[发明专利]一种基于区块链的软件定义机会网络DDoS防御方法

权利要求书

1.一种基于区块链的软件定义机会网络DDoS防御方法，其特征在于，包括：

对软件定义机会网络中的数据流进行监控，其中，监控的数据流特征包括数据流标识和路径标识，数据流标识包括源地址、目的地址、源端口、目的端口以及协议号，路径标识包括交换机ID和入口端口号；

根据监控的数据流标识和路径标识，采用数据流溯源算法确定数据流的攻击源地址，并将攻击源地址与数据流的源地址进行对比，当不一致时，则将数据流对应的请求源交换机ID标记为异常源，形成异常源集合；

采用区块链的智能合约存储上述异常源集合，维护一个可公共访问的攻击者黑名单，以实现DDoS攻击的防御；

其中，根据监控的数据流标识和路径标识，采用数据流溯源算法确定攻击源地址，包括：

分析截获的数据包的数据流标识，得到该数据包的特征向量然后扫描网络中所有交换机的支点，对传送了包含特征向量的部分进行标记，采用数据流溯源算法对数据流进行路径重构，并获得溯源结果，溯源结果包括攻击源地址；

采用区块链的智能合约存储上述异常源集合，维护一个可公共访问的攻击者黑名单，包括：

定义两个全局数组auth_users和attackers，数组auth_users用于存储网络拓扑中的终端设备地址，数组attackers用于存储采用数据流溯源算法得到的攻击源地址，当智能合约被创建时，通过调用其构造函数将合约执行过程记录下来，同时将所有终端设备地址添加到auth_users数组中，从而使所有交换机和控制器拥有攻击者黑名单内容的权限；

所述方法还包括：通过添加函数用于实现黑名单的添加、删除、修改以及查询功能，其中，查询功能通过查询黑名单函数queryAttackers实现，通过queryAttackers函数能够获取攻击源信息。

2.如权利要求1所述的方法，其特征在于，对软件定义机会网络中的数据流的状态进行监控，包括：

采用MiniNet-WIFI的流量监控软件对软件定义机会网络拓扑结构中的数据流进行监控；

当数据包的设定带宽放大因素大于阈值时，将超出阈值部分的数据包截获并记录；

根据预设规则将数据流提取为数据流标识和路径标识两个部分，其中，路径标识用以唯一标识该数据包传输路径的每一跳位置的信息。

3.如权利要求1所述的方法，其特征在于，在采用数据流溯源算法对数据流进行路径重构，并获得溯源结果之前，所述方法还包括：

根据数据流标识Flow_ID对各个数据流进行分组，每组的分类结果为一个数据流的所有采样字段集合，将其记录为Set_flow；

将Set_flow集合中所有交换机ID进行提取，构成集合Set_sw＝{SW_i}，每个SW_i包含入口端口号Input_port和其他端口号，入口端口号用P_i表示，其他端口号用P_others表示。