CN113169981B - 使用用于分布式拒绝服务攻击缓解的区块链 - Google Patents
使用用于分布式拒绝服务攻击缓解的区块链 Download PDFInfo
- Publication number
- CN113169981B CN113169981B CN201980084331.9A CN201980084331A CN113169981B CN 113169981 B CN113169981 B CN 113169981B CN 201980084331 A CN201980084331 A CN 201980084331A CN 113169981 B CN113169981 B CN 113169981B
- Authority
- CN
- China
- Prior art keywords
- ddos
- blockchain
- attack
- ddos attack
- block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文中描述的特定实施例提供了一种系统,所述系统可以被配置成便于使用用于分布式拒绝服务攻击缓解的区块链,所述系统可以包括网络安全提供商和验证节点。网络安全提供商可以:识别出分布式拒绝服务(DDoS)攻击正在发生;创建包括与DDoS攻击相关的数据的区块;以及发布包括与DDoS攻击相关的数据的区块以用于添加到区块链。验证节点可以验证包括与DDoS攻击相关的数据的区块,并且包括与DDoS攻击相关的数据的区块可以被添加到区块链。可以分析包括与DDoS攻击相关的数据的区块,以确定如何缓解类似的DDoS攻击。
Description
相关申请的交叉引用
本申请要求于2018年12月19日提交的题为“USING A BLOCKCHAIN FORDISTRIBUTED DENIAL OF SERVICE ATTACK MITIGATION”的美国专利申请No.16/225,646的优先权的权益,该专利申请通过引用以其整体并入本文中。
技术领域
本公开总体上涉及信息安全领域,并且更特别地涉及使用用于分布式拒绝服务攻击缓解的区块链。
背景技术
在当今社会,网络安全领域已经变得越来越重要。互联网已经使得全世界的不同计算机网络能够互连。特别地,互联网提供了用于经由各种类型的客户端设备在连接到不同计算机网络的不同用户之间交换数据的媒介。虽然互联网的使用已经转变了商业和个人通信,但是它也已经被用作恶意操作者的载具(vehicle)。
恶意操作者用来勒索钱财和/或通常制造问题的一种类型的技术是拒绝服务(DOS)攻击或分布式拒绝服务(DDoS)攻击。DoS攻击是一种网络攻击,其中恶意操作者寻求通过临时或无限期地中断连接到互联网的主机的服务,从而使机器或网络资源对于其预期用户不可用。拒绝服务通常是通过如下方式来实现的:利用过剩的请求对目标机器或资源进行泛洪(flood),以尝试使系统过载并且阻碍一些或所有合法请求得到满足。DDoS攻击是一种类型的DoS攻击,其中恶意操作者利用源自于许多不同来源的流量对目标进行泛洪。这实际上使得仅仅通过阻止单个来源来停止该攻击不可能。存在许多不同类型的DDoS攻击,并且对于保护计算机和计算机网络免受DDoS攻击而言,仍然存在重大的管理挑战。
附图说明
为了提供对本公开及其特征和优点的更完整理解,参考了结合附图而取得的以下描述,其中同样的参考标号表示同样的部分,在附图中:
图1是帮助便于用于分布式拒绝服务攻击缓解的区块链的系统的简化框图;
图2是根据本公开实施例的帮助便于用于分布式拒绝服务攻击缓解的区块链的系统的一部分的简化框图;
图3是根据本公开实施例的帮助便于用于分布式拒绝服务攻击缓解的区块链的系统的一部分的简化框图;以及
图4是图示了根据一实施例的可以与通信系统相关联的潜在操作的简化流程图。
附图中的图不一定是按比例绘制的,这是因为在不脱离本公开的范围的情况下,它们的尺寸可以大幅度变化。
具体实施方式
以下详细描述阐述了根据本公开实施例的与帮助便于用于分布式拒绝服务攻击缓解的区块链的系统相关的装置、方法和系统的示例。为了方便起见,例如参考一个实施例来描述诸如(一个或多个)结构、(一个或多个)功能和/或(一个或多个)特性之类的特征;各种实施例可以用任何合适的一个或多个所描述的特征来实现。
在以下描述中,将使用本领域技术人员通常采用的术语来描述说明性实现方式的各个方面,以向本领域其他技术人员传达其工作的实质。然而,对于本领域技术人员来说将清楚的是,本文中公开的实施例可以仅用所描述的方面中的一些来实践。出于解释的目的,阐述了具体的数字、材料和配置,以便提供对说明性实现方式的全面理解。然而,对本领域技术人员来说将清楚的是,本文中公开的实施例可以在没有具体细节的情况下实践。在其他实例中,省略或简化了众所周知的特征,以免混淆说明性实现方式。
在以下详细描述中,参考了形成其一部分的附图,其中同样的标号遍及全文表示同样的部分,并且其中通过说明的方式示出了可以实践的实施例。应理解的是,在不脱离本公开的范围的情况下,可以利用其他实施例,并且可以进行结构或逻辑改变。因此,不要以限制性意义考虑以下详细描述。出于本公开的目的,短语“A和/或B”意味着(A)、(B)或(A和B)。出于本公开的目的,短语“A、B和/或C”意味着(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或(A、B和C)。
图1是根据本公开实施例的帮助便于用于分布式拒绝服务攻击缓解的区块链的系统100的简化框图。如图1中所图示,系统100的实施例可以包括多个网络元件102a-102g。网络元件102a-102g可以使用网络104彼此通信。每个网络元件102a-102g可以包括存储器、计算机处理单元(CPU)和区块链引擎。例如,如图1中所图示,网络元件102a包括存储器106、一个或多个CPU 108和区块链引擎110。存储器106可以包括区块链112。
每个网络元件102a-102g可以是家庭网络安全提供商、内容提供商、数据中心、企业网络的一部分、DDoS缓解提供商、或政府实体、法律实施实体、取证(forensic)分析实体、或某个其他类似实体。在一些示例中,网络元件102a-102g中的一个或多个可以是家庭网络安全提供商和验证节点。如果网络元件(例如,网络元件102b或102c)是内容提供商、数据中心、企业网络的一部分、或政府实体、法律实施实体、取证分析实体、或某个其他类似实体,则网络元件可以不包括区块链引擎110,并且可以不被配置成生成区块链112的区块或验证区块链112的区块,并且仅能够访问和查阅区块链112中的数据。
区块链引擎110可以被配置成生成DDoS威胁情报区块链(例如,区块链112)的区块。此外,区块链引擎110可以被配置成验证区块链的区块。在一些示例中,区块链引擎110可以被配置成仅生成区块链的区块,仅验证区块链的区块,或者既生成区块链的区块又验证区块链的区块。区块链112可以是包括关于DDoS攻击的细节的区块链。
系统100可以被配置成允许在私有的和经许可的区块链网络中对DDoS威胁信息进行自动化和共享。更具体地,系统100可以包括分散式区块链(例如,区块链112)以便与目标网络、DDoS缓解提供商、安全供应商、法律实施机构等共享DDoS攻击细节。DDoS攻击细节可以包括DDoS攻击的类型、用于发起DDoS攻击的设备的类型、攻击流量所利用的带宽、攻击目标细节、以及与DDoS攻击相关的其他细节。DDoS攻击细节可以向DDoS缓解提供商、安全供应商、目标网络等提供见解,以用于协调和有效的DDoS缓解。此外,参与DDoS威胁情报区块链的组织可以利用该区块链中的信息,以用于协调和有效的DDoS攻击缓解。在一示例中,区块链(例如,区块链112)将不具有长的区块链,而是取而代之地将具有多个链,其中每个链针对特定的DDoS攻击,并且每个链通过指示DDoS攻击停止时的时间的区块而终止。
图1的元件可以通过采用任何合适的连接(有线或无线)的一个或多个接口而彼此耦合,这些连接为网络(例如,网络104)通信提供了可行的路径。此外,图1的这些元件中的任何一个或多个可以基于特定的配置需要而组合或从该架构中移除。系统100可以包括能够在网络中传输或接收分组的传输控制协议/互联网协议(TCP/IP)通信的配置。系统100还可以在适当的情况下并且基于特定需要而结合用户数据报协议/IP(UDP/IP)或任何其他合适的协议来操作。
