发明内容
有鉴于此,本发明实施例提供一种基于区块链的网络安全运维及防御方法及系统,以实现确保网络运维数据在删除和篡改时及时启动防御,从而提升网络安全的目的。
为实现上述目的,本发明实施例提供如下技术方案:
本发明实施例第一方面公开了一种基于区块链的网络安全运维及防御方法,包括:
每隔第一预设时间段,提取已生成的第一网络运维数据,所述第一网络运维数据至少包括安全日志数据和第一配置数据;
基于所述第一网络运维数据生成网络安全态势分析及预警报告;
按照在网络运维过程中的重要度,将所述第一网络运维数据划分为关键数据和非关键数据;
将所述网络安全态势分析及预警报告、所述关键数据和所述非关键数据按照各自对应的存证方式执行上链存储至区块链;
根据最新上链存储至所述区块链的所述关键数据和所述非关键数据中的第一配置数据监测实时获取到的第二配置数据,若发生变动,则生成告警信息并启动网络防御操作;和/或,
根据实时获取的安全日志数据生成的网络安全态势分析及预警报告确定是否检测到网络安全事件,若检测到网络安全事件,根据所述区块链上存储的安全日志数据追踪和确定攻击源,启动网络防御操作。
可选的,所述每隔第一预设时间段,提取已生成的第一网络运维数据,包括:
选取待提取网络运维数据的网络设备,所述网络设备至少包括网络安全设备、网络安全防护系统和核心主机及系统;
每隔第一预设时间段,提取所述网络设备在运行过程中生成的安全日志数据,所述安全日志数据至少包括防御日志数据、运行日志数据和行为日志数据;
每隔第一预设时间段,提起所述网络设备的第一配置数据。
可选的,所述按照在网络运维过程中的重要度,将所述第一网络运维数据划分为关键数据和非关键数据,包括:
基于重要度分析法对所述第一网络运维数据中的安全日志数据和第一配置数据进行分析,确定各个所述安全日志数据和第一配置数据在网络运维过程中的重要度,所述重要度分析法至少包括层次分析法;
基于重要度的排序,确定各个所述安全日志数据中的关键日志数据和非关键日志数据,以及确定各个所述第一配置数据中的关键配置数据和非关键配置数据。
可选的,所述将所述网络安全态势分析及预警报告、所述关键数据和所述非关键数据按照各自对应的存证方式执行上链存储至区块链,包括:
将所述网络安全态势分析及预警报告上链存储至区块链,并全网广播;
分别加密所述关键数据中的关键日志数据和关键配置数据,将得到的关键日志加密数据和关键配置加密数据上链存储至所述区块链;
哈希计算所述关键数据中的关键配置数据,将得到的一个第一哈希值上链存储至所述区块链;
哈希计算所述非关键数据中的非关键日志数据,得到一个第二哈希值或各个非关键日志数据各自对应的第三哈希值上链存储至所述区块链。
可选的,所述根据最新上链存储至所述区块链的所述关键数据和所述非关键数据中的第一配置数据监测实时获取到的第二配置数据,若发生变动则告警,并启动网络防御操作,包括:
每隔第二预设时间段,实时获取第二配置数据;
获取所述区块链上最新上链存储的所述关键数据和所述非关键数据中的第一配置数据;
比对所述第二配置数据和所述第一配置数据,确定所述第二配置数据是否发生变动;
若发生变动,基于所述变动确定告警类型,若所述告警类型为未授权变动告警,生成告警信息,启动网络防御操作。
可选的,当基于告警信息启动网络防御操作时,所述网络防御操作包括:
基于所述区块链上最新上链存储的所述关键数据和所述非关键数据中的第一配置数据恢复更新当前的配置数据。
可选的,所述根据实时获取的安全日志数据的生成的网络安全态势分析及预警报告确定是否检测到网络安全事件,若检测到网络安全事件,根据所述区块链上存储的安全日志数据追踪和确定攻击源,启动网络防御操作,包括:
基于实时获取的安全日志数据生成的网络安全态势分析及预警报告确定是否检测到网络安全事件;
当检测到网络安全事件时,基于所述区块链上存储的所述关键数据和所述非关键数据中的安全日志数据,确定待封禁的IP信息,并生成IP封禁指令,启动网络防御操作。
可选的,当检测到网络安全事件启动网络防御操作时,所述网络防御操作包括:
基于所述IP封禁指令执行防火墙IP封禁。
本发明实施例第二方面公开了一种基于区块链的网络安全运维及防御系统,包括:
数据提取单元,用于每隔第一预设时间段,提取已生成的第一网络运维数据,所述第一网络运维数据至少包括安全日志数据和第一配置数据;
数据处理单元,用于基于所述第一网络运维数据生成网络安全态势分析及预警报告;
数据分析单元,用于按照在网络运维过程中的重要度,将所述第一网络运维数据划分为关键数据和非关键数据;
上链存证单元,用于将所述网络安全态势分析及预警报告、所述关键数据和所述非关键数据按照各自对应的存证方式执行上链存储至区块链;
运维监测单元,用于根据最新上链存储至所述区块链的所述关键数据和所述非关键数据中的第一配置数据监测实时获取到的第二配置数据,若发生变动,则生成告警信息并启动网络防御操作;和/或,根据实时获取的安全日志数据的生成的网络安全态势分析及预警报告确定是否检测到网络安全事件,若检测到网络安全事件,根据所述区块链上存储的安全日志数据追踪和确定攻击源,启动网络防御操作;
网络防御单元,用于执行所述网络防御操作。
可选的,所述数据分析单元,具体用于基于重要度分析法对所述第一网络运维数据中的安全日志数据和第一配置数据进行分析,确定各个所述安全日志数据和第一配置数据在网络运维过程中的重要度,所述重要度分析法至少包括层次分析法;基于重要度的排序,确定各个所述安全日志数据中的关键日志数据和非关键日志数据,以及确定各个所述第一配置数据中的关键配置数据和非关键配置数据。
基于上述本发明实施例提供的一种基于区块链的网络安全运维及防御方法及系统,通过每隔第一预设时间段,提取已生成的第一网络运维数据,所述第一网络运维数据至少包括安全日志数据和第一配置数据;基于所述第一网络运维数据生成网络安全态势分析及预警报告;按照在网络运维过程中的重要度,将所述第一网络运维数据划分为关键数据和非关键数据;将所述网络安全态势分析及预警报告、所述关键数据和所述非关键数据按照各自对应的存证方式执行上链存储至区块链;根据最新上链存储至所述区块链的所述关键数据和所述非关键数据中的第一配置数据监测实时获取到的第二配置数据,若发生变动,则生成告警信息并启动网络防御操作;和/或,根据实时获取的安全日志数据的分析结果,若检测到网络安全事件,根据所述区块链上存储的安全日志数据追踪和确定攻击源,启动网络防御操作。在本方案中,定期将网络设备的运维数据按照重要程度采用不同的方式上链存储,再定期将当前的网络设备的第二配置数据与链上的配置数据进行比较,在检测到配置数据发生变动时,基于相应的智能合约及时启动自动防御;和/或,分析当前的安全日志数据,当检测到发生网络安全事件时,借助链上的日志数据,追踪攻击源,并基于相应的智能合约启动自动防御。以此确保运维数据不被篡改,实现由事后取证到事中存证的运维方法转变,达到提高网络安全防护能力的目的。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以下对本申请中出现的相关术语进行说明:
网络安全运维是指:为保障企业电子业务的安全、稳定和高效的运行而采取的生产组织管理活动。该网络安全运维具体指各种IT维护手段。
入侵检测系统(Intrusion Detection System,IDS)是指:一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
入侵防御系统(Intrusion Prevention System,IPS)是指:一种有处理攻击功能的特种交换机,属于网络交换机的一个子项目。一般布置于防火墙和外来网络的设备之间,依靠对数据包的检测进行防御。具体功能为:检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网。
Web应用防火墙(Web Application Firewall,WAF)是指:一种专门通过执行一系列针对HTTP/HTTPS的安全策略为Web应用提供保护的网络设备。
区块链是指:分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链的网络安全机制具有去中心化、不可篡改、可追溯、高可信和多方共识等特性。
由背景技术可知,现有在网络运维过程中,缺少有效的监管手段,致使在进行网络运维过程中,网络运维数据被删除或篡改时不能及时启动防御,导致网络安全降低。
因此,本发明实施例公开了一种基于区块链的网络安全运维及防御方法及系统,利用区块链的网络安全机制,定期将网络设备的运维数据按照重要程度采用不同的方式上链存储,也就是将安全日志和运维数据进行上链存储,再定期将当前的网络设备的第二配置数据与链上的配置数据进行比较,在检测到配置数据发生变动时,基于相应的智能合约及时启动自动防御,和/或,分析当前的安全日志数据,当检测到发生网络安全事件时,借助链上的日志数据,追踪攻击源,并基于相应的智能合约启动自动防御。以此确保运维数据不被篡改,实现由事后取证到事中存证的运维方法转变,达到提高网络安全防护能力的目的。具体实现过程通过以下实施例进行详细说明。
如图1所示,为本发明实施例公开的一种基于区块链的网络安全运维及防御方法的流程图。该网络安全运维及防御方法主要包括以下步骤:
步骤S101:每隔第一预设时间段,提取已生成的第一网络运维数据。
在步骤S101中,所述第一网络运维数据至少包括安全日志数据和第一配置数据。
具体实现步骤S101的过程如图2所示,主要包括以下步骤:
步骤S201:选取待提取网络运维数据的网络设备。所述网络设备至少包括网络安全设备、网络安全防护系统和核心主机。
可选的,该网络安全设备包括:防火墙、IPS、IDS、WAF等,但不仅限于此。
可选的,该网络安全防护系统包括:态势感知平台等,但不仅限于此。
步骤S202:每隔第一预设时间段,提取所述网络设备在运行过程中生成的安全日志数据。
可选的,安全日志数据主要为网络安全设备和网络安全防护系统等在运行过程中产生的。所述安全日志数据至少包括防御日志数据、运行日志数据和行为日志数据。
步骤S203:每隔第一预设时间段,提起所述网络设备的第一配置数据。
可选的,该第一配置数据主要指网络安全设备、网络安全防护系统和核心主机的配置数据。
在执行步骤S101的过程中,提取网络设备的第一配置数据和网络设备的安全日志数据并不需要分先后顺序,两者可以同时提取。
步骤S102:基于所述第一网络运维数据生成网络安全态势分析及预警报告。
在具体实现步骤S102的过程中,将提取到的第一网络运维数据中的安全日志数据和第一配置数据进行集合。分析集合后的安全日志数据和第一配置数据,利用分析安全日志数据和配置数据的结果生成网络安全态势分析及预警报告。
步骤S103:按照在网络运维过程中的重要度,将所述第一网络运维数据划分为关键数据和非关键数据。
具体实现步骤S103的过程如图3所示,主要包括以下步骤:
步骤S301:将提取到的第一网路运维数据中的安全日志数据和第一配置数据进行集合。
步骤S302:基于重要度分析法对所述第一网络运维数据中的安全日志数据和配置数据进行分析,确定各个所述安全日志数据和第一配置数据在网络运维过程中的重要度。
在具体的网络运维过程中,各个网络安全设备、网络安全防护系统以及核心主机,其各自的第一配置数据,以及运行过程中所产生的安全日志数据对于网络运维具有不同的作用。也就是说,各种安全日志数据和第一配置数据对网络运维管理过程中具有不同的重要程度。通过重要度分析法分析对各种安全日志数据和配置数据进行分析,可以得到各个安全日志数据和第一配置数据对于网络运维管理的具体重要度。
可选的,所述重要度分析法至少包括层次分析法。
步骤S303:基于重要度的排序,确定各个所述安全日志数据中的关键日志数据和非关键日志数据,以及确定各个所述第一配置数据中的关键配置数据和非关键配置数据。
在具体实现步骤S303的过程中,可选的,可以按照各个安全日志数据和第一配置数据确定的重要度进行排序,构成一个数据清单列表。从数据清单列表中选取各个所述安全日志数据中的关键日志数据和非关键日志数据,以及各个所述第一配置数据中的关键配置数据和非关键配置数据。
具体选择的方式,可以由技术人员基于检验进行确定。可选的,可以选取排列在数据清单列表前2%至10%的数据中的安全日志数据为关键日志数据,其他的安全日志数据为非关键日志数据;选取排列在数据清单列表前2%至10%的数据中的第一配置数据为关键配置数据,其他的第一配置数据为非关键配置数据。
也可以,按照个数选择,例如,选择排列在前的N个安全日志数据为关键日志数据,其他的安全日志数据为非关键日志数据;选择排列在前的M个第一配置数据为关键配置数据,其他的第一配置数据为非关键配置数据。N和M为自然数,可以相同也可以不同,具体取值由技术人员确定。
以图4示出的网络安全运维日志数据的分类体系为例进行网络运维数据的处理和分析。同理可采用相同的方式处理配置数据。
该网络安全运维日志数据分为业务层、应用层、系统资源层和网络层4个层级。
首先,构建该网络安全运维日志数据评价指标体系。4个层级可以构建14个子指标。
其中,业务层的子指标包括:业务访问量、订单量和支付量。
应用层的子指标包括:错误数、调用过程和访问平均耗时。
系统资源层的子指标包括:CPU、内存和磁盘。
网络层的子指标包括:丢包、Ping存活、流量和TCP连接数。
然后,针对网络安全运维,参见图4由上至下逐层使用层次分析法对各个子指标的重要度进行排序。
然后,计算第三层中的各指标对第一层中的指标的总排序权重,用第二层权重与第三层权重相乘得到第三层指标总权重值,并通过归一化获得第三层所有子指标的权重总排序,即为网络安全运维日志数据的重要度排序。
最后,针对得到的网络安全运维日志数据的重要度排序,确定关键日志数据和非关键日志数据。
具体针对每一层中的子指标进行排序的方式为:
首先,两两比较任意两个子指标对上一层子指标的重要程度,得到当前层的比较矩阵M。
例如,某层子指标为I={I1,I2,...,In},两两比较任意两个子指标Ii和Ij对上一层子指标的重要程度,定义当前层比较矩阵M的第i行第j列的值为:Iij=Ii/Ij。
然后,计算比较矩阵M的最大特征值及对应的特征向量F。
结合举例,F={F1,F2,...,Fn}。
然后,通过特征向量归一化获得本层各个子指标对上一层子指标重要程度的排序权重。
结合举例,F′={F′1、F′2、…F′n},F′i=Fi/max{F′j}j=1、...n,i=1,……,n。
具体基于图4中的第二层:应用层中的各个子指标的重要程度进行排序。
应用层中的子指标包括:错误数、调用过程和访问平均耗时。
首先,两两比较错误数、调用过程和访问平均耗时对第一层业务层指标的重要程度,得到应用层的比较矩阵M。
然后,计算比较矩阵M的最大特征值及其对应的特征向量F。
最后,通过特征向量归一化获得应用层中的错误数、调用过程和访问平均耗时各个子指标对业务层指标的排序权重,即应用层中的各个子指标的重要程度排序。
需要说明的是,步骤S102和步骤S103没有明显的先后顺序,可以同时执行,也可以先后执行。图1仅给出了一种示例方式。
步骤S104:将所述网络安全态势分析及预警报告、所述关键数据和所述非关键数据按照各自对应的存证方式执行上链存储至区块链。
在执行步骤S104之前,预先设置针对安全日志数据和第一配置数据的加密算法和哈希算法,然后再执行步骤S104,并根据关键数据和非关键数据的重要度,类型以及数据量的大小不同,确定各自对应的不同数据存证方式执行上链,将所述网络安全态势分析及预警报告、所述关键数据和所述非关键数据上链存储至区块链。
具体执行S104的过程,如图5所示,主要包括以下步骤:
步骤S501:将所述网络安全态势分析及预警报告上链存储至区块链,并全网广播。
步骤S502:分别加密所述关键数据中的关键日志数据和关键配置数据,将得到的关键日志加密数据和关键配置加密数据上链存储至所述区块链。
在具体执行步骤S502的过程中,利用预先设置的加密算法对所述关键数据中的关键日志数据和关键配置数据的原文进行加密,将得到的关键日志加密数据和关键配置加密数据上链存储至所述区块链。
步骤S503:哈希计算所述关键数据中的关键配置数据,将得到的一个第一哈希值上链存储至所述区块链。
在执行步骤S503的过程中,针对第一配置数据,利用预先设置的针对第一配置数据的哈希算法,对关键数据中的所有关键配置数据进行哈希计算,得到一个第一哈希值上链存储。
步骤S504:哈希计算所述非关键数据中的非关键日志数据,得到一个第二哈希值或各个非关键日志数据各自对应的第三哈希值上链存储至所述区块链。
在执行步骤S504的过程中,可选的,利用预先设置的针对安全日志数据的哈希算法,对非关键数据中的所有非关键日志数据进行哈希计算,得到一个第二哈希值上链存储至区块链中。
可选的,利用预先设置的针对安全日志数据的哈希算法,对非关键数据中的所有非关键日志数据分别进行哈希计算,得到各个非关键日志数据各自对应的第三哈希值上链存储至区块链。
可选的,具体执行步骤S104的过程也可以为:同时对网络安全态势分析及预警报告、第一配置数据和安全日志数据进行上链处理。
针对网络安全态势分析及预警报告:将所述网络安全态势分析及预警报告上链存储至区块链,并全网广播。
针对第一配置数据:将关键数据中的所有关键配置数据进行原文加密,同时利用预先设置的针对第一配置数据的哈希算法,对关键数据中的所有关键配置数据进行哈希计算,得到一个第一哈希值,将加密后的原文和第一哈希值均上链存储。
针对安全日志数据:首先,利用预先设置的加密算法对所述关键数据中的关键日志数据的原文进行加密,将得到的关键日志加密数据上链存储至所述区块链;然后,利用预先设置的针对安全日志数据的哈希算法,对非关键数据中的所有非关键日志数据进行哈希计算,得到一个第二哈希值上链存储至区块链;或者,对非关键数据中的所有非关键日志数据分别进行哈希计算,得到各个非关键日志数据各自对应的第三哈希值上链存储至区块链。
在将网络运维数据进行上链存证之后,日常对于网络安全的运维主要针对配置数据和安全日志数据有两种运维监测方式,在具体实现中,两种运维监测过程中任一一种出现问题,均会发生告警并启动网络防御操作。
具体的,针对配置数据的运维监测和防御执行步骤S105和步骤S106。
具体的,针对安全日志数据的运维监测和防御执行步骤S107和步骤S108。
以下进行具体说明:
针对配置数据:
步骤S105:根据最新上链存储至所述区块链的所述关键数据和所述非关键数据中的第一配置数据监测实时获取到的第二配置数据,若发生变动,则生成告警信息并启动网络防御操作。
在具体执行步骤S105的过程中,基于定时上链的第一配置数据的哈希值,定期将当前网络安全设备、网络安全防护系统和/或核心主机的第二配置数据与链上作为存证的第一配置数据进行比对,若发生变动则生成告警信息,并启动网络防御操作。
可选的,配置数据发生变动的可能原因主要有两类。
第一类:运维人员的授权变动。
第二类:未授权变动。
若发生上述变动均需要生成告警信息,该告警信息中包括告警类型信息,该告警类型信息用于指示变动原因,若该告警信息为未授权变动告警信息,则将该未授权变动告警信息上链存证。
具体执行步骤S105的过程,如图6所示,主要包括如下步骤:
步骤S601:每隔第二预设时间段,实时获取第二配置数据。
该第二配置数据指当前网络安全设备、网络安全防护系统和/或核心主机的第二配置数据。
步骤S602:获取所述区块链上最新上链存储的所述关键数据和所述非关键数据中的第一配置数据。
步骤S603:比对所述第二配置数据和所述第一配置数据,确定所述第二配置数据是否发生变动,若发生变动,则执行步骤S604;若未发生变动则继续执行网络监管。
步骤S604:基于所述变动确定告警类型,若所述告警类型为未授权变动告警,生成告警信息启动网络防御操作。
在步骤S604中,所述告警类型至少包括授权变动告警和未授权变动告警。
步骤S106:基于所述区块链上最新上链存储的所述关键数据和所述非关键数据中的第一配置数据恢复更新当前的配置数据。
在执行步骤S106之前需要预先基于区块链构建配置自动恢复智能合约。当接收到未授权变动告警时,自动执行步骤S106,利用最新上链存储的所述关键数据和所述非关键数据中的第一配置数据恢复更新当前的配置数据。
针对安全日志数据:
步骤S107:根据实时获取的安全日志数据生成的网络安全态势分析及预警报告分析确定是否检测到网络安全事件,若检测到网络安全事件,启动网络防御操作。
在具体执行步骤S107的过程中,首先,基于实时获取的安全日志数据生成的网络安全态势分析及预警报告确定是否检测到网络安全事件。该安全日志数据属于第一网络运维数据,该网络安全态势分析及预警报告在生成后根据对应的存证方式已上链存储至区块链。
其次,当检测到网络安全事件时,基于所述区块链上存储的所述关键数据和所述非关键数据中的安全日志数据,确定待封禁的IP信息,并生成IP封禁指令启动网络防御操作。
可选的,将封禁所述IP信息的IP封禁指令上链存储。
步骤S108:基于所述IP封禁指令执行防火墙IP封禁。
在执行步骤S108之前需要预先基于区块链构建IP自动封禁智能合约。当接收到IP封禁指令时,自动执行步骤S108,即自动执行防火墙IP封禁操作。
本发明实施例公开的以一种基于区块链的网络安全运维及防御方法,利用区块链的网络安全机制,定期将网络设备的运维数据按照重要程度采用不同的方式上链存储,也就是将安全日志和运维数据进行上链存储,再定期将当前的网络设备的第二配置数据与链上的配置数据进行比较,在检测到配置数据发生变动时,基于相应的智能合约及时启动自动防御,和/或,分析当前的安全日志数据,当检测到发生网络安全事件时,借助链上的日志数据,追踪攻击源,并基于相应的智能合约启动自动防御。以此确保运维数据不被篡改,实现由事后取证到事中存证的运维方法转变,达到提高网络安全防护能力的目的。
基于上述本发明实施例公开的一种基于区块链的网络安全运维及防御方法,本发明实施例还对应公开了一种基于区块链的网络安全运维及防御系统。该网络安全运维及防御系统可用于执行上述网络安全运维及防御方法。
如图7所示,为本发明实施例公开的一种基于区块链的网络安全运维及防御系统的结构示意图。该网络安全运维及防御系统700主要包括:
数据提取单元701,用于每隔第一预设时间段,提取已生成的第一网络运维数据,所述第一网络运维数据至少包括安全日志数据和第一配置数据。
数据处理单元702,用于基于所述第一网络运维数据生成网络安全态势分析及预警报告。
数据分析单元703,用于按照在网络运维过程中的重要度,将所述第一网络运维数据划分为关键数据和非关键数据。
上链存证单元704,用于将所述网络安全态势分析及预警报告、所述关键数据和所述非关键数据按照各自对应的存证方式执行上链存储至区块链;
运维监测单元705,用于根据最新上链存储至所述区块链的所述关键数据和所述非关键数据中的第一配置数据监测实时获取到的第二配置数据,若发生变动,则生成告警信息并启动网络防御操作;和/或,根据实时获取的安全日志数据的生成的网络安全态势分析及预警报告确定是否检测到网络安全事件,若检测到网络安全事件,根据所述区块链上存储的安全日志数据追踪和确定攻击源,启动网络防御操作。
网络防御单元706,用于执行所述网络防御操作。
可选的,所述数据提取单元701,具体用于选取待提取网络运维数据的网络设备,所述网络设备至少包括网络安全设备、网络安全防护系统和核心主机;每隔第一预设时间段,提取所述网络设备在运行过程中生成的安全日志数据,所述安全日志数据至少包括防御日志数据、运行日志数据和行为日志数据;每隔第一预设时间段,提起所述网络设备的第一配置数据。
可选的,所述数据分析单元703,具体用于基于重要度分析法对所述第一网络运维数据中的安全日志数据和第一配置数据进行分析,确定各个所述安全日志数据和第一配置数据在网络运维过程中的重要度,所述重要度分析法至少包括层次分析法;基于重要度的排序,确定各个所述安全日志数据中的关键日志数据和非关键日志数据,以及确定各个所述第一配置数据中的关键配置数据和非关键配置数据。
可选的,所述上链存证单元704,具体用于将所述网络安全态势分析及预警报告上链存储至区块链,并全网广播;分别加密所述关键数据中的关键日志数据和关键配置数据,将得到的关键日志加密数据和关键配置加密数据上链存储至所述区块链;哈希计算所述关键数据中的关键配置数据,将得到的一个第一哈希值上链存储至所述区块链;哈希计算所述非关键数据中的非关键日志数据,得到一个第二哈希值或各个非关键日志数据各自对应的第三哈希值上链存储至所述区块链。
针对配置数据,可选的,所述运维监测单元705,具体用于每隔第二预设时间段,实时获取第二配置数据;获取所述区块链上最新上链存储的所述关键数据和所述非关键数据中的第一配置数据;比对所述第二配置数据和所述第一配置数据,确定所述第二配置数据是否发生变动;若发生变动,基于所述变动确定告警类型,若所述告警类型为未授权变动告警,生成告警信息启动网络防御操作。
所述网络防御单元706,具体用于基于所述区块链上最新上链存储的所述关键数据和所述非关键数据中的第一配置数据恢复更新当前的配置数据。
针对安全日志数据,可选的,所述运维监测单元705,具体用于基于实时获取的安全日志数据生成的网络安全态势分析及预警报告确定是否检测到网络安全事件;当检测到网络安全事件时,基于所述区块链上存储的所述关键数据和所述非关键数据中的安全日志数据,确定待封禁的IP信息,并生成IP封禁指令启动网络防御操作。
所述网络防御单元706,具体用于基于所述IP封禁指令执行防火墙IP封禁。
以上本发明实施例公开的各个单元其具体实现原理,均可参见上述方法对应的说明。这里不再进行赘述。
综上所述,本发明实施例公开的一种基于区块链的网络安全运维及防御方法及系统,利用区块链的网络安全机制,定期将网络设备的运维数据按照重要程度采用不同的方式上链存储,也就是将安全日志和运维数据进行上链存储,再定期将当前的网络设备的第二配置数据与链上的配置数据进行比较,在检测到配置数据发生变动时,基于相应的智能合约及时启动自动防御,和/或,分析当前的安全日志数据,当检测到发生网络安全事件时,借助链上的日志数据,追踪攻击源,并基于相应的智能合约启动自动防御。以此确保运维数据不被篡改,实现由事后取证到事中存证的运维方法转变,达到提高网络安全防护能力的目的。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。