CN111526162A

CN111526162A - 一种区块链攻击节点的多层次综合识别方法及装置

Info

Publication number: CN111526162A
Application number: CN202010627687.7A
Authority: CN
Inventors: 周志刚
Original assignee: Wuhan Douyu Network Technology Co Ltd
Current assignee: Wuhan Douyu Network Technology Co Ltd
Priority date: 2020-07-02
Filing date: 2020-07-02
Publication date: 2020-08-11
Anticipated expiration: 2040-07-02
Also published as: CN111526162B

Abstract

本发明公开了一种区块链攻击节点的多层次综合识别方法及装置，其中所述方法通过获取区块链中目标节点对应的设备信息、同步信息、查询操作以及过程数据；然后，依次基于设备信息、同步信息、查询操作以及过程数据，识别目标节点是否为攻击节点；当无法识别出攻击节点时，分别获取设备信息对应的第一特征值、同步信息对应的第二特征值、查询操作对应的第三特征值、过程数据对应的第四特征值以及目标节点对应的用户等级；最后，基于第一特征值、第二特征值、第三特征值、第四特征值以及用户等级对目标节点进行综合识别，获得目标节点的识别结果。本发明通过多层次联合识别保证了攻击节点的识别效率，同时对于伪装较好的节点也可实现精准的识别。

Description

一种区块链攻击节点的多层次综合识别方法及装置

技术领域

本发明涉及计算机技术领域，尤其涉及一种区块链攻击节点的多层次综合识别方法及装置。

背景技术

区块链网络中任意一个节点都可向区块链网络发送节点加入请求消息，收到请求消息的区块链节点会立即做出响应，回复其邻居节点信息。而邻居节点信息则包含了该节点周边的所有其他可用的节点路由信息，同时任意节点也会接收其他节点发送过来的邻居节点信息来更新自己的路由信息。节点间路由信息的实时交互是保证区块链网络正常运行的关键因素之一。节点只需定时地向其邻居节点宣告自己的节点情况，就能保证自己被邻居节点加入到其路由表中。

但恶意用户可以先通过获取邻居节点的路由信息后，依据路由信息来伪造虚假信息给该邻居节点，从而将该节点孤立起来，其路由信息都是伪造的虚假节点，从而可以对节点发布虚假资源。因此，如何准确识别和查找这些攻击节点成为了目前亟待解决的问题。

发明内容

鉴于上述问题，本发明提出了一种区块链攻击节点的多层次综合识别方法及装置，通过多层次联合识别保证了攻击节点的识别效率，同时对于伪装较好的节点也可实现精准的识别。

第一方面，本申请通过本申请的一实施例提供如下技术方案：

一种区块链攻击节点的多层次综合识别方法，包括：

获取区块链中创建目标节点的设备信息，获取所述目标节点与对等节点进行路由同步的同步信息，获取所述目标节点对应的对等节点在联盟链节点中的查询操作，获取所述目标节点计算新区块的过程数据；

依次基于所述设备信息、所述同步信息、所述查询操作以及所述过程数据，识别所述目标节点是否为攻击节点；

当依次基于所述设备信息、所述同步信息、所述查询操作以及所述过程数据，均无法识别所述目标节点为攻击节点时，基于所述设备信息，确定第一特征值；基于所述同步信息对应的同步路由次数，确定第二特征值；基于所述查询操作对应在联盟链的查询次数，确定第三特征值；基于所述过程数据对应的产生和尝试产生新区块的计算次数，确定第四特征值；获取所述目标节点对应的用户等级；

基于

，确定所述目标节点的综合特征值；其中，所述综合特征值用于评估所述目标节点是否为攻击节点的分数，device为所述第一特征值，RouteCount为所述第二特征值，computerCount为所述第三特征值，queryCount为所述第四特征值，MaxLevel为最大的用户等级，level表示当前的用户等级，

为权重系数；

基于所述综合特征值与预设的判断阈值，获得所述目标节点的识别结果。

可选的，基于所述设备信息，识别所述目标节点是否为攻击节点，包括：

基于所述设备信息查询所述设备信息对应的节点数量；

若所述节点数量大于预设的数量阈值时，确定所述目标节点为攻击节点；

否则，确定所述目标节点不是攻击节点。

可选的，所述同步信息包括所述目标节点的节点路由表格信息、设备信息、同步路由次数、随机数据以及对等节点信息；基于所述同步信息，识别所述目标节点是否为攻击节点，包括：

获取所述目标节点基于所述节点路由表格信息、所述设备信息、所述同步路由次数、所述随机数据以及所述对等节点信息进行哈希计算，获得前三位为0或1的第一哈希结果；

获取所述对等节点基于接收到的所述节点路由表格信息、所述设备信息、所述同步路由次数、所述随机数据以及所述对等节点信息进行哈希计算，获得前三位为0或1的第二哈希结果；

若所述第一哈希结果与所述第二哈希结果不同，则确定所述目标节点为攻击节点；

否则，确定所述目标节点不是攻击节点。

可选的，所述同步信息包括同步路由次数；基于所述同步信息，识别所述目标节点是否为攻击节点，包括：

获取所述目标节点进行同步的同步路由次数；

若所述同步路由次数大于预设的次数阈值，则确定所述目标节点为攻击节点；

否则，确定所述目标节点不是攻击节点。

可选的，基于所述查询操作，识别所述目标节点是否为攻击节点，包括：

采用所述对等节点基于预设的安全地址向联盟链查询所述目标节点以及所述设备信息对应的标记状态；

若所述标记状态表示所述目标节点异常和/或所述标记状态表示所述设备信息异常，则确定所述目标节点为攻击节点；

否则，确定所述目标节点不是攻击节点。

可选的，基于所述查询操作，识别所述目标节点是否为攻击节点，还包括：

采用所述对等节点向联盟链查询所述目标节点向联盟链查询的查询记录；

若未查询到所述目标节点在所述联盟链中的查询记录时，确定所述目标节点为攻击节点；

否则，确定所述目标节点不是攻击节点。

可选的，所述过程数据包括尝试新区块计算的尝试次数以及完成新区块计算的完成次数；所述设备信息包括处理器型号；基于所述过程数据，识别所述目标节点是否为攻击节点，包括：

基于所述处理器型号，获得所述目标节点计算新区块的预估次数；

若所述尝试次数和所述完成次数之和与所述预估次数的差距大于预设次数，则确定所述目标节点为攻击节点；

否则，确定所述目标节点不是攻击节点。

第二方面，基于同一发明构思，本申请通过本申请的一实施例提供如下技术方案：

一种区块链攻击节点的多层次综合识别装置，包括：

第一获取模块，用于获取区块链中创建目标节点的设备信息，获取所述目标节点与对等节点进行路由同步的同步信息，获取所述目标节点对应的对等节点在联盟链节点中的查询操作，获取所述目标节点计算新区块的过程数据；

第一识别模块，用于依次基于所述设备信息、所述同步信息、所述查询操作以及所述过程数据，识别所述目标节点是否为攻击节点；

第二获取模块，用于当依次基于所述设备信息、所述同步信息、所述查询操作以及所述过程数据，均无法识别所述目标节点为攻击节点时，基于所述设备信息，确定第一特征值；基于所述同步信息对应的同步路由次数，确定第二特征值；基于所述查询操作对应在联盟链的查询次数，确定第三特征值；基于所述过程数据对应的产生和尝试产生新区块的计算次数，确定第四特征值；获取所述目标节点对应的用户等级；

第三获取模块，用于基于

为权重系数；

第二识别模块，用于基于所述综合特征值与预设的判断阈值，获得所述目标节点的识别结果。

可选的，所述第一识别模块，具体用于：

基于所述设备信息查询所述设备信息对应的节点数量；

否则，确定所述目标节点不是攻击节点。

第三方面，基于同一发明构思，本申请通过本申请的一实施例提供如下技术方案：

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一方面中任一项所述方法的步骤。

本发明实施例提供的一种区块链攻击节点的多层次综合识别方法及装置，通过获取区块链中创建目标节点的设备信息，目标节点与对等节点进行路由同步的同步信息，目标节点对应的对等节点在联盟链节点中的查询操作，目标节点计算新区块的过程数据，然后基于设备信息、同步信息、查询操作以及过程数据对目标节点进行递进识别，能够快速查询识别目标节点是否是攻击节点，对于这些简单情况可以直接识别出攻击节点，从而减少联盟链的计算量，尽量快速的查找攻击节点，减少其产生危害。当依次基于设备信息、同步信息、查询操作以及过程数据，均无法识别目标节点为攻击节点时，分别获取设备信息对应的第一特征值、同步信息对应的第二特征值、查询操作对应的第三特征值、过程数据对应的第四特征值以及目标节点对应的用户等级。然后，基于

，确定目标节点的综合特征值。由于综合特征值为上述设备信息、同步信息、查询操作、过程数据以及用户等级的综合评价，攻击节点如果要想达到作弊的功能，其必定会在各个环节产生一些异常数据，通过上述的算法就可将这些异常数据从多个角度关联起来，综合推算和识别目标节点是否为攻击节点，识别准确。因此，本实施例通过上述的多层次联合识别保证了攻击节点的识别效率，同时对于伪装较好的节点也可实现精准的识别。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明第一实施例提供的一种区块链攻击节点的多层次综合识别方法的流程图；

图2示出了本发明第二实施例提供的一种区块链攻击节点的多层次综合识别装置的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

第一实施例

请参见图1，示出了本发明第一实施例提供的一种区块链攻击节点的多层次综合识别方法，包括：

步骤S10：获取区块链中创建目标节点的设备信息，获取所述目标节点与对等节点进行路由同步的同步信息，获取所述目标节点对应的对等节点在联盟链节点中的查询操作，获取所述目标节点计算新区块的过程数据。

步骤S20：依次基于所述设备信息、所述同步信息、所述查询操作以及所述过程数据，识别所述目标节点是否为攻击节点。

在步骤S10-S20中，目标节点即为区块链中任意节点或新节点。按照设备信息、同步信息、查询操作以及过程数据进行多策略依次识别。由于识别策略的复杂度和计算量依次提高，能够保证较快的识别速度。

1、获取区块链中创建目标节点的设备信息，并基于设备信息识别攻击节点。

在区块链中，正常用户创建的节点是不需要代价的。当攻击者需要对区块链中的节点进行攻击时需要创建大量的区块节点。攻击者可能使用一台服务器运行大量的新节点，从而攻击者使用一台服务器可以伪造大量的新节点来进行攻击。因此，在区块链增加新节点的时候，可基于区块链的新节点在加入节点创建身份时，获取设备信息。任一新节点即为本实施例中的目标节点。设备信息用于标记一台设备，一旦一台设备被标记为作弊设备，其后续都无法再进行使用。同时基于设备我们能够大致判断该用户的身份。同时也能够知道一台设备上的节点数量信息。那么节点设备信息则会和创建者的账号进行绑定。设备可以是服务器、电脑等。设备信息则包括：MAC地址（Media Access Control Address，物理地址）、CPU（central processing unit，中央处理器）序列号、CPU型号、硬盘序列号，ip（Internet Protocol，网际互连协议）地址、计算机名称、磁盘大小等等。CPU型号即为处理器型号。设备信息可采用密文形式存储。在本实施例中，基于上述所有设备信息拼接起来我们会计算一个HASH（哈希）值用于后续快速判断是否是同一个设备。即采用MAC地址、CPU序列号、CPU型号、硬盘序列号，ip地址、计算机名称和磁盘大小进行哈希计算，得到一个哈希值，并用该哈希值来表示该设备。

此外，设备信息还可包括网络信息，网络信息为一个节点的出口ip信息，大量节点来自于同一个区段或者是同一个ip，则表示该区段或者该同一个ip上的节点为攻击节点的可能性较大。例如超过50个节点在某一区段或某一个ip，则可将区段或该同一ip上的节点确定为攻击节点。

具体的，还可基于设备信息查询设备信息对应的节点数量；若节点数量大于预设的数量阈值时，确定目标节点为攻击节点；否则，确定目标节点不是攻击节点。例如数量阈值可为50、60、70等，可根据实际情况进行调整设置。

采集设备信息还有一个目的是，基于采集的是设备信息中的CPU型号来计算当前设备的计算能力，从而便于后续我们能够反查新区块计算的时间消耗。

在本实施例中，为了规避攻击者通过hook（钩子函数）给我们虚假设备信息。例如，当前设备的CPU是高性能的CPU时，攻击者故意伪造一个低端的CPU型号，使我们采集的设备信息中的CPU型号为低端的类型，从而可以绕过攻击节点的识别策略。因此，本实施例中为更安全的采集设备信息，通过多个渠道进行设备信息的采集，例如，使用驱动程序来采集，从设备管理软件中请求获取，以及其他反hook的方式。同时采集的多个设备信息出现不一致的情况时，应当优先选择更加安全的采集数据；例如，在上述例子中可将通过驱动程序采集的设备信息作为更加安全的数据。驱动程序采集的数据更安全，应用层采集的数据更容易被窜改。采集的设备信息可发送到联盟链来汇总和识别是否有恶意构造虚假设备信息，如果存在则确定新节点为攻击节点。

2、获取目标节点与对等节点进行路由同步的同步信息，并基于同步信息识别攻击节点。

目前的区块链中，节点路由同步信息是明文传输的。其伪造成本可以忽略，所以其可以极低的成本进行伪造路由信息，同时其伪造的路由信息可以转发给其他的节点。因此，在本实施例中任意一个节点将自己的路由同步给其他节点时，会进行一个计算校验，消耗一定的计算资源，同时路由信息也会进行基于同步给对方的节点信息来进行加密，这样任目标节点同步路由信息给对等节点时，其同步的路由信息都是需要基于对等节点来实现数据加密的，这样就无法将一份路由同时同步给多个对等节点。在路由信息中同时会包含此目标节点同步的路由次数。攻击节点同步的路由次数一定是非攻击节点的数量级倍数，所以节点路由同步次数可以协助我们判断该节点是否是攻击节点。

即本实施例中同步信息包括同步路由次数，可获取目标节点进行同步的同步路由次数；若同步路由次数大于预设的次数阈值，则确定目标节点为攻击节点；否则，确定目标节点不是攻击节点。其中的节点路由的产生算法可以随着客户端同步路由次数越多难度越大，从而正常节点例如同步1000次是一个计算量，而对于一个节点如果同步路由次数超过1000次，例如5000次，会随着次数越来越多，其越往后的算法难道则越大。例如，一般在1000次至10000次为较为模糊的区间。因此，次数阈值可设置为10000次、11000次、等等，次数阈值应大于正常的同步次数。

另外，同步信息可包括目标节点的节点路由表格信息、设备信息、同步路由次数、随机数据以及对等节点信息；识别攻击节点可具体如下：

获取目标节点基于节点路由表格信息、设备信息、同步路由次数、随机数据以及对等节点信息进行哈希计算，获得前三位为0或1的第一哈希结果；获取对等节点基于接收到的节点路由表格信息、设备信息、同步路由次数、随机数据以及对等节点信息进行哈希计算，获得前三位为0或1的第二哈希结果；若第一哈希结果与第二哈希结果不同，则确定目标节点为攻击节点。否则，确定目标节点不是攻击节点。

同步前计算校验的计算资源的消耗是一个简易版本的挖矿功能。举例说明如下：

如A节点作为目标节点同步自己的路由信息给对等节点B节点时，节点路由信息获取为：

节点的Routeinfo信息（路由信息）：

Routetable：A节点路由表格信息；

Deviceinfo：A节点的设备信息；

Count：A节点今天的同步路由次数；

Rand：A节点的随机数据；

Peerinfo：B节点的节点信息，包括ip，地址信息，节点信息等；

Hash：A节点的上述信息的Hash值。

节点路由信息的同步如下：

A节点的Hash算法如下，计算第一哈希结果：

Hash1=sha-128.create(Routetable + Deviceinfo + Count + Rand + Peerinfo)；计算出来的Hash必定满足一定的要求，由于其消耗的计算量不能太大也不能太小。因此，本实施例中选择哈希结果前面3位必须满足特定字符，特定字符取0和/或1。如果结果不满足则继续选择更好随机数据Rand，直到选择到合适的随机数据，使Hash1满足前三位为0和/或1的哈希结果。

这种算法则是消耗共享路由节点的计算资源，而接收的B节点进行验证时非常简单，不需要消耗计算资源，其只需要按照上面的算法计算一次第二哈希结果。Hash2 = sha-128.create(Routetable + Deviceinfo + Count + Rand + Peerinfo)；同时Hash2的数据满足之前与Hash1相同的设定的规则，例如Hash2为满足前三位为0和/或1的哈希结果。最后，判断Hash1是否和Hash2相等，不相等则说明计算哈希时的路由信息不一致，可能存在伪造数据的可能。可确定目标节点为攻击节点。

进一步的，在A节点路由信息同步至B节点时，可预设加密传输。

此时，将区块链中的节点的路由信息设置为加密后传输，从而保障路由信息无法随意伪造，同时加密密钥为同步的两个节点进行密钥协商得到密钥数据。密钥协商为两个同步节点生成的一对公钥私钥，然后互相交换各自的公钥信息。最后，两个同步的节点分别用自己的私钥和对方的公钥生成共享密钥。那么路由信息则有共享密钥使用对称加密算法来进行加密。以上述的A、B节点的同步为例：

Encryptedata = AES.encrypt(Routeinfo, shared_key)；其中，AES.encrypt为AES加密算的加密接口；Routeinfo为A节点生成的路由信息；shared_key为生成的共享密钥信息；Encryptedata为A节点同步给B节点的路由信息。最后，B节点收到信息后进行解密路由信息。

节点路由信息的加密方式可包含有现有所有开源的加密算法，服务器定期来更换加密算法，同时随着节点的客户端版本的软件更新，每个版本也可增加新的加密算法，尽量保障数据加密的算法的安全性、变化性，避免攻击节点伪装和攻击。

3、获取目标节点对应的对等节点在联盟链节点中的查询操作，并基于查询操作识别攻击节点。

在每个区块链的节点中，其会保存有DNS（Domain Name System，域名系统协议）种子节点，并且代码中硬编码（hard-code）了一些固定地址信息。在本实施例中，除了以上信息外，会增加一个额外的安全地址信息，这个地址信息是我们核心的安全联盟链的节点。可通过联盟链的节点来协助我们保障每个节点的网络路由信息。联盟链的节点分布于不同的网络节点上，当任意一个节点启动后，都会从联盟链获取联盟节点的安全地址信息。同时对于每一个节点获取到的联盟节点具有随机性，可保护联盟链的节点安全；并避免将所有的联盟链节点一次性的暴露给所有的节点，从而可以避免攻击节点掌握了联盟节点的信息。联盟链的节点也存储了历史上识别的攻击节点的信息，包括ip信息、设备信息等。联盟节点也具有完整的区块链信息，以便于其他节点查询联盟节点部分区块信息。联盟链节点由于数量有限，不进行p2p（peer to peer lending，个人对个人）网络节点同步的功能，只是用于辅助查询的功能，从而可以减轻联盟链节点的负载，能够服务更多区块链中节点的查询功能。

基于此，进一步的有采用对等节点基于预设的安全地址向联盟链查询目标节点以及设备信息对应的标记状态；若标记状态表示目标节点异常和/或标记状态表示设备信息异常，则确定目标节点为攻击节点；否则，确定目标节点不是攻击节点。继续以上述节点A、B进行举例说明。

B节点收到A节点路由信息，并且解密出明文信息后，会从联盟链查询A节点的设备信息和节点信息等。在联盟链中会记录所有异常节点，如果查询到A节点的标记状态为目标节点异常和/或设备信息异常，则会丢弃掉该节点同步的路由信息。并且确定A节点为攻击节点。如果在联盟链查询不到A节点的异常信息，则B节点会同步A节点的路由信息。

当B节点从A节点同步了新的区块信息时，此时区块信息则是涉及利益的信息。那么B节点会将A节点同步的区块的Hash信息，从联盟链查询此新区块的Hash是否是正确的。如果A节点的Hash是不正确的说明A节点是在伪造区块，那么此时会向联盟链节点上报A节点同步的路由信息以及A节点的信息，联盟链节点则会记录A节点的作弊行为，则会将其加入异常节点。这样可使联盟链节点中的数据不断的进行更新丰富。联盟链记录了查询操作，从而后续可以协助查找作弊节点。

另外，攻击节点不会去从联盟链查询一个节点的节点信息，而正常节点则会去查询。那么联盟链可以记录哪些节点进行过查询操作，形成查询记录。而没有来查询过的节点其作弊嫌疑就很大。如果一个节点同步的Hash在联盟链查询不到对应的记录，也可判断一个节点为作弊节点。

也即，当目标节点的对等节点向联盟链查询目标节点向联盟链查询的查询记录；若未查询到目标节点在联盟链中的查询记录时，可确定目标节点为攻击节点；否则，可确定目标节点不是攻击节点。

在本实施例中，设置区块链的各个节点向联盟链查询信息时，会上报节点的设备信息，节点的同步路由次数，节点的区块链信息，那么联盟链则会从数据分析可疑的节点，同时也记录异常的节点。通过联盟链记录包含攻击节点或高风险的设备信息，这样即使是新账号一旦使用的是作弊设备则都可确定新账号创建的节点均为攻击节点，这样作弊用户换设备的成本比较高，能够较为准确的识别。设备信息的统计和作弊数据库都有安全联盟节点负责，不会对外公布和开放，保障作弊检测算法的安全性。

为联盟链中记录的节点信息进行更新，保证判断的准确性。上报这些数据后还可便于在对目标节点进行识别时，可进行更加综合的评价判断。具体的，根据具体的节点信息对每个节点进行风险评分，联盟链设定风险分数，如果风险分数过高则会将该节点加入到异常节点。评分机制可基于节点的设备信息出现次数，节点的同步路由次数，以及一个设备出现的节点次数。这些信息次数越大风险则越高。例如，同一个设备出现大量节点，那么其为攻击节点的嫌疑就很大，同时再加上其同步路由信息次数也很多则也是增加其为攻击节点的可能，节点如果是新注册的节点攻击节点的概率也会增加。

4、基于路由信息的重合度识别攻击节点。

在本实施例中，同一设备上的节点会计算其同步的路由信息的重合度，如果路由信息重合度高，对应的所有节点为攻击节点的可能性较大。因为这些节点是在同一个设备上进行大量节点伪造路由信息，所以他们的路由信息都是自己的非法节点。例如，当目标节点与同一设备上的另外一节点重合度超过95%则可确定该目标节点与该重合的节点为攻击节点。

5、过程数据包括尝试新区块计算的尝试次数以及完成新区块计算的完成次数；基于过程数据识别攻击节点。

正常的节点是会基于现有区块上的交易数据来产生新区块，而生产新区块是需要消耗计算来得到的。正常的节点一定是第一时间去生产新区块，但最终可能由于每个节点对应设备的计算性能限制会导致其不一定会生成新的区块，可能只生成了一半或者部分。对于攻击节点而言，其肯定不会浪费计算性能和网络来产生新的区块。因此，其可能都不会去尝试计算，因此我们可以基于这样的区别来识别这些没有尝试过计算新区块或者产生过新区块节点，那么就可以识别到这些攻击节点。

如何识别这些没有产生新区块或者尝试产生新区块的节点，本实施例中有如下两种方式：

1）预设用于验证的区块，这些区块不用于存储交易信息，仅单纯用于局部节点进行计算生成，降低计算量，易于生成。

具体的，设置一些区块并不是用于存储交易信息的，这些区块纯粹就是为了让局部区域的各个节点能够生产一个新区块。所以其区块的生成算法比实际交易的生成算法要简单非常多，对计算性能的要求较低；同时，还以结合均衡算法，让每个节点都能够生产新区块，由于需要的计算性能不高，因此局部区域各个节点都有课能生成这样一个新的区块。只要时间够长，这样的简单区块够多，那么每个节点都是会有生成新区块的，那么如果存在一些节点没有生成过区块，那么这些节点则是作弊节点。

2）根据处理器型号预估目标节点新区块产生的尝试次数和完成次数。具体的，基于处理器型号，获得目标节点计算新区块的预估次数；若尝试次数和完成次数之和与预估次数的差距大于预设次数，则确定目标节点为攻击节点；否则，可确定目标节点不是攻击节点。

具体来说，如果是基于现有新区块计算，那么对于一般计算能力的节点，很难能够最终生产一个新的区块。但是可将生产新区块的过程来上报给联盟链，联盟链可以基于中间过程数据来判断该节点是否有实际的去尝试生产新区块。那么每个节点可以上报当前计算区块生产的最后一次尝试的随机数据，以及当前尝试的次数，以及计算的结果。那么在这些过程数据上报联盟链后，联盟链可以基于上报的数据来判断该区块的数据的真实性。那么基于设备的CPU型号我们可以大致的推算出其计算多长时间会计算多少次Hash或尝试计算多少次Hash，从而可以大致的判断出其真实应该计算的预估次数，如果预估次数与我们依据该CPU型号推算的次数相差很大，例如实际的计算次数远小于预估次数时，则可确定对应的目标几点为攻击节点。因此，攻击节点并不会真正的消耗算力到计算新区块上，其算力会用于对其他节点发起攻击。

步骤S30：当依次基于所述设备信息、所述同步信息、所述查询操作以及所述过程数据，均无法识别所述目标节点为攻击节点时，基于所述设备信息，确定第一特征值；基于所述同步信息对应的同步路由次数，确定第二特征值；基于所述查询操作对应在联盟链的查询次数，确定第三特征值；基于所述过程数据对应的产生和尝试产生新区块的计算次数，确定第四特征值；获取所述目标节点对应的用户等级。

在步骤S30中，当通过步骤S10-S20均无法识别出目标节点为攻击节点时，上述识别过程可能存在临界状态，对目标节点是否为攻击节点产生遗漏识别。因此，步骤S30中进一步的进行综合评价识别，保证了目标节点识别的准确性。

具体来说，对于采集的设备信息，可知道该设备上运行了多少个节点。基于运行的节点数量，对低于数量阈值的节点进行打分。例如，当数量阈值为100时，一个设备上执行了100个节点以上则我们认为该设备是异常设备，直接判断包括目标节点的每个节点是攻击节点，从而利于我们快速判断异常节点。而数量阈值低于100时，每个节点依据当前设备的节点数量来打分。如，90个节点时，对应的第一特征值为90；80个节点时，对应的第一特征值为80，分值越大攻击节点的概率越大。

对于同步信息而言，一个节点的同步路由次数越多则风险越高。可对所有节点进行分析，从而推断出一个合理的同步次数。在本实施例中，确定的推断的合理次数为1000次。而对于1000以上10000以下都是可疑节点，而如果超过10000次我们则可以直接认定为攻击节点，从而可以直接快速的排除掉超过正常范围的节点。而对于可疑节点，我们则是以其同步次数越高风险越大，因此我们最终也可以给每个节点一个第二特征值。例如，第二特征值等于同步路由次数；也可为同步路由次数的百分之一、五十分之一，避免同步路由次数对综合分数影响过大。

对于查询操作而言，当目标节点发生接收多次同步信息的同步操作时，但其查询操作次数少于同步操作次数。此时，并不能确定目标节点不是攻击节点，也无法确定目标节点是攻击节点。可基于查询操作的次数确定一第三特征值，第三特征值用于衡量目标节点在查询操作上的风险。例如，将同步操作与查询操作的差值作为第三特征值。

对于目标节点对应的新区块计算而言，可基于设备的CPU型号确定一个新的区块会尝试计算多少次计算操作。例如，对于预设用于验证的区块时，每个节点都是均衡产生新区块的，所以一个节点没有产生过区块则可以快速的直接判断是作弊节点，而对于产生区块数量越少的节点则可疑分值越大。而对于基于CPU型号确定预估次数时，区块的产生需要大量的计算，所以极少生产新区块，在本实施例中设计记录该节点产生区块的过程，得到过程数据。那么基于CPU型号的计算量，尝试计算新区块的次数越多说明其消耗的计算量越大，这些计算量就不会用于攻击节点发起攻击。此时目标节点越可信，而如果目标节点没有尝试甚至只尝试了很少的次数，则说明其是可疑的，所以越少可疑性越大，而没有尝试我们则可疑直接判断为异常节点。因此，可基于节点尝试计算新区块的尝试次数或完成计算新区块的完成次数，来确定第四特征值。例如，将预估次数与实际尝试次数和/或实际完成次数的差值作为第四特征值。

此外，在本实施例中还需要对被识别的目标节点进行等级划分，新注册用户等级为0，注册时间长，经常活跃产生新区块越多的用户等级越高，那么节点如果是新注册的节点嫌疑也会增加，从而其作弊可能性更大。

步骤S40：基于所述第一特征值，所述第二特征值，所述第三特征值，所述第四特征值以及所述用户等级，确定所述目标节点的综合特征值。

具体的，基于

为权重系数。在上述公式中，综合特征值

越大说明目标节点为攻击节点的可能性越大，当目标节点为攻击节点的时候，要实现攻击的功能，即使攻击节点进行伪装也会在各个环节留下一些异常数据，单独的识别每个环节的异常数据是难以分辨出攻击节点的。但是这些异常数据会分别反馈到device，RouteCount，computerCount，queryCount，MaxLevel，level，因此，设备信息、同步信息、查询操作、过程数据以及用户等级等对应的特征值在区块链中均是客观存在与对应的特征相关联的，因此，本实施例中通过对异常数据的反馈对象进行综合判断得出综合特征值，就可准确的放大目标节点的异常行为，从而分辨出攻击节点。

进一步的，在步骤S40中，为了更加准确的进行调试，对每个特征值以及用户等级分配一个权重系数，权重系数可基于数据统计来分析和确定。另外，通过权重系数

，可将不同的特征值统一到同一数量级进行综合，从而使计算出攻击节点的综合评分更加准确。若不进行权重系统的配置，当某一特征值的数量级大于其他特征值时，将产生较大的影响，难以平衡最终获得的综合特征值。或者随着应用环境的改变，当结果与某一特征值关联性较弱时，将难以降低某一因素的影响性，对综合特征值造成某一方向的偏差。

同时，本实施例中使用了等级差值的平方，也即

，来进行综合评价，可放大等级差距的影响力，使得新用户产生的攻击节点更加明显，易于识别。

在本实施例中，获取第一特征值、第二特征值、第三特征值以及第四特征值时，可在步骤S20执行的过程中同步获取，也可在步骤S20执行完毕后获取，不作限制。

步骤S50：基于所述综合特征值与预设的判断阈值，获得所述目标节点的识别结果。

在步骤S50中，当综合特征值大于/等于判断阈值时，可确定目标节点为攻击节点。当综合特征值小于判断阈值时，可确定目标节点不是攻击节点。

综上所述，本实施例中的通过获取区块链中创建目标节点的设备信息，目标节点与对等节点进行路由同步的同步信息，目标节点对应的对等节点在联盟链节点中的查询操作，目标节点计算新区块的过程数据，然后基于设备信息、同步信息、查询操作以及过程数据对目标节点进行递进识别，能够快速查询识别目标节点是否是攻击节点，对于这些简单情况可以直接识别出攻击节点，从而减少联盟链的计算量，尽量快速的查找攻击节点，减少其产生危害。当依次基于设备信息、同步信息、查询操作以及过程数据，均无法识别目标节点为攻击节点时，分别获取设备信息对应的第一特征值、述同步信息对应的第二特征值、查询操作对应的第三特征值、过程数据对应的第四特征值以及目标节点对应的用户等级。然后，基于

第二实施例

请参阅图2，基于同一发明构思，本实施例提供了一种区块链攻击节点的多层次综合识别装置300，包括：

第一获取模块301，用于获取区块链中创建目标节点的设备信息，获取所述目标节点与对等节点进行路由同步的同步信息，获取所述目标节点对应的对等节点在联盟链节点中的查询操作，获取所述目标节点计算新区块的过程数据；

第一识别模块302，用于依次基于所述设备信息、所述同步信息、所述查询操作以及所述过程数据，识别所述目标节点是否为攻击节点；

第二获取模块303，用于当依次基于所述设备信息、所述同步信息、所述查询操作以及所述过程数据，均无法识别所述目标节点为攻击节点时，基于所述设备信息，确定第一特征值；基于所述同步信息对应的同步路由次数，确定第二特征值；基于所述查询操作对应在联盟链的查询次数，确定第三特征值；基于所述过程数据对应的产生和尝试产生新区块的计算次数，确定第四特征值；获取所述目标节点对应的用户等级；

第三获取模块304，用于基于

为权重系数；

第二识别模块305，用于基于所述综合特征值与预设的判断阈值，获得所述目标节点的识别结果。

作为一种可选的实施方式，所述第一识别模块302，具体用于：

基于所述设备信息查询所述设备信息对应的节点数量；

否则，确定所述目标节点不是攻击节点。

需要说明的是，本发明实施例所提供的装置300，其具体实现及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

本发明提供的装置集成的功能模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例的方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书（包括伴随的权利要求、摘要和附图）中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书（包括伴随的权利要求、摘要和附图）中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP）来实现根据本发明实施例的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。