∈{1,0}，state取值为1和0分别表示数据已被破坏和安全两种情况，设p_n为在t时刻整个系统遭受n次DDoS攻击的概率。

以Δt表示极小时间间隔，在[t,t+Δt]时间段内遭受DDoS攻击的概率为λt，其中λ为单位时间内到达终端设备的攻击数据包均值，因此，在t+Δt时刻，整个存储系统遭受n个僵尸主机攻击的概率为：

当Δt无限接近于0时，可得：

在[t,t+Δt]时间区间内，存储系统可能会遭受如下三种情况的攻击情景：

1)在[t,t+Δt]时间段内，系统完全没有受到任何DDoS攻击，该事件发生概率为(1-λΔt)p₀(t)；

2)系统在t时刻没有受到DDoS攻击，而在(t,t+Δt]时间段内受到攻击的事件发生概率为λΔtμΔtp₀(t)；

3)在t时刻受到DDoS攻击，而在(t,t+Δt]时间段内没有的事件发生概率为(1-λΔt)μΔtp₁(t)。

结合以上分析，建立如下公式：

同时，可将系统的目标约束函数表示为以下形式：

以R表示系统存储方案的鲁棒性，P(t₁,t₂,k)表示在系统在时间区间[t₁,t₂]内遭受k次数据篡改或伪造的概率，用变量R衡量一段使劲区间内，系统遭受数据篡改的平均情况，该数值越小，则表明该存储方案具有更好的鲁棒性。

假设本方案中生成一个新的攻击源“黑名单”区块的速率为r₁，而恶意终端生成新区快的速率为r₂，已知主以生成的区块个数为k，所有终端(包括正常终端和恶意终端)即将提交的区块个数为l，将主链当前状态记为(k,l)，则有：

q((k,l),(k+1,l))＝r₁,k≥0,l≥0 (1-6)

q((k,l),(k,l+1))＝r₂,k≥0,l≥0 (1-7)

q((k,l),(k′,l′))＝0,其他 (1-8)

其中，q(a,b)表示主链将区块个数从a更新到b的执行过程。

当前状态(k,l)与初始状态(0,0)的关系可由式(4-13)表示：

上式中，若k≠l，则有：

q(k,l)(r₁+r₂)＝q(k-1,l)r₁+q(k,l-1)r₂ (1-10)

结合式(4-13)和式(4-14)可得：

当恶意终端总算力达到SDN存储系统总算力的10％时，有r₁/(r₁+r₂)＝0.1，可得二元组(k,l)，当k和l分别取值0，1，2时，(k,l)状态值如表1-6所示。

表1-6(k,l)状态分布图

从表1-6中可以看出，在当前预测模型中，拓扑中所有终端有97.6％的概率与主链当前状态上的“黑名单”信息达成一致，当有新的区块上传时，该新区块理论上未被终端接受的概率仅有1.8％，其他错误事件发生概率则更低，该部分结果的正确性已在前文中得到证实。在中心化数据存储策略中，采用访问控制、信息加密、数字签名及认证等传统密码学方式，虽然可以在一定程度上提升系统的安全性能，而区块链的核心优势便是通过决策权力的高度分散的激励机制来实现去中心化的数据存储安全。以这种方案进行攻击源“黑名单”数据的存储，能够有效防止数据被篡改，即使以攻击源繁多、流量大、速度快的DDoS攻击来破坏存储数据完整性也需要极高的算力要求。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种基于区块链的软件定义机会网络DDoS防御方法，其特征在于，包括：

采用区块链的智能合约存储上述异常源集合，维护一个可公共访问的攻击者黑名单，以实现DDoS攻击的防御；

其中，根据监控的数据流标识和路径标识，采用数据流溯源算法确定攻击源地址，包括：

分析截获的数据包的数据流标识，得到该数据包的特征向量

然后扫描网络中所有交换机的支点，对传送了包含特征向量

的部分进行标记，采用数据流溯源算法对数据流进行路径重构，并获得溯源结果，溯源结果包括攻击源地址；

采用区块链的智能合约存储上述异常源集合，维护一个可公共访问的攻击者黑名单，包括：

定义两个全局数组auth_users和attackers，数组auth_users用于存储网络拓扑中的终端设备地址，数组attackers用于存储采用数据流溯源算法得到的攻击源地址，当智能合约被创建时，通过调用其构造函数将合约执行过程记录下来，同时将所有终端设备地址添加到auth_users数组中，从而使所有交换机和控制器拥有攻击者黑名单内容的权限；

所述方法还包括：通过添加函数用于实现黑名单的添加、删除、修改以及查询功能，其中，查询功能通过查询黑名单函数queryAttackers实现，通过queryAttackers函数能够获取攻击源信息。

2.如权利要求1所述的方法，其特征在于，对软件定义机会网络中的数据流的状态进行监控，包括：

3.如权利要求1所述的方法，其特征在于，在采用数据流溯源算法对数据流进行路径重构，并获得溯源结果之前，所述方法还包括：

4.如权利要求3所述的方法，其特征在于，采用数据流溯源算法对数据流进行路径重构，并获得溯源结果，具体包括：

根据重构的路径，确定攻击源地址。

5.如权利要求1所述的方法，其特征在于，所述方法还包括：将攻击源地址与数据流的源地址进行对比，当一致时，则表示数据流合法，不具有DDoS攻击威胁。