出于说明系统100的某些示例技术的目的,理解可能穿越网络环境的通信是重要的。以下基本信息可以被视为可以根据其来适当地解释本公开的基础。
感染主机计算机的恶意软件(“恶意程序”)可能能够执行任何数量的恶意动作,诸如从与主机计算机相关联的商业或个人窃取敏感信息、传播到其他主机计算机、协助分布式拒绝服务攻击、从主机计算机发出垃圾邮件或恶意电子邮件等。因此,对于保护网络元件、所连接的设备等、以及计算机网络免受恶意软件和设备进行的恶意利用和无意利用而言,仍然存在重大的管理挑战。恶意操作者可以影响系统或目标的一种方式是使用DDoS攻击。
DDoS攻击是使机器或网络资源对于其预期用户不可用的尝试。DDoS攻击中的受害者或DDoS攻击的目标可以是应用服务器、路由器、防火墙或整个网络的网络线路。在大多数情况下,DDoS攻击是通过损害多个设备(例如,终端主机)并且使用那些受感染的设备来施行DDoS攻击而实现的。在一次DDoS攻击中,通过损害足够的IOT设备并且使用那些IOT设备来施行并放大DDoS攻击流量,实现了足够的攻击规模。
缓解DDoS攻击中的关键挑战之一是:DDoS攻击流量以许多形式出现。DDoS攻击流量在设计上可能从非欺骗性的单源DDoS攻击变化到复杂且自适应的多矢量DDoS攻击。多矢量DDoS攻击使用多个攻击路径,以便以不同的方式来击溃(overwhelm)目标,从而潜在地分散在任何一个轨迹上的缓解努力。同时以协议栈的多个层为目标的DDoS攻击(诸如DNS放大(以层3/4为目标)与HTTP泛洪(以层7为目标)耦合)是多矢量DDoS的示例。此外,一些DDoS攻击被用作烟幕DDoS攻击,以将安全系统从真正的威胁(诸如,数据渗漏)误导。通过利用DDoS攻击使安全系统分散注意力,恶意操作者希望他们可以通过利用网络的其他部分中的活动使安全系统过载,从而绕过安全系统。
由DDoS缓解提供商使用的缓解技术通常是一种混合解决方案,其集成了内部部署的DDoS检测和缓解、连同基于云的DDoS清理服务。可以通过内部部署的安全设备(例如,安全家庭平台(SHP)、网络安全平台(NSP)等)、以及通过外部部署的DDoS缓解提供商来提供DDoS缓解,该外部部署的DDoS缓解提供商诸如提供DDoS缓解服务的上游中转(transit)提供商(例如,Verizon、NTT等)、以及云DDoS缓解提供商(例如,Akamai、Radware、Arbor等)。
当今的标准防御技术(如SHP和NSP)仅仅提供点安全解决方案来检测和阻止传出的DDoS攻击流量。虽然这些安全解决方案阻止了来自其相应网络的传出DDoS攻击流量,但是它们不会将DDoS攻击细节共享给目标网络以及保护目标网络的DDoS缓解提供商。类似地,DDoS缓解提供商不会与提供点安全解决方案的安全供应商共享DDoS攻击细节。因此,关于DDoS攻击,存在非常少的协作或信息共享。所需要的是一种用于帮助与目标网络、DDoS缓解提供商、安全供应商、法律实施机构等共享DDoS攻击细节的系统和方法。
如图1中概述的用于与目标网络、DDoS缓解提供商、安全供应商、法律实施机构等共享DDoS攻击细节的包括分散式区块链的系统和方法可以解决这些问题(以及其他问题)。系统100可以被配置成:包括基于区块链的分散式机制,用以与DDoS缓解提供商、目标网络和安全供应商共享DDoS攻击细节。DDoS缓解提供商可以充当验证节点。法律实施机构可以作为非验证节点加入区块链,并且使用区块链中的DDoS细节来考验并标识DDoS攻击中牵涉的恶意操作者。
安全供应商可以使用区块链中的DDoS细节来提供安全解决方案。安全供应商也可以在新区块中发布DDoS攻击细节,一旦新区块被发布和验证,就可以将该新区块添加到区块链。在一些示例中,安全供应商可以充当非验证节点,并且仅能够发布新区块。在其他示例中,如果目标网络和DDoS缓解提供商不是区块链的一部分,则安全供应商也可以充当验证节点。
倘若区块中发布的DDoS攻击的受害者在目标网络中,则目标网络可以充当验证节点。更具体地,如果目标网络可以证明在新区块中发布的FQDN和IP地址的所有权,则目标网络可以是验证节点。可以使用诸如或类似于域名系统安全扩展(DNSSEC)、资源公钥基础设施(RPKI)、公钥基础设施(PKIX)等技术来核实在新区块中发布的FQDN和IP地址的所有权。
目标网络可以提供保护区块链的第一区块(通常被称为创世区块)中的目标网络的DDoS缓解提供商的配置数据。目标网络也可以使用私有配置在区块链中发布数据(例如,目标信息),从而使一些所发布的DDoS攻击细节保持私有。例如,区块中的私有数据可以被加密,并且仅对由目标网络授权查看私有数据的网络元件或组织可见。更具体地,如果使用超分类账(hyperledger)区块链,则仅使用超分类账通道或私有数据集合来与经授权的网络元件或组织共享私有数据。
超分类账通道是两个或更多个特定网络成员之间的通信的私有“子网”,并且用于进行私有和保密交易。通道由网络元件或组织、每个网络元件或组织的锚定对等体(anchorpeer)、共享分类账、(一个或多个)链码应用和/或(一个或多个)服务节点来定义。关于网络上的区块链的每个交易在通道上执行,其中每个网络元件或组织必须被认证和授权在该通道上进行交易。
保持数据私有的一个选项是创建新通道,该新通道只包括需要访问数据的网络元件。然而,创建分离的通道可能导致附加的管理开销(维护链码版本、策略、MSP等),并且不允许其中所有通道参与者都可以看到交易、同时保持一部分数据私有的用例。另一个选项是使用所谓的私有数据集合。在私有数据集合中,实际的私有数据仅被发送给被授权查看私有数据的网络元件。数据被存储在被授权查看私有数据的网络元件上的私有数据库(有时被称为侧数据库或SideDB)中。未被授权查看私有数据的网络元件不被牵涉并且不查看私有数据。私有数据的哈希被背书(endorse)、排序并且写入到通道上的每个网络元件的分类账。哈希用作交易的证据,并且用于状态验证,并且可以用于审核目的。
当内部部署的安全设备(例如,网络元件102f)检测到出站DDoS攻击或者DDoS缓解提供商(例如,网络元件102e)检测到入站DDoS攻击时,区块链引擎(例如,区块链引擎110)可以在新区块中发布DDoS攻击细节,以向区块链网络中的所有参与者通知DDoS攻击和关于DDoS攻击的细节。区块链网络是与区块链相关联的互连设备(例如,网络元件102a-102g)的网络。DDoS攻击细节可以包括DDoS攻击的类型(例如,DNS/NTP放大、SYN泛洪、UDP泛洪、TCP泛洪(例如,伪造的RST分组)、IP碎片攻击、Slowloris、TLS重新协商)、参与DDoS攻击的设备的数量、攻击流量所利用的带宽、目标IP地址和FQDN等。如果目标网络选择了隐私,则目标IP地址和FQDN可以被加密并且仅由目标网络所授权的组织解密。DDoS攻击细节还可以包括攻击者的IP地址。如果攻击者位于NAT后面,则可以使用类似STUN和PCP的协议来发现攻击者的公共IP地址。此外,DDoS攻击细节可以包括发起DDoS攻击的设备的类型,并且如果可能的话,包括其密码能力、以及可以帮助分析DDoS攻击并缓解未来攻击的其他细节。
区块中的DDoS攻击细节可以被DDoS缓解提供商用于容量规划(例如,规划阻止攻击流量所需的缓解资源)和缓解策略。DDoS攻击细节还可以帮助DDoS缓解提供商标识以受害者为目标的攻击流量的实际总体积。攻击总体积是实际攻击流量体积,并且是缓解提供商正在清理的攻击流量加上内部部署的安全解决方案(如各种家庭和企业网络中的SHP和NSP)所阻止的攻击流量的总和。DDoS攻击细节还可以帮助DDoS缓解提供商标识参与所协调的DDoS攻击的受损害的设备的数量。内部部署的安全解决方案可以相对容易地检测到泛洪攻击,但是可能无法检测到经转变的多矢量DDoS攻击,该经转变的多矢量DDoS攻击可以利用恶意制作的请求对目标进行泛洪。DDoS攻击细节可以帮助DDoS缓解器来预测处理多矢量攻击所需的缓解资源。如果DDoS缓解器不能够处理实际的总攻击流量体积,则目标或DDoS缓解器可以从能够处理该攻击的另一个DDoS缓解提供商请求协助。替代地,如果内容提供商正在利用多个DDoS缓解提供商的服务,则目标可以基于DDoS攻击细节来选择DDoS缓解提供商中的一个。例如,目标可以基于DDoS缓解器处理总攻击体积的能力来选择DDoS缓解提供商。
在说明性示例中,使用由内部部署的安全解决方案传达的DDoS攻击细节,DDoS缓解器还可以基于用于发起DDoS攻击的设备类型(例如,IoT设备)来规划适当的缓解动作。设备类型可以携带附加信息,例如设备的密码能力。知晓发起DDoS攻击的设备类型可以帮助DDoS缓解器调整密码挑战,以阻止来自数百万受感染设备的攻击流量(例如,DDoS缓解器基于发起DDoS攻击的设备类型向请求设备(客户端设备)发送请求,以解决各种类型的密码难题(例如,安全哈希算法(SHA)))。例如,如果在DDoS攻击中正在使用IoT设备,则发起该攻击的IoT设备可能能够计算SHA-1函数,但是可能不具有计算SHA-2/SHA-3函数的能力。为了考验并阻挠(thwart)DDoS攻击,DDoS缓解器可以请求设备使用SHA-2/SHA-3函数族来解决多个或单个哈希难题。该IoT设备将无法执行SHA-2/SHA-3函数,并且DDoS缓解器将阻止来自这种IoT设备的流量,从而阻挠DDoS攻击。
企业网络通常具有与ISP的服务协定,以保护其网络资源。为了帮助保护企业网络的资源,ISP除了其他之外还提供了DDoS缓解服务,该DDoS缓解服务可以检查传入流量以检测DDoS攻击。然而,出于成本原因,一些ISP在默认情况下不会针对传出流量开启DDoS检测。ISP可以使用系统100来学习源自于其订户家庭网络的DDoS攻击细节,并且ISP可以使用DDoS攻击细节来选择性地启用DDoS检测,以监测来自参与DDoS攻击的家庭网络的传出流量。管理家庭网络的ISP还可以确定附接到每个家庭网络的设备,并且基于DDoS攻击细节中传达的设备类型来选择性地启用DDoS检测,以监测来自具有类似类型设备的家庭网络的传出流量。
DDoS缓解提供商和目标网络可以通过验证DDoS攻击细节并且在目标资源处发布用于发起DDoS流量的攻击者IP地址来对区块链做出贡献。该验证将协助内部部署的安全解决方案确定其有效性并且减少假阳性。所发布的攻击者IP地址也将协助内部部署的安全解决方案检测假阴性。例如,如SHP和NSP这样的内部部署的安全解决方案通常使用基于速率的技术和统计分析来检测和阻止DDoS攻击。这些安全解决方案可能无法在瞬间拥塞(大量合法流量)与真正的DDoS攻击之间进行区分。来自DDoS缓解提供商和目标网络的验证将协助内部部署的安全解决方案检测假阳性。
当区块链中的区块被创建时,可以将新区块标记为“待决”,直到区块链网络中的验证节点验证了新区块以及新区块中包括的DDoS攻击细节为止。新区块将保持“待决”状态,直到区块链网络中的验证节点关于新区块是否能够被验证达成协定为止。该协定可以采用共识算法的形式,或者通过一些其他手段。在新区块被验证之后,区块链网络中的具有关于正在进行的DDoS攻击的附加信息的任何节点都可以创建另一个新区块,并且将该另一个新区块链接到先前验证的区块。验证节点(DDoS缓解提供商和目标网络)可以通过确定另一个新区块是否包括与经验证的区块中的细节类似的细节、与去往目标网络的DDoS攻击流量的类型相关的细节、和/或与去往目标网络的DDoS攻击流量的类似类型相关的细节,来核实该另一个新区块。如果另一个新区块包括与经验证的区块中的细节类似的细节、与去往目标网络的DDoS攻击流量的类型相关的细节、和/或与去往目标网络的DDoS攻击流量的类似类型相关的细节,则另一个新区块将被验证并且添加到区块链。如果DDoS缓解提供商和/或目标网络拒绝一区块,则DDoS缓解提供商和/或目标网络可以向内部部署的安全解决方案提供反馈以检测假阳性。内部部署的安全解决方案可以使用DDoS缓解提供商在区块中发布的攻击者IP地址来检测假阴性(例如,瞬间拥塞)。
如果目标网络没有加入区块链,则仅有保护目标网络的DDoS缓解提供商将验证并且提交该区块。DDoS缓解提供商可以证明其正在使用由目标网络提供的私钥来保护目标网络(DDoS缓解提供商使用私钥以充当TLS代理来阻止层7攻击)。如果区块链网络中的DDoS缓解提供商不保护目标网络,并且目标网络也不是区块链的一部分,则可以使用共识算法来验证该区块。例如,安全供应商可以使用实用的Byzantine容错(PBFT)共识算法来验证该区块。
Byzantine容错(BFT)是容错计算机系统、特别是分布式计算系统的可靠性,其中组件可能故障或被破坏,并且关于组件是否故障或被破坏,存在不完全的信息。在“Byzantine故障”中,组件可能不一致地出现故障或被破坏以及正常运作两者,从而向不同的观察者呈现出不同的症状。PBFT共识算法被设计为应对byzantine故障情形,其中成员中的一个或多个故障、被破坏或者是叛徒。区块链是分散式分类账,按照定义,该分散式分类账不受中央权威机构所控制。由于存储在DDoS区块链中的数据,恶意操作者具有经济动机来考验并且引起故障。只要被破坏的设备或叛徒的数量不超过成员的三分之一,PBFT共识算法就可以解决该问题。
在一示例中,DDoS威胁情报区块链将不具有长的区块链,并且将具有多个链。每个链将通过指示对目标的DDoS攻击停止时的时间的区块而终止。当前,没有一个现有的DDoS缓解解决方案与目标(或受害者)网络或保护目标的DDoS缓解提供商、或者与受损害的设备正在从其中发起DDoS攻击的网络中的安全设备共享DDoS威胁信息。基于区块链的安全解决方案提供商(如Polyswarm)使用补救技术,其中它们共享防病毒签名,但是不应对DDoS攻击,并且Polyswarm区块链网络不牵涉半可信方。系统100可以提供共享并利用用于协调和有效的DDoS缓解的DDoS威胁信息的方式、以及在区块链中提交区块的方式。区块链帮助确保由一个组织发布的DDoS攻击细节不会被其他组织所破坏或覆盖,这是由于区块链本质上是防篡改的。而且,目标网络和DDoS缓解提供商参与区块链,这是由于验证节点将具有不充当坏节点的既得利益,否则攻击将不会被有效地缓解,并且将不利地影响目标网络的业务以及缓解提供商与目标网络的SLA。可以使用目标网络的私钥对DDoS攻击细节进行签名,以提供数据起源认证。可以通过撤销用以参与区块链的授权来对离群值进行处罚。在集中式系统中,管理集中式系统的组织将具有对共享DDoS攻击细节的垄断,而在系统100中,参与经许可的区块链网络的所有组织都是利益相关者。此外,如果使用共识算法来验证区块链中的区块,则共识算法可以帮助避免个体组织的垄断或组织之间的勾结。在集中式系统中,存在对DDoS攻击细节进行删剪(censor)和选择性共享的可能性。系统100可以帮助确保DDoS攻击细节被共享给并且可用于参与区块链的每个人。集中式系统可能会延迟DDoS攻击细节对某些方的可用性,并且向该系统中的选择性组织提供不正当的优势。然而,利用区块链的分散式方法,系统100可以帮助确保所发布的DDoS攻击细节可用于区块链网络中的所有参与者。
转到图1的基础设施,示出了根据示例实施例的系统100。通常,系统100可以在任何类型或拓扑的网络中实现。网络104表示用于接收和传输通过系统100传播的信息分组的互连通信路径的一系列点或节点。网络104提供节点之间的通信接口,并且可以被配置为任何局域网(LAN)、虚拟局域网(VLAN)、广域网(WAN)、无线局域网(WLAN)、城域网(MAN)、内联网、外联网、虚拟专用网络(VPN)、以及便于网络环境中的通信的任何其他适当的架构或系统、或其任何合适的组合,包括有线和/或无线通信。
在系统100中,可以根据任何合适的通信消息传递协议来发送和接收网络流量,网络流量包括分组、帧、信号、数据等。合适的通信消息传递协议可以包括多层方案,诸如开放系统互连(OSI)模型或其任何派生物或变体(例如,传输控制协议/互联网协议(TCP/IP)、用户数据报协议/IP(UDP/IP))。附加地,在系统100中还可以提供通过蜂窝网络的无线电信号通信。可以提供合适的接口和基础设施来实现与蜂窝网络的通信。
如本文中使用的术语“分组”指代可以在分组交换网络上的源节点和目的地节点之间路由的数据单元。分组包括源网络地址和目的地网络地址。这些网络地址可以是TCP/IP消息传递协议中的互联网协议(IP)地址。如本文中使用的术语“数据”指代任何类型的二进制、数字、语音、视频、文本或脚本数据、或者任何类型的源代码或目标代码、或者可以在电子设备和/或网络中从一个点传送到另一个点的采用任何适当格式的任何其他合适信息。附加地,消息、请求、响应和查询是网络流量的形式,并且因此可以包括分组、帧、信号、数据等。
网络元件102a-102g均可以是台式计算机、膝上型计算机、移动设备、个人数字助理、智能电话、平板电脑、网络器具、服务器、路由器、交换机、网关、网桥、负载均衡器、或可操作以在网络环境中交换信息的任何其他合适的设备、组件、元件或对象。服务器可以是虚拟服务器,并且可以与希望经由某个网络(例如,网络104)在系统100中发起通信的客户端、客户、端点或终端用户相关联。术语“服务器”包括用于服务于系统100内的客户端的请求和/或代表该客户端执行某个计算任务的设备。网络元件102a-102g可以包括便于其操作的任何合适的硬件、软件、组件、模块或对象,以及用于在网络环境中接收、传输和/或以其他方式传送数据或信息的合适接口。这可以包括允许数据或信息的有效交换的适当算法和通信协议。
关于与系统100相关联的内部结构,网络元件102a-102g中的每一个可以包括用于存储将在本文中概述的操作中使用的信息的存储器元件(例如,存储器106)。网络元件102a-102g中的每一个可以将信息保存在任何合适的存储器元件(例如,磁盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM (EEPROM)、专用集成电路(ASIC)等)、软件、硬件、固件中,或者在适当的情况下并且基于特定需要而保存在任何其他合适的组件、设备、元件或对象中。本文中讨论的任何存储器项都应当解释为被涵盖在宽泛术语“存储器元件”中。此外,在系统100中使用、跟踪、发送或接收的信息可以在任何数据库、寄存器、队列、表、高速缓存、控制列表或其他存储结构中提供,它们中的全部都可以在任何合适的时间帧处被引用。任何这种存储选项也可以被包括在本文中所使用的宽泛术语“存储器元件”中。
在某些示例实现方式中,本文中概述的功能可以由编码在一个或多个有形介质中的逻辑(例如,在ASIC中提供的嵌入式逻辑、数字信号处理器(DSP)指令、要由处理器或其他类似机器执行的软件(潜在地包括目标代码和源代码)等)来实现,该有形介质可以包括非暂时性计算机可读介质。在这些实例中的一些实例中,存储器元件可以存储用于本文中描述的操作的数据。这包括能够存储被执行以实行本文中描述的活动的软件、逻辑、代码或处理器指令的存储器元件。
在示例实现方式中,系统100的网络元件(诸如,网络元件102a-102g)可以包括软件模块(例如,区块链引擎110),以实现或促进如本文中概述的操作。这些模块可以以任何适当的方式被合适地组合,这可以基于特定的配置和/或供应需要。在示例实施例中,这种操作可以由硬件来实行,在这些元件的外部实现,或者被包括在某个其他网络设备中以实现预期功能。此外,这些模块可以实现为软件、硬件、固件或其任何合适的组合。这些元件还可以包括可以与其他网络元件协调以便实现如本文中概述的操作的软件(或往复式软件(reciprocating software))。
附加地,网络元件102a-102g中的每一个可以包括处理器(例如,CPU 108),该处理器可以执行软件或算法以执行如本文中讨论的活动。处理器可以执行与数据相关联的任何类型的指令,以实现本文中详述的操作。在一个示例中,处理器可以将元件或物品(例如,数据)从一个状态或事物转变成另一个状态或事物。在另一示例中,本文中概述的活动可以用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现,并且本文中标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、EPROM、EEPROM)、或包括数字逻辑、软件、代码、电子指令的ASIC、或其任何合适的组合。本文中描述的任何潜在处理元件、模块和机器都应当解释为被涵盖在宽泛术语“处理器”中。
转到图2,图2是根据本公开实施例的帮助便于用于分布式拒绝服务攻击缓解的区块链的系统100a的简化框图。在一示例中,系统100a可以包括多个网络元件102h-102m。网络元件102h-102m可以使用网络104彼此通信。
每个网络元件102h-102m可以包括存储器、计算机处理单元(CPU)和区块链引擎。例如,如图2中所图示,网络元件102h包括存储器106、一个或多个CPU 108和区块链引擎110。存储器106可以包括区块链112。
在一示例中,网络元件102h和102k可以是验证节点,网络元件102i可以是内容提供商、数据中心、企业网络的一部分等,网络元件102j可以是非验证节点,并且网络元件102l和102m可以是网络安全提供商。网络元件102h和102k可以是DDoS缓解提供商。DDoS缓解提供商是可以提供DDoS缓解的专门化服务和/或设备或设备组。网络元件102j可以是政府实体、法律实施实体、取证分析实体、或某个其他类似实体的一部分。网络元件102l和102m可以生成区块链的区块。在一些示例中,网络元件102i、102l和/或102m也可以是验证节点,其可以验证要添加到区块链的区块。
在说明性示例中,附接到家庭网络116的一个或多个DDoS攻击者114开始对目标(例如,被配置为内容提供商的网络元件102i)进行DDoS攻击。DDoS攻击者114可以是机器人、僵尸网络、或者否则是可以在DDoS攻击中使用的一组被劫持的互联网连接设备的一部分。家庭网络116表示用于接收和传输信息分组的互连通信路径的一系列点或节点。家庭网络116提供通信接口,并且可以被配置为任何LAN、VLAN、WLAN、以及便于本地网络环境中的通信的任何其他适当的架构或系统、或其任何合适的组合,包括有线和/或无线通信。
充当安全提供商的网络元件102m可以检测DDoS流量并且尝试阻止DDoS攻击。此外,通过使用区块链引擎110,网络元件102m可以创建包括关于DDoS攻击细节的区块,并且发布该区块以便将该区块添加到区块链112。可以向验证节点(例如,网络元件102h和102k)通知该新区块,并且验证节点中的一个或多个可以验证该区块以便添加到区块链。在一示例中,当一个或多个验证节点(例如,DDoS缓解提供商或服务提供商)观察到类似于区块中存在的信息的去往目标网络的DDoS攻击流量时,该区块被验证。
在该区块已经被验证并且添加到区块链之后,网络元件可以分析区块链中的数据,以帮助研究并缓解DDoS攻击。如果网络元件102j是政府实体、法律实施实体、取证分析实体、或某个其他类似实体,则网络元件102j可以使用区块链中的数据来帮助跟踪和标识恶意操作者。区块链帮助确保由一个组织发布的DDoS攻击细节不会被其他组织所破坏或覆盖,这是由于区块链本质上是防篡改的。
转到图3,图3是根据本公开实施例的示例区块链112。区块链112可以包括一个或多个经验证的区块118。此外,区块链112可以包括一个或多个经验证的私有区块120。在一示例中,区块链112可以包括一个或多个经验证的区块118和/或一个或多个经验证的私有区块120的任何组合。
一个或多个经验证的私有区块120可以被使用在超分类账区块链中,其中经验证的私有区块中的私有数据仅与经授权的网络元件和/或用户共享。待决区块122可以是包括关于DDoS攻击细节的所发布的区块。一旦待决区块122被验证,则该待决区块可以被添加到区块链112,并且将成为经验证的区块118或经验证的私有区块120。每个经验证的区块118和/或每个经验证的私有区块120中的数据可以向DDoS缓解提供商、安全供应商、目标网络等提供有价值的见解,以用于协调和有效的DDoS缓解。
转到图4,图4是图示了根据一实施例的流程400的可能操作的示例流程图,该流程400可以与用于分布式拒绝服务攻击缓解的区块链相关联。在一实施例中,流程400的一个或多个操作可以由区块链引擎144执行。在402处,创建并且发布包括与DDoS攻击相关的数据的区块,以用于添加到区块链网络中的区块链。例如,当内部部署的安全设备检测到出站DDoS攻击时,网络安全提供商可以创建包括与DDoS攻击相关的数据的区块。而且,如果DDoS缓解提供商检测到入站DDoS攻击,则DDoS缓解提供商可以创建包括与DDoS攻击相关的数据的区块。在404处,该系统确定DDoS攻击的目标的服务提供商和/或DDoS缓解提供商是否是区块链网络的一部分。如果该系统确定DDoS攻击的目标的服务提供商和/或DDoS缓解提供商是区块链网络的一部分,则该系统确定DDoS缓解提供商是否是区块链网络的一部分,如在408中那样。如果DDoS缓解提供商是区块链网络的一部分,则作为区块链网络的一部分的DDoS缓解提供商确定对该区块的验证,如在410中那样。如果DDoS缓解提供商不是区块链网络的一部分,则DDoS攻击的目标的服务提供商确定对该区块的验证,如在412中那样。回到404,如果该系统确定DDoS攻击的目标的服务提供商和/或DDoS缓解提供商不是区块链网络的一部分,则使用共识算法来确定对该区块的验证,如在406中那样。例如,可以使用PBFT共识算法来确定对该区块的验证。在414处,该系统确定该区块是否被验证。如果该区块被验证,则将该区块添加到区块链,如在416中那样。如果该区块未被验证,则不将该区块添加到区块链,如在418中那样。一旦该区块被添加到区块链,属于区块链网络的网络元件就可以分析该区块,以确定如何缓解类似的DDoS攻击。
要注意的是,利用本文中提供的示例,可以根据两个、三个或更多个网络元件来描述交互。然而,这样做仅仅出于清楚性和示例的目的。在某些情况下,通过仅引用有限数量的网络元件,可以更容易地描述给定流程集合的一个或多个功能。应当领会的是,系统100及其教导是易于扩展的,并且可以容纳大量组件以及更复杂/精密的布置和配置。因此,所提供的示例不应当限制系统100的范围或抑制其如潜在地被应用于无数其他架构的宽泛教导。
同样重要的是,注意前述流程图(即,图4)中的操作仅图示了可以由系统100执行或在系统100内执行的一些可能的相关场景和模式。这些操作中的一些可以在适当的情况下被删除或移除,或者这些操作可以在不脱离本公开的范围的情况下被大幅度修改或改变。此外,这些操作中的许多已经被描述为与一个或多个附加操作同时或并行地执行。然而,这些操作的定时可能被大幅度更改。已经出于示例和讨论目的而提供了前述操作流程。系统100提供了相当大的灵活性,因为在不脱离本公开的教导的情况下,可以提供任何合适的布置、时序、配置和定时机制。
尽管已经参考特定布置和配置详细描述了本公开,但是在不脱离本公开的范围的情况下,可以显著改变这些示例性布置和配置。此外,某些组件可以基于特定需要和实现方式而被组合、分离、消除或添加。附加地,尽管已经参考便于通信过程的特定元件和操作图示了系统100,但是这些元件和操作可以由实现系统100的预期功能的任何合适的架构、协议和/或过程所替换。
对于本领域技术人员来说,可以确定许多其他的改变、替代、变型、变更和修改,并且本公开旨在涵盖如落入所附权利要求的范围内的所有这种改变、替代、变型、变更和修改。为了协助美国专利商标局(USPTO)以及附加地在本申请上发布的任何专利的任何读者解释所附于其的权利要求,申请人希望注意到的是,申请人:(a)并不旨在任何所附权利要求引用35 U.S.C.的章节112的段落六(6),这是由于它存在于本申请的申请日,除非在特定权利要求中具体使用了词语“用于……的部件”或“用于……的步骤”;以及(b)并不旨在通过说明书中的任何陈述以没有在所附权利要求中另行反映的任何方式来限制本公开。
其他注释和示例
在示例M1中,一种方法可以包括:识别出分布式拒绝服务(DDoS)攻击正在发生;创建区块链的区块,其中所述区块包括与DDoS攻击相关的数据;验证包括与DDoS攻击相关的数据的区块;以及将包括与DDoS攻击相关的数据的区块添加到区块链。
在示例M2中,示例M1的主题可以可选地包括:分析包括与DDoS攻击相关的数据的区块,以确定如何缓解类似的DDoS攻击。
在示例M3中,示例M1-M2中的任一个的主题可以可选地包括:其中所述区块中与DDoS攻击相关的数据的至少一部分是私有数据。
在示例M4中,示例M1-M3中的任一个的主题可以可选地包括:其中作为DDoS攻击的目标的网络元件的服务提供商验证包括与DDoS攻击相关的数据的区块。
在示例M5中,示例M1-M4中的任一个的主题可以可选地包括:其中DDoS缓解提供商验证包括与DDoS攻击相关的数据的区块。
在示例M6中,示例M1-M5中的任一个的主题可以可选地包括:其中使用共识算法来验证包括与DDoS攻击相关的数据的区块。
在示例M7中,示例M1-M6中的任一个的主题可以可选地包括:其中,在包括与DDoS攻击相关的数据的区块被添加到区块链之后,由政府实体、法律实施实体或取证分析实体来分析所述区块。
示例S1是一种便于使用用于分布式拒绝服务(DDoS)攻击缓解的区块链的系统。所述系统可以包括网络安全提供商,其中网络安全提供商被配置成:识别出DDoS攻击正在发生;创建区块链的区块,其中所述区块包括与DDoS攻击相关的数据;以及发布包括与DDoS攻击相关的数据的区块以用于添加到区块链。所述系统还可以包括验证节点,其中验证节点被配置成:验证包括与DDoS攻击相关的数据的区块,并且包括与DDoS攻击相关的数据的区块被添加到区块链。
在示例S2中,示例S1的主题可以可选地包括:其中分析包括与DDoS攻击相关的数据的区块,以确定如何缓解类似的DDoS攻击。
在示例S3中,示例S1-S2中的任一个的主题可以可选地包括:其中所述区块中与DDoS攻击相关的数据的至少一部分是私有数据。
在示例S4中,示例S1-S3中的任一个的主题可以可选地包括:其中验证节点是作为DDoS攻击的目标的服务提供商,并且所述服务提供商验证包括与DDoS攻击相关的数据的区块。
在示例S5中,示例S1-S4中的任一个的主题可以可选地包括:其中验证节点是DDoS缓解提供商,并且DDoS缓解提供商验证包括与DDoS攻击相关的数据的区块。
在示例S6中,示例S1-S5中的任一个的主题可以可选地包括:其中验证节点是DDoS缓解提供商,并且DDoS缓解提供商验证包括与DDoS攻击相关的数据的区块。
在示例S7中,示例S1-S6中任一个的主题可以可选地包括:其中,在包括与DDoS攻击相关的数据的区块被添加到区块链之后,由政府实体、法律实施实体或取证分析实体来分析所述区块。
示例C1是具有一个或多个指令的至少一个机器可读介质,所述指令在由至少一个处理器执行时使得至少一个处理器:识别出分布式拒绝服务(DDoS)攻击正在发生;创建区块链的区块,其中所述区块包括与DDoS攻击相关的数据;验证包括与DDoS攻击相关的数据的区块;以及将包括与DDoS攻击相关的数据的区块添加到区块链。
在示例C2中,示例C1的主题可以可选地包括一个或多个指令,所述指令在由至少一个处理器执行时使得至少一个处理器:分析包括与DDoS攻击相关的数据的区块,以确定如何缓解类似的DDoS攻击。
在示例C3中,示例C1-C2中的任一个的主题可以可选地包括:其中所述区块中与DDoS攻击相关的数据的至少一部分是私有数据。
在示例C4中,示例C1-C3中的任一个的主题可以可选地包括:其中作为DDoS攻击的目标的网络元件的服务提供商验证包括与DDoS攻击相关的数据的区块。
在示例C5中,示例C1-C4中的任一个的主题可以可选地包括:其中DDoS缓解提供商验证包括与DDoS攻击相关的数据的区块。
在示例C6中,示例C1-C5中的任一个的主题可以可选地包括:其中使用共识算法来验证包括与DDoS攻击相关的数据的区块。
在示例C7中,示例C1-C6中的任一个的主题可以可选地包括:其中在包括与DDoS攻击相关的数据的区块被添加到区块链之后,由政府实体、法律实施实体或取证分析实体分析所述区块。
示例SS1是一种便于使用用于分布式拒绝服务(DDoS)攻击缓解的区块链的系统,所述系统包括用于识别出分布式拒绝服务(DDoS)攻击正在发生的部件;用于创建区块链的区块的部件,其中所述区块包括与DDoS攻击相关的数据;用于验证包括与DDoS攻击相关的数据的区块的部件;以及用于将包括与DDoS攻击相关的数据的区块添加到区块链的部件。
在示例SS2中,示例SS1的主题可以可选地包括:用于分析包括与DDoS攻击相关的数据的区块以确定如何缓解类似的DDoS攻击的部件。
在示例SS3中,示例SS1-SS2中的任一个的主题可以可选地包括:其中所述区块中与DDoS攻击相关的数据的至少一部分是私有数据。
在示例SS4中,示例SS1-SS3中的任一个的主题可以可选地包括:其中作为DDoS攻击的目标的网络元件的服务提供商验证包括与DDoS攻击相关的数据的区块。
在示例SS5中,示例SS1-SS4中的任一个的主题可以可选地包括:其中DDoS缓解提供商验证包括与DDoS攻击相关的数据的区块。
在示例SS6中,示例SS1-SS5中的任一个的主题可以可选地包括:其中使用共识算法来验证包括与DDoS攻击相关的数据的区块。
在示例SS7中,示例SS1-SS6中的任一个的主题可以可选地包括:其中,在包括与DDoS攻击相关的数据的区块被添加到区块链之后,由政府实体、法律实施实体或取证分析实体来分析所述区块。
示例X1是一种包括机器可读指令的机器可读存储介质,所述机器可读指令用于实现如示例M1-M7、A1-A8或SS1-SS7中的任一个中的方法或实现其中的装置。示例Y1是一种包括用于执行示例方法M1-M7中的任一个的部件的装置。在示例Y2中,示例Y1的主题可以可选地包括用于执行所述方法的部件,所述部件包括处理器和存储器。在示例Y3中,示例Y2的主题可以可选地包括所述存储器,所述存储器包括机器可读指令。
Claims (16)
1.一种便于使用用于分布式拒绝服务(DDoS)攻击缓解的区块链的方法,包括:
由安全提供商至少部分地识别出分布式拒绝服务(DDoS)攻击正在目标网络上发生;
确定与DDoS攻击相关的区块链是否存在;
如果与DDoS攻击相关的区块链不存在,创建与DDoS攻击相关的区块链;
由至少部分地识别出DDoS攻击的安全提供商创建与DDoS攻击相关的区块链的区块,其中所述区块包括与DDoS攻击相关的数据;
验证包括与DDoS攻击相关的数据的区块,其中所述区块由如下项来验证:
所述目标网络,如果创建所述区块的安全提供商在所述目标网络中并且所述目标网络是所述区块链的一部分;或者
至少一个DDoS缓解提供商,如果所述DDoS缓解提供商能够证明它正在通过使用由所述目标网络提供的私钥来保护所述目标网络;以及
将包括与DDoS攻击相关的数据的区块添加到与DDoS攻击相关的区块链。
2.根据权利要求1所述的方法,进一步包括:
分析包括与DDoS攻击相关的数据的区块,以确定如何缓解类似的DDoS攻击。
3.根据权利要求1所述的方法,其中所述区块中与DDoS攻击相关的数据的至少一部分是私有数据。
4.根据权利要求1所述的方法,其中使用共识算法来验证包括与DDoS攻击相关的数据的区块。
5.根据权利要求1所述的方法,其中,在包括与DDoS攻击相关的数据的区块被添加到区块链之后,由政府实体、法律实施实体或取证分析实体来分析所述区块。
6.一种便于使用用于分布式拒绝服务(DDoS)攻击缓解的区块链的系统,所述系统包括:网络安全提供商,其中网络安全提供商被配置成:
识别出DDoS攻击正在目标网络上发生;
确定针对DDoS攻击的区块链是否存在;
如果针对DDoS攻击的区块链不存在,则创建针对DDoS攻击的区块链;
创建针对DDoS攻击的区块链的区块,其中所述区块包括与DDoS攻击相关的数据;以及
发布包括与DDoS攻击相关的数据的区块以用于添加到针对DDoS攻击的区块链;以及
验证节点,其中验证节点是如下项:所述目标网络,如果创建所述区块的网络安全提供商在所述目标网络中并且所述目标网络是所述区块链的一部分;或者至少一个DDoS缓解提供商,如果所述DDoS缓解提供商能够证明它正在通过使用由所述目标网络提供的私钥来保护所述目标网络,其中所述验证节点被配置成:
验证包括与DDoS攻击相关的数据的区块,并且
将包括与DDoS攻击相关的数据的区块添加到针对DDoS攻击的区块链。
7.根据权利要求6所述的系统,其中分析包括与DDoS攻击相关的数据的区块,以确定如何缓解类似的DDoS攻击。
8.根据权利要求6所述的系统,其中所述区块中与DDoS攻击相关的数据的至少一部分是私有数据。
9.根据权利要求6所述的系统,其中验证节点是作为DDoS攻击的目标的服务提供商,并且所述服务提供商验证包括与DDoS攻击相关的数据的区块。
10.根据权利要求6所述的系统,其中验证节点是DDoS缓解提供商,并且DDoS缓解提供商验证包括与DDoS攻击相关的数据的区块。
11.根据权利要求6所述的系统,其中,在包括与DDoS攻击相关的数据的区块被添加到区块链之后,由政府实体、法律实施实体或取证分析实体来分析所述区块。
12.一种便于使用用于分布式拒绝服务(DDoS)攻击缓解的区块链的设备,包括:
用于由安全提供商识别出分布式拒绝服务(DDoS)攻击正在目标网络上发生的部件;
用于确定针对DDoS攻击的区块链是否存在的部件;
如果针对DDoS攻击的区块链不存在,则创建针对DDoS攻击的区块链;
用于创建区块链的区块的部件,其中所述区块包括与DDoS攻击相关的数据;
用于验证包括与DDoS攻击相关的数据的区块的部件,其中所述区块由如下项来验证:
所述目标网络,如果创建所述区块的安全提供商在所述目标网络中并且所述目标网络是所述区块链的一部分;或者
至少一个DDoS缓解提供商,如果所述DDoS缓解提供商能够证明它正在通过使用由所述目标网络提供的私钥来保护所述目标网络;以及
用于将包括与DDoS攻击相关的数据的区块添加到区块链的部件。
13.根据权利要求12所述的设备,进一步包括:
用于分析包括与DDoS攻击相关的数据的区块以确定如何缓解类似的DDoS攻击的部件。
14.根据权利要求12所述的设备,其中所述区块中与DDoS攻击相关的数据的至少一部分是私有数据。
15.根据权利要求12所述的设备,其中使用共识算法来验证包括与DDoS攻击相关的数据的区块。
16.根据权利要求12所述的设备,其中,在包括与DDoS攻击相关的数据的区块被添加到区块链之后,由政府实体、法律实施实体或取证分析实体分析所述区块。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/225646 | 2018-12-19 | ||
| US16/225,646 US11245721B2 (en) | 2018-12-19 | 2018-12-19 | Using a blockchain for distributed denial of service attack mitigation |
| PCT/US2019/067051 WO2020131994A1 (en) | 2018-12-19 | 2019-12-18 | Using a blockchain for distributed denial of service attack mitigation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113169981A CN113169981A (zh) | 2021-07-23 |
| CN113169981B true CN113169981B (zh) | 2023-05-09 |
Family
ID=71098911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980084331.9A Active CN113169981B (zh) | 2018-12-19 | 2019-12-18 | 使用用于分布式拒绝服务攻击缓解的区块链 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11245721B2 (zh) |
| EP (1) | EP3900296A4 (zh) |
| CN (1) | CN113169981B (zh) |
| WO (1) | WO2020131994A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11245721B2 (en) | 2018-12-19 | 2022-02-08 | Mcafee, Llc | Using a blockchain for distributed denial of service attack mitigation |
| US11526610B2 (en) * | 2019-05-21 | 2022-12-13 | Veracode, Inc. | Peer-to-peer network for blockchain security |
| US11363044B2 (en) | 2019-06-26 | 2022-06-14 | Radware, Ltd. | Method and system for detecting and mitigating HTTPS flood attacks |
| US11451582B2 (en) * | 2019-10-16 | 2022-09-20 | Arbor Networks, Inc. | Detecting malicious packets in edge network devices |
| US11503052B2 (en) | 2019-12-19 | 2022-11-15 | Radware, Ltd. | Baselining techniques for detecting anomalous HTTPS traffic behavior |
| CN111988331B (zh) * | 2020-08-28 | 2021-04-16 | 清华大学 | 基于区块链的DDoS攻击追踪方法、系统、设备和介质 |
| CN114389829A (zh) * | 2020-10-20 | 2022-04-22 | 中国移动通信有限公司研究院 | DDoS攻击防护清洗方法及装置 |
| CN112491823B (zh) * | 2020-11-13 | 2022-07-19 | 齐鲁工业大学 | 基于区块链的DDoS攻击联合防御系统及方法 |
| CN114726563A (zh) * | 2021-01-04 | 2022-07-08 | 中国移动通信有限公司研究院 | DDoS攻击的流量清洗方法、装置、检测区域及联盟链 |
| CN112765203B (zh) * | 2021-02-04 | 2023-06-30 | 北京邮电大学 | 一种互联网码号资源管理方法及装置 |
| JPWO2022201445A1 (zh) * | 2021-03-25 | 2022-09-29 | ||
| EP4080830A1 (de) * | 2021-04-22 | 2022-10-26 | Deutsche Telekom AG | Verfahren zum überprüfen und steuern eines von einem ip-fähigen heimnetz-endgerät ausgehenden datenverkehrs und kommunikationssystem |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9870508B1 (en) * | 2017-06-01 | 2018-01-16 | Unveiled Labs, Inc. | Securely authenticating a recording file from initial collection through post-production and distribution |
| CN108234456A (zh) * | 2017-12-15 | 2018-06-29 | 南京邮电大学 | 一种基于区块链的能源互联网可信服务管理系统和方法 |
| CN108616534A (zh) * | 2018-04-28 | 2018-10-02 | 中国科学院信息工程研究所 | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9350758B1 (en) | 2013-09-27 | 2016-05-24 | Emc Corporation | Distributed denial of service (DDoS) honeypots |
| US10572684B2 (en) | 2013-11-01 | 2020-02-25 | Anonos Inc. | Systems and methods for enforcing centralized privacy controls in de-centralized systems |
| US10447719B2 (en) * | 2015-12-30 | 2019-10-15 | Centrl, Inc. | Security breach reporting and incident management system |
| US10257226B2 (en) | 2016-03-24 | 2019-04-09 | 802 Secure, Inc. | Identifying and trapping wireless based attacks on networks using deceptive network emulation |
| US20210211468A1 (en) * | 2016-05-27 | 2021-07-08 | Wells Fargo Bank, N.A. | Systems and methods for service compliance via blockchain |
| US10574691B2 (en) * | 2016-06-21 | 2020-02-25 | Imperva, Inc. | Infrastructure distributed denial of service (DDoS) protection |
| US10489597B2 (en) * | 2017-03-28 | 2019-11-26 | General Electric Company | Blockchain verification of network security service |
| US10735203B2 (en) * | 2017-10-09 | 2020-08-04 | Cisco Technology, Inc. | Sharing network security threat information using a blockchain network |
| US11108811B2 (en) * | 2018-01-22 | 2021-08-31 | Avaya Inc. | Methods and devices for detecting denial of service attacks in secure interactions |
| US11539748B2 (en) * | 2018-01-23 | 2022-12-27 | Zeronorth, Inc. | Monitoring and reporting enterprise level cybersecurity remediation |
| US20200366495A1 (en) * | 2018-01-29 | 2020-11-19 | Ubiquicorp Limited | Proof of majority block consensus method for generating and uploading a block to a blockchain |
| US10796393B2 (en) * | 2018-03-14 | 2020-10-06 | Motorola Solutions, Inc. | System for validating and appending incident-related data records in an inter-agency distributed electronic ledger |
| US10542046B2 (en) * | 2018-06-07 | 2020-01-21 | Unifyvault LLC | Systems and methods for blockchain security data intelligence |
| AU2019354735A1 (en) * | 2018-10-02 | 2021-06-03 | Mutualink, Inc. | Consensus-based voting for network member identification employing blockchain-based identity signature mechanisms |
| US11729186B2 (en) * | 2018-10-04 | 2023-08-15 | Research Foundation Of The City University Of New York | Blockchain architecture for computer security applications |
| US11627151B2 (en) * | 2018-10-31 | 2023-04-11 | General Electric Company | Industrial asset cyber-attack detection algorithm verification using secure, distributed ledger |
| US11245721B2 (en) | 2018-12-19 | 2022-02-08 | Mcafee, Llc | Using a blockchain for distributed denial of service attack mitigation |
-
2018
- 2018-12-19 US US16/225,646 patent/US11245721B2/en active Active
-
2019
- 2019-12-18 CN CN201980084331.9A patent/CN113169981B/zh active Active
- 2019-12-18 WO PCT/US2019/067051 patent/WO2020131994A1/en unknown
- 2019-12-18 EP EP19900406.0A patent/EP3900296A4/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9870508B1 (en) * | 2017-06-01 | 2018-01-16 | Unveiled Labs, Inc. | Securely authenticating a recording file from initial collection through post-production and distribution |
| CN108234456A (zh) * | 2017-12-15 | 2018-06-29 | 南京邮电大学 | 一种基于区块链的能源互联网可信服务管理系统和方法 |
| CN108616534A (zh) * | 2018-04-28 | 2018-10-02 | 中国科学院信息工程研究所 | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| "A Blockchain-Based Architecture for Collaborative DDoS Mitigation with Smart Contracts";Bruno Rodrigues,等;《11th IFIP WG 6.6 International Conference》;20170617;第16-29页 * |
| "AutoBotCatcher: Blockchain-based P2P Botnet Detection for the Internet of Things";Gokhan Sagirlar,等;《2018 IEEE 4th International Conference on Collaboration and Internet Computing》;20181118;第I-VII部分 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3900296A4 (en) | 2022-09-28 |
| US11245721B2 (en) | 2022-02-08 |
| EP3900296A1 (en) | 2021-10-27 |
| CN113169981A (zh) | 2021-07-23 |
| US20200204580A1 (en) | 2020-06-25 |
| WO2020131994A1 (en) | 2020-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113169981B (zh) | 使用用于分布式拒绝服务攻击缓解的区块链 | |
| US10284526B2 (en) | Efficient SSL/TLS proxy | |
| Dayal et al. | Research trends in security and DDoS in SDN | |
| US9838356B2 (en) | Encrypted peer-to-peer detection | |
| US9838413B2 (en) | Zero day threat detection based on fast flux detection and aggregation | |
| US9356909B2 (en) | System and method for redirected firewall discovery in a network environment | |
| US8800024B2 (en) | System and method for host-initiated firewall discovery in a network environment | |
| US9275237B2 (en) | Method and apparatus for privacy and trust enhancing sharing of data for collaborative analytics | |
| US8010085B2 (en) | Traffic redirection in cloud based security services | |
| US11838283B2 (en) | Network enclave attestation for network and compute devices | |
| JP2014524169A (ja) | プロトコルフィンガープリント取得および評価相関のためのシステムおよび方法 | |
| US11233777B2 (en) | Efficient SSL/TLS proxy | |
| Mohammadi et al. | SYN‐Guard: An effective counter for SYN flooding attack in software‐defined networking | |
| WO2020214660A1 (en) | Efficient protection for a virtual private network | |
| Sriram et al. | Resilient Interdomain Traffic Exchange | |
| Giri et al. | Distributed denial of service (DDoS) mitigation in software defined network using blockchain | |
| Tudosi et al. | Secure network architecture based on distributed firewalls | |
| Jain et al. | Distributed denial of service (ddos) attacks-classification and implications | |
| Kolhar et al. | Performance evaluation of framework of VoIP/SIP server under virtualization environment along with the most common security threats | |
| US11070522B1 (en) | Removing anomalies from security policies of a network security device | |
| Upadhyay et al. | Security Flaw in TCP/IP and Proposed Measures | |
| US20230370492A1 (en) | Identify and block domains used for nxns-based ddos attack | |
| Eze et al. | Security vulnerability on multi-protocol label switching in virtual private network | |
| Chieffalo et al. | The Internet of Things-An Engineering Approach to Combating a Potential Skynet | |
| Sääskilahti et al. | Risk Analysis of Host Identity Protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |