CN110113328B - 一种基于区块链的软件定义机会网络DDoS防御方法 - Google Patents
一种基于区块链的软件定义机会网络DDoS防御方法 Download PDFInfo
- Publication number
- CN110113328B CN110113328B CN201910349501.3A CN201910349501A CN110113328B CN 110113328 B CN110113328 B CN 110113328B CN 201910349501 A CN201910349501 A CN 201910349501A CN 110113328 B CN110113328 B CN 110113328B
- Authority
- CN
- China
- Prior art keywords
- data
- attack
- data stream
- data flow
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于区块链的软件定义机会网络DDoS防御方法,首先,利用SDN能够在控制层进行逻辑集中管控能力特点,对网络状态进行实时动态监控,然后,通过分析监控所得的流量特征分析其存在DDoS放大攻击的可能性,再根据溯源算法确定攻击者地址,最后,使用区块链架构维护一个可公共访问的攻击者黑名单,协助应用层进行恶意流量过滤,以实现DDoS攻击的防御。本发明提高了攻击源追踪的精准度,结合区块链架构实现了攻击源“黑名单”地址的存储,基于分布式账本技术的攻击源存储架构能在保持数据可靠性的同时,有效防止数据被篡改或破坏。全网通过查询“黑名单”地址,可在数据包接受阶段进行过滤,从根源处预防DDoS攻击。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种基于区块链的软件定义机会网络DDoS防御方法。
背景技术
DDoS(即分布式拒绝服务攻击)是指攻击者通过网络操控大量僵尸主机共同向一个或少数主机发起攻击,通过汇聚数倍于单个主机的服务或资源请求导致被攻击者瘫痪,随着科技的进步,一般主机的Memory存储能力或CPU计算能力都不断提升,高级服务器的带宽甚至已经达到了千兆的级别,这为传统DoS攻击的有效实施以及实际效果都增加的难度,而DDoS相较于传统的DoS攻击而言,充分利用了网络的连通性特征,攻击者通过系统的漏洞或后门程序入侵数以千计的异域主机,并在极短的时间内通过主控程序多次激活代理程序,当僵尸主机收到代理程序的指令后,就会向目标主机、服务器、路由器等设备发送大量看似正常的无用数据包来耗尽其资源或带宽,从而达到使其瘫痪的目的。
在软件定义网络中,控制层决定了整个网络的正常运行,从安全角度来看,这为SDN引入了一个新型的单点故障问题,如果控制器关闭或无法连接,整个网络将崩溃。可以用来攻击SDN控制器的攻击方法之一是DDoS攻击,DDoS攻击也有很多方法来压制控制器的资源,例如常见的SYNFlood和ICMPFlood等。
本申请发明人在实施本发明的过程中,发现现有技术的方法,至少存在如下技术问题:
在大多数现有的SDN体系中,控制层和数据层间的南向接口底层都是以OpenFlow协议为基础实现的,这种设计有利于控制层实时更新网络配置和随意添加交换机规则,OpenFlow协议的正常执行完全依赖于控制器和交换机之间的安全信道,若该通道被迫关闭,整个SDN体系就会因为丧失核心控制器而崩溃。一个完整的SDN网络拓扑通常包含多个网络切片,每个切片包含一个控制器和多台交换机,当某个切片的控制器失效时,交换机会暂时使用传统方式进行数据包的交换和处理,但这种应急策略不能从根本上解决问题。DDoS攻击过程中用于占用资源或带宽的垃圾数据包的源地址较为特殊,交换机无法在流表中找到与其相匹配的流表项,此时交换机的策略是将这些数据包封装成Packet_IN消息发送给控制器,当Packet_IN消息过多超过控制器的处理能力时,控制器就无法向新的数据包提供服务,软件定义机会网络中控制层的集中化使得这种攻击方式更具有破坏性。
由此可知,现有技术中软件定义机会网络抵御DDOS攻击的效果较差的技术问题。
发明内容
有鉴于此,本发明提供了一种基于区块链的软件定义机会网络DDoS防御方法,用以解决或者至少部分解决现有技术中软件定义机会网络抵御DDOS攻击的效果较差的技术问题。
本发明第一方面提供了一种基于区块链的软件定义机会网络DDoS防御方法,包括:
对软件定义机会网络中的数据流进行监控,其中,监控的数据流特征包括数据流标识和路径标识,数据流标识包括源地址、目的地址、源端口、目的端口以及协议号,路径标识包括交换机ID和入口端口号;
根据监控的数据流标识和路径标识,采用数据流溯源算法确定数据流的攻击源地址,并将攻击源地址与数据流的源地址进行对比,当不一致时,则将数据流对应的请求源交换机ID标记为异常源,形成异常源集合;
采用区块链的智能合约存储上述异常源集合,维护一个可公共访问的攻击者黑名单,以实现DDoS攻击的防御。
在一种实施方式中,对软件定义机会网络中的数据流的状态进行监控,包括:
采用MiniNet-WIFI的流量监控软件对软件定义机会网络拓扑结构中的数据流进行监控;
当数据包的设定带宽放大因素大于阈值时,将超出阈值部分的数据包截获并记录;
根据预设规则将数据流提取为数据流标识和路径标识两个部分,其中,路径标识用以唯一标识该数据包传输路径的每一跳位置的信息。
在一种实施方式中,根据监控的数据流标识和路径标识,采用数据流溯源算法确定攻击源地址,包括:
分析截获的数据包的数据流标识,得到该数据包的特征向量然后扫描网络中所有交换机的支点,对传送了包含特征向量的部分进行标记,采用数据流溯源算法对数据流进行路径重构,并获得溯源结果,溯源结果包括攻击源地址。
在一种实施方式中,在采用数据流溯源算法对数据流进行路径重构,并获得溯源结果之前,所述方法还包括:
根据数据流标识Flow_ID对各个数据流进行分组,每组的分类结果为一个数据流的所有采样字段集合,将其记录为Setflow;
将Setflow集合中所有交换机ID进行提取,构成集合Setsw={SWi},每个SWi包含入口端口号Input_port和其他端口号,入口端口号用Pi表示,其他端口号用Pothers表示。
在一种实施方式中,采用数据流溯源算法对数据流进行路径重构,并获得溯源结果,具体包括:
将所有交换机IDSwitch_ID和端口列表中的入口端口号Input_port提取并组合成CH={SWi:Pin}n,SWi∈Setsw,Pin∈Setport,CH集合中每一项CHi表示该数据流经由端口号Pin进入交换机i,根据端口列表找到每一项CHi中的交换机在表中对应的其他端口号Pothers;
将集合CH中所有项的NHij组成集合NH,然后,将CH、NH两集合各项对应构成Link表,Link表的每一项表示CHi到NHij经由的链路,其中,NHij用以表示当下一跳到达的设备为交换机设备,该交换机IDSwitch_ID及进入该交换机的入口端口号的记录;
求取CH、NH两集合的并集AH,AH集合表示数据流可能到达的所有设备集合,且集合AH内元素总数的绝对值N为单个数据流可能达到设备的最大数量,以此构建N阶方阵A,并根据方阵A重构数据流的路径,其中,该方阵以CHi为行,以NHi为列,方阵中各点的值满足以下条件:
其中,若aij=(r,c)对应的值为0表示数据流从r到c的传输过程,反之,aij=(r,c)值为1则表示从c到r的传输过程;
根据重构的路径,确定攻击源地址。
在一种实施方式中,所述方法还包括:将攻击源地址与数据流的源地址进行对比,当一致时,则表示数据流合法,不具有DDoS攻击威胁。
在一种实施方式中,采用区块链的智能合约存储上述异常源集合,维护一个可公共访问的攻击者黑名单,包括:
定义两个全局数组auth_users和attackers,数组auth_users用于存储网络拓扑中的终端设备地址,数组attackers用于存储采用数据流溯源算法得到的攻击源地址,当智能合约被创建时,通过调用其构造函数将合约执行过程记录下来,同时将所有终端设备地址添加到auth_users数组中,从而使所有交换机和控制器拥有攻击者黑名单内容的权限。
本申请实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
本发明提出了一种联合区块链技术和SDN网络架构的DDoS防御方法,首先,利用SDN能够在控制层进行逻辑集中管控能力特点,对网络状态进行实时动态监控,然后,通过分析监控所得的流量特征分析其存在DDoS放大攻击的可能性,再根据溯源算法确定攻击者地址,最后,使用区块链架构维护一个可公共访问的攻击者黑名单,协助应用层进行恶意流量过滤,以实现DDoS攻击的防御。
本发明采用基于SDN和区块链技术的DDoS防御策略、区块链技术的DDoS预防策略,提出了数据流溯源算法,提高了攻击源追踪的精准度,结合区块链架构实现了攻击源“黑名单”地址的存储,基于分布式账本技术的攻击源存储架构能在保持数据可靠性的同时,有效防止数据被篡改或破坏。全网通过查询“黑名单”地址,可在数据包接受阶段进行过滤,从根源处预防DDoS攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中基于区块链的软件定义机会网络DDoS防御方法的流程图;
图2为DDoS攻击原理图;
图3为本发明实施例中数据包采样格式示意图;
图4为本发明实施例中溯源技术原理图;
图5为本发明实施例中溯源场景拓扑结构示意图;
图6为具体示例中数据包过滤字段对转发延时的影响示意图;
图7为具体示例中数据包条数对重构收敛值的影响示意图;
图8(a)为采用传统方法和本发明的方法采集的数据包总数的示意图;
图8(b)为采用传统方法和本发明的方法的漏报率对比示意图;
图8(c)为采用传统方法和本发明的方法的攻击检测率对比示意图。
具体实施方式
本发明的目的在于针对现有技术中软件定义机会网络抵御DDOS攻击的效果较差的技术问题,提供了一种基于区块链的软件定义机会网络DDoS防御方法。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本申请发明人通过大量的实践发现,软件定义机会网络是一种通过节点自由移动,随机相遇来进行消息传输的特殊网络结构,它不依赖于移动节点之间的完整路由,以“存储-携带-转发”的路由模式来形成通信机会并逐跳通信。但是这种通讯模式也带来了新的问题。软件定义机会网络不需要在建立通讯的两个节点之间存在固定可靠的传输信道,不要求网络具有全连通性,节点的随机移动也会导致通讯的不稳定性等。在安全方面,软件定义机会网络中节点稀疏性较高,导致恶意节点可以随意加入当前的网络环境中,恶意节点会恶意传播虚假信息,其次且恶意节点会俘获正常节点来误导其进行正常的消息传播,使得整个网络内消息的真实性无法保证。
其次,软件定义机会网络无法建立端到端的可靠连接,因此无法采用在线向集中式认证中心进行实时通信,任何鉴别节点身份和消息的可靠性都只能通过传统密码学解决,具有较大局限性。另外,在隐私保护方面,软件定义机会网络中节点携带信息的方式容易被恶意截取或篡改,数据的完整性和设备的容错性都受到很大威胁。
区块链可视为一种能解决软件定义机会网络中安全性问题的工具。在离散网络中,区块链可以维护一个所有成员一致认同的数据库,即使节点无法与集中式认证中心实时通信,也能够保证区块中数据的安全可靠。区块链是有序的链表结构,每个“块”中除了数据外,还存储了时间戳、前趋块的引用等,且每次修改、更新都要获得所有成员的共同许可,区块链中所有成员均处于完全对等的地位,并保持相同的区块链副本。区块链的核心是“挖矿”权力的选择策略,本发明通过模仿区块链常用的选举机制,设计了一种联合了工作量证明机制和股权证明机制相结合的信任偏移量“区块”更新方案,其数据存储结构具有良好的容错性,在没有足够的算力支撑下,任何恶意节点都无法篡改链中的记录。
使用区块链技术优化机会网络的安全性具有以下优点:
1)去中心化:区块链结构下,数据由各个分布式节点相互协作维护,每个节点都保留一个区块链副本,有效防止单点故障,整个系统的可扩展性也得到提高;
2)防篡改:基于链表的存储结构使得恶意节点在试图篡改链中数据时,同时需要重建整个链表,使得犯罪成本呈指数增长;
3)数据一致性:区块链结构中,数据库由所有节点共同维护,只有达成共识的操作才会被允许,任何节点发出的查询请求都回得到完全相同的结果;
4)更新时效性:基于股权证明机制的更新策略,使得每次更新区块链操作能最大化反映节点信任度的变化,从而确保了链中数据的更新时效性;
5)容错性:基于工作量证明机制的“矿工”选举策略,使得在部分节点失效或被俘获的情况下,只要有足够的算力支撑,仍能够保证系统的正常运作。
本实施例提供了一种基于区块链的软件定义机会网络DDoS防御方法,请参见图1,该方法包括:
步骤S1:对软件定义机会网络中的数据流进行监控,其中,监控的数据流特征包括数据流标识和路径标识,数据流标识包括源地址、目的地址、源端口、目的端口以及协议号,路径标识包括交换机ID和入口端口号。
具体来说,利用SDN能够在控制层进行逻辑集中管控能力特点,对网络状态进行实时动态监控,然后,通过分析监控所得的流量特征,从而分析其存在DDoS放大攻击的可能性。
请参见图3,数据流标识Flow_ID包含源地址Source_IP,目的地址Destination_IP,源端口Source_Port,目的端口Destination_Port以及协议号Protocol组成;路径标识则是指用来唯一标识该数据包传输路径的每一跳位置的信息,其内容包括交换机IDSwitch_ID以及该数据流的入口端口号Input_Port。
DDoS(即分布式拒绝服务攻击)是指攻击者通过网络操控大量僵尸主机共同向一个或少数主机发起攻击,通过汇聚数倍于单个主机的服务或资源请求导致被攻击者瘫痪。图2示出了DDoS攻击的原理。
步骤S2:根据监控的数据流标识和路径标识,采用数据流溯源算法确定数据流的攻击源地址,并将攻击源地址与数据流的源地址进行对比,当不一致时,则将数据流对应的请求源交换机ID标记为异常源,形成异常源集合。
具体来说,根据步骤S1中得到的数据流监控结果,使用溯源技术(即数据流溯源算法)追踪数据流的攻击源,该技术通过解析捕获的数据包的相关标记路径信息,即步骤S1的路径标识来重构数据包路径,从而定位攻击源地址。
在具体的实施过程中,溯源技术的原理如图4所示,最下层的Hi(i=1,2,3,...)表示网络拓扑中的主机,Hi可能为DDoS攻击发起者,也可能为被攻击者,Si(i=1,2,3,...)表示交换机,各个交换机间通过支点(A,B,C,...)相连。SDN中的网络拓扑通常为树状结构,各个主机(无论是攻击发起者还是被攻击者)都处于树状结构的叶子节点处,攻击发起者Hi通过交换机Si发送伪造的数据包向被攻击者Hj(i≠j)发起攻击,中间这段路由就是攻击路径。
步骤S3:采用区块链的智能合约存储上述异常源集合,维护一个可公共访问的攻击者黑名单,以实现DDoS攻击的防御。
具体来说,本发明提出基于区块链技术的DDoS防御方案,通过编程实现专门的智能合约用于存储数据流溯源算法追踪所得的异常源集合——攻击者“黑名单”,提供动态增删、查询“黑名单”内容,相较于SDN在数据层集中存储的方案,基于区块链技术的优势在于,能够以共识机制保证数据在静态存储、动态修改时的安全性能,有效降低SDN控制层的部署开销,克服了不同网络切片间的联合通信难度,网络拓扑中的所有交换机及控制器都能够准确查询到“黑名单”用户,“黑名单”的每次更新都由所有控制器共同投票决定,所有区域控制器都具有查询权限。
集中的SDN存储方案无法针对大规模DDoS进行有效防御,本发明方案通过在以太坊平台上开发智能契约,实现了不同网络切片间的“黑名单”信息共享,且不需要修改现有的网络协议和基础架构,具有良好的扩展性。
在一种实施方式中,对软件定义机会网络中的数据流的状态进行监控,包括:
采用MiniNet-WIFI的流量监控软件对软件定义机会网络拓扑结构中的数据流进行监控;
当数据包的设定带宽放大因素大于阈值时,将超出阈值部分的数据包截获并记录;
根据预设规则将数据流提取为数据流标识和路径标识两个部分,其中,路径标识用以唯一标识该数据包传输路径的每一跳位置的信息。
具体来说,本实施例采用MiniNet-WIFI的流量监控APPWireShark对SDN拓扑结构中的流量波动进行监控,将该阶段称为采样阶段。
在WireShark中设定数据包检测内容为所有按照DNS协议来发送请求和回复请求的数据包总数,同时设定带宽放大因素BAF的阈值&BAF,当数据包检测结果满足条件BAF≥&BAF时,将超出&BAF阈值部分的数据包截获并记录,以便进行数据流的溯源。根据月射规则将结果的数据流提取为数据流标识和路径标识两个部分。
在一种实施方式中,根据监控的数据流标识和路径标识,采用数据流溯源算法确定攻击源地址,包括:
分析截获的数据包的数据流标识,得到该数据包的特征向量然后扫描网络中所有交换机的支点,对传送了包含特征向量的部分进行标记,采用数据流溯源算法对数据流进行路径重构,并获得溯源结果,溯源结果包括攻击源地址。
具体来说,通讯过程中,所有交换机的接口都是开启的,当某主机Hj受到攻击,首先通过分析截获数据包得到该数据包的特征向量然后扫描网络中所有交换机的支点,对传送了包含特征向量的部分进行标记,如图4所示,当H1向H4发送垃圾数据包时,根据向量重构攻击路径(S3_B,S3_C,S2_B,S2_A,S4_C,S4_A),从而实现数据溯源。
在一种实施方式中,在采用数据流溯源算法对数据流进行路径重构,并获得溯源结果之前,所述方法还包括:
根据数据流标识Flow_ID对各个数据流进行分组,每组的分类结果为一个数据流的所有采样字段集合,将其记录为Setflow;
将Setflow集合中所有交换机ID进行提取,构成集合Setsw={SWi},每个SWi包含入口端口号Input_port和其他端口号,入口端口号用Pi表示,其他端口号用Pothers表示。
具体来说,由于监控采样所得的数据流是完全无序的,故在溯源之前根据数据流标识Flow_ID分组,这样一来,每组的分类结果都是一个数据流的所有采样字段集合,将其记录为Setflow,将该集合中所有交换机IDSwitch_ID提取出来构成集合Setsw={SWi},每个SWi包含入口端口号Input_port和其他端口号,分别用Pi和Pothers表示,即Setport={Pin,Pothers},表示,将图5场景中的集合Setsw端口列表整理后可得如下表1-1所示。
表1-1交换机端口列表
在一种实施方式中,采用数据流溯源算法对数据流进行路径重构,并获得溯源结果,具体包括:
将所有交换机IDSwitch_ID和端口列表中的入口端口号Input_port提取并组合成CH={SWi:Pin}n,SWi∈Setsw,Pin∈Setport,CH集合中每一项CHi表示该数据流经由端口号Pin进入交换机i,根据端口列表找到每一项CHi中的交换机在表中对应的其他端口号Pothers;
将集合CH中所有项的NHij组成集合NH,然后,将CH、NH两集合各项对应构成Link表,Link表的每一项表示CHi到NHij经由的链路,其中,NHij用以表示当下一跳到达的设备为交换机设备,该交换机IDSwitch_ID及进入该交换机的入口端口号的记录;
求取CH、NH两集合的并集AH,AH集合表示数据流可能到达的所有设备集合,且集合AH内元素总数的绝对值N为单个数据流可能达到设备的最大数量,以此构建N阶方阵A,并根据方阵A重构数据流的路径,其中,该方阵以CHi为行,以NHi为列,方阵中各点的值满足以下条件:
其中,若aij=(r,c)对应的值为0表示数据流从r到c的传输过程,反之,aij=(r,c)值为1则表示从c到r的传输过程;
根据重构的路径,确定攻击源地址。
具体来说,根据图5中的拓扑依次将Pothers视为输出端口号,由此找到下一个将该端口作为下一跳的交换机,若下一跳到达的设备为交换机设备,则将该交换机IDSwitch_ID及进入该交换机的入口端口号Input_port记录并记作NHij;若下一跳设备为主机,则将该主机的MAC地址视为Switch_ID,该入口端口号设为空NULL,将集合CH中所有项的NHij组成集合NH,然后,将CH、NH两集合各项对应构成Link表,表中的每一项表示CHi到NHij经由的链路。
表1-2为图5所示拓扑构成的Link表,表中第二项所示对应的CH集合中的值为C3,表示该数据流从端口3经由交换机C,且即将到达的下一跳设备有两种可能,从端口2经由交换机D,或者从端口2经由交换机E。
表1-2链路列表
得到由图4的拓扑对应的方阵如表1-3所示,方阵中,若aij=(r,c)对应的值为0表示数据流从r到c的传输过程,反之,aij=(r,c)值为1则表示从c到r的传输过程,方阵中任意行的所有值为0的元素表示这些数据流都是从CHi发出的,所有值为1的元素表示所有从不同上一跳设备到达CHi的数据流,故找出所有只包括0元素而没有1元素的行,即可找出以r为起点转发的数据流,记为ar。由表1-3可知,方阵第一列的流量起点为F2,即ar=F2。当某数据流以F2节点为起点,即上表中a41=(F2,C3)=0,表示数据流从F2出发,到达C3,然后在C3所在的列找到所有值为1的元素,a31和a21,这表示有两条分支符合条件,分支1的数据包先从C3到达E2,然后根据a35=(E2,V)从E2出发到达目的主机V,同理可得分支2先后经由F2、C3、D2,最终到达主机V,两条路径分别为F2→C3→E2→V和F2→C3→D2→V。
表1-3对应方阵
本发明采用数据源溯源算法对网络拓扑中的所有数据流进行源头追踪,将溯源结果提取组成集合。溯源结果中的攻击源地址即DDoS数据包的真实源IP地址。
在具体实现时,将溯源结果集合中所有路径按照源IP地址和目的IP地址对响应数据流的上下行路径进行对比汇总,对比过程中源IP和目的IP可交换位置,每组对比都需要将发起请求数据包的源交换机ID Switch_ID与距离目的主机最近的交换机ID Switch_ID进行对比,若地址不一致,则将请求源交换机ID标记为异常源Si,最后,将所有异常源集合的“黑名单”列表返还给控制器。其中,Swith_ID为每个交换机自带的一个编号,是自动生成的,用来与某个具体的交换机设备进行绑定。
其中,将攻击源地址与数据流的源地址进行对比,当一致时,则表示数据流合法,不具有DDoS攻击威胁。
在一种实施方式中,采用区块链的智能合约存储上述异常源集合,维护一个可公共访问的攻击者黑名单,包括:
定义两个全局数组auth_users和attackers,数组auth_users用于存储网络拓扑中的终端设备地址,数组attackers用于存储采用数据流溯源算法得到的攻击源地址,当智能合约被创建时,通过调用其构造函数将合约执行过程记录下来,同时将所有终端设备地址添加到auth_users数组中,从而使所有交换机和控制器拥有攻击者黑名单内容的权限。
具体来说,算法1-1给出了以太坊智能合约实现“黑名单”存储算法伪代码,主要用于实现“黑名单”的添加、删除、修改以及查询功能,这段代码使用Solidity0.4.0编辑器实现。
当控制层进行更新网络拓扑时,使用addAuth函数来添加认证终端设备,只有owner权限才有权力调用该函数,调用期间需要对待添加者身份进行验证,若验证不通过则抛出异常;deleteAuth函数的实现流程与addAuth类似,但其在实现过程中使用一个循环遍历数组来查找,若找到则删除;addAttacker函数的功能时添加溯源所得的攻击源地址,首先在循环体中判断添加“黑名单”动作的发起者是否通过认证,通过验证则允许将新的攻击源地址添加至attacker数组,否则抛出异常,deleteAttacker函数同理;最后,由于基于区块链的存储结构使得恶意节点在试图篡改链中数据时,同时需要重建整个链表,所以查询“黑名单”函数queryAttackers无需进行身份验证,任何终端设备调用该函数都能够实时获取准确可信的攻击源信息,在此基础上,过滤来自攻击源输出的垃圾流量,有效防御DDoS攻击
需要说明的是,owner表示使用该方案的管理者,具体的owner权限是在具体的代码中实现的。待添加者是指已经确认的合法设备,当需要调用addAuth函数将某一合法设备添加到auth_users数组中时,该合法设备就是待添加者。上述对待添加者身份进行验证的具体过程实际上就是前述方法中的流量监控、分析、溯源过程。
表1-4“黑名单”存储算法结构
为了更清楚地说明本发明提供的方法的有益效果,下面通过一个具体示例予以说明。
本示例使用MiniNet-Wifi仿真平台模拟DDoS攻击场景,在以太坊平台上开发智能契约算法,以验证基于区块链技术的攻击源“黑名单”存储方案的DDoS预防效果。本示例实验模拟了两个网络拓扑,一个用于发起DDoS攻击,该拓扑包括30台主机,其中有20台为恶意主机用于发送大流量攻击,剩余10台为正常主机;另一个拓扑则参照智能合约上的攻击源“黑名单”信息进行查询,将从黑名单上可疑地址发出的流量进行过滤。两个网络拓扑间带宽限制为100Mb/s,每台主机间的带宽限制为100Kb/s。
本示例实验将以下三个参数作为该方案预防DDoS攻击的性能指标:1)“黑名单”查询时间;2)流量检测率;3)攻击源误报率。本示例共进行10轮模拟实验,每一轮的DDoS攻击的速率不同,分别观察实验结果。
表1-5 DDoS预防性能数据表
实验具体数据如上表1-5所示,由实验数据可知,随着模拟DDoS每秒攻击次数的增加,查询攻击源“黑名单”地址信息的时间消耗并没有明显的变化趋势,这是由于基于链表的存储结构需要在每次查询时,根据待查询区块的哈希头信息遍历整个链,直至当前区块的哈希值与其匹配,查询操作理论上的时间复杂度为O(n),n为链的长度。即使如此,从数据上可以看出,由于正向哈希计算的高效性,使得每次查询的时长总能保持在100ms左右,耗时极低,保证了DDoS预防的及时性。随着DDoS攻击次数的增加,本方案的流量检测率呈缓慢下降的趋势,但攻击源检测的误报率始终保持在1%左右的较低水平,这是由于相比原本的IDPM算法,本发明使用的DDoS防御方案对于采样阶段的数据包完整性要求较低,且能够在这一条件下保证相比于原始策略更低的攻击源检测遗漏比率,即更加完整的追踪到所有的攻击源地址,保证了攻击源“黑名单”信息的准确性。
总体来说,本发明通过分析SDN网络架构中的DDoS攻击特点创新性的提出一种联合区块链技术的DDoS防御方案,利用SDN架构的集中管控能力对网络拓扑中的数据流量采样,针对DDoS攻击中僵尸主机输出的攻击数据包特点,设置过滤阈值,将可能存在威胁的流量截获并压缩成特定数据包格式,为下一步追溯攻击源做准备。然后,追溯采样阶段的可疑流量的攻击源地址,本发明提出使用数据流溯源算法替代传统的IDPM算法,该方案重构所需数据包数量较低,重构路径准确,并通过数学模型论证了溯源算法的执行过程及溯源结果的可靠性。在此基础上,创新性的提出基于区块链架构的DDoS攻击源“黑名单”存储策略,通过编程实现了区块链智能合约部分的开发,该存储方案能够动态校验数据的可靠性,有效防止“黑名单”数据被篡改或伪造,以实现DDoS攻击的及时预防。最后,通过实验验证了数据源追溯算法和攻击源“黑名单”存储方案的有效性,通过对比实验证明了本发明提出的联合区块链技术的DDoS防御策略显著优于原有方法。
下面采用推理方式推导出本发明的优点:
本发明提供的方法使用数据流溯源算法替代传统的IDPM算法,该方案重构所需数据包数量较低,重构路径准确,并通过数学模型论证了溯源算法的执行过程及溯源结果的可靠性。在此基础上,创新性的提出基于区块链架构的DDoS攻击源“黑名单”存储策略,通过编程实现了区块链智能合约部分的开发,该存储方案能够动态校验数据的可靠性,有效防止“黑名单”数据被篡改或伪造,以实现DDoS攻击的及时预防。
通过实验验证了数据源追溯算法和攻击源“黑名单”存储方案的有效性,通过对比实验证明了本发明提出的联合区块链技术的DDoS防御策略显著优于原有方案。SDN数据层的集中式数据存储方式容易受到DDoS攻击的威胁,DDoS攻击通常攻击源众多,且每单次攻击在单位时间内发生的概率相互独立,假设SDN网络拓扑中,有可能受到DDoS攻击的终端设备数量为M,用参数state表示单个终端设备内存储信息的安全状态,state∈{1,0},state取值为1和0分别表示数据已被破坏和安全两种情况,设pn为在t时刻整个系统遭受n次DDoS攻击的概率。
以Δt表示极小时间间隔,在[t,t+Δt]时间段内遭受DDoS攻击的概率为λt,其中λ为单位时间内到达终端设备的攻击数据包均值,因此,在t+Δt时刻,整个存储系统遭受n个僵尸主机攻击的概率为:
当Δt无限接近于0时,可得:
在[t,t+Δt]时间区间内,存储系统可能会遭受如下三种情况的攻击情景:
1)在[t,t+Δt]时间段内,系统完全没有受到任何DDoS攻击,该事件发生概率为(1-λΔt)p0(t);
2)系统在t时刻没有受到DDoS攻击,而在(t,t+Δt]时间段内受到攻击的事件发生概率为λΔtμΔtp0(t);
3)在t时刻受到DDoS攻击,而在(t,t+Δt]时间段内没有的事件发生概率为(1-λΔt)μΔtp1(t)。
结合以上分析,建立如下公式:
同时,可将系统的目标约束函数表示为以下形式:
以R表示系统存储方案的鲁棒性,P(t1,t2,k)表示在系统在时间区间[t1,t2]内遭受k次数据篡改或伪造的概率,用变量R衡量一段使劲区间内,系统遭受数据篡改的平均情况,该数值越小,则表明该存储方案具有更好的鲁棒性。
假设本方案中生成一个新的攻击源“黑名单”区块的速率为r1,而恶意终端生成新区快的速率为r2,已知主以生成的区块个数为k,所有终端(包括正常终端和恶意终端)即将提交的区块个数为l,将主链当前状态记为(k,l),则有:
q((k,l),(k+1,l))=r1,k≥0,l≥0 (1-6)
q((k,l),(k,l+1))=r2,k≥0,l≥0 (1-7)
q((k,l),(k′,l′))=0,其他 (1-8)
其中,q(a,b)表示主链将区块个数从a更新到b的执行过程。
当前状态(k,l)与初始状态(0,0)的关系可由式(4-13)表示:
上式中,若k≠l,则有:
q(k,l)(r1+r2)=q(k-1,l)r1+q(k,l-1)r2 (1-10)
结合式(4-13)和式(4-14)可得:
当恶意终端总算力达到SDN存储系统总算力的10%时,有r1/(r1+r2)=0.1,可得二元组(k,l),当k和l分别取值0,1,2时,(k,l)状态值如表1-6所示。
表1-6(k,l)状态分布图
从表1-6中可以看出,在当前预测模型中,拓扑中所有终端有97.6%的概率与主链当前状态上的“黑名单”信息达成一致,当有新的区块上传时,该新区块理论上未被终端接受的概率仅有1.8%,其他错误事件发生概率则更低,该部分结果的正确性已在前文中得到证实。在中心化数据存储策略中,采用访问控制、信息加密、数字签名及认证等传统密码学方式,虽然可以在一定程度上提升系统的安全性能,而区块链的核心优势便是通过决策权力的高度分散的激励机制来实现去中心化的数据存储安全。以这种方案进行攻击源“黑名单”数据的存储,能够有效防止数据被篡改,即使以攻击源繁多、流量大、速度快的DDoS攻击来破坏存储数据完整性也需要极高的算力要求。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (5)
1.一种基于区块链的软件定义机会网络DDoS防御方法,其特征在于,包括:
对软件定义机会网络中的数据流进行监控,其中,监控的数据流特征包括数据流标识和路径标识,数据流标识包括源地址、目的地址、源端口、目的端口以及协议号,路径标识包括交换机ID和入口端口号;
根据监控的数据流标识和路径标识,采用数据流溯源算法确定数据流的攻击源地址,并将攻击源地址与数据流的源地址进行对比,当不一致时,则将数据流对应的请求源交换机ID标记为异常源,形成异常源集合;
采用区块链的智能合约存储上述异常源集合,维护一个可公共访问的攻击者黑名单,以实现DDoS攻击的防御;
其中,根据监控的数据流标识和路径标识,采用数据流溯源算法确定攻击源地址,包括:
分析截获的数据包的数据流标识,得到该数据包的特征向量然后扫描网络中所有交换机的支点,对传送了包含特征向量的部分进行标记,采用数据流溯源算法对数据流进行路径重构,并获得溯源结果,溯源结果包括攻击源地址;
采用区块链的智能合约存储上述异常源集合,维护一个可公共访问的攻击者黑名单,包括:
定义两个全局数组auth_users和attackers,数组auth_users用于存储网络拓扑中的终端设备地址,数组attackers用于存储采用数据流溯源算法得到的攻击源地址,当智能合约被创建时,通过调用其构造函数将合约执行过程记录下来,同时将所有终端设备地址添加到auth_users数组中,从而使所有交换机和控制器拥有攻击者黑名单内容的权限;
所述方法还包括:通过添加函数用于实现黑名单的添加、删除、修改以及查询功能,其中,查询功能通过查询黑名单函数queryAttackers实现,通过queryAttackers函数能够获取攻击源信息。
2.如权利要求1所述的方法,其特征在于,对软件定义机会网络中的数据流的状态进行监控,包括:
采用MiniNet-WIFI的流量监控软件对软件定义机会网络拓扑结构中的数据流进行监控;
当数据包的设定带宽放大因素大于阈值时,将超出阈值部分的数据包截获并记录;
根据预设规则将数据流提取为数据流标识和路径标识两个部分,其中,路径标识用以唯一标识该数据包传输路径的每一跳位置的信息。
3.如权利要求1所述的方法,其特征在于,在采用数据流溯源算法对数据流进行路径重构,并获得溯源结果之前,所述方法还包括:
根据数据流标识Flow_ID对各个数据流进行分组,每组的分类结果为一个数据流的所有采样字段集合,将其记录为Setflow;
将Setflow集合中所有交换机ID进行提取,构成集合Setsw={SWi},每个SWi包含入口端口号Input_port和其他端口号,入口端口号用Pi表示,其他端口号用Pothers表示。
4.如权利要求3所述的方法,其特征在于,采用数据流溯源算法对数据流进行路径重构,并获得溯源结果,具体包括:
将所有交换机IDSwitch_ID和端口列表中的入口端口号Input_port提取并组合成CH={SWi:Pin}n,SWi∈Setsw,Pin∈Setport,CH集合中每一项CHi表示该数据流经由端口号Pin进入交换机i,根据端口列表找到每一项CHi中的交换机在表中对应的其他端口号Pothers;
将集合CH中所有项的NHij组成集合NH,然后,将CH、NH两集合各项对应构成Link表,Link表的每一项表示CHi到NHij经由的链路,其中,NHij用以表示当下一跳到达的设备为交换机设备,该交换机IDSwitch_ID及进入该交换机的入口端口号的记录;
求取CH、NH两集合的并集AH,AH集合表示数据流可能到达的所有设备集合,且集合AH内元素总数的绝对值N为单个数据流可能达到设备的最大数量,以此构建N阶方阵A,并根据方阵A重构数据流的路径,其中,该方阵以CHi为行,以NHi为列,方阵中各点的值满足以下条件:
其中,若aij=(r,c)对应的值为0表示数据流从r到c的传输过程,反之,aij=(r,c)值为1则表示从c到r的传输过程;
根据重构的路径,确定攻击源地址。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:将攻击源地址与数据流的源地址进行对比,当一致时,则表示数据流合法,不具有DDoS攻击威胁。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910349501.3A CN110113328B (zh) | 2019-04-28 | 2019-04-28 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910349501.3A CN110113328B (zh) | 2019-04-28 | 2019-04-28 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110113328A CN110113328A (zh) | 2019-08-09 |
CN110113328B true CN110113328B (zh) | 2021-01-15 |
Family
ID=67487156
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910349501.3A Active CN110113328B (zh) | 2019-04-28 | 2019-04-28 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110113328B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11849321B2 (en) | 2021-03-24 | 2023-12-19 | Verizon Patent And Licensing Inc. | Systems and methods for temporarily barring UE network slice usage |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110474927B (zh) * | 2019-09-23 | 2022-04-05 | 河海大学常州校区 | 基于智能非接触型互联网安全服务的DDoS攻击防御方法 |
CN110891050B (zh) * | 2019-10-24 | 2021-12-14 | 中国科学技术大学 | 全链条的原子级主动安全路由方法 |
SG10201910425SA (en) * | 2019-11-07 | 2020-10-29 | Alipay Labs Singapore Pte Ltd | Methods and devices for preventing denial-of-service attack on blockchain system |
CN112866173B (zh) * | 2019-11-12 | 2023-03-21 | 中国电信股份有限公司 | 防范物联网终端异常连接的方法、系统和终端 |
CN110995878A (zh) * | 2019-11-18 | 2020-04-10 | 成都知道创宇信息技术有限公司 | 一种多层网络传输中源信息的获取方法、装置及系统 |
CN112287336A (zh) * | 2019-11-21 | 2021-01-29 | 北京京东乾石科技有限公司 | 基于区块链的主机安全监控方法、装置、介质及电子设备 |
CN111224970A (zh) * | 2019-12-31 | 2020-06-02 | 中移(杭州)信息技术有限公司 | Sdn网络系统、网络攻击防御方法、设备及存储介质 |
CN110809010B (zh) * | 2020-01-08 | 2020-05-08 | 浙江乾冠信息安全研究院有限公司 | 威胁信息处理方法、装置、电子设备及介质 |
CN111314332A (zh) * | 2020-02-05 | 2020-06-19 | 中国工商银行股份有限公司 | 访问控制方法、装置、计算机系统和计算机可读存储介质 |
CN111614610A (zh) * | 2020-03-31 | 2020-09-01 | 华南理工大学 | 一种基于软件定义的私有区块链网络DDoS防御方法 |
CN113556309A (zh) * | 2020-04-23 | 2021-10-26 | 中国电信股份有限公司 | 一种用于预测攻击规模的方法 |
CN111683387B (zh) * | 2020-04-29 | 2022-07-08 | 西南电子技术研究所(中国电子科技集团公司第十研究所) | 面向软件定义机载自组织网络的仿真方法 |
CN111695115B (zh) * | 2020-05-25 | 2023-05-05 | 武汉大学 | 基于通信时延与安全性评估的工控系统网络攻击溯源方法 |
CN111683084B (zh) * | 2020-06-05 | 2022-05-10 | 广州大学 | 一种智能合约入侵检测方法、装置、终端设备及存储介质 |
CN111787017B (zh) * | 2020-07-02 | 2021-09-21 | 电子科技大学 | 一种区块链攻击溯源系统及方法 |
CN111988331B (zh) * | 2020-08-28 | 2021-04-16 | 清华大学 | 基于区块链的DDoS攻击追踪方法、系统、设备和介质 |
CN112491823B (zh) * | 2020-11-13 | 2022-07-19 | 齐鲁工业大学 | 基于区块链的DDoS攻击联合防御系统及方法 |
CN112417176B (zh) * | 2020-12-09 | 2024-04-02 | 交通银行股份有限公司 | 基于图特征的企业间隐性关联关系挖掘方法、设备及介质 |
CN112804198B (zh) * | 2020-12-29 | 2022-11-04 | 贵州大学 | 基于网络状态的抗DDoS控制器消息调度方法 |
CN112565307B (zh) * | 2021-02-25 | 2021-05-25 | 清华大学 | 一种对DDoS攻击进行入口管控的方法及装置 |
CN113301149A (zh) * | 2021-05-24 | 2021-08-24 | 山东大学 | 一种基于区块链的可信软件定义网络构建方法 |
CN113221113B (zh) * | 2021-05-28 | 2021-10-01 | 东北林业大学 | 基于分布式机器学习和区块链的物联网DDoS检测、防御方法、检测装置及存储介质 |
CN113556327B (zh) * | 2021-06-29 | 2022-09-20 | 中国人民解放军战略支援部队信息工程大学 | 基于区块链的虚假流规则注入攻击检测与预防系统和方法 |
CN113553617B (zh) * | 2021-07-21 | 2022-04-26 | 东北大学秦皇岛分校 | 一种基于区块链的跨域协同溯源系统及方法 |
CN113569300B (zh) * | 2021-09-27 | 2021-11-30 | 环球数科集团有限公司 | 一种基于云计算的区块链数据处理系统 |
CN114189354A (zh) * | 2021-11-10 | 2022-03-15 | 西安理工大学 | SYN Flooding网络攻击场景复现方法 |
CN114024768A (zh) * | 2021-12-01 | 2022-02-08 | 北京天融信网络安全技术有限公司 | 一种基于DDoS攻击的安全防护方法及装置 |
CN114285606B (zh) * | 2021-12-08 | 2023-08-08 | 深圳市星华时代科技有限公司 | 一种针对物联网管理的DDoS多点协作式防御方法 |
CN116506231B (zh) * | 2023-06-28 | 2023-10-03 | 广东长盈科技股份有限公司 | 基于区块链的网络安全事件溯源追踪方法、系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101267493B1 (ko) * | 2011-12-29 | 2013-05-31 | 순천향대학교 산학협력단 | 모바일 애드 혹 네트워크용 아이피 역추적 시스템 및 그 역추적 방법 |
CN106027497A (zh) * | 2016-05-04 | 2016-10-12 | 山东大学 | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 |
CN107196939A (zh) * | 2017-05-22 | 2017-09-22 | 南京邮电大学 | 一种适用于sdn网络的混合包标记溯源系统和方法 |
CN108052321A (zh) * | 2017-12-28 | 2018-05-18 | 杭州趣链科技有限公司 | 一种基于配置信息自动生成区块链智能合约的方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180020002A1 (en) * | 2016-07-13 | 2018-01-18 | Frederick J Duca | System and method for filtering internet traffic and optimizing same |
CN107070895B (zh) * | 2017-03-17 | 2020-05-22 | 中国科学院信息工程研究所 | 一种基于sdn的数据流溯源方法 |
CN108737336B (zh) * | 2017-04-18 | 2021-01-15 | 中国移动通信有限公司研究院 | 基于区块链的威胁行为处理方法及装置、设备及存储介质 |
CN108616534B (zh) * | 2018-04-28 | 2020-05-26 | 中国科学院信息工程研究所 | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 |
CN108881233B (zh) * | 2018-06-21 | 2021-06-01 | 中国联合网络通信集团有限公司 | 防攻击处理方法、装置、设备及存储介质 |
CN109474599A (zh) * | 2018-11-19 | 2019-03-15 | 杭州安恒信息技术股份有限公司 | 基于区块链的网络防护方法及装置 |
-
2019
- 2019-04-28 CN CN201910349501.3A patent/CN110113328B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101267493B1 (ko) * | 2011-12-29 | 2013-05-31 | 순천향대학교 산학협력단 | 모바일 애드 혹 네트워크용 아이피 역추적 시스템 및 그 역추적 방법 |
CN106027497A (zh) * | 2016-05-04 | 2016-10-12 | 山东大学 | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 |
CN107196939A (zh) * | 2017-05-22 | 2017-09-22 | 南京邮电大学 | 一种适用于sdn网络的混合包标记溯源系统和方法 |
CN108052321A (zh) * | 2017-12-28 | 2018-05-18 | 杭州趣链科技有限公司 | 一种基于配置信息自动生成区块链智能合约的方法 |
Non-Patent Citations (1)
Title |
---|
Solidity开发神器Remix;漫长学习路;《https://blog.csdn.net/liaodehong/article/details/79197589》;20180129;全文 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11849321B2 (en) | 2021-03-24 | 2023-12-19 | Verizon Patent And Licensing Inc. | Systems and methods for temporarily barring UE network slice usage |
Also Published As
Publication number | Publication date |
---|---|
CN110113328A (zh) | 2019-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110113328B (zh) | 一种基于区块链的软件定义机会网络DDoS防御方法 | |
Xu et al. | Am I eclipsed? A smart detector of eclipse attacks for Ethereum | |
Nguyen et al. | Search: A collaborative and intelligent nids architecture for sdn-based cloud iot networks | |
Yan et al. | Software-defined networking (SDN) and distributed denial of service (DDoS) attacks in cloud computing environments: A survey, some research issues, and challenges | |
Hoque et al. | Botnet in DDoS attacks: trends and challenges | |
Ghorbani et al. | Network intrusion detection and prevention: concepts and techniques | |
Peng et al. | Survey of network-based defense mechanisms countering the DoS and DDoS problems | |
Deb et al. | A comprehensive survey of vulnerability and information security in SDN | |
US7814546B1 (en) | Method and system for integrated computer networking attack attribution | |
Yang et al. | RIHT: a novel hybrid IP traceback scheme | |
Sung et al. | Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation | |
Su et al. | Detecting p2p botnet in software defined networks | |
Uddin et al. | Intrusion detection system to detect DDoS attack in gnutella hybrid P2P network | |
Dong et al. | MBTree: Detecting encryption RATs communication using malicious behavior tree | |
Ajayi et al. | Consortium blockchain-based architecture for cyber-attack signatures and features distribution | |
Li et al. | BCTrustFrame: enhancing trust management via blockchain and IPFS in 6G era | |
Preamthaisong et al. | Enhanced DDoS detection using hybrid genetic algorithm and decision tree for SDN | |
Facchini et al. | Multi-level Distributed Intrusion Detection System for an IoT based Smart Home Environment. | |
Zhang et al. | Towards verifiable performance measurement over in-the-cloud middleboxes | |
Pei et al. | Tracing website attackers by analyzing onion routers’ log files | |
Wang et al. | An effective approach for stepping-stone intrusion detection using packet crossover | |
Abreu et al. | An effective attack detection approach in wireless mesh networks | |
Al-Mousa et al. | cl-CIDPS: A cloud computing based cooperative intrusion detection and prevention system framework | |
Li et al. | Improved automated graph and FCM based DDoS attack detection mechanism in software defined networks | |
Abudalfa et al. | Evaluating performance of supervised learning techniques for developing real-time intrusion detection system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |