CN114448654B - 一种基于区块链的分布式可信审计安全存证方法 - Google Patents
一种基于区块链的分布式可信审计安全存证方法 Download PDFInfo
- Publication number
- CN114448654B CN114448654B CN202111024157.4A CN202111024157A CN114448654B CN 114448654 B CN114448654 B CN 114448654B CN 202111024157 A CN202111024157 A CN 202111024157A CN 114448654 B CN114448654 B CN 114448654B
- Authority
- CN
- China
- Prior art keywords
- data
- protocol
- network
- block chain
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于区块链的分布式可信审计安全存证方法,包括如下步骤:步骤一,通过基于多组织协同的跨域存证数据安全存储与共享方法,实现跨域实体存证数据的可靠存储,并进行数据共享;步骤二,通过基于风险模型与存证数据匹配的实体功能安全异常审计方法,进行功能安全异常审计;步骤三,通过智能合约的实体功能安全异常存证自动更新方法,实现跨域数据实体存证信息安全更新,在存证数据完成审计完成后,联盟网络内实体利用智能合约强制执行的机制对审计存证数据进行自动化标识。
Description
技术领域
本发明属于信息安全的跨域异构IT/OT网络安全审计领域,具体涉及到一种基于区块链的分布式可信审计安全存证方法。
背景技术
网络协同制造利用先进网络方法与信息方法,实现供应链内部及跨供应链间的设计、制造、管理、商务等合作的生产模式,最终通过改变经营模式达到资源高效利用的目的。在跨域异构网络协同过程中的网络安全审计按照基本规则,结合系统记录、活动以及用户活动等信息,检查、审查和检验操作事件的环境及活动,发现系统中的漏洞和安全异常行为。传统的审计存证方法中,管理员能够增删数据,可能会造成数据的丢失,且管理员的身份不是绝对可信的,对网络环境造成威胁,甚至威胁到整个跨域异构网络系统的设备和用户。目前,在网络协同制造平台IT/OT跨域融合构建信任场景下,普遍存在跨域数据审计结果难以及时更新和存证、无法实现全流程安全审计元素识别等重大弊端:(1)传统IT域审计方式无法对全流程IT系统主体、制造过程主体和制造管控主体的安全审计元素的识别;(2)跨域网络包含大量IT网和OT网实体,实体产生的异常数据难以被精确记录,提供审计数据的跨域实体难以互信导致域间存证数据安全的存储与共享难、关联分析功能安全问题分析审计难以及存证数据更新难的问题。
针对在网络协同制造过程中传统安全审计方法安全审计元素识别精度低,跨域网络数据存证可信度低等问题,多方研究为解决该问题做出贡献。专利《基于区块链的分布式可信身份存证方法及系统》(CN110049060A)能够利用区块链存储的不可篡改和去中心化特性实现身份信息的封装和存储,通过可信硬件完成身份信息资产化,将个人信息存储于区块链上,私钥存档于用户终端,第三方平台通过调用硬件设备实现身份权限认证。但该发明的存证数据过于单一,不能应对异构工业物联网海量数据存证的问题;《一种基于区块链的网络安全审计系统及网络安全审计方法》(CN108833440A)提出了在传统审计系统中添加区块链部件从而保证审计数据的不可篡改的基于区块链的网络安全审计系统及网络安全审计方法,但没有从本质上改变安全审计的方式,传统的安全审计方法在跨域异构网络上使用有很大的局限性;《一种基于人工智能的工控安全审计系统及方法》(CN112437041A)通过设置安全审计端,对网络状态、入侵行为和操作记录分别进行监测和记录,提高工业控制网络的安全性,使工业控制网络满足行业合规性审计要求,但是没有考虑存证信息的安全性和存证系统的去中心化。
区块链是利用分布式方法和共识算法重新构造一种去中心化的信任机制,实现所有参与者共同维护的一个交易账本,完成信息的共享。基于区块链方法构建分布式可信审计安全存证系统,通过多方协同网络构建方法实现实体间传输数据的分布式安全存储共享,实现海量数据的智能关联分析审计,存证数据完成审计完成后,利用智能合约强制执行机制对审计存证数据进行自动化标识。
发明内容
本发明方法解决问题:克服现有方法的不足,针对在网络协同制造过程中IT/OT融合后的功能安全需求高,传统方法缺乏统一高效的溯源审计手段,功能安全事件审计追溯困难等问题,提出了一种基于区块链的分布式可信审计安全存证方法,利用模型匹配对功能安全异常事件的海量数据的智能关联分析审计,利用智能合约自主执行机制对审计数据的自动化标注,实现功能安全分布式可信审计安全存证。
采用基于多组织协同的跨域存证数据安全存储与共享方法,基于风险模型存证数据匹配的实体功能安全异常审计方法以及基于智能合约的实体功能安全异常存证自动更新方法,实现可信审计安全存证全过程。
本发明方法解决方案为:一种基于区块链的分布式可信审计安全存证方法,包括如下步骤:
步骤一、通过基于多组织协同的跨域存证数据安全存储与共享方法,实现跨域实体存证数据的可靠存储,解决数据共享问题。搭建基于分布式账本的联盟区块链网络,其中的单位节点是实体在跨域信任链中的角色。实体间的数据传输涉及到的数据包括工控专用协议数据、网络协议数据,存证信息包括实体个体的操作系统、应用、固件版本数据等,存证信息被联盟网络中各方通过高速共识机制,快速协同更新分布式账本,实现安全存储与共享。
所述区块链网络是利用块链式数据结构来验证与存储数据,利用分布式节点共识算法来生成和更新数据,利用密码学的方式保证数据传输和访问的安全,利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算范式;所述智能合约是在区块链系统中运行的程序,是代码和数据(状态)的集合。
所述联盟区块链网络各节点与节点之间以P2P方式通信,提高了网络的可扩展性,节点可以随意的添加和删除;联盟信任群组通过高速共识机制和实体可信身份指纹,并借助节点自主调用执行的运行在联盟信任群组上的代码,快速完成分布式实体功能安全交互信息(如设备、协议、会话、业务、性能、安全等数据)的高通量、高精确的深度留痕存储;所述边缘节点都具有安全交互数据集合的一个副本,并且都可以调用代码中定义的操作方法对数据集合进行更改,联盟信任群组节点通过调用代码中安全交互信息数据集合的添加方法实现数据的提交,该添加请求会被扩散到全群组,其它节点对该请求进行验证,如验证请求提交者的数字签名等;
所述工控协议包括运行在数据链路层的Ethernet POWERLINK协议,将一般的Modbus协议封装进TCP协议中进行传输的Modbus TCP/IP 协议,以及适配 EhterNet/IP,DeviceNet, CompoNet 以及 ControlNet 等网络的通用工业协议 (Common IndustrialProtocol, CIP)等;
步骤二,通过基于风险模型与存证数据匹配的实体功能安全异常审计方法,解决功能安全异常审计的问题。利用协议智能识别与语义重组、基于Fuzzing的系统漏洞挖掘以及海量数据的智能关联分析等方法实现对存证数据的安全分析与匹配。从工业控制专用协议安全威胁、网络安全威胁、操作系统安全威胁以及终端及应用安全风险等多个维度对安全事件进行归类,逐步解决功能安全异常审计的问题。
所述协议智能识别能够识别的协议有电力控制中心通讯协议ICCP、简单网络管理协议SNMP、TCP/IP协议、Modbus通讯协议以及分布式网络协议DNP3等。
所述基于Fuzzing的系统漏洞挖掘方法是针对跨域异构网络工业漏洞挖掘而设计,主要包括6个模块:协议解析模块、测试用例生成模块、模糊测试会话管理模块、远程监控通信、数据存储模块以及用户界面模块。
所述协议模块的功能是对工业网络中的网络协议进行解析,如FTP、HTTP协议以及现场总线协议,为测试用例生成模块提供相应的协议信息;
所述测试用例生成模块,依据协议解析结果构造大量测试用例;
所述会话管理模块综合协议解析模块和测试用例生成模块的结果,将测试用例按照顺序发往测试目标,管理会话;
所述通信监控模块的功能是监控模块通信,捕获监控信息,将结果反馈给会话管理模块;所述数据存储模块接收各个模块传递过来的存储信息,用于后期查看和系统维护;
所述用户界面模块将复杂的操作过程进行简化,用户通过简单操作即可将信息传达给后台的模糊测试器,避免操作大量的配置;
所述智能关联分析通过深度智能关联分析方法,对包、流、文件、协议元数据、网络行为、文件行为等多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配。
步骤三,通过智能合约的实体功能安全异常存证自动更新方法,解决跨域数据实体存证信息难以安全更新的问题,在存证数据完成审计完成后,联盟网络内实体利用智能合约强制执行的机制对审计存证数据进行自动化标识。这种方式从方法角度弥补履约过程中意外和主观违约可能。实现联盟链网络中跨域实体间存证数据高效、安全的标注。
所述智能合约是由事件驱动的,具有状态的,运行在一个可复制共享的账本之上的计算机程序,当满足特定条件时,智能合约会自动执行;合约一旦部署不可修改,合约执行后不可逆,所有执行事务可追踪;
所述智能合约的调用方法有三种,第一种是会创建新的交易,打包后返回一个哈希值广播到网络中;第二种是在本地调用,该过程不向区块链网络中广播任何消息,它的返回值取决于合约函数中的具体代码;第三种调用方法结合前两种灵活使用,即如果合约函数代码有constant标识,就执行第二种方法本地调用,反之使用第一种方法调用。
所述智能合约可信存证系统的应用层由访问控制模块、分布式存证模块以及区块查询取证模块组成,智能合约作为应用层业务逻辑的实现载体,提供接口服务实现通信过程。
所述的智能合约安全审计平台的搭建是使用Remix在线IDE来进行开发,不用本地安装Solidity,根据 Remix IDE 的 Environment 选项不同,有三种不同变成环境:Javascript VM是Remix内置的虚拟机,提供了合约部署运行的功能,跟以太坊虚拟机功能类似,相当于在内存中模拟了一条区块链,如果选择Javascript VM模式,可对合约进行debug调试;Injected Web3主要是通过插件使用,配合metamask可方便部署智能合约到以太坊测试网或者主网;Web3 Provider将Remix连接指定的区块链节点,比如通过安装区块链客户端geth搭建的私有链节点。
本发明与现有方法相比的优点在于:
(1)针对跨域实体存证数据可靠存储与共享问题,本发明设计了一种基于联盟区块链的多方协同网络构建方法。以实体在跨域信任链中的角色为单位节点建立基于分布式账本的联盟区块链网络。实体间数据传输涉及到的工控专用协议数据、网络协议数据以及实体个体的操作系统、应用、固件版本数据等将作为存证信息被联盟网络中各方通过高速共识机制,快速协同更新分布式账本,实现安全存储与共享。
(2)针对功能安全异常审计问题,本发明设计了一种基于风险模型的存证审计方法。利用协议智能识别与语义重组、基于Fuzzing的系统漏洞挖掘以及海量数据的智能关联分析等方法实现对存证数据的安全分析与匹配。从工业控制专用协议安全威胁、网络安全威胁、操作系统安全威胁以及终端及应用安全风险等多个维度对安全事件进行归类。
(3)针对跨域数据实体存证信息难以安全更新的问题,本发明设计了一种基于智能合约的链上存证信息更新标注方法。在存证数据完成审计完成后,联盟网络内实体利用智能合约强制执行的机制对审计存证数据进行自动化标识。这种方式从方法角度弥补履约过程中意外和主观违约可能。实现联盟链网络中跨域实体间存证数据高效、安全的标注。
附图说明
图1为本发明的基于多组织协同的跨域存证数据安全存储与共享方法示意图;
图2为本发明的基于风险模型与存证数据匹配的实体功能安全异常审计示意图;
图3为本发明的基于智能合约的实体功能安全异常存证自动更新示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅为本发明的一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域的普通技术人员在不付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明的保护范围。
根据本发明的实施例,提出一种基于区块链的分布式可信审计安全存证方法,包括如下步骤:
步骤一、基于多组织协同的跨域存证数据安全存储与共享方法
针对跨域实体存证数据可靠存储与共享问题,采用基于联盟区块链的多方协同网络构建方法实现数据的可靠存储;首先,以实体在跨域信任链中的角色作为单位节点,建立基于分布式账本的联盟区块链网络;然后,实体之间进行数据传输,数据传输涉及到的工控专用协议数据、网络协议数据以及实体个体的操作系统、应用、固件版本数据等;最后,这些数据作为存证信息被联盟网络中的各方通过高速共识机制,快速协同更新分布式账本,实现安全存储与共享。
如图1所示,本发明步骤一具体实现过程如下:
(1)实体在参与IT/OT跨域网络协同过程作为基本单元节点,依次建立基于多节点分布式共识的联盟信任群组,建立基于分布式账本的区块链联盟网络。进行实体间数据传输过程,传输的内容包括工控专用协议数据、网络协议数据等。
具体地,基于分布式账本的区块链联盟网络的搭建以及数据传输的具体流程如下:
(1.1)IT/OT跨域实体在参与网络协同的过程中,作为基本单元节点,依次建立多节点分布式共识的联盟信任群组,其中联盟各节点与节点之间以P2P方式通信;
(1.2)联盟信任网络成员之间拥有同一份分布式账本,账本本质上是一种供网络成员共享、复制和同步的数据库,通过共识机制记录账本数据,每一个节点都保存了完整的数据,数据不能被随意篡改;数据不能删除,只能添加或者修改,变化后的数据状态为WorldState;
(1.3)工控专用协议数据、网络协议数据以及实体个体的操作系统、应用、固件版本数据等数据基于分布式账本实现数据的共享。
(2)数据作为存证信息被联盟网络中的各方通过高速共识机制,快速协同更新分布式账本,实现安全存储与共享,数据被存储与共享的实现过程如下:
(2.1)工业外界作业与接收的信息,包括外部人员和设备的工作状态、传感设备等,由网络边缘设备统一感知,区分为工控协议数据、网络协议数据、系统信息以及应用信息等;
(2.2)这些信息作为流转存证数据希望得到系统的存储,如果该数据合法且由系统中的半数以上节点认证通过,则数据存储在流转数据存证数据集中,数据利用分布式账本的特性实现数据的共享。
步骤二、基于风险模型与存证数据匹配的实体功能安全异常审计
利用协议智能识别与语义重组、基于Fuzzing的系统漏洞挖掘以及海量数据的智能关联分析等方法实现对存证数据的安全分析与匹配。从工业控制专用协议安全威胁、网络安全威胁、操作系统安全威胁以及终端及应用安全风险等多个维度对安全事件进行归类。
如图2所示,本发明步骤二具体实现过程如下:
(1)利用协议智能识别实现对网络协议的安全分析与匹配。本发明首先设计了一种智能协议识别模型,不仅能够识别安全加密的协议,而且能够适用于即通过端口或者静态协议识别就能识别出来的协议,覆盖大部分网络应用协议。然后设计了算法,算法结合使用端口特征、协议静态特征和协议交互行为特征三种特征进行协议的识别过程。
具体地,智能协议识别模型和算法的实现具体流程如下:
(1.1)识别模型通过基于静态特征过滤识别一般协议,对于通过安全加密端口无法确定且无明显静态特征的协议通过基于协议行为特征过滤的方式进行识别,具体而言:对于可以快速识别的大部分协议只识别两个数据包;
(1.2)对于不能快速识别的,结合基于加密的难识别协议(Gmail、Skype等)分析处理后继包,建立协议运行期间行为状态模型作为协议行为特征,使该协议数据包进入基于识别状态的处理,根据不同协议的特点分别设计不同协议识别状态机进行匹配,直到匹配结果超过系统所设定的检查数据包个数为止,识别结束;
(1.3)利用网络包分析工具软件Wireshark,监控和记录单独运行网络应用软件时的网络数据包跟踪数据,对这些数据包进行统计分析;
(1.4)网络协议特征建立阶段,对于UDP前两个包和TCP三次握手后的两个包就能够准确识别协议的静态特征集合,直接提取其静态标识字段进行过滤识别。大部分协议可以通过首个数据包的识别出来,如果首个数据包识别不出来,将协议的状态设置为L7_CHECK对第二个数据包进行识别;若失败,则结果设置为UNKNOWN,协议状态为L7_END,该连接的数据包不会再次进行检测;
(1.5)利用基于协议行为特征的过滤算法实现不常见数据的识别,对于具有显著特征的数据包但是位置不确定的(TCP三次握手后出现的第几个数据包不确定),直接对数据包封堵深入监测会影响到防火墙的性能,建立基于运行期间的状态模型作为协议特征会避免对数据包有效负载进行大量检查匹配。
(2)利用基于Fuzzing的系统漏洞挖掘方法以及智能关联分析方法实现对存证数据的安全分析与匹配。Fuzzing方法兼具黑盒测试和灰盒测试的特点,自动化程度高,但是不需要获取目标系统的全部信息。本发明针对当前一些主流的模糊测试方法进行分析,结合跨域异构工业网络的特征,实现对测试目标实现组合漏洞挖掘。具体地,本发明选取两款常见的工业网管作为典型的工业网络设备,分别是CAN总线协议网管和Modbus协议转换网关。利用基于Fuzzing的系统漏洞挖掘方法实现漏洞挖掘的具体流程如下:
(2.1)在网络拓扑结构中,选定一台服务器当作漏洞挖掘服务器,实现工业网络漏洞挖掘的部署,在漏洞挖掘过程中,该服务器需要作为工业网络中的主站,发送相应的主站命令;
(2.2)工业网络处于运行状态时,逐一对工业网络中的相关软件和网络设备进行漏洞挖掘测试,以本发明的网络业务中的目标测试是FTP文件服务器为例,只需要打开FTP服务器程序,在21端口上监听来自客户端的FTP数据包即可;
(2.3)CAN总线现场总线网络部分,用CAN-EU设备转接后,选择一台PC作为CAN总线的从站,接收发数据;CAN总线主站的PC上,启动发送程序后,向从站发送CAN总线数据包;Modbus的现场总线采用一个支持Modbus协议的温度传感器作为其从站,从站在接受到主站发送的命令之后,上传温度数值到主站进行显示。
深度智能关联分析的实时数据透视监测。深度学习关联分析基于时序来对相同数据源或来自不同数据源的安全事件,使用关联规则来进行综合的关联分析,对包、流、文件、协议元数据、网络行为、文件行为等多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配,深度学习关联分析的具体实现如下:
(2.4)通常安全信息事件管理系统中绝大多数的日志为正常事件,通过对正常事件训练建模,来检测异常或攻击事件。系统中需要更多维度特征向量,才能准确判断攻击源,避免检测精度低或过拟合情况;
(2.5)算法的实现是将经过归一化后具备相同数据结构的安全事件,输出为带有标记的安全事件,标记分为两类:正常与异常。关联分析引擎的输出就是单类支持向量机分类算法输出的带标记的正常或异常事件;
(2.6)系统的关联规则最常见的配置字段如:事件ID,时间戳,插件ID,源IP,源端口,目的IP,目的端口,协议等。为了使关联分析规则不依赖于传感器配置,并将所有字段拆分成关键词标签,然后针对每一条检测规则生成其关键词标签统计模型;
(3)对安全事件进行分类,划分为工业控制专用协议安全威胁、网络安全威胁、操作系统安全威胁以及终端及应用安全风险等多个维度对安全事件。工业控制网络常见的安全威胁有高持续性威胁攻击、工业控制网络病毒以及工业控制网络协议安全漏洞。
步骤三、基于智能合约的实体功能安全异常存证自动更新方法
针对跨域数据实体存证信息难以安全更新的问题,发明了基于智能合约的链上存证信息更新标注方法。在存证数据完成审计完成后,联盟网络内实体利用智能合约强制执行的机制对审计存证数据进行自动化标识。弥补履约过程中意外和主观违约可能,实现联盟链网络中跨域实体间存证数据高效、安全的标注。如图3所示,本发明的步骤三具体实现过程如下:
(1)建立基于智能合约的链上存证信息更新标注方法。存证后全链条的每个节点都有记录,本发明选用MongoDB数据库进行数据指纹的提取,MongoDB具有文档型存储的优势,任何文件格式的数据都会以二进制的Json格式Bson存储,提高数据传输效率,便于服务器与前端的交互。合约一旦被共识节点执行,系统中的所有节点都遵循相应的规则,实现数据的分布式存储,确保存储的可信性。
基于智能合约的存证过程具体实现如下:
(1.1)编写智能合约,本发明使用的Solidity语言,该语言是面向对象的编程语言,合约开发的组成成员包括状态变量、特殊变量、函数、函数修饰符、事件以及结构体等。本发明自定义的全局变量均公开声明,以便于后续合约的调用;功能函数包括用户的注册、登录、权限查询、注销以及数据指纹存证和区块查询取证等;访问控制保证只有超级用户才可以访问存证函数和取证函数,普通用户只能访问取证函数;
(1.2)部署智能合约,本发明使用Remix在线编辑器将智能合约编译为EVM字节码,获取合约二进制码和应用程序二进制接口;启动各节点,在客户端上运行编译结果部署智能合约;
(1.3)调用存证智能合约,以调用过程中合约的状态值发生改变为例,实现过程如下:解锁外部账户,调用合约方法对数据指纹进行存证。
(2)存证数据完成审计后,联盟内的实体利用智能合约强制执行的机制对审计存证数据进行自动化标识,实现联盟链网络中跨域实体间存证数据高效、安全的标注;智能合约各模块的具体实现过程如下:
(2.1)设计基于角色的访问控制功能,访问控制权限可以有针对性选择可以调用智能合约的用户,避免存证数据被不法利用,本发明通过设计基于账本的访问控制以及基于智能合约的访问控制方法实现用户与权限的分离。
(2.2)基于智能合约的分布式存证功能实现,具体包括前文所述的节点集群构建、Solidity智能合约开发模块,以及web3.js接口的调用和前端JS交互等部分,部署成功后,前端调用智能合约,如果成功则交易数nonce加一,保证交易不重复。
(2.3)存证数据的查询取证功能实现采用B/S架构通过Node.js的Express框架将用户与存证系统连接实现交互过程,前端便利表格输出区块链节点的信息,可交互界面提高搜索查询功能。
提供以上实例仅仅是为了描述本发明的目的,而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改,均应涵盖在本发明的范围之内。
Claims (10)
1.一种基于区块链的分布式可信审计安全存证方法,其特征在于,包括如下步骤:
步骤一,通过基于多组织协同的跨域存证数据安全存储与共享方法,实现跨域实体存证数据的可靠存储,并进行数据共享;具体包括,搭建基于分布式账本的联盟区块链网络,其中的单位节点是实体在跨域信任链中的角色;实体间的数据传输涉及到的数据包括工控协议数据、网络协议数据;存证信息被联盟区块链网络中各方通过高速共识机制,快速协同更新分布式账本,实现安全存储与共享,存证信息包括实体个体的操作系统、应用以及固件版本数据等;
步骤二,通过基于风险模型与存证数据匹配的实体功能安全异常审计方法,进行功能安全异常审计,利用协议智能识别与语义重组、基于Fuzzing的系统漏洞挖掘方法以及海量数据的智能关联分析方法实现对存证数据的安全分析与匹配;从工业控制专用协议安全威胁、网络安全威胁、操作系统安全威胁以及终端及应用安全风险的多个维度对安全事件进行归类;具体包括:
(1.1)识别模型通过基于静态特征过滤识别一般协议,对于通过安全加密端口无法确定且无明显静态特征的协议通过基于协议行为特征过滤的方式进行识别;
(1.2)对于不能快速识别的,结合基于加密的难识别协议分析处理后继包,建立协议运行期间行为状态模型作为协议行为特征,使该协议数据包进入基于识别状态的处理,根据不同协议的特点分别设计不同协议识别状态机进行匹配,直到匹配结果超过系统所设定的检查数据包个数为止,识别结束;
(1.3)利用网络包分析工具软件Wireshark,监控和记录单独运行网络应用软件时的网络数据包跟踪数据,对这些数据包进行统计分析;
(1.4)网络协议特征建立阶段,对于UDP前两个包和TCP三次握手后的两个包就能够准确识别协议的静态特征集合,直接提取其静态标识字段进行过滤识别;大部分协议通过首个数据包的识别出来,如果首个数据包识别不出来,将协议的状态设置为L7_CHECK对第二个数据包进行识别;若失败,则结果设置为UNKNOWN,协议状态为L7_END,首个数据包和第二个数据包对应的连接的数据包不会再次进行检测;
(1.5)利用基于协议行为特征的过滤算法实现不常见数据的识别,对于具有显著特征的数据包但是位置不确定的,直接对数据包封堵深入监测会影响到防火墙的性能,建立基于运行期间的状态模型作为协议特征会避免对数据包有效负载进行大量检查匹配;
步骤三,通过智能合约的实体功能安全异常存证自动更新方法,实现跨域数据实体存证信息安全更新,在存证数据完成审计完成后,联盟网络内实体利用智能合约强制执行的机制对审计存证数据进行自动化标识。
2.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法,其特征在于,所述步骤一中:
所述联盟区块链网络利用块链式数据结构来验证与存储数据,利用分布式节点共识算法来生成和更新数据,利用密码学的方式保证数据传输和访问的安全,利用由自动化脚本代码组成的智能合约来编程和操作数据;所述智能合约是在区块链系统中运行的程序,是代码和数据或状态的集合。
3.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法,其特征在于,所述步骤一中:
所述联盟区块链网络各节点与节点之间以P2P方式通信,节点能够随意的添加和删除;联盟信任群组通过高速共识机制和实体可信身份指纹,并借助节点自主调用执行的运行在联盟信任群组上的代码,快速完成分布式实体功能安全交互信息的深度留痕存储;节点都具有安全交互数据集合的一个副本,并且都能够调用代码中定义的操作方法对数据集合进行更改,联盟信任群组节点通过调用代码中安全交互信息数据集合的添加方法实现数据的提交,添加请求会被扩散到全群组,其它节点对该请求进行验证。
4.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法,其特征在于,所述步骤一中:
所述工控协议包括运行在数据链路层的Ethernet POWERLINK协议, Modbus协议封装进TCP协议中进行传输的Modbus TCP/IP 协议,适配 EhterNet/IP, DeviceNet, CompoNet以及 ControlNet网络的通用工业协议。
5.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法,其特征在于,所述步骤二中:
所述协议智能识别能够识别的协议有电力控制中心通讯协议ICCP、简单网络管理协议SNMP、TCP/IP协议、Modbus通讯协议以及分布式网络协议DNP3。
6.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法,其特征在于,所述步骤二中:
所述基于Fuzzing的系统漏洞挖掘方法针对跨域异构网络工业漏洞进行挖掘,主要包括6个模块的功能:协议解析模块、测试用例生成模块、模糊测试会话管理模块、远程监控通信模块、数据存储模块以及用户界面模块;
所述协议解析模块的功能是对工业网络中的网络协议进行解析,为测试用例生成模块提供相应的协议信息;
所述测试用例生成模块,依据协议解析结果构造大量测试用例;
所述模糊测试会话管理模块综合协议解析模块和测试用例生成模块的结果,将测试用例按照顺序发往测试目标,管理会话;
所述远程监控通信模块的功能是监控模块通信,捕获监控信息,将结果反馈给会话管理模块;
所述数据存储模块接收各个模块传递过来的存储信息,用于后期查看和系统维护;
所述用户界面模块将复杂的操作过程进行简化,用户通过简单操作即可将信息传达给后台的模糊测试器,避免操作大量的配置。
7.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法,其特征在于,所述步骤二中:
所述智能关联分析通过深度智能关联分析方法,对包、流、文件、协议元数据、网络行为、文件行为多维数据进行实时透视监测的关联分析和比对分析与异常功能安全模型匹配。
8.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法,其特征在于,所述步骤三中:
所述智能合约是由事件驱动的,具有状态的,运行在一个可复制共享的账本之上的计算机程序,当满足预定条件时,智能合约会自动执行;合约一旦部署不可修改,合约执行后不可逆,所有执行事务可追踪。
9.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法,其特征在于,所述步骤三中:
所述智能合约的调用方法有三种,第一种是会创建新的交易,打包后返回一个哈希值广播到网络中;第二种是在本地调用,该过程不向区块链网络中广播任何消息,它的返回值取决于合约函数中的具体代码;第三种调用方法结合前两种选择性使用,即如果合约函数代码有constant标识,就执行第二种方法本地调用,反之使用第一种方法调用。
10.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法,其特征在于,所述步骤三中:
所述智能合约可信存证系统的应用层包括访问控制模块、分布式存证模块以及区块查询取证模块,智能合约作为应用层业务逻辑的实现载体,提供接口服务实现通信过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111024157.4A CN114448654B (zh) | 2021-09-02 | 2021-09-02 | 一种基于区块链的分布式可信审计安全存证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111024157.4A CN114448654B (zh) | 2021-09-02 | 2021-09-02 | 一种基于区块链的分布式可信审计安全存证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114448654A CN114448654A (zh) | 2022-05-06 |
| CN114448654B true CN114448654B (zh) | 2023-03-31 |
Family
ID=81362683
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111024157.4A Active CN114448654B (zh) | 2021-09-02 | 2021-09-02 | 一种基于区块链的分布式可信审计安全存证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114448654B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116418587B (zh) * | 2023-04-19 | 2024-04-30 | 中国电子科技集团公司第三十研究所 | 一种数据跨域交换行为审计追踪方法和数据跨域交换系统 |
| CN116680704B (zh) * | 2023-07-28 | 2024-01-09 | 深圳迅销科技股份有限公司 | 一种用于客户端的数据安全防护方法及系统 |
| CN117970907A (zh) * | 2024-04-01 | 2024-05-03 | 西安热工研究院有限公司 | 可信dcs控制器可信功能测试方法、电子设备、存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN112306019A (zh) * | 2020-10-28 | 2021-02-02 | 北京珞安科技有限责任公司 | 一种基于协议深度分析的工控安全审计系统及其应用 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453415B (zh) * | 2016-12-01 | 2020-09-29 | 江苏通付盾科技有限公司 | 基于区块链的设备认证方法、认证服务器及用户设备 |
| EP3503012A1 (en) * | 2017-12-20 | 2019-06-26 | Accenture Global Solutions Limited | Analytics engine for multiple blockchain nodes |
| CN110049060A (zh) * | 2019-04-28 | 2019-07-23 | 南京理工大学 | 基于区块链的分布式可信身份存证方法及系统 |
| CN110532734B (zh) * | 2019-07-12 | 2021-03-09 | 中国科学院信息工程研究所 | 一种基于安全多方计算的隐私时间戳的数字版权方法及系统 |
| CN111010367B (zh) * | 2019-11-07 | 2022-11-29 | 深圳市电子商务安全证书管理有限公司 | 数据存证方法、装置、计算机设备和存储介质 |
| CN111831745B (zh) * | 2020-06-05 | 2023-04-18 | 广东科学技术职业学院 | 定时智能合约的调度方法及装置 |
| CN112437041B (zh) * | 2020-10-27 | 2022-11-18 | 北京珞安科技有限责任公司 | 一种基于人工智能的工控安全审计系统及方法 |
| CN112199726A (zh) * | 2020-10-29 | 2021-01-08 | 中国科学院信息工程研究所 | 一种基于区块链的联盟信任分布式身份认证方法及系统 |
-
2021
- 2021-09-02 CN CN202111024157.4A patent/CN114448654B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN112306019A (zh) * | 2020-10-28 | 2021-02-02 | 北京珞安科技有限责任公司 | 一种基于协议深度分析的工控安全审计系统及其应用 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114448654A (zh) | 2022-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zolanvari et al. | Machine learning-based network vulnerability analysis of industrial Internet of Things | |
| CN114448654B (zh) | 一种基于区块链的分布式可信审计安全存证方法 | |
| US10795992B2 (en) | Self-adaptive application programming interface level security monitoring | |
| JP6527590B2 (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
| Subbarayalu et al. | Hybrid network intrusion detection system for smart environments based on internet of things | |
| CN112235266B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN112134956A (zh) | 一种基于区块链的分布式物联网指令管理方法和系统 | |
| Cruz et al. | Improving cyber-security awareness on industrial control systems: The cockpitci approach | |
| Bossert | Exploiting Semantic for the Automatic Reverse Engineering of Communication Protocols. | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| Putra et al. | Infrastructure as code for security automation and network infrastructure monitoring | |
| Giaretta et al. | S× C4IoT: a security-by-contract framework for dynamic evolving IoT devices | |
| Wolf et al. | Adaptive modelling for security analysis of networked control systems | |
| CN115296936A (zh) | 一种反网络犯罪辅侦的自动化方法及系统 | |
| CN115776517A (zh) | 业务请求处理方法、装置、存储介质及电子设备 | |
| Warner | Automatic configuration of programmable logic controller emulators | |
| CN108566380A (zh) | 一种代理上网行为识别与检测方法 | |
| Caiazza | Application-level security for robotic networks | |
| Ingle et al. | Hybrid analysis and design model for building web information system | |
| Cruz et al. | A distributed IDS for industrial control systems | |
| La | Security monitoring for network protocols and applications | |
| Li et al. | Task‐Oriented Network Abnormal Behavior Detection Method | |
| Ring Burbeck | Adaptive real-time anomaly detection for safeguarding critical networks | |
| Lange et al. | Using a deep understanding of network activities for security event management | |
| Bohara | Information-fusion-based methods to improve the detection of advanced cyber threats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |