[发明专利]一种基于软件定义的私有区块链网络DDoS防御方法

权利要求书

1.一种基于软件定义的私有区块链网络DDoS防御方法，其特征在于：在所述的私有区块链网络中，可信区块链共识节点接入软件定义网络，软件定义网络物理层有SDN交换机用于管理进入受保护的区块链节点的外部流量；控制层有SDN控制器防御模块；所述私有区块链网络DDoS防御方法包括以下步骤：

S1、SDN控制器防御模块向私有区块链网络周期性地请求获取网络中所有可信节点的信息列表；

S2、SDN交换机将所有接收到的未配置网络流表的流量包转交给SDN控制器，SDN控制器防御模块从接收到的流量包中提取流量来源关键信息并保存；

S3、SDN控制器将来源关键信息与私有区块链可信节点信息比对检测，并对被检测出不可信流量生成丢弃决策，将决策流表下发至SDN交换机。

2.根据权利要求1所述的一种基于软件定义的私有区块链网络DDoS防御方法，其特征在于，所述步骤S1具体为：SDN控制器防御模块维护一个专门线程，周期性地向接入的私有区块链网络节点获取该网络下所有节点的信息，包括每个可信节点的IP地址、端口号和可信节点有效期，并生成一份可信节点列表。

3.根据权利要求2所述的一种基于软件定义的私有区块链网络DDoS防御方法，其特征在于，所述步骤S2具体为：S201、SDN交换机将接收到的未配置网络流表的流量生成一个详细的流量包，包括请求来源IP、端口信息和节点有效期信息，提交给SDN控制器决策；S202、SDN控制器防御模块将接收到的流量包再加上一个超时时间形成一个新数据包，并添加到一个缓存队列保存。

4.根据权利要求3所述的一种基于软件定义的私有区块链网络DDoS防御方法，其特征在于，所述步骤S3具体为：S301、SDN控制器防御模块将缓存队列中的流量项分为两类：一.可信流量；二.不可信流量，并分别用可信列表和不可信列表存储维护；S302、SDN控制器模块的专门线程将缓存队列中的流量项与维护的私有区块链网络可信节点列表的IP、端口和有效期比对检测：如果流量项检测是可信的，则将该流量项移到可信列表，并将该流量项的超时时间修改为和该可信节点对应的可信节点有效期同样长的时间；否则不做操作等待该流量项超时；S303、缓存队列的流量项最终到达超时时间，此时将该流量项移动到不可信列表，同时SDN控制器防御模块将生成一个针对该流量项的丢弃流表下发到SDN交换机。

5.根据权利要求4所述的一种基于软件定义的私有区块链网络DDoS防御方法，其特征在于，对所述的缓存队列设置一个最大值，并使用限流算法限制添加数据项到缓存队列的速度，当缓存队列已满或因限流算法导致数据项无法加入缓存队列时，SDN控制器将直接生成一个针对该流量项的丢弃流表，但是将该丢弃流表的有效时间按管理员配置设置为秒级的短期时间，再下发到SDN交换机。

6.根据权利要求5所述的一种基于软件定义的私有区块链网络DDoS防御方法，其特征在于：所述限流算法具体为：采用一个初始为正数的计数器，该计数器会周期性加1；每当一个数据项加入缓存队列，该计数器值将减1；当计数器值为0时，将无法把数据项加入缓存队列。