CN112217814A - 一种基于区块链合约化激励的分布式拒绝服务攻击对抗方法 - Google Patents

Abstract

本发明涉及一种基于区块链合约化激励的分布式拒绝服务攻击对抗方法，属于网络信息安全领域，包括建立基于区块链合约化激励的分布式拒绝服务攻击对抗框架，每个网络自治域AS_i均遵循网络自治域AS_i资源的链上注册机制、DDoS攻击探测结果链上注册与价值兑现机制、对抗DDoS攻击的网络自治域的链上竞选及价值兑换机制。本发明克服了传统的DDoS攻击对抗方法中不同自治域之间协作的不可信性，能够在不可信的互联网环境中为具有不同利益诉求、互不信任的网络自治域之间建立起可信协作与价值激励机制，激励网络自治域之间相互配合、主动积极地共同参与DDoS攻击的探测与压制，将大幅提高互联网安全性。

Description

一种基于区块链合约化激励的分布式拒绝服务攻击对抗方法

技术领域

本发明涉及一种基于区块链合约化激励的分布式拒绝服务攻击对抗方法，属于网络信息安全技术领域。

背景技术

随着科技的飞速发展和社会经济水平的提高，互联网已成为新时代公民不可或缺的信息基础设施平台，互联网所承载的海量网络应用和便捷服务也渗透到了日常生活的方方面面。由于互联网硬件成本的快速降低以及大数据、移动互联网与物联网技术的兴起，互联网用户网络设备的种类和数量也在发生显著的变化，智能手表、智能眼镜、智能医疗器件、智能手机、个人电脑等成为众多互联网用户的标配。个人通过自身各种网络设备，可随时随地基于互联网平台获取到关于衣食住行的各类便捷服务，在降低社会成本的同时，极大地促进了社会生产效率的提高，且提升了人民群众的生活幸福感。鉴于此，保障互联网的长远稳定发展，对于国家进步和社会发展都具有重要意义。

然而，与此目标相悖的是，网络空间中存在各类网络攻击严重威胁着互联网的健康发展，网络安全亟待提升。在众多形态各异的网络威胁中，分布式拒绝服务(DistributedDenial of Service，DDoS)攻击被认为是危害最大、最难防范的网络威胁代表。DDoS攻击通过分散在互联网各处的大量傀儡主机向被攻击目标发送伪造数据包，当海量攻击流量汇聚到网络瓶颈链路时，即造成链路拥塞，从而导致流经该网络链路的其他所有流量均被网络丢弃，发送上述流量的相关应用和服务因无法完成网络连接而导致服务失败。不难看出，DDoS攻击通过直接拥塞网络层链路，可对各类互联网应用和服务能起到广谱杀灭的效果，对大量互联网用户造成影响，对互联网平台造成广泛的危害。

传统DDoS攻击对抗方案均基于网络自治域AS_i(i∈[1,n])自行探测、然后各个网络自治域AS_i之间基于统一的压制协议进行协同压制。具体运作机制如下：

1)每个网络自治域AS_i依据DDoS攻击探测规则，自行探测攻击的存在性；

2)某网络自治域AS_i探测到DDoS攻击后，首先在本自治域进行DDoS攻击压制；然后，通过全网统一的DDoS攻击压制协议传递攻击存在性信息，提示其他网络自治域{AS_j，j＝1，2，3，…，n，且j≠i}采取压制措施。

传统DDoS攻击对抗方法存在的问题是：

传统DDoS攻击对抗方法均基于互联网中不同网络自治域AS_i之间主动协作对抗攻击的假设，与互联网实际部署和运行现状不符。

实际上，对抗DDoS攻击具有利他性，即对抗DDoS攻击的网络自治域AS_i付出了劳动，拦截了攻击流量，这造福了其它网络自治域{AS_j，j＝1，2，3，…，n，且j≠i}，自己却往往不能获得收益，原因在于现有互联网机制下，其它网络自治域AS_j并不能可信地判别是由谁拦截的DDoS流量，因此无法完成对拦截者的激励兑现。

综上，由于缺乏可信的协作激励机制，导致现有互联网网络自治域AS_i之间对DDoS攻击对抗难以主动协作。

中国专利文献CN 110474927 A公开了一种“基于智能非接触型互联网安全服务的DdoS攻击防御方法”，但其涉及用户从某一ISP购买流量过滤服务，关注的是ISP的孤立个体将流量过滤服务出售给用户的问题，并没有考虑网络中多个ISP之间的相互协作与优势互补问题，也没有考虑多个ISP之间主动合作的激励问题，因此难以实现全网层面的安全知识共享融合和整体提升，难以形成网络中各个ISP相互配合、优势互补、共同阻击DDoS攻击的安全局面，难于提升整个互联网体系架构的安全性，而只是提升请求服务用户的安全性。

因此，现有DDoS攻击对抗方案的安全防范效果差，难以实现全网范围的主动、有效的DDoS攻击压制。

发明内容

针对现有技术的不足，本发明提出一种基于区块链合约化激励的分布式拒绝服务攻击对抗方法，该方法可有效协同整个互联网进行攻击流量的主动探测和压制，从而极大减弱、甚至消除该攻击对互联网的危害，从而保障互联网的健康发展。

为实现上述发明目的，本发明的技术方案如下：

一种基于区块链合约化激励的分布式拒绝服务攻击对抗方法，包括建立基于区块链合约化激励的分布式拒绝服务(DistributedDenialofService，DDoS)攻击对抗框架，所述对抗框架包括n个网络自治域所形成的的集合{AS_i，i＝1，2，3，…，n}，每个网络自治域AS_i(i∈[1,n])均遵循网络自治域AS_i资源的链上注册机制、DDoS攻击探测结果链上注册与价值兑现机制、对抗DDoS攻击的网络自治域AS_i链上竞选及价值兑换机制。

优选的，网络自治域ASi资源的链上注册机制具体为：

网络自治域AS_i将其主管机构出具的资源登记证明，用自身私钥签名后，使用自身的区块链地址往其本身发起交易，交易的金额设置为零，而交易的内容设置为上述资源登记证明，从而完成了上述资源登记证明信息的上链，并且，上述过程需要申请该服务的网络自治域AS_i支付上链矿工费；

若干个网络自治域{AS_i，i＝1，2，3，…，n}链上注册后建立DDoS对抗联盟链；联盟链中的所有网络自治域约定：位于DDoS攻击压制申请者AS_k(k∈[1,n])与负责DDoS攻击压制的网络自治域AS_o(o∈[1,n]，且o≠k)中间路径上的其他网络自治域{AS_m，m∈[1,n]且m≠o且m≠k}，需按照DDoS攻击压制所获经济激励的联盟约定比例，作为联盟激励支付给负责DDoS攻击压制的网络自治域AS_o，其中，k∈[1,n]，o∈[1,n]。

优选的，DDoS攻击探测结果链上注册与价值兑现机制，包括：

(1)制定DDoS攻击探测结果智能合约规则，所述DDoS攻击探测结果智能合约将合约信息M写入DDoS对抗联盟链，并评估确定所述合约信息M的价值Em，其中，所述合约信息M包括网络自治域AS_i编号m1、DDoS攻击探测结果信息m2、DDoS攻击特征信息m3，所述DDoS攻击特征信息m3包括攻击的目的地址、攻击的源头等必要信息；

优选的，所述合约信息M中的网络自治域AS_i编号m1、DDoS攻击探测结果信息m2在DDoS对抗联盟链上对所有链上注册的网络自治域AS_i可见，所述DDoS攻击特征信息m3只在智能合约内部可见，而对其它网络自治域{AS_j，j＝1，2，3，…，n，且j≠i}不可见。

(2)DDoS攻击探测结果价值兑现过程如下：

所有链上注册的网络自治域AS_i依据自身安全规则探测DDoS攻击，当探测成功后，抽取DDoS攻击特征信息m3并写入合约信息M中，然后调用所述DDoS攻击探测结果智能合约将合约信息M写入DDoS对抗联盟链并确定合约信息M的价值Em；

若某一网络自治域AS_j(j∈[1,n])由于自身安全需求，欲购买上述DDoS攻击特征信息m3并配置到自身安全策略中，则需要向所述DDoS攻击探测结果智能合约发起交易请求并支付合约信息M的价值Em，从而触发所述DDoS攻击探测结果智能合约开放对发起请求的网络自治域AS_j的访问权限，即合约信息M对发起交易请求的网络自治域AS_j的合约信息M由不可见变为可见，尤其是合约信息M中的DDoS攻击特征信息m3对发起交易请求的网络自治域AS_j可见；

同时，支付合约信息M的价值Em被转移到将合约信息M写入DDoS对抗联盟链的网络自治域AS_i，从而实现对DDoS攻击探测实体的价值兑现。

优选的，对抗DDoS攻击的网络自治域ASi链上竞选及价值兑换机制，包括：

A、制定DDoS攻击压制结果智能合约规则，所述DDoS攻击压制结果智能合约统计、对比负责DDoS攻击压制的网络自治域AS_o的DDoS攻击流量压制数量或大小比例以及其它网络自治域{AS_j，j＝1，2，3，…，n，且j≠i}接收到的DDoS攻击流量数量；

B、负责压制即对抗DDoS攻击的网络自治域AS_o的链上竞选及价值兑换机制，包括如下步骤：

网络自治域AS_k(k∈[1,n])向DDoS对抗联盟链发布DDoS攻击压制申请T，压制申请T包括资源登记证明信息和价格E，该网络自治域AS_k(k∈[1,n])为任务发布者；

其它网络自治域{AS_j，j＝1，2，3，…，n且j≠k}查询DDoS对抗联盟链上压制申请发布者AS_k的资源登记证明信息：若自身资源登记证明信息和价格符合AS_k发布的DDoS攻击压制申请T的要求，则向DDoS对抗联盟链声明自身属于潜在任务执行者

然后，DDoS对抗联盟链中的网络自治域对所有潜在任务执行者{AS_T，T＝1，2，3，…，n且T≠k}经过链上共识，最终产生一个任务执行者AS_o(o∈[1,n]且o≠k)，由其负责压制DDoS攻击，并汇报流量压制结果到DDoS攻击压制结果智能合约；

任务执行者即负责DDoS攻击压制的网络自治域AS_o(o∈[1,n]且o≠k)、DDoS攻击的压制申请者AS_k(k∈[1,n])分别提交DDoS攻击流量信息到DDoS攻击压制结果智能合约，若AS_k接收到的DDoS攻击流量数量小于预定阈值K，则依据AS_o提交的DDoS攻击流量压制数量的大小比例，支付总额小于预定价格E的相应比例的经济激励；

位于负责DDoS攻击压制的网络自治域AS_o、DDoS攻击的压制申请者AS_k(k∈[1,n])中间的网络自治域{AS_m，m∈[1,n]且m≠i且m≠k}，需按照DDoS攻击压制所获经济激励的联盟约定比例，作为联盟激励支付给负责DDoS攻击压制的网络自治域AS_o；

若DDoS攻击的压制申请者AS_k(k∈[1,n])接收到的DDoS攻击流量数量大于等于预定阈值K，则DDoS攻击压制失败，无需付款。

优选的，所述DDoS攻击探测结果链上注册与价值兑现机制中所述自身安全规则为防火墙、杀毒软件等。

本发明的创新在于克服了传统的DDoS攻击对抗方法中不同自治域AS_i(i∈[1,n])之间协作的不可信性，基于区块链智能合约体系构建起不可信网络中的可信协作与价值激励逻辑(区块链上的智能合约机制为建立网络空间中的新型信任关系、明晰不同利益主体的权责提供了灵活的统一平台)，为具有不同利益诉求、缺乏信任的主体之间提供了一种在不可信网络中进行信息与价值传递交换的可信通道，为实现互联网DDoS攻击协作对抗提供了激励基础，支撑起参与主体间按劳分配的价值体系，区块链利用技术的力量实现了网络不可信环境下的可信记录与有效奖励机制，通过维护统一的分布式账本保证了权益的公开透明、不可篡改，使得链上主体形成了统一的诚信价值观，不同网络自治域AS_i(i∈[1,n])所形成的DDoS探测知识具有了价值交换属性，积累的DDoS探测知识越多则可获利越多，而且位于攻击路径上的其他网络自治域均需要给负责DDoS攻击压制的网络自治域付费，这激发了原本互不协作的网络自治域主动参与DDoS攻击探测的积极性，激励网络自治域AS_i(i∈[1,n])主动参与DDoS攻击探测和压制，极大地提升DDoS攻击的对抗效果，从而大大提升互联网安全性。

本发明面向整个互联网空间，支持全网ISP的DDoS探测经验知识的有价交换和共享融合，从而推动不同ISP之间安全能力的优势互补与共同提高，有利于形成全网主动激励、安全与共的良好局面，最终基于各个ISP的DDoS探测知识经验的优势互补和共享融合，显著提升全网ISP对DDoS攻击的探测和压制能力，支撑起更安全的网络空间环境。

本发明未详尽之处，均可参见现有技术。

本发明的有益效果为：

1)本发明的网络自治域主动探测并分享DDoS探测结果，互联网中DDoS探测结果的汇聚为DDoS探测提供了更为全面的知识库，使得DDoS攻击探测成功率和准确度将大大提升；

2)本发明各个网络自治域可依据经济效益、安全能力等，就参与DDoS攻击压制的网络自治域进行协商，并将协商结果写入区块链；再依据相应的智能合约，实现对压制主体的可信经济回报。

附图说明

图1为本发明基于区块链合约化激励的分布式拒绝服务攻击对抗框架示意图；

图2为本发明某一实施例的攻击对抗框架示意图。

具体实施方式：

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述，但不仅限于此，本发明未详尽说明的，均按本领域常规技术。

实施例1：

一种基于区块链合约化激励的分布式拒绝服务攻击对抗方法，如图1所示，包括建立基于区块链合约化激励的分布式拒绝服务攻击对抗框架，所述对抗框架包括n个网络自治域AS_i，其中，i＝1,2,3···n，形成了集合{AS_i，i＝1，2，3，…，n}；其中，每个网络自治域AS_i(i∈[1,n])均遵循网络自治域AS_i资源的链上注册机制、DDoS攻击探测结果链上注册与价值兑现机制、对抗DDoS攻击的网络自治域AS_i链上竞选及价值兑换机制。

网络自治域AS_i资源的链上注册机制具体为：

网络自治域AS_i将其主管机构出具的资源登记证明，用自身私钥签名后，使用自身的区块链地址往其本身发起交易，交易的金额设置为零，而交易的内容设置为上述资源登记证明，从而完成了上述资源登记证明信息的上链，并且，上述过程需要申请该服务的网络自治域AS_i支付上链矿工费；

若干个网络自治域{AS_i，i＝1，2，3，…，n}链上注册后建立DDoS对抗联盟链，联盟链中的所有网络自治域约定：位于DDoS攻击压制申请者AS_k(k∈[1,n])与负责DDoS攻击压制的网络自治域AS_o(o∈[1,n]，且o≠k)中间路径上的其他网络自治域{AS_m，m∈[1,n]且m≠o且m≠k}，按照DDoS攻击压制所获经济激励的联盟约定比例，作为联盟激励支付给负责DDoS攻击压制的网络自治域AS_o。

DDoS攻击探测结果链上注册与价值兑现机制，包括：

(1)制定DDoS攻击探测结果智能合约规则，所述DDoS攻击探测结果智能合约将合约信息M写入DDoS对抗联盟链，并评估确定所述合约信息M的价值Em，其中，所述合约信息M包括网络自治域AS_i编号m1、DDoS攻击探测结果信息m2、DDoS攻击特征信息m3，所述DDoS攻击特征信息m3包括攻击的目的地址、攻击的源头等必要信息；

所述合约信息M中的网络自治域AS_i编号m1、DDoS攻击探测结果信息m2在DDoS对抗联盟链上对所有链上注册的网络自治域AS_i可见，所述DDoS攻击特征信息m3只在智能合约内部可见，而对其它网络自治域{AS_j，j＝1，2，3，…，n且j≠i}不可见。

(2)DDoS攻击探测结果价值兑现过程如下：

所有链上注册的网络自治域{AS_i，i＝1，2，3，…，n}依据自身安全规则探测DDoS攻击，当探测成功后，抽取DDoS攻击特征信息m3并写入合约信息M中，然后调用所述DDoS攻击探测结果智能合约将合约信息M写入DDoS对抗联盟链并确定合约信息M的价值Em；

若某一个网络自治域AS_j(j∈[1,n]且j≠i)由于自身安全需求，欲购买上述DDoS攻击特征信息m3并配置到自身安全策略中，则需要向所述DDoS攻击探测结果智能合约发起交易请求并支付合约信息M的价值Em，从而触发所述DDoS攻击探测结果智能合约开放对发起请求的上述网络自治域AS_j(j∈[1,n]且j≠i)的访问权限，即合约信息M对发起交易请求的网络自治域AS_j(j∈[1,n]且j≠i)的合约信息M由不可见变为可见，尤其是合约信息M中的DDoS攻击特征信息m3对发起交易请求的网络自治域AS_j可见；

同时，支付合约信息M的价值Em被转移到将合约信息M写入DDoS对抗联盟链的网络自治域AS_i(i∈[1,n])，即AS_j(j∈[1,n]且j≠i)付费给AS_i(i∈[1,n])，从而实现对DDoS攻击探测实体的价值兑现。

对抗DDoS攻击的网络自治域ASi链上竞选及价值兑换机制，包括：

A、制定DDoS攻击压制结果智能合约规则，所述DDoS攻击压制结果智能合约统计、对比负责DDoS攻击压制的网络自治域AS_o的DDoS攻击流量压制数量或大小比例以及其它网络自治域{AS_j，j＝1，2，3，…，n且j≠i}接收到的DDoS攻击流量数量；

B、负责压制即对抗DDoS攻击的网络自治域AS_o的链上竞选及价值兑换机制，包括如下步骤：

网络自治域AS_k(k∈[1,n])发布DDoS攻击压制申请T，压制申请T包括资源登记证明信息和价格E，该网络自治域AS_k(k∈[1,n])为任务发布者；

其它网络自治域{AS_j，j＝1，2，3，…，n且j≠k}查询DDoS对抗联盟链上压制申请发布者AS_k(k∈[1,n])的资源登记证明信息：若自身资源登记证明信息和价格符合AS_k(k∈[1,n])发布的DDoS攻击压制申请T的要求，则向DDoS对抗联盟链声明自身属于潜在任务执行者

然后，DDoS对抗联盟链中的网络自治域对所有潜在任务执行者{AS_T，T＝1，2，3，…，n且T≠k}经过链上共识，最终产生一个任务执行者AS_o(o∈[1,n]且o≠k)，由其负责压制DDoS攻击，并汇报流量压制结果到DDoS攻击压制结果智能合约；

负责任务执行者即DDoS攻击压制的网络自治域AS_o(o∈[1,n]且o≠k)、DDoS攻击的压制申请者AS_k(k∈[1,n])分别提交DDoS攻击流量信息到DDoS攻击压制结果智能合约，若AS_k接收到的DDoS攻击流量数量小于预定阈值K，则依据AS_o提交的DDoS攻击流量压制数量的大小比例，支付总额小于预定价格E的相应比例的经济激励；

位于负责DDoS攻击压制的网络自治域AS_o、DDoS攻击的压制申请者AS_k(k∈[1,n])中间的网络自治域{AS_m，m∈[1,n]且m≠i且m≠k}，需按照DDoS攻击压制所获经济激励的联盟约定比例，作为联盟激励支付给负责DDoS攻击压制的网络自治域AS_o；

若DDoS攻击的压制申请者AS_k(k∈[1,n])接收到的DDoS攻击流量数量大于等于预定阈值K，则DDoS攻击压制失败，无需付款。

优选的，所述DDoS攻击探测结果链上注册与价值兑现机制中所述自身安全规则为防火墙、杀毒软件等。

实例背景介绍：

中国电信旗下ChinaNet骨干网，又名163骨干网，ASN为AS4134，主要定位于承载普通质量的互联网业务。它拓扑结构逻辑上分为两层，即核心层和大区层。

核心层由北京、上海、广州、沈阳、南京、武汉、成都、西安等8个城市的核心节点组成。核心层的功能主要是提供与国际internet的互联，以及提供大区之间信息交换的通路。核心节点之间为不完全网状结构。以北京、上海、广州为中心的三中心结构，其他核心节点分别以至少两条高速ATM链路与这三个中心相连。

全国31个省会城市按照行政区划，以上述8个核心节点为中心划分为8个大区网络，这8个大区网共同构成了大区层。每个大区设两个大区出口，大区内其它非出口节点分别与两个出口相连。大区层主要提供大区内的信息交换以及接入网接入chinanet的信息通路。大区之间通信必须经过核心层。

当某个大区遭受了DDoS攻击时，传统的解决方案是该大区依据DDoS攻击探测规则，自行探测攻击的存在性，在确认DDoS攻击后，首先在本自治域进行DDoS攻击压制；然后，通过全网统一的DDoS攻击压制协议传递攻击存在性信息，提示其他大区采取压制措施。但是，当对抗DDoS攻击的大区拦截了攻击流量，其它大区却不能可信地判别是由谁拦截的DDoS流量，因此无法完成对拦截者的激励兑现。导致传统的DDoS攻击对抗方案的安全防范效果差，难以实现全网范围的主动、有效的DDoS攻击压制。

为解决实例背景中的问题，将结合以下实施例2介绍本发明的技术方案：

实施例2：

a、ChinaNet骨干网覆盖全国范围，其中各省市的电信自治域首先将自己的网络自治域编号、带宽、服务器资源等信息登记上链。

具体实现过程为：

江苏的南通电信用自身私钥签名后，使用自身的区块链地址向自己发起交易，其中，交易金额设置为0，交易内容为{AS编号：AS58520；硬件信息：2.4G/DDR512M；网络带宽：100Mbps}。

各省市的电信分别注册上链后便建立起了DDoS对抗联盟链，其中申请注册上链的服务需要各网络自治域自行支付链上矿工费用，并且约定联盟激励比例为10％。而且，本实施例假定湛江电信、北京电信、汕头电信、东莞电信的网络拓扑路径为：湛江电信→北京电信→汕头电信→东莞电信。

b、当某个省市的电信遭受黑客的恶意DDoS攻击时，该省市电信首先依据安全策略来判断是否遭受DDoS攻击，如确认遭受攻击，则再次通过安全技术分析黑客攻击目标地址、攻击来源数量，然后通过流量等分析DDoS攻击类型，比如TCP攻击、UDP洪水攻击、CC攻击、反射型攻击、应用层攻击等。得到这些信息后，该省市电信使用自身的区块链地址向DDoS攻击探测结果智能合约发起交易，交易输入内容M为：自治域编号m1，DDoS攻击探测结果信息m2(是否收到DDoS攻击)，DDoS攻击特征信息m3(攻击目标地址、攻击来源数量、DDoS攻击类型等信息)。DDoS攻击探测结果智能合约首先判断输入信息M的准确性，若判断通过，由该智能合约来评估上述信息M的价值Em，如，判断攻击流量＜30G，攻击类型为非连续攻击，则费用Em在100-300元之间；攻击流量＜50G，攻击类型为非连续攻击，则费用Em在500-1000元之间；攻击流量＜100G，攻击类型为连续攻击，则费用Em在2000-5000元之间；攻击流量＜300G，攻击类型为连续攻击，则费用Em在5000-8000元之间(以上价格为暂定参考价格，实际价格根据市场价定制)，再将这系列信息写入电信DDoS对抗联盟链中。其中，合约信息M中的m1与m2对所有链上注册的各省市电信自治域可见，而DDoS攻击特征信息m3只在智能合约内部可见，其他电信自治域无权访问。

若广东省的其他电信自治域想购买东莞电信发布的合约信息M中的DDoS攻击特征信息m3配置到自身的安全策略中，则使用自身的区块链地址向DDoS攻击探测结果智能合约发起交易请求，其中交易金额设为Em，交易内容为申请购买东莞电信信息M，则触发对东莞电信合约信息M的访问权限的申请。当DDoS攻击探测结果智能合约判断交易通过时，东莞电信的合约信息M对购买者全部可见。同时，支付合约信息M的价值Em被转移到东莞电信的账户中，实现了对DDoS攻击探测实体的价值兑现。

具体实现过程为：

广东省东莞电信的防火墙等安全设置检测到该区域流量突然堵塞，首先依据安全策略进行入侵检测，排查DNS是否配置错误，路由器是否有问题等，当确认这些一切正常后，检查服务器是否有大量无用数据包和大量等待的TCP连接，从而判断遭受了DDoS攻击，并进行流量分析等，确认攻击目标为电信手机用户，攻击流量大小1000m，攻击类型为TCP SYN泛洪攻击，东莞电信用自身私钥签名后，使用自身的区块链地址向DDoS攻击探测结果智能合约发起交易，交易内容M包括：{m1(ASN：AS58567)；m2(DDoS攻击探测结果：是)；m3(攻击目标地址：广东东莞电信营业厅；攻击流量数目：1000m；攻击类型：TCP SYN泛洪攻击)}，交易完成后，DDoS攻击探测结果智能合约对m3信息进行评估，判断攻击流量＜30G，攻击类型为非连续攻击，故判定价格Em为100元，再将这些信息写入联盟链中，其中所有其他注册的其他省市电信自治域都可在链上查看到m1和m2信息，以及m3的价格100元。广东省的汕头电信和湛江电信在看到东莞电信遭到DDoS攻击后，担心遭到同一黑客攻击，准备购买东莞电信的合约信息M加入自身安全策略中进行提前预防，于是他们使用自身私钥签名后，用自己的区块链地址向DDoS攻击探测结果智能合约发起交易请求，交易金额设置为100元，交易内容为{东莞电信AS58520}，DDoS攻击探测结果智能合约收到交易请求后，在交易成功后，将开放东莞电信的所有合约信息M给购买者汕头电信和湛江电信，同时，将金额100元转移到东莞电信的账户地址上，如图2所示。

c、遭受DDoS攻击后，东莞电信可作为任务发布者在联盟链上发布DDoS攻击压制申请T，压制申请T包括东莞电信的链上登记证明信息，以及攻击压制完成的预期最高报酬Et，该任务申请T可被所有DDoS对抗联盟链上的其他省市电信网络自治域查询，这些注册上链的电信自治域可以对比遭受相同DDoS攻击的压制申请任务，来选择性价比更高的任务去申请执行(该申请同样需要提供自己的链上登记证明信息，攻击压制完成预计消耗的资源成本E等信息)。然后，电信DDoS对抗联盟链针对每个攻击压制申请，对比申请者们的相关信息(资源、所需报酬等)，经过链上共识，最终产生一个预期消耗成本相对最少、拥有资源相对最好的任务执行者。

任务执行者即负责压制任务的电信自治域在执行完DDoS攻击压制完成后，汇报流量压制结果到DDoS攻击压制结果智能合约，触发提出压制申请的电信自治域核对自身接收到的DDoS攻击流量是否小于阈值，并据结果选择是否支付相应的报酬给负责攻击压制的电信自治域；若小于阈值，则提出压制申请的电信自治域按照DDoS流量压制比例支付对应比例的报酬给任务执行者，与此同时，位于负责攻击压制的电信自治域与提出攻击压制申请的电信自治域中间路径上的电信自治域，需按照约定的联盟激励比例支付报酬给负责攻击压制的电信自治域；若大于阈值，则则压制任务失败，无需付款。

具体实现过程为：

东莞电信使用自身区块链地址在电信DDoS对抗联盟链中发布攻击压制任务申请T，交易金额设置为Et＝5000元，交易内容为{AS编号：AS58520；硬件信息：2.4G/DDR512M；网络带宽：100Mbps}。北京电信、汕头电信、湛江电信在查询联盟链上的压制任务申请T后，都选择了成为东莞电信发布的任务的潜在任务执行者，然后他们分别向联盟链提出压制申请，其中，北京电信的交易金额设置为E1＝3000元，交易内容为{AS编号：AS4134；硬件信息：2.5G/DDR512M；网络带宽：200Gbps}；岳阳电信的交易金额设置为E2＝3200元，交易内容为{AS编号：AS58542；硬件信息：2.4G/DDR512M；网络带宽：10Gbps}；兰州电信的交易金额设置为E3＝3100元，交易内容为{AS编号：AS18387；硬件信息：2.4G/DDR512M；网络带宽：500Mbps}；经过链上排序，E1＜E3＜E2，且北京的硬盘和带宽优势最佳，故链上共识选择北京电信为任务执行者。

在北京电信负责攻击压制结束后，东莞电信提交DDoS攻击流量信息到DDoS攻击压制结果智能合约，该智能合约统计北京电信的DDoS攻击流量压制数量为92％，东莞电信收到的DDoS攻击流量压制数量为8％，小于预定阈值20％，则依据北京电信提交的DDoS攻击流量压制数量的大小，DDoS攻击压制结果智能合约将总额为92％预定价格Et，即92％×3000＝2760元的经济激励转到北京电信账户上。同时，依据“湛江电信→北京电信→汕头电信→东莞电信”的拓扑路径，汕头电信位于DDoS攻击压制的网络自治域北京电信与DDoS攻击的压制申请者东莞电信中间，因此需按照DDoS攻击压制所获经济激励的联盟约定比例10％，向负责DDoS攻击压制的网络自治域北京电信支付联盟激励，即276元，作为间接受益者的付费，因为北京电信在为东莞电信提供DDoS攻击压制的同时，汕头电信为了路径中间所以也享受到了北京电信所提供的DDoS攻击压制服务所带来的安全收益。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (5)

1.一种基于区块链合约化激励的分布式拒绝服务攻击对抗方法，其特征在于，包括建立基于区块链合约化激励的分布式拒绝服务攻击对抗框架，所述对抗框架包括n个网络自治域所形成的集合{AS_i，i＝1，2，3，…，n}，每个网络自治域AS_i均遵循网络自治域AS_i资源的链上注册机制、DDoS攻击探测结果链上注册与价值兑现机制、对抗DDoS攻击的网络自治域AS_i链上竞选及价值兑换机制。

2.根据权利要求1所述的基于区块链合约化激励的分布式拒绝服务攻击对抗方法，其特征在于，网络自治域AS_i资源的链上注册机制具体为：

网络自治域AS_i将其主管机构出具的资源登记证明，用自身私钥签名后，使用自身的区块链地址往其本身发起交易，交易的金额设置为零，而交易的内容设置为上述资源登记证明，从而完成了上述资源登记证明信息的上链，并且，上述过程需要申请该服务的网络自治域AS_i支付上链矿工费；

若干个网络自治域AS_i链上注册后建立DDoS对抗联盟链，联盟链中的所有网络自治域约定：位于DDoS攻击压制申请者AS_k与负责DDoS攻击压制的网络自治域AS_o中间路径上的其他网络自治域{AS_m，m∈[1,n]且m≠o且m≠k}，按照DDoS攻击压制所获经济激励的联盟约定比例，作为联盟激励支付给负责DDoS攻击压制的AS_o，其中，k∈[1,n]，o∈[1,n]。

3.根据权利要求1所述的基于区块链合约化激励的分布式拒绝服务攻击对抗方法，其特征在于，DDoS攻击探测结果链上注册与价值兑现机制，包括：

(1)制定DDoS攻击探测结果智能合约规则，所述DDoS攻击探测结果智能合约将合约信息M写入DDoS对抗联盟链，并评估确定所述合约信息M的价值Em，其中，所述合约信息M包括网络自治域AS_i编号m1、DDoS攻击探测结果信息m2、DDoS攻击特征信息m3，所述DDoS攻击特征信息m3包括攻击的必要信息；

所述合约信息M中的网络自治域AS_i编号m1、DDoS攻击探测结果信息m2在DDoS对抗联盟链上对所有链上注册的网络自治域AS_i可见，所述DDoS攻击特征信息m3只在智能合约内部可见，而对其它网络自治域{AS_j，j＝1，2，3，…，n，且j≠i}不可见；

(2)DDoS攻击探测结果价值兑现过程如下：

所有链上注册的网络自治域{AS_i，i＝1，2，3，…，n}依据自身安全规则探测DDoS攻击，当探测成功后，抽取DDoS攻击特征信息m3并写入合约信息M中，然后调用所述DDoS攻击探测结果智能合约将合约信息M写入DDoS对抗联盟链并确定合约信息M的价值Em；

若某一网络自治域AS_j由于自身安全需求，欲购买上述DDoS攻击特征信息m3并配置到自身安全策略中，则需要向所述DDoS攻击探测结果智能合约发起交易请求并支付合约信息M的价值Em，从而触发所述DDoS攻击探测结果智能合约开放对发起请求的网络自治域AS_j的访问权限，即合约信息M对发起交易请求的网络自治域AS_j的合约信息M由不可见变为可见，尤其是合约信息M中的DDoS攻击特征信息m3对发起交易请求的网络自治域AS_j可见；

同时，支付合约信息M的价值Em被转移到将合约信息M写入DDoS对抗联盟链的网络自治域AS_i，从而实现对DDoS攻击探测实体的价值兑现。

4.根据权利要求1所述的基于区块链合约化激励的分布式拒绝服务攻击对抗方法，其特征在于，对抗DDoS攻击的网络自治域ASi链上竞选及价值兑换机制，包括：

A、制定DDoS攻击压制结果智能合约规则，所述DDoS攻击压制结果智能合约统计、对比负责DDoS攻击压制的网络自治域AS_o的DDoS攻击流量压制数量或大小比例以及其它网络自治域AS_j接收到的DDoS攻击流量数量，其中，o∈[1,n]，j∈[1,n]且j≠o；

B、负责压制即对抗DDoS攻击的网络自治域AS_o的链上竞选及价值兑换机制，包括如下步骤：

网络自治域AS_k向DDoS对抗联盟链发布DDoS攻击压制申请T，其中k∈[1,n]，压制申请T包括资源登记证明信息和价格E，该网络自治域AS_k为任务发布者；

其它网络自治域AS_j查询DDoS对抗联盟链上压制申请发布者AS_k的资源登记证明信息：若自身资源登记证明信息和价格符合AS_k发布的DDoS攻击压制申请T的要求，则向DDoS对抗联盟链声明自身属于潜在任务执行者

然后，DDoS对抗联盟链对所有潜在任务执行者{AS_T，T＝1，2，3，…，n且T≠k}经过链上共识，最终产生一个任务执行者AS_o，其中o∈[1,n]且o≠k，由其负责压制DDoS攻击，并汇报流量压制结果到DDoS攻击压制结果智能合约；负责任务执行者即DDoS攻击压制的网络自治域AS_o、DDoS攻击的压制申请者AS_k分别提交DDoS攻击流量信息到DDoS攻击压制结果智能合约，若AS_k接收到的DDoS攻击流量数量小于预定阈值K，则依据AS_o提交的DDoS攻击流量压制数量的大小比例，支付总额小于预定价格E的相应比例的经济激励；

位于负责DDoS攻击压制的网络自治域AS_o、DDoS攻击的压制申请者AS_k中间的网络自治域{AS_m，m∈[1,n]且m≠i且m≠k}，按照DDoS攻击压制所获经济激励的联盟约定比例，作为联盟激励支付给负责DDoS攻击压制的网络自治域AS_o；

若DDoS攻击的压制申请者AS_k接收到的DDoS攻击流量数量大于等于预定阈值K，则DDoS攻击压制失败，无需付款。

5.根据权利要求3所述的基于区块链合约化激励的分布式拒绝服务攻击对抗方法，其特征在于，所述DDoS攻击探测结果链上注册与价值兑现机制中所述自身安全规则为防火墙或杀毒软件。

Images