CN109729084B - 一种基于区块链技术的网络安全事件检测方法 - Google Patents
一种基于区块链技术的网络安全事件检测方法 Download PDFInfo
- Publication number
- CN109729084B CN109729084B CN201811617365.3A CN201811617365A CN109729084B CN 109729084 B CN109729084 B CN 109729084B CN 201811617365 A CN201811617365 A CN 201811617365A CN 109729084 B CN109729084 B CN 109729084B
- Authority
- CN
- China
- Prior art keywords
- network security
- security event
- detectable
- source host
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于区块链技术的网络安全事件检测方法,属于网络安全领域。方法用于具有多个用户端,一个处理端的检测系统,多个用户端经区块链网络数据共享;处理端分别与多个用户端进行数据通信;包括:步骤S01,用户端发送源主机存在可检测的网络安全事件的信号给区块链网络,上述信号包括源主机IP地址、可检测的网络安全事件、起始时间;步骤S02,其他用户端通过区块链网络获取上述信号,并据此检测源主机的可检测的网络安全事件;步骤S03,所有用户端将可检测的网络安全事件发送给处理端;处理端分析源主机存在网络安全事件,发送确认信号给网络安全管理系统;上述确认信号包括源主机IP地址、网络安全事件、确认起始时间。本发明能快速、可靠检测网络安全事件。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于区块链技术的网络安全事件检测方法。
背景技术
近年来网络技术的不断发展使人们对于网络的依赖性越来越强,然而网络安全事件频发,影响深远,网络安全面临着攻击种类繁多、涉及因素众多等挑战。网络安全事件表示源主机S可能通过网络对其他用户的网络信息安全造成威胁。网络安全事件一般分为四类,包括有害程序事件、网络攻击事件、信息破坏事件、内容安全事件。针对突发的网络安全事件,有效快速地将其检测出来才能采取相应的紧急应对措施。
发明内容
本发明针对现有技术存在的问题,提出了一种去中心化,可信度高,能快速检测网络安全事件的基于区块链技术的网络安全事件检测方法。
本发明是通过以下技术方案得以实现的:
本发明一种基于区块链技术的网络安全事件检测方法,应用于具有多个用户端,一个处理端的检测系统,多个用户端分别接入区块链网络并通过区块链网络实现多个用户端的数据共享;处理端分别与多个用户端进行数据通信;
方法包括:
步骤S01,用户端发送源主机存在可检测的网络安全事件的信号给区块链网络,所述源主机存在可检测的网络安全事件的信号包括源主机IP地址、可检测的网络安全事件、起始时间;
步骤S02,其他用户端通过区块链网络获取所述源主机存在可检测的网络安全事件的信号,并根据源主机IP地址分别检测源主机的可检测的网络安全事件;
步骤S03,所有用户端将各自检测到可检测的网络安全事件发送给处理端;所述处理端用于分析源主机是否存在网络安全事件,若是,则发送存在网络安全事件确认信号给网络安全管理系统;所述存在网络安全事件确认信号包括源主机IP地址、网络安全事件、确认起始时间。
作为优选,所述可检测的网络安全事件包括可检测的网络安全事件类别、可检测的网络安全事件内容;所述网络安全事件包括网络安全事件类别、网络安全事件内容。
作为优选,步骤S01用户端发送源主机存在可检测的网络安全事件的信号给区块链网络之前,以及步骤S02其他用户端根据源主机IP地址分别检测源主机的可检测的网络安全事件时,用户端检测源主机是否存在可检测的网络安全事件并确定可检测的网络安全事件。
作为优选,步骤S03包括:
步骤S31,所有用户端将各自检测到可检测的网络安全事件发送给处理端;
步骤S32,处理端记录被用户端检测存在可检测的网络安全事件的次数λ,并判断上述被用户端检测存在可检测的网络安全事件的次数λ是否大于置信阈值N;若是,则发送存在网络安全事件确认信号给网络安全管理系统。
作为优选,步骤S01用户端发送源主机存在可检测的网络安全事件的信号给区块链网络之前,以及步骤S02其他用户端根据源主机IP地址分别检测源主机的可检测的网络安全事件时,用户端检测源主机存在可检测的网络安全事件包括:检测源主机的异常程序代码或异常日志记录,并将异常程序代码或异常日志记录标识为可检测的网络安全事件。
作为优选,步骤S03包括:
步骤S31,所有用户端将各自检测到可检测的网络安全事件发送给处理端;
步骤S32,处理端判断所述可检测的网络安全事件是否为网络安全事件;若是,则λ+1,否则λ-1;
步骤S33,判断λ是否大于N,若是,则发送存在网络安全事件确认信号给网络安全管理系统,否则返回步骤S32;
λ为被用户端检测存在可检测的网络安全事件的次数;
N为判定源主机存在可检测的网络安全问题的置信阈值。
作为优选,步骤S32具体包括:
将可检测的网络安全事件与存储在处理端的网络安全事件列表对照,若能对照获取相对应的网络安全事件,则判断可检测的网络安全事件为网络安全事件,λ+1,否则判断可检测的网络安全事件不是网络安全事件,λ-1;
其中,所述网络安全事件列表包括对应存储的网络安全事件对照类别、网络安全事件对照内容;
所述网络安全事件包括网络安全事件类别、网络安全事件内容作为优选,步骤S33还包括:
判断λ大于N时,λ清零。
作为优选,所述步骤S02具体包括:
步骤S21,其他用户端通过区块链网络获取所述源主机存在可检测的网络安全事件的信号;
步骤S22,其他用户端依据源主机IP地址找到待检测的源主机;
步骤S23,其他用户端针对所述源主机存在可检测的网络安全事件的信号的可检测的网络安全事件,分别在源主机内检测其他用户端的可检测的网络安全事件。
作为优选,可检测的网络安全事件类别/网络安全事件类别包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件
本发明具有以下有益效果:
本发明一种基于区块链技术的网络安全事件检测方法,通过区块链网络中的所有用户端进行智慧判定,增加其判定的可信度;通过区块链网络中的所有用户端联系互通,确保信息传递的快速性,能快速有效检测出网络安全事件,以便采取相应的紧急应对措施。
附图说明
图1为本发明一种基于区块链技术的网络安全事件检测方法的总流程图;
图2为图1中步骤S03一实施方式下的子流程框图;
图3为图1中步骤S03另一实施方式下的子流程框图;
图4为依据本发明一种基于区块链技术的网络安全事件检测方法的具体示例下的流程框图。
具体实施方式
以下是本发明的具体实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于这些实施例。
区块链技术是去中心化的分布式数据库,区块链是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一次区块链网络交易的信息。多个区块链可以构建区块链网络,实现数据共享。由于区块链技术的特点,其数据可信度高,为此本发明提出一种基于区块链技术的网络安全事件检测方法。该方法能去中心化,不可篡改,加密安全,通过区块链网络中的所有用户端进行智慧判定,增加其判定的可信度;通过区块链网络中的所有用户端联系互通,确保信息传递的快速性,能快速有效检测出网络安全事件,以便采取相应的紧急应对措施。
本发明一种基于区块链技术的网络安全事件检测方法应用于检测系统。该系统包括多个用户端、一个处理端。多个用户端分别接入区块链网络并通过区块链网络实现多个用户端的数据共享,每个用户端相当于一个区块链节点,通过建立共识机制、激励机制、智能合约将多个区块链节点构建成一个区块链网络。本发明下的区块链网络建立是基于源主机IP地址、可检测的网络安全事件、网络安全事件、起始时间等数据共享实现,以期所有用户端在获得上述信息后能在各自端进行网络安全事件检测,继而由处理端判定可检测的网络安全事件是否为网络安全事件,若是网络安全事件则将此信息发送给网络安全管理系统。所述用户端可以为与源主机交互并检测源主机是否存在对其他用户网络信息安全造成威胁的可检测的网络安全事件的终端机。所述处理端分别与多个使用户端进行数据通信。该处理端与各个用户端建立数据通信连接,所述处理端可以为处理平台,由远程控制系统或服务器实现,所述处理端也可以为云端。
每个区块链节点存储有所属用户端的数据、以及与该区块链节点通过共识机制、激励机制、智能合约建立联系的其他区块链节点的数据。其他区块链节点的数据也就是其与当前区块链节点发生交易而产生的交易数据。
如图1,本发明方法包括:
步骤S01,用户端发送源主机存在可检测的网络安全事件的信号给区块链网络,所述源主机存在可检测的网络安全事件的信号包括源主机IP地址、可检测的网络安全事件、起始时间;
步骤S02,其他用户端通过区块链网络获取所述源主机存在可检测的网络安全事件的信号,并根据源主机IP地址分别检测源主机的可检测的网络安全事件;
步骤S03,所有用户端将各自检测到可检测的网络安全事件发送给处理端;所述处理端用于分析源主机是否存在网络安全事件,若是,则发送存在网络安全事件确认信号给网络安全管理系统;所述存在网络安全事件确认信号包括源主机IP地址、网络安全事件、确认起始时间。
网络安全事件包括有害程序事件、网络攻击事件、信息破坏事件、内容安全事件。有害程序事件为蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。一般有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。网络攻击事件为通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。一般网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。信息破坏事件为通过网络或其他技术手段,造成信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。一般信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。信息内容安全事件为利用信息网络发布、传播危害国家安全、社会稳定和公众利益的事件。一般信息内容安全事件分为违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串联、煽动集会游行的信息安全事件;其他内容安全事件。
为此,进一步细化可检测的网络安全事件和网络安全事件。所述可检测的网络安全事件包括可检测的网络安全事件类别、可检测的网络安全事件内容;所述网络安全事件包括网络安全事件类别、网络安全事件内容。其中,可检测的网络安全事件类别、网络安全事件类别根据有害程序事件、网络攻击事件、信息破坏事件、内容安全事件四类设定。所述可检测的网络安全事件内容、所述网络安全事件内容是针对各类别细化的内容,如当网络安全事件类别为有害程序事件时,网络安全事件内容可以是计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
一实施方式下,可在用户端先检测源主机是否存在可检测的网络安全事件,一旦检测到就将此可检测的网络安全事件发送给处理端,而处理端仅需要统计来自不同用户端的可检测的网络安全事件次数,判断次数超过置信阈值时,则认为超过置信阈值个用户端都检测到网络安全事件,则源主机存在非偶然的可检测的网络安全事件。此时需要发送存在网络安全事件确认信号给网络安全管理系统,网络安全管理系统归属于网络信息安全部门,网络信息安全部门能采取相应的紧急应对措施,避免源主机通过网络对其他用户的网络信息安全造成安全隐患。
具体地,步骤S01用户端发送源主机存在可检测的网络安全事件的信号给区块链网络之前,以及步骤S02其他用户端根据源主机IP地址分别检测源主机的可检测的网络安全事件时,用户端检测源主机是否存在可检测的网络安全事件并确定可检测的网络安全事件。例如,通过检测异常程序代码确定是否为网络安全事件,并确定属于哪种网络安全事件类别。例如,一木马程序,用到socket()—>bind()—>listen—>accept()—>closesock(),将异常程序代码与存储在用户端的网络安全事件列表对照,获取可检测的网络安全事件;其中,所述网络安全事件列表包括对应存储的网络安全事件对照类别、网络安全事件对照内容、网络安全事件对照程序代码;所述可检测的网络安全事件包括可检测的网络安全事件类别、可检测的网络安全事件内容。所述网络安全事件列表需要预先存储相关程序代码,当匹配到相同代码时,即能确定可源主机存在可检测的网络安全事件,包括确定可检测的网络安全事件类别、内容。但此方式下,需要读取所有程序,检测判断耗时较长。又例如,通过检测异常日志记录确定是否为网络安全事件,并确定属于哪种网络安全事件类别。一般日志文件中有多条访问日志记录,且访问日志记录以时间戳标识,时间戳用于表示访问日志记录的访问时间。所述访问日志记录中出现异常记录时,可根据时间线来检测,按照所述访问时间戳的时间先后顺序,对所述目标被攻击对象的所述网络攻击记录进行排序,得到所述网络安全事件中攻击对象的攻击路径,具体可参照CN201710802670.9一种基于时间线的网络安全事件过程分析方法及系统来确定是否存在可检测的网络安全事件。
如图2,步骤S03包括:
步骤S31,所有用户端将各自检测到可检测的网络安全事件发送给处理端;
步骤S32,处理端记录被用户端检测存在可检测的网络安全事件的次数λ,并判断上述被用户端检测存在可检测的网络安全事件的次数λ是否大于置信阈值N;若是,则发送存在网络安全事件确认信号给网络安全管理系统。
处理端判断被用户端检测存在可检测的网络安全事件的次数λ不小于N时,则多个用户端检测的网络安全事件非偶然事件,则需要由网络安全管理系统处理。其中,各个用户端针对源主机存在可检测的网络安全事件的数量不一定相同,不一定是相同类型。具体对网络安全事件核查并对网络安全事件进行针对性处理由网络安全管理系统执行。
其中,步骤S02在其他用户端检测源主机是否存在可检测的网络安全事件并确定可检测的网络安全事件时,一实施方式下,用户端可遍历所有程序或全部网络安全日志来检测。另一实施方式下,根据用户端发送源主机存在可检测的网络安全事件的信号内的内容进行检测,即当确定该信号内的可检测的网络安全事件类别时,仅对该类别进行检测。具体地,所述步骤S02具体包括:步骤S21,其他用户端通过区块链网络获取所述源主机存在可检测的网络安全事件的信号;步骤S22,其他用户端依据源主机IP地址找到待检测的源主机;步骤S23,其他用户端针对所述源主机存在可检测的网络安全事件的信号的可检测的网络安全事件,分别在源主机内检测其他用户端的可检测的网络安全事件。后者实施方式下,虽然检测效率高,但若用户端发送源主机存在可检测的网络安全事件的信号内的内容存在误测,会影响整个网络安全检测,可能还会存在漏检其他类型网络安全事件。并且,每个网络安全事件存在可能是在程序的各个环节,或者在日志的不同记录内,根据对应类别的网络安全事件检测,实施不易,需在检测前对所有类别网络安全事件可能发生的位置进行统计,根据统计位置进行对应检测。但对于层出不穷的网络安全事件,该统计需要实时更新。
另一实施方式,可在用户端检测源主机可疑的可检测的网络安全事件,并将可疑的可检测的网络安全事件发送给处理端,由处理端统一判定可疑的可检测的网络安全事件是否为网络安全事件,并统计来自不同用户端的可检测的网络安全事件次数,判断次数超过置信阈值时,则认为超过置信阈值个用户端都检测到网络安全事件,则源主机存在非偶然的可检测的网络安全事件。此时需要发送存在网络安全事件确认信号给网络安全管理系统,网络安全管理系统归属于网络信息安全部门,网络信息安全部门能采取相应的紧急应对措施,避免源主机通过网络对其他用户的网络信息安全造成安全隐患。
具体地,步骤S01用户端发送源主机存在可检测的网络安全事件的信号给区块链网络之前,以及步骤S02其他用户端根据源主机IP地址分别检测源主机的可检测的网络安全事件时,用户端检测源主机存在可检测的网络安全事件包括:检测源主机的异常程序代码或异常日志记录,并将异常程序代码或异常日志记录标识为可检测的网络安全事件。
如图3,步骤S03包括:
步骤S31,所有用户端将各自检测到可检测的网络安全事件发送给处理端;
步骤S32,处理端判断所述可检测的网络安全事件是否为网络安全事件;若是,则λ+1,否则λ-1;
步骤S33,判断λ是否大于N,若是,则发送存在网络安全事件确认信号给网络安全管理系统,否则返回步骤S32;
λ为被用户端检测存在可检测的网络安全事件的次数;
N为判定源主机存在可检测的网络安全问题的置信阈值。
另外,步骤S33还包括:判断λ大于N时,λ清零。每次开始对一源主机进行检测,λ初始值需为0,为此,结束上一次对某一源主机检测后,需要清零处理。
进一步,所述步骤S32具体包括:
将可检测的网络安全事件与存储在处理端的网络安全事件列表对照,若能对照获取相对应的网络安全事件,则判断可检测的网络安全事件为网络安全事件,λ+1,否则判断可检测的网络安全事件不是网络安全事件,λ-1;
其中,所述网络安全事件列表包括对应存储的网络安全事件对照类别、网络安全事件对照内容;
所述网络安全事件包括网络安全事件类别、网络安全事件内容。
例如,通过检测异常程序代码确定是否为网络安全事件,并确定属于哪种网络安全事件类别。例如,一木马程序,用到socket()—>bind()—>listen—>accept()—>closesock(),将异常程序代码作为可检测的网络安全事件标识信息,与存储在用户端的网络安全事件列表对照,获取可检测的网络安全事件;其中,所述网络安全事件列表包括对应存储的网络安全事件对照类别、网络安全事件对照内容、网络安全事件对照程序代码;所述可检测的网络安全事件包括可检测的网络安全事件类别、可检测的网络安全事件内容。所述网络安全事件列表需要预先存储相关程序代码,当匹配到相同代码时,即能确定源主机存在可检测的网络安全事件,包括确定可检测的网络安全事件类别、内容。但此方式下,需要读取所有程序,检测判断耗时较长。又例如,通过检测异常日志记录作为可检测的网络安全事件标识信息,确定是否为网络安全事件,并确定属于哪种网络安全事件类别。一般日志文件中有多条访问日志记录,且访问日志记录以时间戳标识,时间戳用于表示访问日志记录的访问时间。所述访问日志记录中出现异常记录时,可根据时间线来检测,按照所述访问时间戳的时间先后顺序,对所述目标被攻击对象的所述网络攻击记录进行排序,得到所述网络安全事件中攻击对象的攻击路径,具体可参照CN201710802670.9一种基于时间线的网络安全事件过程分析方法及系统来确定是否存在可检测的网络安全事件。
其中,步骤S02在其他用户端检测源主机是否存在可检测的网络安全事件并确定可检测的网络安全事件时,一实施方式下,用户端可遍历所有程序或全部网络安全日志来检测。另一实施方式下,根据用户端发送源主机存在可检测的网络安全事件的信号内的内容进行检测,即当确定该信号内的可检测的网络安全事件类别时,仅对该类别进行检测。具体地,所述步骤S02具体包括:步骤S21,其他用户端通过区块链网络获取所述源主机存在可检测的网络安全事件的信号;步骤S22,其他用户端依据源主机IP地址找到待检测的源主机;步骤S23,其他用户端针对所述源主机存在可检测的网络安全事件的信号的可检测的网络安全事件,分别在源主机内检测其他用户端的可检测的网络安全事件。后者实施方式下,虽然检测效率高,但若用户端发送源主机存在可检测的网络安全事件的信号内的内容存在误测,会影响整个网络安全检测,可能还会存在漏检其他类型网络安全事件。并且,每个网络安全事件存在可能是在程序的各个环节,或者在日志的不同记录内,根据对应类别的网络安全事件检测,实施不易,需在检测前对所有类别网络安全事件可能发生的位置进行统计,根据统计位置进行对应检测。但对于层出不穷的网络安全事件,该统计需要实时更新。
图4示出了依据本发明一种基于区块链技术的网络安全事件检测方法的具体示例。开始时,λ等于0。当用户端发现源主机S存在可检测的网络安全事件,λ等于1,用户端记录源主机S的信息,以信号方式通过区块链技术发送给其他用户端,其他用户端判断是否存在可检测的网络安全事件,若存在,则λ+1,否则λ-1。当λ大于判定源主机S存在可检测的网络安全问题的置信阈值N时,认为源主机存在网络安全事件,将此信息发送给网络信息安全有关部门的网络信息安全管理系统处理。此方式,有效快速地将网络安全事件检测出来,并能采取相应的紧急应对措施。
本领域的技术人员应理解,上述描述及附图中所示的本发明的实施例只作为举例而并不限制本发明。本发明的目的已经完整有效地实现。本发明的功能及结构原理已在实施例中展示和说明,在没有背离所述原理下,本发明的实施方式可以有任何变形或修改。
Claims (9)
1.一种基于区块链技术的网络安全事件检测方法,其特征在于,应用于具有多个用户端,一个处理端的检测系统,多个用户端分别接入区块链网络并通过区块链网络实现多个用户端的数据共享;处理端分别与多个用户端进行数据通信;
方法包括:
步骤S01,用户端发送源主机存在可检测的网络安全事件的信号给区块链网络,所述源主机存在可检测的网络安全事件的信号包括源主机IP地址、可检测的网络安全事件、起始时间;
步骤S02,其他用户端通过区块链网络获取所述源主机存在可检测的网络安全事件的信号,并根据源主机IP地址分别检测源主机的可检测的网络安全事件;所述步骤S02具体包括:
步骤S21,其他用户端通过区块链网络获取所述源主机存在可检测的网络安全事件的信号;
步骤S22,其他用户端依据源主机IP地址找到待检测的源主机;
步骤S23,其他用户端针对所述源主机存在可检测的网络安全事件的信号的可检测的网络安全事件,分别在源主机内检测其他用户端的可检测的网络安全事件;
步骤S03,所有用户端将各自检测到可检测的网络安全事件发送给处理端;所述处理端用于分析源主机是否存在网络安全事件,若是,则发送存在网络安全事件确认信号给网络安全管理系统;所述存在网络安全事件确认信号包括源主机IP地址、网络安全事件、确认起始时间。
2.根据权利要求1所述的一种基于区块链技术的网络安全事件检测方法,其特征在于,所述可检测的网络安全事件包括可检测的网络安全事件类别、可检测的网络安全事件内容;所述网络安全事件包括网络安全事件类别、网络安全事件内容。
3.根据权利要求1所述的一种基于区块链技术的网络安全事件检测方法,其特征在于,步骤S01用户端发送源主机存在可检测的网络安全事件的信号给区块链网络之前,以及步骤S02其他用户端根据源主机IP地址分别检测源主机的可检测的网络安全事件时,用户端检测源主机是否存在可检测的网络安全事件并确定可检测的网络安全事件。
4.根据权利要求3所述的一种基于区块链技术的网络安全事件检测方法,其特征在于,步骤S03包括:
步骤S31,所有用户端将各自检测到可检测的网络安全事件发送给处理端;
步骤S32,处理端记录被用户端检测存在可检测的网络安全事件的次数λ,并判断上述被用户端检测存在可检测的网络安全事件的次数λ是否大于置信阈值N;若是,则发送存在网络安全事件确认信号给网络安全管理系统。
5.根据权利要求1所述的一种基于区块链技术的网络安全事件检测方法,其特征在于,步骤S01用户端发送源主机存在可检测的网络安全事件的信号给区块链网络之前,以及步骤S02其他用户端根据源主机IP地址分别检测源主机的可检测的网络安全事件时,用户端检测源主机存在可检测的网络安全事件包括:检测源主机的异常程序代码或异常日志记录,并将异常程序代码或异常日志记录标识为可检测的网络安全事件。
6.根据权利要求5所述的一种基于区块链技术的网络安全事件检测方法,其特征在于,步骤S03包括:
步骤S31,所有用户端将各自检测到可检测的网络安全事件发送给处理端;
步骤S32,处理端判断所述可检测的网络安全事件是否为网络安全事件;若是,则λ+1,否则λ-1;
步骤S33,判断λ是否大于N,若是,则发送存在网络安全事件确认信号给网络安全管理系统,否则返回步骤S32;
λ为被用户端检测存在可检测的网络安全事件的次数;
N为判定源主机存在可检测的网络安全问题的置信阈值。
7.根据权利要求6所述的一种基于区块链技术的网络安全事件检测方法,其特征在于,步骤S32具体包括:
将可检测的网络安全事件与存储在处理端的网络安全事件列表对照,若能对照获取相对应的网络安全事件,则判断可检测的网络安全事件为网络安全事件,λ+1,否则判断可检测的网络安全事件不是网络安全事件,λ-1;
其中,所述网络安全事件列表包括对应存储的网络安全事件对照类别、网络安全事件对照内容;
所述网络安全事件包括网络安全事件类别、网络安全事件内容。
8.根据权利要求6所述的一种基于区块链技术的网络安全事件检测方法,其特征在于,步骤S33还包括:
判断λ大于N时,λ清零。
9.根据权利要求2所述的一种基于区块链技术的网络安全事件检测方法,其特征在于,可检测的网络安全事件类别/网络安全事件类别包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811617365.3A CN109729084B (zh) | 2018-12-28 | 2018-12-28 | 一种基于区块链技术的网络安全事件检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811617365.3A CN109729084B (zh) | 2018-12-28 | 2018-12-28 | 一种基于区块链技术的网络安全事件检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109729084A CN109729084A (zh) | 2019-05-07 |
| CN109729084B true CN109729084B (zh) | 2021-07-16 |
Family
ID=66296580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811617365.3A Active CN109729084B (zh) | 2018-12-28 | 2018-12-28 | 一种基于区块链技术的网络安全事件检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109729084B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110351287A (zh) * | 2019-07-17 | 2019-10-18 | 江苏南工科技集团有限公司 | 一种基于区块链技术的移动应用安全分析方法 |
| CN111092903A (zh) * | 2019-12-26 | 2020-05-01 | 安徽长泰信息安全服务有限公司 | 一种处理网络安全事件的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719780A (zh) * | 2005-07-15 | 2006-01-11 | 复旦大学 | 一种基于移动代理的入侵检测系统和方法 |
| EP3285248A1 (en) * | 2016-08-16 | 2018-02-21 | Alcatel Lucent | Blockchain-based security threat detection method and system |
| CN108306893A (zh) * | 2018-03-05 | 2018-07-20 | 北京大学深圳研究生院 | 一种自组网络的分布式入侵检测方法和系统 |
| CN108521434A (zh) * | 2018-05-29 | 2018-09-11 | 广西电网有限责任公司 | 一种基于区块链技术的网络安全入侵检测系统 |
| CN108616534A (zh) * | 2018-04-28 | 2018-10-02 | 中国科学院信息工程研究所 | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170302663A1 (en) * | 2016-04-14 | 2017-10-19 | Cisco Technology, Inc. | BLOCK CHAIN BASED IoT DEVICE IDENTITY VERIFICATION AND ANOMALY DETECTION |
| CN108337219B (zh) * | 2017-11-27 | 2021-12-28 | 中国电子科技集团公司电子科学研究院 | 一种物联网防入侵的方法和存储介质 |
-
2018
- 2018-12-28 CN CN201811617365.3A patent/CN109729084B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719780A (zh) * | 2005-07-15 | 2006-01-11 | 复旦大学 | 一种基于移动代理的入侵检测系统和方法 |
| EP3285248A1 (en) * | 2016-08-16 | 2018-02-21 | Alcatel Lucent | Blockchain-based security threat detection method and system |
| CN108306893A (zh) * | 2018-03-05 | 2018-07-20 | 北京大学深圳研究生院 | 一种自组网络的分布式入侵检测方法和系统 |
| CN108616534A (zh) * | 2018-04-28 | 2018-10-02 | 中国科学院信息工程研究所 | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 |
| CN108521434A (zh) * | 2018-05-29 | 2018-09-11 | 广西电网有限责任公司 | 一种基于区块链技术的网络安全入侵检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109729084A (zh) | 2019-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| US9124626B2 (en) | Firewall based botnet detection | |
| EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| US9641545B2 (en) | Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
| CN111510436B (zh) | 网络安全系统 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| Kheir et al. | Botsuer: Suing stealthy p2p bots in network traffic through netflow analysis | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN111083172A (zh) | 一种基于数据包分析的链路通信监控视图构建方法 | |
| CN116132989A (zh) | 一种工业互联网安全态势感知系统及方法 | |
| KR20100074480A (ko) | 네트워크 기반의 http 봇넷 탐지 방법 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| Seo et al. | Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling | |
| CN106411951B (zh) | 网络攻击行为检测方法及装置 | |
| Shafee | Botnets and their detection techniques | |
| JP2006115129A (ja) | ネットワーク異常検出システム | |
| Kheir et al. | Peerviewer: Behavioral tracking and classification of P2P malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |