CN110120936A - 基于区块链的分布式网络攻击检测和安全测量系统及方法 - Google Patents

Abstract

本发明属于无线通信技术领域，公开了一种基于区块链的分布式网络攻击检测和安全测量系统及方法；在网络操作中心处进行注册并获得证书；网络操作中心公布测量任务，数据提供者提供安全数据，检测节点收集安全数据项；检测节点进行网络攻击检测和安全度量；检测节点制造区块，最后进行共识。本发明允许网络操作中心公布测量任务，数据提供者提供安全数据；检测节点验证采集的安全数据，并进行融合的攻击检测，得到检测结果；检测节点进行生成区块，最后进行检测节点间达成共识。本发明能够激励数据提供者提供安全数据，激励检测节点进行融合的攻击检测，进行网络安全测量；克服了单个检测节点的不可行性，并克服了区块链的分叉、低效和中心化。

Description

基于区块链的分布式网络攻击检测和安全测量系统及方法

技术领域

本发明属于无线通信技术领域，尤其涉及一种基于区块链的分布式网络攻击检测和安全测量系统及方法。

背景技术

目前，业内常用的现有技术是这样的：新兴网络由于其特征及脆弱性遭受不同攻击，例如异构网络，包含因特网、无线传感网、LET移动蜂窝网。为保证安全网络环境和提供高质量服务，网络操作中心应该执行网络安全检测和做出相应反应。为测量网络安全等级，需要融合不同攻击检测机制来检测主要攻击。显然由一个单独网络节点收集安全数据并执行融合的攻击检测任务是不现实的。第一，若该网络节点被入侵，那么将崩溃；第二，若该网络节点执行安全数据采集和攻击检测，它的负载可能将过过高；第三，由于采集的数据量过大，检测效率将下降；第四，该节点可能会单点错误。因此，网络节点相互合作来执行网络安全检测是非常重要的。

目前存在的检测机制极少激励网络节点相互合作地分布式地执行网络攻击检测和安全测量。一方面，称为数据提供者的节点(例如移动终端、主机、路由器、边缘设备)不情愿提供安全数据。安全数据为用于检测攻击、威胁或入侵的数据。另一方面，检测节点没有动力去收集充分的安全数据、执行检测分析和合作地分享攻击检测结果。因此，检测精度很难被保证，甚至一些攻击能够避开检测。于是，激励机制被高度期望来激励网络节点分享安全数据，执行网络安全检测和分享检测结果。

为实现具有激励的分布式网络攻击检测和安全测量，区块链成为候选者，由于它的透明性、不可更改性和自组织性。随着比特币的出现，区块链技术蓬勃发展并吸引了学术界和工业界的兴趣。区块链提供了一种具有激励的分布式可信工作的方法，例如计算和存储。通常以数字货币形式来保证激励。例如在比特币中，每个节点为获得比特币试图生成工作量证明PoW，并生成区块。但是比特币网络中大部分节点接受的区块的相应节点将获得比特币。生成新区块并使得该区块被大多数节点接受的过程被称为区块链共识机制。然而，区块链仍然面临许多技术挑战，主要的是分叉、低效和中心化。区块链技术能够被分为四个方面：基于PoW的共识机制、基于拜占庭容错(BFT)的共识机制、基于权益证明(PoS)的共识机制和基于树(Tree)和有向非循环图(DAG)的共识机制。由于网络延迟的存在，基于PoW的共识机制遭遇暂时分叉的风险，所以通常采用最长链原则来保证一致性。基于PoW的共识机制的效率是另外一个严重问题。 PoW不是一个有意义的任务并且耗费了很多资源。特别的，在比特币中，区块制造耗费很多时间，由于区块大小限制和六个区块的交易确认，造成其吞吐量较低。并且挖掘外包造成区块链系统的中心化，具有超性能的矿工可能制造区块链中的大多数区块。基于BFT的共识机制能帮助实现快速的、较强的一致性，并且通过保证高区块容量和快速的交易确认，提供高吞吐量。但是它们的主要问题是可扩展性(当大量矿工参与共识，系统实现提供更高吞吐量的能力)和激励性。由于PoS几乎不消耗资源，矿工可能生成两个区块，从而产生分叉。并且，PoS具有中心化的风险，例如以太坊中挖掘池的存在。Tree和DAG被用来移除区块链的链式结构，实现高吞吐量和克服双花问题，但是一些基于Tree和DAG的共识机制依赖于PoW，因此也会面临分叉、低效和中心化的风险。

