本發明涉及一種基于區塊鏈防護物聯網設備DDoS攻擊的方法，在邊緣節點對物聯網設備發起的連接進行疑似異常搜集，所述搜集目標為物聯網設備發起的疑似DDoS異常連接，得到搜集結果；將眾多邊緣節點組成區塊鏈，每個邊緣之間以P2P方式通信，通過采用智能合約及共識機制實現邊緣節點間搜集結果的共享；邊緣節點對共享后的疑似DDoS異常連接進行分析得出DDoS預警，所述分析采用智能合約實現，DDoS預警廣播到其他邊緣節點，其他邊緣節點通過共識實現DDoS預警的本地存儲；邊緣節點基于本地新增的DDoS預警，觸發邊緣節點的過濾機制，對物聯網設備發起的DDoS連接進行過濾。

技術領域

本發明屬于信息安全領域的物聯網設備安全領域，具體涉及到一種基于區塊鏈防護物聯網設備DDoS(Distributed Denial of Service，分布式拒絕服務)攻擊的方法及系統。

背景技術

近些年來，伴隨著物聯網的產生和發展，物聯網智能設備越來越多地出現在市場上，然而現有物聯網智能設備大都側重于功能實現，在系統設計上普遍忽略安全問題。因此，黑客可以輕易利用設備安全漏洞，使其成為傳統網絡攻擊的新工具，如利用惡意代碼感染智能設備并發動DDoS造成目標拒絕服務和相關服務下線等嚴重后果。針對這類DDoS攻擊，傳統檢測防御辦法存在以下弊端：(1)傳統辦法一般是在被攻擊目標處檢測防御，高速率的數據包以及連接上下文的缺失，使得目標處的防御方案只能做有限的統計分析和數據包處理，從而影響檢測的時效性；(2)傳統部署在目標處的防御方案在檢測到DDoS后，由于無法立即區分正常流量與惡意流量，需要將所有的流量引流到其他網段進行流量清洗，在引流的過程中，容易造成網絡的堵塞。因此，傳統的檢測防御方法時效性低成本過高，難以真正有效的解決防護物聯網設備DDoS攻擊問題。

目前還未有基于區塊鏈從源端入手進行防護物聯網設備DDoS攻擊的發明專利及相關文獻，為了解決傳統防護物聯網設備DDoS攻擊問題，需考慮從源端入手，設計一種去云端中心化檢測轉變為源端檢測源端防御方案有效此解決問題。源端檢測源端防御方案的實施點即邊緣節點，通常是在靠近物或數據源頭的一側，采用網絡、計算、存儲、應用核心能力為一體開放平臺的智能設備，就近提供最近端服務。針對DDoS攻擊，眾多分布式的邊緣節點之間存在搜集結果整合分析的需求，因此，區塊鏈作為一種新型的分布式技術可為實現上述目的和需求提供技術支撐。所述區塊鏈是一種按照時間順序將數據區塊以順序相連的方式組合成的一種鏈式數據結構，并以密碼學方式保證的不可篡改和不可偽造的分布式賬本。

本發明將云端的檢測功能下移到更靠近物聯網設備的邊緣節點，在邊緣節點部署檢測防御系統，對下轄物聯網設備做連接疑似異常搜集，然后基于區塊鏈實現眾多邊緣節點提交的疑似異常結果整合，基于整合后的疑似異常數據進行分析實現DDoS預警，觸發源端的過濾機制，成為目前防護物聯網設備DDoS攻擊領域有效的解決方法。

發明內容

本發明技術解決問題：針對利用物聯網設備發起的DDoS攻擊，克服現有目標端檢測防御方法的不足，提供了一種基于區塊鏈防護物聯網設備DDoS攻擊的方法及系統，即在邊緣節點處對流量進行搜集并過濾惡意流量。由于邊緣節點搜集出的是疑似DDoS異常，因此，利用區塊鏈實現了邊緣節點之間疑似異常結果的共享分析，進一步確定了DDoS異常。

本發明技術解決方案：眾多邊緣節點組成區塊鏈網絡，邊緣節點對其下轄的物聯網設備進行異常搜集，搜集目標為物聯網設備發起的疑似DDoS異常的連接。邊緣節點將疑似異常結果提交到區塊鏈上，實現疑似異常檢測結果的共享。邊緣節點基于共享后的疑似異常連接集合，通過執行智能合約中的分析代碼，分析出針對某目標IP的DDoS預警。目標IP確認預警，邊緣節點基于本地新增的DDoS預警，觸發邊緣節點的過濾機制，對物聯網設備發起的DDoS連接進行過濾。

本發明技術解決方案實現，實現如下：

(1)在邊緣節點對物聯網設備進行疑似DDoS異常搜集