CN111614610A - 一种基于软件定义的私有区块链网络DDoS防御方法 - Google Patents
一种基于软件定义的私有区块链网络DDoS防御方法 Download PDFInfo
- Publication number
- CN111614610A CN111614610A CN202010249545.1A CN202010249545A CN111614610A CN 111614610 A CN111614610 A CN 111614610A CN 202010249545 A CN202010249545 A CN 202010249545A CN 111614610 A CN111614610 A CN 111614610A
- Authority
- CN
- China
- Prior art keywords
- flow
- block chain
- network
- private block
- sdn controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于软件定义的私有区块链网络DDoS防御方法。该方法基于软件定义网络,包括SDN交换机、SDN控制器,并将私有区块链网络节点接入软件定义网络。首先SDN控制器防御模块从私有区块链网络获取可信节点的详细信息;SDN交换机将所有未配置网络流表的流量包转交给SDN控制器,并且SDN控制器防御模块将接收到的流量包提取流量来源关键信息并保存;SDN控制器将来源关键信息与私有区块链可信节点信息比对检测,并对被检测出不可信的流量生成丢弃流表,将该流表下发至SDN交换机。本发明实现了私有区块链网络节点遭受DDoS攻击时的防御方法,能在不修改私有区块链网络的情况下保护私有区块链网络节点的安全性,防止对私有区块链网络未经授权的访问。
Description
技术领域
本发明属于计算机技术领域,具体涉及一种私有区块链网络的DDoS防御方法。
背景技术
最近,随着比特币的出现,区块链引起了行业研究人员越来越多的关注。区块链是指用于以分布式和无信任的方式来共同维护一个可靠数据库的技术方案。该技术允许系统中的节点使用一致性算法来计算和记录将值或资产交换生成块的所有交易,以及生成用于链接和校准下一个块的哈希值,系统中的所有节点将共同验证记录的有效性。
受比特币、以太坊等公共区块链的启发,出现了私有区块链的概念。最近的市场研究表明,私有链在金融领域具有良好的前景。私有链由商业企业认证和信任的一组节点控制,节点数量通常小于公共区块链。私有链也是权力下放,无信任中心和可靠的。此外,私有链限制成为区块链服务器节点的成员资格和访问网络的权利。例如IBM私有区块链网络Fabric hyperledger,Hyperledger网络的节点分布在参与组织中,这使得组成私有、认证或联盟的区块链网络特别有效。
但是与公有链相比,私有区块链中的节点总数通常较小,这会暴露漏洞。例如,攻击者使用DDoS攻击来影响私有区块链中的服务器节点,虽然该攻击不会造成存储在区块链的数据丢失或被篡改,但是却会造成服务器节点无法提供正常的服务。因为私有区块链网络采取的共识算法一般依赖网络中受信任的若干可信节点,DDoS攻击造成可信节点无法正常访问,这将影响私有区块链网络的共识机制使私有链节点无法生成新区块,从而导致区块链网络无法正常工作。因此,确认节点的安全性并确保它们正常工作非常重要。
在公共区块链网络下,节点数量众多,保护节点免受故障或者DDoS攻击可能不被关注。但是在私有区块链中,节点起着参与共识与提供服务的重要作用,并且组成网络的节点数量远小于公共区块链网络。所以保护私有链节点的安全免受DDoS攻击至关重要。而SDN技术支持流量控制与转发的分离,支持软件编程控制与流量管理,实现了新的安全性概念。针对私有区块链只允许特定认证节点才允许加入区块链网络的特点,结合SDN的技术,能更好的保护私有链节点的正常运行。
发明内容
本发明目的在于克服现有技术的缺点与不足,提供一种基于软件定义的私有区块链网络DDoS防御方法,用以解决现有技术中针对私有区块链网络节点的DDoS攻击防御效果较差的技术问题,能在不影响私有区块链网络的情况下保护私有区块链网络节点的安全性,防止对私有区块链网络未经授权的访问。
本发明的主要目的通过以下的技术方案实现:
一种基于软件定义的私有区块链网络DDoS防御方法,在所述的私有区块链网络中,可信区块链共识节点接入软件定义网络,软件定义网络物理层有SDN交换机用于管理进入受保护的区块链节点的外部流量;控制层有SDN控制器防御模块;包括以下步骤:
S1、SDN控制器防御模块向私有区块链网络周期性地请求获取网络中所有可信节点的信息列表;
S2、SDN交换机将所有接收到的未配置网络流表的流量包转交给SDN控制器,SDN控制器防御模块从接收到的流量包中提取流量来源关键信息并保存;
S3、SDN控制器将来源关键信息与私有区块链可信节点信息比对检测,并对被检测出不可信的流量生成丢弃决策,将决策流表下发至SDN交换机,而可信流量则转交给SDN 控制器的其他模块负责。
进一步地,所述步骤S1具体为:
SDN控制器防御模块维护一个专门线程,周期性地向接入的私有区块链网络节点获取该网络下所有节点的信息,包括每个可信节点的IP地址、端口号和可信节点有效期,并生成一份可信节点列表。
进一步地,所述步骤S2具体为:
S201、SDN交换机将接收到的未配置网络流表的流量生成一个详细的流量包,包括请求来源IP、端口信息和节点有效期信息,提交给SDN控制器决策;
S202、SDN控制器防御模块将接收到的流量包再加上一个超时时间形成一个新数据包,并添加到一个缓存队列保存。
进一步地,所述步骤S3具体为:
S301、SDN控制器防御模块将缓存队列中的流量项分为两类:一.可信流量;二.不可信流量,并分别用可信列表和不可信列表存储维护;
S302、SDN控制器模块的专门线程将缓存队列中的流量项与维护的私有区块链网络可信节点列表的IP、端口和有效期比对检测:如果流量项检测是可信的,则将该流量项移到可信列表,并将该流量项的超时时间修改为和该可信节点对应的可信节点有效期同样长的时间;否则不做操作等待该流量项超时;
S303、缓存队列的流量项最终到达超时时间,此时将该流量项移动到不可信列表,同时SDN控制器防御模块将生成一个针对该流量项的丢弃流表下发到SDN交换机。
进一步地,对所述缓存队列设置一个最大值,并使用限流算法限制添加数据项到缓存队列的速度,当缓存队列已满或因限流算法导致数据项无法加入缓存队列时,SDN控制器将直接生成一个针对该流量项的丢弃流表,但是将该丢弃流表的有效时间按管理员配置设置为秒级的短期时间,再下发到SDN交换机。
进一步地,对所述限流算法的具体实现为:采用一个初始为正数的计数器,该计数器会周期性加1;每当一个数据项加入缓存队列,该计数器值将减1;当计数器值为0时,将无法把数据项加入缓存队列。
本发明与现有技术相比,具有如下有益效果:
(1)利用软件定义网络帮助私有区块链网络有效防御DDoS攻击,实现防御自动化,提高防护效率;
(2)能帮助私有区块链网络从源头隔绝所有未经授权的访问,为私有区块链网络节点提供有效的安全访问控制;
(3)将软件定义网络防护模块接入私有区块链网络节点不会影响原有的私有链网络架构,也不需要修改私有区块链,提供高可用性。
附图说明
图1是本发明实施例的一个私有区块链安全架构图;
图2是本发明实施例中基于软件定义的私有区块链网络DDoS防御方法的流程图;
图3是本发明所述实施例中SDN控制器防御模块防御的流程图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
实施例:
以下以一个具体的实施例对本发明做进一步阐述。图1示出了本实施例的私有区块链安全架构,具体说明如下:
受保护的可信区块链共识节点接入软件定义网络,软件定义网络物理层有SDN交换机用于管理进入受保护的区块链节点的外部流量;SDN控制层有SDN控制器防御模块,用于抵御DDoS攻击,并可以将可信流量转交给SDN控制器的其他模块转发处理,本申请只关注防御。
受保护的私有区块链节点:私有区块链网络中重要的节点,具有支撑区块链共识机制正常运行的作用。私有区块链网络是非公开的。
外部节点:外部需要访问受保护私有区块链节点的流量。
SDN网络:接入私有区块链网络,物理层有SDN交换机用于接收外部流量,SDN交换机没有相应的转发流表则会给SDN控制层发送一个Pack-in包;SDN控制层具有SDN控制器防御模块。
SDN控制器防御模块:将收到的pack-in包添加超时时间生成一个新的数据项,并加入到一个缓存列表保存。
缓存队列:用于存储数据项,因SDN交换机的流表空间有限,在遭到大量的DDoS攻击时SDN交换机的流表可能达到上限,故对缓存队列使用限流算法控制大小。
可信节点列表:由SDN控制器防御模块向接入的私有区块链网络请求获得。
比对检测:将缓存列表数据项与可信节点列表比对检测。
可信列表:存储经过检测认证的数据项。
不可信列表:未通过检测的数据项,SDN控制器防御模块会同时生成丢弃流表flow-mod 下发到SDN交换机。
一种基于软件定义的私有区块链网络DDoS防御方法,如图2所示,包括以下步骤:
S1、SDN控制器防御模块向私有区块链网络周期性地请求获取网络中所有可信节点的信息列表,具体为:SDN控制器防御模块维护一个专门线程,周期性地向接入的私有区块链网络节点获取该网络下所有节点的信息,包括每个可信节点的IP地址、端口号和可信节点有效期,并生成一份可信节点列表。
所述私有区块链网络是非公开的,由若干可信实体构成的私有网络;可信区块链共识节点是私有区块链网络中重要的节点,具有支撑区块链共识机制正常运行的作用。
S2、SDN交换机将所有接收到的未配置网络流表的流量包转交给SDN控制器,SDN控制器防御模块将接收到的流量包提取流量来源关键信息并保存,具体为:
S201、SDN交换机将接收到的未配置网络流表的流量生成一个详细的流量包,包括请求来源IP、端口信息和节点有效期信息,提交给SDN控制器决策;
S202、SDN控制器防御模块将接收到的流量包再加上一个超时时间形成一个新数据包,并添加到一个缓存队列保存。
S3、SDN控制器将来源关键信息与私有区块链可信节点信息比对检测,并对被检测出不可信的流量生成丢弃决策,将决策流表下发至SDN交换机,而可信流量则转交给SDN 控制器的其他模块负责。其防御模块结构如图2中的SDN控制器防御模块部分所示,执行的防御流程如图3所示,具体为:
S301、SDN控制器防御模块将缓存队列中的流量项分为两类:一.可信流量;二.不可信流量,并分别用可信列表和不可信列表存储维护;
S302、SDN控制器模块的专门线程将缓存队列中的流量项与维护的私有区块链网络可信节点列表的IP、端口和有效期比对检测:如果流量项检测是可信的,则将该流量项移到可信列表,并将该流量项的超时时间修改为和该可信节点对应的可信节点有效期同样长的时间;否则不做操作等待该流量项超时;
S303、缓存队列的流量项最终到达超时时间,此时将该流量项移动到不可信列表,同时SDN控制器防御模块将生成一个针对该流量项的丢弃流表下发到SDN交换机。具体为,缓存队列设置一个最大值,并使用限流算法限制添加数据项到缓存队列的速度,当缓存队列已满或因限流算法导致数据项无法加入缓存队列时,SDN控制器将直接生成一个针对该流量项的丢弃流表,但是将该丢弃流表的有效时间按管理员配置设置为秒级的短期时间,再下发到SDN交换机。
限流算法的具体实现为:采用一个初始为正数的计数器,该计数器会周期性加1;每当一个数据项加入缓存队列,该计数器值将减1;当计数器值为0时,将无法把数据项加入缓存队列。
本实施例提供的防御方法用来解决或者至少部分解决现有技术中针对私有区块链网络节点的DDoS攻击防御效果较差的技术问题,能在不影响私有区块链网络的情况下保护私有区块链网络节点的安全性。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (6)
1.一种基于软件定义的私有区块链网络DDoS防御方法,其特征在于:在所述的私有区块链网络中,可信区块链共识节点接入软件定义网络,软件定义网络物理层有SDN交换机用于管理进入受保护的区块链节点的外部流量;控制层有SDN控制器防御模块;所述私有区块链网络DDoS防御方法包括以下步骤:
S1、SDN控制器防御模块向私有区块链网络周期性地请求获取网络中所有可信节点的信息列表;
S2、SDN交换机将所有接收到的未配置网络流表的流量包转交给SDN控制器,SDN控制器防御模块从接收到的流量包中提取流量来源关键信息并保存;
S3、SDN控制器将来源关键信息与私有区块链可信节点信息比对检测,并对被检测出不可信流量生成丢弃决策,将决策流表下发至SDN交换机。
2.根据权利要求1所述的一种基于软件定义的私有区块链网络DDoS防御方法,其特征在于,所述步骤S1具体为:SDN控制器防御模块维护一个专门线程,周期性地向接入的私有区块链网络节点获取该网络下所有节点的信息,包括每个可信节点的IP地址、端口号和可信节点有效期,并生成一份可信节点列表。
3.根据权利要求2所述的一种基于软件定义的私有区块链网络DDoS防御方法,其特征在于,所述步骤S2具体为:S201、SDN交换机将接收到的未配置网络流表的流量生成一个详细的流量包,包括请求来源IP、端口信息和节点有效期信息,提交给SDN控制器决策;S202、SDN控制器防御模块将接收到的流量包再加上一个超时时间形成一个新数据包,并添加到一个缓存队列保存。
4.根据权利要求3所述的一种基于软件定义的私有区块链网络DDoS防御方法,其特征在于,所述步骤S3具体为:S301、SDN控制器防御模块将缓存队列中的流量项分为两类:一.可信流量;二.不可信流量,并分别用可信列表和不可信列表存储维护;S302、SDN控制器模块的专门线程将缓存队列中的流量项与维护的私有区块链网络可信节点列表的IP、端口和有效期比对检测:如果流量项检测是可信的,则将该流量项移到可信列表,并将该流量项的超时时间修改为和该可信节点对应的可信节点有效期同样长的时间;否则不做操作等待该流量项超时;S303、缓存队列的流量项最终到达超时时间,此时将该流量项移动到不可信列表,同时SDN控制器防御模块将生成一个针对该流量项的丢弃流表下发到SDN交换机。
5.根据权利要求4所述的一种基于软件定义的私有区块链网络DDoS防御方法,其特征在于,对所述的缓存队列设置一个最大值,并使用限流算法限制添加数据项到缓存队列的速度,当缓存队列已满或因限流算法导致数据项无法加入缓存队列时,SDN控制器将直接生成一个针对该流量项的丢弃流表,但是将该丢弃流表的有效时间按管理员配置设置为秒级的短期时间,再下发到SDN交换机。
6.根据权利要求5所述的一种基于软件定义的私有区块链网络DDoS防御方法,其特征在于:所述限流算法具体为:采用一个初始为正数的计数器,该计数器会周期性加1;每当一个数据项加入缓存队列,该计数器值将减1;当计数器值为0时,将无法把数据项加入缓存队列。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010249545.1A CN111614610A (zh) | 2020-03-31 | 2020-03-31 | 一种基于软件定义的私有区块链网络DDoS防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010249545.1A CN111614610A (zh) | 2020-03-31 | 2020-03-31 | 一种基于软件定义的私有区块链网络DDoS防御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111614610A true CN111614610A (zh) | 2020-09-01 |
Family
ID=72197810
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010249545.1A Pending CN111614610A (zh) | 2020-03-31 | 2020-03-31 | 一种基于软件定义的私有区块链网络DDoS防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111614610A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132080A (zh) * | 2022-05-29 | 2023-05-16 | 北京理工大学长三角研究院(嘉兴) | 一种基于移动目标防御技术的联盟链DDoS防御方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107438066A (zh) * | 2017-06-21 | 2017-12-05 | 浙江大学 | 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 |
| CN107979607A (zh) * | 2014-12-17 | 2018-05-01 | 蔡留凤 | 适于网络安全的软件定义的网络架构及其工作方法 |
| CN108683682A (zh) * | 2018-06-04 | 2018-10-19 | 上海交通大学 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
| CN110113328A (zh) * | 2019-04-28 | 2019-08-09 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
| JP6651096B1 (ja) * | 2018-10-15 | 2020-02-19 | 深▲せん▼前海達闥云端智能科技有限公司Cloudminds (Shenzhen) Robotics Systems Co.,Ltd. | データ処理方法、装置、端末及びアクセスポイントコンピュータ |
| CN110868392A (zh) * | 2019-09-23 | 2020-03-06 | 深圳供电局有限公司 | 基于sdn的区块链安全控制方法、装置及区块链网络 |
-
2020
- 2020-03-31 CN CN202010249545.1A patent/CN111614610A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107979607A (zh) * | 2014-12-17 | 2018-05-01 | 蔡留凤 | 适于网络安全的软件定义的网络架构及其工作方法 |
| CN107438066A (zh) * | 2017-06-21 | 2017-12-05 | 浙江大学 | 一种基于SDN控制器的DoS/DDoS攻击防御模块及方法 |
| CN108683682A (zh) * | 2018-06-04 | 2018-10-19 | 上海交通大学 | 一种基于软件定义网络的DDoS攻击检测及防御方法和系统 |
| JP6651096B1 (ja) * | 2018-10-15 | 2020-02-19 | 深▲せん▼前海達闥云端智能科技有限公司Cloudminds (Shenzhen) Robotics Systems Co.,Ltd. | データ処理方法、装置、端末及びアクセスポイントコンピュータ |
| CN110113328A (zh) * | 2019-04-28 | 2019-08-09 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
| CN110868392A (zh) * | 2019-09-23 | 2020-03-06 | 深圳供电局有限公司 | 基于sdn的区块链安全控制方法、装置及区块链网络 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132080A (zh) * | 2022-05-29 | 2023-05-16 | 北京理工大学长三角研究院(嘉兴) | 一种基于移动目标防御技术的联盟链DDoS防御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8887249B1 (en) | Protecting against denial of service attacks using guard tables | |
| US10419477B2 (en) | Systems and methods for blocking targeted attacks using domain squatting | |
| US8850219B2 (en) | Secure communications | |
| CN103581363B (zh) | 对恶意域名和非法访问的控制方法及装置 | |
| US20110047610A1 (en) | Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication | |
| US20070245417A1 (en) | Malicious Attack Detection System and An Associated Method of Use | |
| US11863570B2 (en) | Blockchain-based network security system and processing method | |
| US8549581B1 (en) | Distributed network security system deploying guard tables | |
| US20160294808A1 (en) | Authentication of remote host via closed ports | |
| Jeyanthi et al. | Detection of distributed denial of service attacks in cloud computing by identifying spoofed IP | |
| Ma et al. | A design of firewall based on feedback of intrusion detection system in cloud environment | |
| CN116636181A (zh) | 身份权限 | |
| CN111614610A (zh) | 一种基于软件定义的私有区块链网络DDoS防御方法 | |
| Kumar et al. | A Survey on Cloud Computing Security Threats, Attacks and Countermeasures: A Review | |
| US11991192B2 (en) | Intruder detection for a network | |
| Fu et al. | Cloud password shield: A secure cloud-based firewall against ddos on authentication servers | |
| WO2021223431A1 (zh) | 工控系统数据安全的拟态存储系统及方法 | |
| Kadam et al. | Review on redundancy removal of rules for optimizing firewall | |
| Jin et al. | Mitigating HTTP GET Flooding attacks through modified NetFPGA reference router | |
| CN112311776A (zh) | 一种防范api网关泛洪攻击的系统及方法 | |
| Li et al. | Research on Computer Network Security Protection System Based on Level Protection in Cloud Computing Environment | |
| Shi | Relative Analysis of Network Information Security Technology against the Background of “Cloud Computing” | |
| CN114553452B (zh) | 攻击防御方法及防护设备 | |
| Sahu et al. | A Review on Analysis of Data Search Scheme for Secure Information Retrieval in Cloud Computing | |
| KR102352187B1 (ko) | 패시브 핑거프린트 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200901 |
|
| RJ01 | Rejection of invention patent application after publication |