[发明专利]基于智能非接触型互联网安全服务的DDoS攻击防御方法

说明书

本发明提供了一种基于智能非接触型互联网安全服务的DDoS攻击防御方法。ISP将用于过滤DDoS攻击流量的分类器嵌入智能合约，并将智能合约发布到以太坊区块链上。用户购买某种类型的流量过滤服务并为此支付付款。ISP收到足够的付款后，合约启用，分类器开始对用户不需要的流量进行过滤。若ISP未能阻止用户购买的分类器涵盖的任何不需要的流量，则用户可通过提供可信数据结构进行付款回收。本发明能够确保用户明确同意应过滤哪些类型的网络流量及其价格，其可以有效地过滤大量攻击流量，而不对有效流量本身产生影响，从而有效地抵御了DDoS攻击。

技术领域

本发明涉及一种基于智能非接触型互联网安全服务的DDoS攻击防御方法，属于通信领域。

背景技术

互联网提供了一个开放的环境，任何主机都可以与任何其它主机进行通信。传统上安全服务部署在每个主机而不是网络内部，允许每个主机根据端到端原则指定自己的安全策略。

由于互联网不会强制执行除终端主机之外的任何流量控制要求，导致互联网终端系统面临着被大量攻击淹没的风险。其中，分布式拒绝服务（Distributed Denial ofService, DDoS）攻击就是一种常见的攻击服务器的手段。目前，用户只能依靠其网络服务提供商（ISP）来阻止攻击流量。但是，至少有两个关键挑战需要解决。首先，网络中立法要求ISP指导网络流量，而不对内容做出判断。这种不可知的立场将所有网络数据包视为相同，将所有流量（好的和坏的）转移到ISP的最终客户。在没有与客户达成任何形式的协议的情况下，即使为了阻止攻击，ISP也无法塑造网络流量。其次，尽管一些ISP考虑通过向其客户提供安全服务来与传统角色保持距离，但随着僵尸网络数量和能力的急剧增长，ISP也越来越难以在复杂攻击下准确区分合法流量。此外，当网络流量未正确转发时，用户和ISP还很容易发生争议。

发明内容

本发明的目的在于提供了一种基于智能非接触型互联网安全服务的DDoS攻击防御方法，以克服现有技术中存在的ISP无法塑造网络流量、在复杂攻击下难以准确区分合法流量的缺陷。

为实现上述目的，本发明采用如下技术方案：

一种基于智能非接触型互联网安全服务的DDoS攻击防御方法，包括以下步骤：

ISP将用于过滤DDoS攻击流量的分类器嵌入智能合约，并将智能合约发布到以太坊区块链上，所述智能合约包括分类器承诺模块、定价存储模块和付款接收模块，所述分类器承诺模块用于存储每个分类器的承诺，所述定价存储模块用于存储由分类器承诺确定的每种类型的过滤服务的价格，所述付款接收模块用于存储ISP地址以接收付款；

用户根据分类器承诺模块中分类器的承诺选择购买某种类型的流量过滤服务，并依据定价存储模块中的价格支付付款；

在付款接收模块收到足够的付款后，与用户购买的流量过滤服务对应的分类器自动开始对用户不需要的流量进行过滤。

进一步地，所述每个分类器的承诺具体是指，对于分类器f，其承诺被计算为H（f || N），其中H是安全散列函数，N是加密随机数，即用户和ISP共享的秘密随机序列。

进一步地，所述智能合约允许ISP和用户就由分类器承诺确定的每种类型的过滤服务的价格达成一致，并将所述价格存储在定价存储模块中。

进一步地，所述智能合约还包括价格判断模块，所述价格判断模块用于判断用户支付的金额是否小于要购买的过滤服务的价格，如果是，智能合约将则返回用户的支付金额；如果否，则将超过所述价格的多余付款返还给用户。

进一步地，所述基于智能非接触型互联网安全服务的DDoS攻击防御方法，还包括以下步骤：