综上所述，现有技术存在的问题是：

(1)由于网络攻击的复杂性，众多研究者只针对一种或几种攻击制定检测机制，于是缺乏一种方法检测网络中的主要攻击，从而不利于保证安全的网络环境和高质量服务，以至于降低网络操作中心(运营商)的信誉，减少其收益。

(2)根据上述问题，缺乏一种方法检测网络中的主要攻击，从而目前也缺乏网络安全度量模型，以至于不能实时评估网络安全等级，不利于网络及时反应，从而降低网络安全性，不能保证高质量服务，最终将降低网络操作中心信誉，减少其收益。

(3)由于安全数据的提供和攻击检测及安全度量需要消耗资源，研究者几乎没考虑激励提供安全数据集和攻击检测及安全度量，并且单个检测节点采集安全数据并执行攻击检测及安全度量会带来一些问题：被入侵时导致网络奔溃、负载过高、检测效率低下及单点错误。从而缺乏具有激励形式的分布式网络攻击检测和安全测量，以至于不能执行可信地合作地实时检测网络攻击和度量网络安全，最终导致网络操作中心收益减少。

(4)由于本专利利用区块链实现分布式网络攻击检测和安全测量，但涉及的区块链技术存在许多问题，主要的是分叉、低效和中心化风险。分叉是指区块链由一条链分叉成两条以上链；低效主要体现在高交易延迟、低吞吐量和计算负担；中心化主要体现在矿池操作者购买许多矿机实现快速挖矿或外包挖矿任务给其他矿工实现快速挖矿。

解决上述技术问题的难度和意义：

(1)针对缺乏检测网络中主要攻击的方法，融合不同的攻击检测机制，检测节点执行统一融合的攻击检测机制，从而保证网络中主要攻击都会被检测，提高了网络的安全性。

(2)针对缺乏网络安全度量模型，考虑训练出的正常和异常模板及每个模板的权重，本发明设计如何计算网络安全等级的模型，这有利于实时网络安全评估并作出相应反应，增加了网络生存时间。

(3)针对缺乏具有激励形式的分布式网络攻击检测和安全度量的问题，基于区块链技术，保证分布性，利用数字货币来实现激励性，保证了网络节点相互合作完成检测任务。

(4)针对区块链的主要问题，分叉、低效和中心化，允许矿工收到第一个有效区块或在未收到区块创造出一个有效区块时，等待一段时间收集其他可能的有效区块，并执行区块选择方法确定出区块赢家作为区块链下个区块；利用攻击检测代替作为证明从而充分利用了矿工的计算资源；允许矿池成员可以盗取矿池操作者的证明，阻止了检测任务外包；即使存在一个高性能的矿工，通过控制矿工在区块链最近一定数目区块内最多只能制造出一定数目的区块，从而极大地保证了分布式。

发明内容

针对现有技术存在的问题，本发明提供了一种基于区块链的分布式网络攻击检测和安全测量系统及方法。

本发明是这样实现的，一种基于区块链的分布式网络攻击检测和安全测量方法，所述基于区块链的分布式网络攻击检测和安全测量方法在网络操作中心处进行注册并获得证书；网络操作中心公布测量任务，数据提供者提供安全数据，检测节点收集安全数据项；检测节点进行网络攻击检测和安全度量；检测节点制造区块，最后进行共识。

进一步，所述基于区块链的分布式网络攻击检测和安全测量方法包括以下步骤：

步骤一，注册阶段，节点在网络操作中心处进行注册并获得证书；

步骤二，数据采集阶段，网络操作中心公布测量任务，数据提供者提供安全数据，检测节点收集安全数据项；

步骤三，网络攻击检测和安全度量阶段，检测节点进行网络攻击检测和安全度量；

步骤四，共识阶段，检测节点进行共识，包括区块制造、区块赢家选择和激励机制。

进一步，所述步骤一具体包括：

(1)数据提供者和检测节点基于ECC生成公私钥对，然后利用其公钥在网络操作中心处进行安全的注册；

(2)网络操作中心利用其基于ECC的私钥sk_op对提供的公钥进行签名，从而为注册的数据提供者或检测节点生成证书；然后网络操作中心发送相应证书给数据提供者或检测节点。

进一步，所述步骤二具体包括：

(1)每当评估网络安全等级，网络操作中心会发布一个唯一的网络安全测量任务TASK＝{ui，n_b，n_bthr，n_sthr，dif，θ，pay，b_b，b_s}及签名ui是 TASK的唯一标识，n_b是区块链中最近的参考区块数目，n_bthr是最近n_b个区块中一个矿工制造的区块数目门限值，n_sthr是需要采集的安全数据项数目门限值，dif 是难度值；θ是每个矿工在收到第一个有效区块之后需要等待其他有效区块的时间窗口，pay是任务标价，b_b等于区块的生成标价除以n_sthr，b_s是一个安全数据项生成的标价，其中pay＝(b_b+b_s)×n_sthr；

(2)每个数据提供者DP_i收到TASK后，通过签名验证其有效性，然后分享安全数据项其中pk_i，sk_i和CERT_i是 DP_i的公钥、私钥和证书，包含q个不同的特征值；

(3)检测节点从网络中收集安全数据项，然后通过签名验证其有效性。

进一步，所述步骤三具体包括：

(1)检测节点从区块链最后一个区块中获得上个检测阶段检测的特征，利用这些特征创建唯一的训练集：正常训练集TD_N和异常训练集TD_A；检测节点利用统一融合的检测机制处理得到模板集其中和分别是训练集空间和模板集空间；定义训练算法 如下：

区块链的最后一个区块制造出现后，检测节点可以事先获得模板；

(2)在当前检测阶段从DP_i，i＝0，1，…，n-1收集SDI_i后，检测节点通过组合SDI_i中的特征值来获得特征矩阵；

是一个特征，由FV_i中的特征值组合而成，是一个特征空间；m列代表统一融合的检测机制部署了至少m不同的检测机制；

(3)检测节点执行统一融合检测机制来分析FE并生成本检测阶段检测结果 DR；是一个模板匹配过程，定义如下：

代表fe_i，j被检测为一个正常特征， 表示fe_i，j被检测为一个异常特征；若模板的权重能够被评估，那么和被分别定义为和通过为模板匹配结果打分获得网络安全等级；

然后检测节点执行共识机制，包括区块制造和区块赢家选择。

进一步，所述步骤四具体包括：

(1)检测节点或矿工收集安全数据项进行网络攻击检测和安全度量，还会实时收集交易TR，并验证交易；

(2)当矿工已经在区块链最近n_b区块创造了n_pk个区块，其中n_pk＜n_bthr＜ n_b，并且基于SDI_i，i＝0，1，…，n-1执行了统一融合检测机制，其中n＞n_sthr；那么矿工生成检测证明PoD＝{PoT，PoM}，其中PoT＝{PAT_N，PAT_A}为训练证明，为匹配证明；

(3)矿工基于SDI_i，i＝0，1，…，n-1和TR生成默克尔树根mt；

(4)计算哈希值H_pk＝H(ui||h_k-₁||mt||DR||pk||CERT_dn||ts)，其中h_k-1是区块链最近一个区块k-1的区块头哈希值，pk和CERT_dn分别是该矿工的ECC 公钥和证书，ts是制造该区块的时间戳；

(5)若H_pk≤dif，该矿工将TASK，h_k-1，SDI_i，i＝0，1，…，n-1，PoD，TR， mt，pk，CERT_dn和ts添加到区块k中；

(6)矿工若未收到来自其他矿工的有效区块，制造并公布了自己的有效区块，它将等待一段时间θ来接收其他可能的有效区块；矿工若未制造出区块但收到来自其他区块的第一个区块后，也会等待θ来接收其他可能的有效区块；

(7)针对收集到的所有区块，矿工将挑选出一个区块赢家作为区块链的下个区块。具有最早时间戳的区块将被挑选为区块赢家；

(8)若矿工收集到的所有区块具有相同的时间戳，并且某个区块的制造者在区块链最近的n_b个区块中制造的区块数目最少，那么该区块将为区块赢家；

(9)若矿工收集到的所有区块具有相同时间戳，所有区块的制造者在区块链最近n_b个区块中制造了相同数目的区块，那么包含了最多安全数据项的区块胜出；

(10)若矿工收集到的所有区块具有相同时间戳，所有区块的制造者在区块链最近n_b个区块中制造了相同数目的区块，并且收集到的每个区块包含了相同数量的安全数据项，那么具有最小哈希值H_pk的区块胜出；

(11)激励机制确定下个区块制造者和该区块包含的安全数据项相应数据提供者的奖励分配；网络操作中心的任务标价为pay，该奖励将由下个区块制造者和相应的数据提供者分配；检测节点和数据提供者分别获得奖励，pay_dn＝α× b_b×n和满足 α，β是均衡pay中每部分的权重，是DP_i分享的安全数据项的权重，该权重可根据模板权重制定，的期望值为b_s。

本发明的另一目的在于提供一种实施所述基于区块链的分布式网络攻击检测和安全测量方法的基于区块链的分布式网络攻击检测和安全测量系统，所述基于区块链的分布式网络攻击检测和安全测量系统包括：

节点注册模块，用于实现节点在网络操作中心利用公钥进行注册；网络操作中心分发证书；

数据采集模块，用于实现安全测量任务公布、安全数据项共享和安全数据项收集；

网络攻击检测和安全测量模块，用于实现对采集的安全数据项进行攻击检测，并执行网络安全等级度量；

共识模块，用于实现区块的制造、区块赢家挑选和激励机制。

本发明的另一目的在于提供一种实施所述基于区块链的分布式网络攻击检测和安全测量方法的区块链系统。

本发明的另一目的在于提供一种实施所述基于区块链的分布式网络攻击检测和安全测量方法的移动通信系统。

综上所述，本发明的优点及积极效果为：本发明允许网络操作中心公布测量任务，数据提供者提供安全数据；检测节点验证采集的安全数据，并进行融合的攻击检测，得到检测结果；检测节点进行生成区块，最后进行检测节点间达成共识。本发明能够激励数据提供者提供安全数据，激励检测节点进行融合的攻击检测，从而进行网络安全测量。本发明克服了单个检测节点的不可行性，并克服了区块链的主要挑战：分叉、低效和中心化。

表1本发明与现有主流区块链系统对比

【1】S.Nakamoto，“Bitcoin:A peer-to-peer electronic cash system,”2008.

【2】A.Miller，A.Juels，E.Shi，et al.，“Permacoin:Repurposing bitcoin workfor datapreservation,”in Proc.IEEE S&P 2014，pages 475-490.

【3】Y.Gilad，R.Hemo，S.Micali，et al.，“Algorand:Scaling byzantineagreements for cryptocurrencies,”in Proc.ACM SOSP 2017，pages 51-68.

【4】E.K.Kogias，P.Jovanovic，N.Gailly，et al.，“Enhancing bitcoin securityand performance with strong consistency via collective signing,”in Proc.USENIX Security 2016，pages 279-296.

【5】L.Luu，Y.Velner，J.Teutsch，“SMART POOL:Practical decentralizedpooled mining,”IACR Cryptology ePrintArchive，2017.

【6】A.Kiayias，A.Russell，B.David，et al.，“Ouroboros:Aprovably secureproof-of-stake blockchain protocol,”in Proc.CRYPTO 2017，pages 357–388.

【7】Y.Sompolinsky and A.Zohar，“Accelerating bitcoin’s transactionprocessing.fast money grows on trees，not chains,”IACR CryptologyePrintArchive，2013.

【8】Y.Sompolinsky，Y.Lewenberg，and A.Zohar，“SPECTRE:A fast and scalablecryptocurrencyprotocol,”IACR Cryptology ePrintArchive，2016.

附图说明

图1是本发明实施例提供的基于区块链的分布式网络攻击检测和安全测量系统的结构示意图；

图中：1、节点注册模块；2、数据采集模块；3、网络攻击检测和安全测量模块；4、共识模块。

图2是本发明实施例提供的基于区块链的分布式网络攻击检测和安全测量方法流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

针对目前不存在检测网络中主要攻击的方法；缺乏评估网络安全等级的模型；缺乏具有激励形式的分布式网络攻击检测和安全度量；目前区块链存在诸多问题，主要的是分叉、低效和中心化。本发明提出基于区块链的分布式网络攻击检测和安全度量，提出融合不同攻击检测机制检测网络中主要攻击，设计出网络安全等级评估模型，并利用区块链涉及的数字货币激励数据采集、攻击检测及检测结果共享，通过共识机制的区块制造，限制单个矿工在区块链最近的一定数目的区块内的区块制造数目，保证了分布式特性；设计新的检测证明 (PoD)，充分使用矿工的计算资源在有意义的攻击检测上；设计的PoD可以使得矿池成员偷取矿池操作者的检测证明，缓解了检测外包导致的中心化风险，通过区块赢家选择方法，允许矿工在收到第一个有效区块或在没收到其他有效区块的情况下自己制造出有效区块时，等待一段时间接收其他可能的有效区块，阻止了区块链的分叉。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的基于区块链的分布式网络攻击检测和安全度量系统包括：

节点注册模块1，用于实现节点在网络操作中心利用公钥进行注册；网络操作中心分发证书；

数据采集模块2，用于实现安全测量任务公布、安全数据项共享和安全数据项收集；

网络攻击检测和安全测量模块3，用于实现对采集的安全数据项进行攻击检测，并执行网络安全等级度量；

共识模块4，用于实现区块的制造、区块赢家挑选和激励机制。

如图2所示，本发明实施例提供的基于区块链的分布式网络攻击检测和安全方法包括以下步骤：

S201：节点在网络操作中心处进行注册并获得证书；

S202：网络操作中心公布测量任务，数据提供者提供安全数据，检测节点收集安全数据项；

S203：检测节点进行网络攻击检测和安全度量；

S204：检测节点进行共识，包括区块制造、区块赢家选择和激励机制。

本发明实施例提供的基于区块链的分布式网络攻击检测和安全方法具体包括以下步骤：

步骤一，节点注册；

(1)数据提供者和检测节点基于ECC生成公私钥对，然后利用其公钥在网络操作中心处进行安全的注册；

(2)网络操作中心利用其基于ECC的私钥sk_op对提供的公钥进行签名，从而为注册的数据提供者或检测节点生成证书。然后网络操作中心发送相应证书给数据提供者或检测节点。

步骤二，数据采集；

(1)每当评估网络安全等级，网络操作中心会发布一个唯一的网络安全测量任务TASK＝{ui，n_b，n_bthr，n_sthr，dif，θ，pay，b_b，b_s}及签名是TASK 的唯一标识，n_b是区块链中最近的参考区块数目，n_bthr是最近n_b个区块中一个矿工制造的区块数目门限值，n_sthr是需要采集的安全数据项数目门限值，dif是难度值，θ是每个矿工在收到第一个有效区块之后需要等待其他有效区块的时间窗口，pay是任务标价，b_b等于区块的生成标价除以n_sthr，b_s是一个安全数据项生成的标价，其中pay＝(b_b+b_s)×n_sthr；

(2)每个数据提供者DP_i收到TASK后，通过签名验证其有效性，然后分享安全数据项其中pk_i，sk_i和CERT_i是 DP_i的公钥、私钥和证书，FV_i＝{fv_i，0，fv_i，1，…，fv_i，q-1}包含q个不同的特征值；

(3)检测节点从网络中收集安全数据项，然后通过签名验证其有效性。

步骤三，网络攻击检测和安全测量；

(1)检测节点从区块链最后一个区块中获得上个检测阶段检测的特征，利用这些特征创建唯一的训练集：正常训练集TD_N和异常训练集TD_A·检测节点利用统一融合的检测机制处理得到模板集其中和分别是训练集空间和模板集空间。定义训练算法如下：

需要注意的是：一旦区块链的最后一个区块制造出现后，检测节点可以事先获得模板；

(2)在当前检测阶段从DP_i，i＝0，1，…，n-1收集SDI_i后，检测节点通过组合SDI_i中的特征值来获得特征矩阵。

是一个特征，由FV_i中的特征值组合而成，是一个特征空间。m列代表统一融合的检测机制部署了至少m不同的检测机制，由于本发明考虑每种特征被至少一种检测机制直接利用。

(3)检测节点执行统一融合检测机制来分析FE并生成本检测阶段检测结果 DR.该过程是一个模板匹配过程，定义如下。

代表fe_i，j被检测为一个正常特征， 表示fe_i，j被检测为一个异常特征。因此可以帮助评估网络安全等级。若模板的权重能够被评估，那么和可以被分别定义为和因此，通过为模板匹配结果打分获得网络安全等级。

步骤四，共识；

(1)检测节点(矿工)不仅收集安全数据项进行网络攻击检测和安全度量，还会实时收集交易TR(网络安全币转账)，并验证这些交易，因为交易附带小费，如果区块链的下个区块包含这些交易，那么该区块制造者就会获得这些交易的小费；

(2)当矿工已经在区块链最近n_b区块创造了n_pk个区块，其中n_pk＜n_bthr＜n_b，并且基于SDI_i，i＝0，1，…，n-1执行了统一融合检测机制，其中n＞n_sthr. 那么矿工生成检测证明PoD＝{PoT，PoM}，其中PoT＝{PAT_N，PAT_A}为训练证明，为匹配证明；

(3)矿工基于SDI_i，i＝0，1，…，n-1和TR生成默克尔树根mt；

(4)计算哈希值H_pk＝H(ui||h_k-1||mt||DR||pk||CERT_dn||ts)，其中h_k-1是区块链最近一个区块k-1的区块头哈希值，pk和CERT_dn分别是该矿工的ECC 公钥和证书，ts是制造该区块的时间戳；

(5)若H_pk≤dif，该矿工将TASK，h_k-1，SDI_i，i＝0，1，…，n-1，PoD，TR， mt，pk，CERT_dn和ts添加到区块k中；

(6)矿工若未收到来自其他矿工的有效区块，制造并公布了自己的有效区块，它会等待一段时间θ来接收其他可能的有效区块；矿工若未制造出区块但收到来自其他区块的第一个区块后，也会等待θ来接收其他可能的有效区块；

(7)针对收集到的所有区块，矿工将挑选出一个区块赢家作为区块链的下个区块。具有最早时间戳的区块将被挑选为区块赢家；

(8)若矿工收集到的所有区块具有相同的时间戳，并且某个区块的制造者在区块链最近的n_b个区块中制造的区块数目最少，那么该区块将为区块赢家；

(9)若矿工收集到的所有区块具有相同时间戳，所有区块的制造者在区块链最近n_b个区块中制造了相同数目的区块，那么包含了最多安全数据项的区块胜出；

(10)若矿工收集到的所有区块具有相同时间戳，所有区块的制造者在区块链最近n_b个区块中制造了相同数目的区块，并且收集到的每个区块包含了相同数量的安全数据项，那么具有最小哈希值H_pk的区块胜出。

(11)激励机制确定下个区块制造者和该区块包含的安全数据项相应数据提供者的奖励分配。网络操作中心的任务标价为pay，该奖励将由下个区块制造者和相应的数据提供者分配。检测节点和数据提供者分别获得奖励，pay_dn＝α× b_b×n和满足 α，β是均衡pay中每部分的权重，是DP_i分享的安全数据项的权重，该权重可根据模板权重制定，的期望值为b_s.

假设攻击者只能控制一小部分矿工，并且其控制是有限的。所有矿工不可能同时被攻击或者失效。剩余的矿工在投入其有限资源到挖矿时，将独自行动并合理地最大化其利益。假设所有矿工时间是同步的，这可以通过公共GPS信号或公共时间区块链实现。并且，矿工不能伪造其时间戳，这是合理的，由于网络中矿工被它们邻居节点监控，并且节点可以使用某些轻量级外部检测方法 (例如虫洞攻击检测)来检测这种恶意行为。

每个数据提供者和检测节点拥有唯一的椭圆密码系统(ECC)公私钥，并且使用私钥来签名安全数据项或网络安全币转账交易。可以通过允许它们在网络操作中心那里注册实现。否则，潜在的攻击可能扰动安全数据提供和检测机制。通常，假设包含数据提供者和检测节点的节点不会将自己的私钥共享给其他节点，因为这种分享类似于网络安全币的分享。

为了评估整个网络的安全等级，本发明建议融合存在的检测机制来检测不同的主要攻击。并且，每个检测节点扮演成矿工的角色来执行统一融合检测机制。已经存在的攻击检测机制可以被分为三部分：基于统计分析的检测、基于机器学习的检测和基于知识的检测。因此，节点执行的统一融合检测机制由这三种不同的检测机制组合而成。

除了基于知识的攻击检测，基于统计分析的攻击检测和基于机器学习的攻击检测通常包含训练和模板匹配。基于知识的攻击检测可以被认为模板匹配。因此，统一融合的检测机制包含训练和模板匹配。训练是通过处理给定的包含特征的正常或者异常数据集，获得正常或异常模板集。模板匹配为了检验目前检测阶段采集的特征是否匹配得出的模板。本发明考虑每种特征(可能包含两个或更多被称为特征值的参数)至少可以直接被统一融合检测机制中的一个使用。

本发明考虑两个相邻检测时间间隔之间的网络波动很小。因此上个检测时间间隔采集及检测的特征被当做当前检测时间间隔训练集的元素。换句话说，当上个检测时间间隔收集和检测的特征被确认之后，那么训练集(正常或异常) 将是唯一的。具体地，正常训练集包含被检测为正常的特征，异常训练集包含被检测为异常的特征。显著地，基于上个检测时间间隔采集和检测的特征，通过学习正常训练集和异常训练集得出正常和异常模板集。两个模板集包含典型正常模板集PAT_N和典型异常模板集PAT_A，本发明考虑PAT_N和PAT_A的交集为空， PAT_N和PAT_A的任意元素间没有交集。

考虑采集的安全数据项的质量，本发明允许矿工通过主流方法处理这些采集的数据项评估来自每个数据提供者的安全数据项质量，例如关联度分析。安全数据项质量被用来称重其检测结果，因此保证了安全测量的准确性和奖励的设置。

本发明进一步假设检测节点能够基于采集的安全数据项执行统一融合检测机制。为了简便本发明的表达，本发明假设一个网络操作中心负责整个网络的攻击检测和安全度量，每个数据提供者在一个检测时间间隔只会提供一个安全数据项。

本发明通过64位Windows 7笔记本上利用Java语言仿真网络安全币，笔记本中央处理器为Intel Core i5-6300HQ CPU@2.30Hz,内存为16GB.设置10个矿工，2050个数据提供者，检测任务频率1.07，n_sthr＝2000，dif＝3，本仿真可以测出区块生成时间为27.25s，交易确认时间为27.25s，及吞吐量为31.45tx/s。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于区块链的分布式网络攻击检测和安全测量方法，其特征在于，所述基于区块链的分布式网络攻击检测和安全测量方法在网络操作中心处进行注册并获得证书；网络操作中心公布测量任务，数据提供者提供安全数据，检测节点收集安全数据项；检测节点进行网络攻击检测和安全度量；检测节点制造区块，最后进行共识。

2.如权利要求1所述的基于区块链的分布式网络攻击检测和安全测量方法，其特征在于，所述基于区块链的分布式网络攻击检测和安全测量方法包括以下步骤：

步骤一，注册阶段，节点在网络操作中心处进行注册并获得证书；

步骤二，数据采集阶段，网络操作中心公布测量任务，数据提供者提供安全数据，检测节点收集安全数据项；

步骤三，网络攻击检测和安全度量阶段，检测节点进行网络攻击检测和安全度量；

步骤四，共识阶段，检测节点进行共识，包括区块制造、区块赢家选择和激励机制。

3.如权利要求2所述的基于区块链的分布式网络攻击检测和安全测量方法，其特征在于，所述步骤一具体包括：

(1)数据提供者和检测节点基于ECC生成公私钥对，然后利用其公钥在网络操作中心处进行安全的注册；

(2)网络操作中心利用其基于ECC的私钥sk_op对提供的公钥进行签名，从而为注册的数据提供者或检测节点生成证书；然后网络操作中心发送相应证书给数据提供者或检测节点。

4.如权利要求2所述的基于区块链的分布式网络攻击检测和安全测量方法，其特征在于，所述步骤二具体包括：

(1)每当评估网络安全等级，网络操作中心会发布一个唯一的网络安全测量任务TASK＝{ui，n_b，n_bthr，n_sthr，dif，θ，pay，b_b，b_s}及签名ui是TASK的唯一标识，n_b是区块链中最近的参考区块数目，n_bthr是最近n_b个区块中一个矿工制造的区块数目门限值，n_sthr是需要采集的安全数据项数目门限值，dif是难度值；θ是每个矿工在收到第一个有效区块之后需要等待其他有效区块的时间窗口，pay是任务标价，b_b等于区块的生成标价除以n_sthr，b_s是一个安全数据项生成的标价，其中pay＝(b_b+b_s)×n_sthr；

(2)每个数据提供者DP_i收到TASK后，通过签名验证其有效性，然后分享安全数据项其中pk_i，sk_i和CERT_i是DP_i的公钥、私钥和证书，FV_i＝{fv_i，0，fv_i，1，…，fv_i，q-1}包含q个不同的特征值；

(3)检测节点从网络中收集安全数据项，然后通过签名验证其有效性。

5.如权利要求2所述的基于区块链的分布式网络攻击检测和安全测量方法，其特征在于，所述步骤三具体包括：

(1)检测节点从区块链最后一个区块中获得上个检测阶段检测的特征，利用这些特征创建唯一的训练集：正常训练集TD_N和异常训练集TD_A；检测节点利用统一融合的检测机制处理TD_N，得到模板集PAT_N，其中和分别是训练集空间和模板集空间；定义训练算法 如下：

区块链的最后一个区块制造出现后，检测节点可以事先获得模板；

(2)在当前检测阶段从DP_i，i＝0，1，…，n-1收集SDI_i后，检测节点通过组合SDI_i中的特征值来获得特征矩阵；

是一个特征，由FV_i中的特征值组合而成，是一个特征空间；m列代表统一融合的检测机制部署了至少m不同的检测机制；

(3)检测节点执行统一融合检测机制来分析FE并生成本检测阶段检测结果DR；是一个模板匹配过程，定义如下：

代表fe_i，j被检测为一个正常特征， 表示fe_i，j被检测为一个异常特征；若模板的权重能够被评估，那么和被分别定义为和通过为模板匹配结果打分获得网络安全等级；

然后检测节点执行共识机制，包括区块制造和区块赢家选择。

6.如权利要求2所述的基于区块链的分布式网络攻击检测和安全测量方法，其特征在于，所述步骤四具体包括：

(1)检测节点或矿工收集安全数据项进行网络攻击检测和安全度量，还会实时收集交易TR，并验证交易；

(2)当矿工已经在区块链最近n_b区块创造了n_pk个区块，其中n_pk＜n_bthr＜n_b，并且基于SDI_i，i＝0，1，…，n-1执行了统一融合检测机制，其中n＞n_sthr；那么矿工生成检测证明PoD＝{PoT，PoM}，其中PoT＝{PAT_N，PAT_A}为训练证明，为匹配证明；

(3)矿工基于SDI_i，i＝0，1，…，n-1和TR生成默克尔树根mt；

(4)计算哈希值H_pk＝H(ui||h_k-1||mt||DR||pk||CERT_dn||ts)，其中h_k-1是区块链最近一个区块k-1的区块头哈希值，pk和CERT_dn分别是该矿工的ECC公钥和证书，ts是制造该区块的时间戳；

(5)若H_pk≤dif，该矿工将TASK，h_k-1，SDI_i，i＝0，1，…，n-1，PoD，TR，mt，pk，CERT_dn和ts添加到区块k中；

(6)矿工若未收到来自其他矿工的有效区块，制造并公布了自己的有效区块，它将等待一段时间θ来接收其他可能的有效区块；矿工若未制造出区块但收到来自其他区块的第一个区块后，也会等待θ来接收其他可能的有效区块；

(7)针对收集到的所有区块，矿工将挑选出一个区块赢家作为区块链的下个区块；具有最早时间戳的区块将被挑选为区块赢家；

(8)若矿工收集到的所有区块具有相同的时间戳，并且某个区块的制造者在区块链最近的n_b个区块中制造的区块数目最少，那么该区块将为区块赢家；

(9)若矿工收集到的所有区块具有相同时间戳，所有区块的制造者在区块链最近n_b个区块中制造了相同数目的区块，那么包含了最多安全数据项的区块胜出；

(10)若矿工收集到的所有区块具有相同时间戳，所有区块的制造者在区块链最近n_b个区块中制造了相同数目的区块，并且收集到的每个区块包含了相同数量的安全数据项，那么具有最小哈希值H_pk的区块胜出；

(11)激励机制确定下个区块制造者和该区块包含的安全数据项相应数据提供者的奖励分配；网络操作中心的任务标价为pay，该奖励将由下个区块制造者和相应的数据提供者分配；检测节点和数据提供者分别获得奖励，pay_dn＝α×b_b×n和满足 β是均衡pay中每部分的权重，是DP_i分享的安全数据项的权重，该权重可根据模板权重制定，的期望值为b_s。

7.一种实施权利要求1所述基于区块链的分布式网络攻击检测和安全测量方法的基于区块链的分布式网络攻击检测和安全测量系统，其特征在于，所述基于区块链的分布式网络攻击检测和安全测量系统包括：

节点注册模块，用于实现节点在网络操作中心利用公钥进行注册；网络操作中心分发证书；

数据采集模块，用于实现安全测量任务公布、安全数据项共享和安全数据项收集；

网络攻击检测和安全测量模块，用于实现对采集的安全数据项进行攻击检测，并执行网络安全等级度量；

共识模块，用于实现区块的制造、区块赢家挑选和激励机制。

8.一种实施权利要求1～6任意一项所述基于区块链的分布式网络攻击检测和安全测量方法的区块链系统。

9.一种实施权利要求1～6任意一项所述基于区块链的分布式网络攻击检测和安全测量方法的移动通信系统。