本發明公開了一種基于區塊鏈的軟件定義機會網絡DDoS防御方法，首先，利用SDN能夠在控制層進行邏輯集中管控能力特點，對網絡狀態進行實時動態監控，然后，通過分析監控所得的流量特征分析其存在DDoS放大攻擊的可能性，再根據溯源算法確定攻擊者地址，最后，使用區塊鏈架構維護一個可公共訪問的攻擊者黑名單，協助應用層進行惡意流量過濾，以實現DDoS攻擊的防御。本發明提高了攻擊源追蹤的精準度，結合區塊鏈架構實現了攻擊源“黑名單”地址的存儲，基于分布式賬本技術的攻擊源存儲架構能在保持數據可靠性的同時，有效防止數據被篡改或破壞。全網通過查詢“黑名單”地址，可在數據包接受階段進行過濾，從根源處預防DDoS攻擊。

技術領域

本發明涉及計算機技術領域，具體涉及一種基于區塊鏈的軟件定義機會網絡DDoS防御方法。

背景技術

DDoS(即分布式拒絕服務攻擊)是指攻擊者通過網絡操控大量僵尸主機共同向一個或少數主機發起攻擊，通過匯聚數倍于單個主機的服務或資源請求導致被攻擊者癱瘓，隨著科技的進步，一般主機的Memory存儲能力或CPU計算能力都不斷提升，高級服務器的帶寬甚至已經達到了千兆的級別，這為傳統DoS攻擊的有效實施以及實際效果都增加的難度，而DDoS相較于傳統的DoS攻擊而言，充分利用了網絡的連通性特征，攻擊者通過系統的漏洞或后門程序入侵數以千計的異域主機，并在極短的時間內通過主控程序多次激活代理程序，當僵尸主機收到代理程序的指令后，就會向目標主機、服務器、路由器等設備發送大量看似正常的無用數據包來耗盡其資源或帶寬，從而達到使其癱瘓的目的。

在軟件定義網絡中，控制層決定了整個網絡的正常運行，從安全角度來看，這為SDN引入了一個新型的單點故障問題，如果控制器關閉或無法連接，整個網絡將崩潰。可以用來攻擊SDN控制器的攻擊方法之一是DDoS攻擊，DDoS攻擊也有很多方法來壓制控制器的資源，例如常見的SYNFlood和ICMPFlood等。

本申請發明人在實施本發明的過程中，發現現有技術的方法，至少存在如下技術問題：

在大多數現有的SDN體系中，控制層和數據層間的南向接口底層都是以OpenFlow協議為基礎實現的，這種設計有利于控制層實時更新網絡配置和隨意添加交換機規則，OpenFlow協議的正常執行完全依賴于控制器和交換機之間的安全信道，若該通道被迫關閉，整個SDN體系就會因為喪失核心控制器而崩潰。一個完整的SDN網絡拓撲通常包含多個網絡切片，每個切片包含一個控制器和多臺交換機，當某個切片的控制器失效時，交換機會暫時使用傳統方式進行數據包的交換和處理，但這種應急策略不能從根本上解決問題。DDoS攻擊過程中用于占用資源或帶寬的垃圾數據包的源地址較為特殊，交換機無法在流表中找到與其相匹配的流表項，此時交換機的策略是將這些數據包封裝成Packet_IN消息發送給控制器，當Packet_IN消息過多超過控制器的處理能力時，控制器就無法向新的數據包提供服務，軟件定義機會網絡中控制層的集中化使得這種攻擊方式更具有破壞性。

由此可知，現有技術中軟件定義機會網絡抵御DDOS攻擊的效果較差的技術問題。

發明內容

有鑒于此，本發明提供了一種基于區塊鏈的軟件定義機會網絡DDoS防御方法，用以解決或者至少部分解決現有技術中軟件定義機會網絡抵御DDOS攻擊的效果較差的技術問題。

本發明第一方面提供了一種基于區塊鏈的軟件定義機會網絡DDoS防御方法，包括：

對軟件定義機會網絡中的數據流進行監控，其中，監控的數據流特征包括數據流標識和路徑標識，數據流標識包括源地址、目的地址、源端口、目的端口以及協議號，路徑標識包括交換機ID和入口端口號；

根據監控的數據流標識和路徑標識，采用數據流溯源算法確定數據流的攻擊源地址，并將攻擊源地址與數據流的源地址進行對比，當不一致時，則將數據流對應的請求源交換機ID標記為異常源，形成異常源集合；