CN115412367A - 一种分布式协作方法、联防网关装置及电子设备 - Google Patents
一种分布式协作方法、联防网关装置及电子设备 Download PDFInfo
- Publication number
- CN115412367A CN115412367A CN202211341634.4A CN202211341634A CN115412367A CN 115412367 A CN115412367 A CN 115412367A CN 202211341634 A CN202211341634 A CN 202211341634A CN 115412367 A CN115412367 A CN 115412367A
- Authority
- CN
- China
- Prior art keywords
- data information
- gateways
- gateway
- proposal
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种分布式协作方法、联防网关装置及电子设备,所述方法应用于内网边缘处的网关,所述方法包括:接收通过安全策略的输入流量;将所述输入流量进行统计整理,转化成区块链上链的第一数据信息;对第一数据信息上链,并对第一数据信息以及其他网关上链的第二数据信息进行审计;第一数据信息以及所述其他网关上链的第二数据信息能够被其他网关审计;在多个网关对第一数据信息和第二数据信息进行审计的审计结果为异常的情况下,根据异常类型采取对应的安全措施。本发明实施例利用多个位于内网边缘处的网关作为区块链节点,将网关之间进行多点协作、相互审计,达到针对网络攻击的分布式防御、防劫持防篡改的效果。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种分布式协作方法、联防网关装置及电子设备。
背景技术
目前,大多数企业网络和园区网络(以下统一简称为企业网)在与公共网络连接时,为了保障企业网内部的网络安全,企业会根据成本、安全需求和技术要求等约束条件采购并部署不同类型的防火墙硬件设备,其安全能力随着成本提高而增强。上述的防火墙设备通常部署在企业网的边缘处,防火墙之间无法相互协调,需要统一听从内网指令,属于单点防护。
单点防护中的防火墙等单个设备可采集的流量样本相对较少,无法进行有效的恶意流量识别,也无法保证告警正确率,无法有效应对分布式拒绝服务攻击。分布式拒绝服务攻击指处于公网不同位置的多个攻击者同时向一个目标发动攻击,是一种分布式的、协同的大规模攻击方式。一旦分布式拒绝服务攻击的流量超过防护水平,则单点防护就会出现故障。并且,多数单点的大型防火墙设备部署在服务器端,只对服务器提供保护并没有考虑网络链路;例如某大型互联网公司就遭受过分布式网络攻击,其核心网络链路带宽资源被耗尽,当时的大型硬件防火墙并没有起到防御作用。
相比较于单点防护,还存在分布式集群防御的方式。分布式集群防御可以在每个节点上配置多个IP地址,当此节点遭受攻击时系统会自动切换至另一个节点。但分布式集群防御的边缘处检测样本较小,位于边缘处的节点只与内部防护中心相连,节点之间无任何联动,也存在单点故障的风险。
发明内容
有鉴于此,本发明提供了一种分布式协作方法、联防网关装置及电子设备,该方法能够将网关之间实现有效联动,减少区块链上的各节点发生失效风险,提高设备的安全性。
第一方面,本发明实施例提供了一种分布式协作方法,所述方法应用于内网边缘处的网关,所述网关视作区块链节点,所述方法包括:
接收通过安全策略的输入流量;
将所述输入流量进行统计整理,转化成区块链上链的第一数据信息;
对所述第一数据信息上链,并对所述第一数据信息以及其他网关上链的第二数据信息进行审计;所述第一数据信息以及其他网关上链的第二数据信息能够被其他网关审计;
获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,所述提案是所述网关或所述其他网关对所述第一数据信息和所述第二数据信息进行审计后生成的;
在所述网关或所述其他网关对所述第一数据信息和/或所述第二数据信息审计之后的结果存在异常的情况下,根据异常类型采取对应的安全措施。
可选地,在所述对所述第一数据信息以及其他网关上链的第二数据信息进行审计之后,所述方法还包括:
若所述第一数据信息和/或所述第二数据信息中的输入流量可疑,发起第一流量可疑告警提案,同时标记区块链上相应的可疑数据;
所述获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,包括:
获取其他网关对所述第一流量可疑告警提案进行投票的投票结果,基于所述第一流量可疑告警提案对应的多个投票结果判断输入流量是否存在异常。
可选地,所述获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,包括:
对第二流量可疑告警提案进行投票,所述第二流量可疑告警提案为其他网关对所述第一数据信息以及所述第二数据信息中的输入流量进行审计,且在所述第一数据信息和/或所述第二数据信息中的输入流量可疑的情况下所发起的告警提案;
获取其他网关对所述第二流量可疑告警提案进行投票的投票结果,基于所述第二流量可疑告警提案对应的多个投票结果判断输入流量是否存在异常。
可选地,所述将所述输入流量进行统计整理,转化成区块链上链的第一数据信息,包括:
将所述输入流量以及网关配置进行统计整理,转化成区块链上链的第一数据信息;
其中,所述提案包括在所述第一数据信息中的网关配置可疑的情况下所发起的配置篡改告警提案。
可选地,所述获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,包括:
获取多个网关对所述配置篡改告警提案进行投票的投票结果,基于所述配置篡改告警提案对应的多个投票结果判断所述第一数据信息中的网关配置是否存在异常。
可选地,所述基于所述投票结果判断是否存在异常,包括:
在投票确认所述第一数据信息和/或所述第二数据信息可疑的网关数量超过网关总数的一半时,判断存在异常。
可选地,所述根据异常类型采集对应的安全措施,包括:
在异常类型为输入流量存在异常的情况下,根据风险等级升级自身的安全策略,所述网关的安全策略与所述其他网关的安全策略同步更新;
在异常类型为所述网关的网关配置存在异常的情况下,将所述网关远程关闭,并从区块链中踢出。
第二方面,本发明实施例提供了一种联防网关装置,所述装置应用于内网边缘处的网关,所述网关视作区块链节点,所述装置包括:
接收模块,用于接收通过安全策略的输入流量;
处理模块,用于将所述输入流量进行统计整理,转化成区块链上链的第一数据信息;
审计模块,用于对所述第一数据信息上链,并对所述第一数据信息以及其他网关上链的第二数据信息进行审计;所述第一数据信息以及其他网关上链的第二数据信息能够被其他网关审计;
投票判断模块,用于获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,所述提案是所述网关或所述其他网关对所述第一数据信息和所述第二数据信息进行审计后生成的;
强化模块,用于在所述网关或所述其他网关对所述第一数据信息和/或所述第二数据信息审计之后的结果存在异常的情况下,根据异常类型采取对应的安全措施。
第三方面,本发明实施例提供了一种电子设备,包括总线、收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述收发器、所述存储器和所述处理器通过所述总线相连,所述计算机程序被所述处理器执行时实现如分布式协作方法中的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如分布式协作方法中的步骤。
相对于现有技术,本发明实施例的有益效果如下:
本发明实施例中,分布式协作方法中的网关之间可以通过相互审计与投票机制完成分布式的过滤与阻断,从而得到联合防御的增益效果,解决单点防护能力瓶颈与安全设备被劫持后防御失效风险。同时利用区块链数据一致性和数据可追溯的特点,实现了对网关节点上流量数据的相互审计。通过区块链链上单点流量数据的再审查、网关节点平权投票告警的方式,防止网关被劫持和提高告警的准确率。
附图说明
为了更清楚地说明本发明实施例或背景技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图进行说明。
图1示出了本发明实施例所提供的分布式协作方法的流程图;
图2示出了本发明实施例所提供的联防系统场景图;
图3示出了本发明实施例所提供的联防系统流程图;
图4示出了本发明实施例所提供的联防网关装置中,模块之间连接关系示意图;
图5示出了本发明实施例所提供的实现分布式协作方法的电子设备的结构示意图。
附图标记说明:
401、接收模块;402、处理模块;403、审计模块;404、投票判断模块;405、强化模块;501、总线;502、处理器;503、收发器;504、总线接口;505、存储器;5051、操作系统;5052、应用程序;506、用户接口。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。为了使本技术领域的技术人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
在分布式网络攻击发生时,其往往在入口端的特征不够明显,而在被攻击的服务器(也就是局域网的中心)的特征才暴露无遗。究其原因,是在入口端的数据量不够,单个边缘网关无法做到高精度的防御。本发明实施例提供了一种分布式协作方法,该方法可以应用于应用于网关,即该方法可以由网关执行;该网关位于内网边缘处。并且,该网关作为区块链的节点,能够与其他网关组成区块链系统;其中,其他网关也是区块链的节点。每个网关可以起到网络防护和数据隔离的作用,并且利用区块链能够实现多点协作,以能够解决现有分布式防御存在的问题。
本发明实施例中,上述的网关指的是能够执行分布式协作方法的网关,其他网关顾名思义指的是除本地网关外的剩余网关;由于其他网关也可以是能够执行分布式协作方法的网关,为方便区分,本发明实施例将上述的网关称为本地网关,将除本地网关之外的剩余的网关即为其他网关。本领域技术人员可以理解,本地网关并非是固定不变的,其他网关中的某一个网关也可以成为本地网关;本地网关和其他网关的概念只是为了便于更好的描述本发明实施例,在实际应用中并不会限制某一网关为本地网关。为避免重复描述,本发明实施例主要说明区块链中一个网关的工作流程,即将其中一个网关作为本地网关,主要说明该本地网关的工作流程,而对其他网关不做赘述。
参照图1,本发明实施例提供的分布式协作方法流程包括:
步骤101:接收通过安全策略的输入流量。
本地网关设有安全策略,流量到达本地网关时需要先经过该安全策略进行判断,以确定流量是否能够通过安全策略。例如,该安全策略可以为防火墙,在不同情况时防火墙的作用不同:基于安全策略检测出异常流量的数量少于网关数量的一半时,则限制攻击源的源地址;基于安全策略检测出异常流量的数量大于网关数量的一半时,则优先保护防火墙中的白名单地址;其中,该第二阈值大于或等于第一阈值。本发明实施例中,该第一阈值、第二阈值为预先设置的阈值,其可以基于网关所允许接收到的异常流量数量而定。例如,将单独的网关在特定时间内允许接收异常流量的数量命名为可承载量,该第一阈值不大于该可承载量,该第二阈值不小于该可承载量。
步骤102:将输入流量进行统计整理,转化成区块链上链的第一数据信息。
由于向区块链上传数据需要自定义特别的数据结构,故本发明实施将输入流量进行统计整理,形成可以上链的数据结构,即第一数据信息。可选地,区块链为Fabric联盟链,Fabric联盟链中的成员都需要在可信赖的成员服务提供者处注册,否则不能参与交易。因此相对于私有链,Fabric联盟链的安全性更高。
步骤103:对第一数据信息上链,并对第一数据信息以及其他网关上链的第二数据信息进行审计;第一数据信息以及其他网关上链的第二数据信息能够被其他网关审计。
如上所述,其他网关也可执行该分布式协作方法。相应地,其他网关也可以对自身获取到的输入流量转换为可以上链的数据信息,即第二数据信息。本领域技术人员可以理解,第一数据信息、第二数据信息均为可上链的数据信息,只是二者由不同的网关生成。其他网关生成第二数据信息后,即可将该第二数据信息上传至区块链,使得本地网关通过区块链可以获取到其他网关上传的第二数据信息,进而能够对该第二数据信息进行审计。
其中,本地网关可以定时向区块链上报自身流量统计数据,即第一数据信息,同时本地网关还可以定时审计其他网关上报的流量统计数据,即第二数据信息。可选地,第一数据信息和第二数据信息的上链周期为3s-10s;例如,本地网关每隔5秒即向区块链上传一次当前获取到的第一数据信息。
步骤104:获取多个网关对提案进行投票的投票结果,基于投票结果判断第一数据信息和/或第二数据信息是否存在异常,该提案是网关或其他网关对第一数据信息和第二数据信息进行审计后生成的。
如上所述,本地网关可以对第一数据信息和第二数据信息进行审计,从而得到本地网关的审计结果;相应地,能够执行该分布式协作方法的其他网关也可对区块链中的第一数据信息和第二数据信息进行审计,得到其他网关的审计结果,即多个网关之间能够互相审计。每个网关确定自身的审计结果后,可以将该审计结果上传至区块链,使得同一区块链的每个节点均可获取到其他节点的审计结果;例如,本地网关可以获取到其他节点的审计结果,进而本地网关可以基于多个网关的审计结果判断该第一数据信息、第二数据信息是否异常。
本发明实施例中,在第一数据信息和第二数据信息均上链之后,例如在上述步骤103“对第一数据信息上链”之后,本地网关或其他网关可以生成针对该第一数据信息和第二数据信息的提案,并由同一区块链中的其他节点对该提案进行投票,基于该提案的投票结果即可判断该第一数据信息和第二数据信息是否异常。例如,网关(本地网关或其他网关)可以生成表示该第一数据信息和第二数据信息正常的提案,若多个网关均对该提案投赞成票,即多个网关(例如,超过一半的网关)均认为该第一数据信息和第二数据信息是正常的,则可认为当前不存在异常的情况。其中,在生成提案时,可以标记区块链中与该提案对应的数据(即相应的第一数据信息和第二数据信息),以方便其他的节点能够快速定位到该提案对应的第一数据信息和第二数据信息。
或者,由于网关被攻击是少数情况,为避免频繁生成提案,本发明实施例中的网关(本地网关或其他网关)生成表示第一数据信息和/或第二数据信息可能不正常的提案,即告警提案。该告警提案可以由本地网关提出,也可由其他网关提出,本发明实施例对此不做限定。
其中,多个网关为本地网关和其他网关的总和。若网关(包括本地网关和其他网关)判断第一数据信息和/或第二数据信息异常,则生成的审计结果为异常。即,若网关确定第一数据信息异常,则其审计结果为异常;或者,若网关确定第二数据信息异常,则其审计结果为异常;或者,若网关确定第一数据信息和第二数据信息均异常,则其审计结果为异常。
步骤105:在网关或其他网关对第一数据信息和/或第二数据信息审计之后的结果存在异常的情况下,根据异常类型采取对应的安全措施。
本发明实施例中,上链的数据信息(包括第一数据信息和第二数据信息)中除了包含输入流量之外,还可包含其他类型的信息,例如网关配置;对于不同类型的信息存在异常,其也对应不同的异常类型;并且,不同的异常类型,其对应的安全措施也不尽相同;例如,在异常类型为输入流量存在异常的情况下,根据风险等级本地网关或其他网关升级自身的安全策略,本地网关与其他网关的安全策略可同步更新;在异常类型为某一网关的网关配置存在异常的情况下,可以将此网关远程关闭,并从区块链中踢出。
上述步骤104中的“多个网关”可以为多个其他网关,也可以是包含本地网关的多个网关(即包含本地网关以及多个其他网关),本发明实施例对此不做限定。例如,该“多个网关”可以是该区块链中的所有网关。或者,也可以是该区块链中的部分网关;例如,该“多个网关”是该区块链中的一半网关,即,若区块链中有至少一半的网关生成了异常的审计结果,则可认为第一数据信息和/或第二数据信息是异常的。
本发明实施例中,若多个网关的审计结果为异常,则可说明至少一个网关获取到了异常的输入流量,即该网关的安全策略不足以拦截该异常的输入流量,故需要更新安全策略,以使得更新后的安全策略能够拦截异常的流量。可选地,异常的输入流量中可能是由DDoS分布式网络攻击造成的,即攻击者会从边缘处的很多网关处进入内网,使得内网总的服务器遭到攻击,为了避免上述情况发生,网关的安全策略与其他网关的安全策略需同步更新,即在异常时,本地网关会更新安全策略,其他网关也会更新安全策略。
其中,安全策略是指在某个安全区域内,用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全控制中心建立的,并由安全控制中心来实施。安全策略的目的是对输入流量实现边缘检测并识别,以对异常流量实现过滤和阻断。
本地网关对其他网关发出告警提案或主动发出告警提案。可选地,其他网关中的任意网关均可对剩余网关执行上述操作。在步骤103和步骤104之间还执行有安全数据处理,用于保护本地网关自身安全,针对区块链上报和区块链本身非节点上的流量信息进行加解密处理。
本发明实施例提供的分布式协作方法,虽然单一网关的流量样本不足,但每个网关利用区块链可以获取到其他网关所上链的信息,使得每个网关可以结合多个网关的流量进行判断,可以有效避免因检测样本小而造成的检测不精准、告警误报率高的问题;利用区块链数据一致性和数据可追溯的特点,实现了对网关节点上流量数据的相互审计,多个网关之间通过相互审计完成分布式的过滤与阻断,从而得到联合防御的增益效果。并且,一旦位于边缘末端的网关被攻击方攻击,本发明实施例提供的方法能够在末端实现拦截,达到末端防御的效果,又减轻了内网链路的压力,在入口的边缘检测和入口拒止可以更好地保护内网的核心链路和网络资源。
可选地,本发明实施例中,区块链中的任一网关可以对上链的数据信息生成提案,利用多个网关对该提案的审计结果判断是否存在异常。具体地,本发明实施例将由本地网关提出的告警提案称为第一流量可疑告警提案,且在上述步骤“对第一数据信息以及其他网关上链的第二数据信息进行审计”之后,该方法还包括:
步骤A1:若所述第一数据信息和/或所述第二数据信息中的输入流量可疑,发起第一流量可疑告警提案,同时标记区块链上相应的可疑数据。
并且,上述步骤104“获取多个网关对提案进行投票的投票结果,基于投票结果判断第一数据信息和/或第二数据信息是否存在异常”包括:
步骤B1:获取其他网关对所述第一流量可疑告警提案进行投票的投票结果,基于所述第一流量可疑告警提案对应的多个投票结果判断输入流量是否存在异常。
本发明实施例中,本地网关在通过区块链获取到第一数据信息和第二数据信息之后,如上述步骤103所示,本地网关可以对第一数据信息以及第二数据信息进行审计,若本地网关判断第一数据信息和/或第二数据信息可疑,则可发起告警提案,即第一流量可疑告警提案,并指示区块链中其他网关对该第一流量可疑告警提案进行投票;其他网关也可以对该第一流量可疑告警提案所对应的第一数据信息和第二数据信息进行审计,以确定对该第一流量可疑告警提案投赞成票还是投反对票,并将投票结果上传至区块链。例如,若其他网关在审计后也认为第一数据信息和/或第二数据信息可疑,则其他网关可对该第一流量可疑告警提案投赞成票。在多个网关均对该第一流量可疑告警提案进行了投票,则可基于该第一流量可疑告警提案对应的投票结果判断是否异常。例如,在投票通过的网关数量超过网关总数的一半时,判断为异常;即,当有超过一半的网关对第一流量可疑告警提案投赞成票时,则可认为当前存在异常。
相应地,本发明实施例将由除本地网关之外的其他网关所提出的告警提案称为第二流量可疑告警提案,且上述步骤104“获取多个网关对提案进行投票的投票结果,基于投票结果判断第一数据信息和/或第二数据信息是否存在异常”,包括:
步骤C1:对第二流量可疑告警提案进行投票,所述第二流量可疑告警提案为其他网关对所述第一数据信息以及所述第二数据信息中的输入流量进行审计,且在所述第一数据信息和/或所述第二数据信息中的输入流量可疑的情况下所发起的告警提案。
步骤C2:获取其他网关对第二流量可疑告警提案进行投票的投票结果,基于所述第二流量可疑告警提案对应的多个投票结果判断输入流量是否存在异常。
本发明实施例中,第二流量可疑告警提案进行投票后会获得本地网关的投票结果。
本发明实施例中,如上述相似,若其他网关在通过区块链获取到第一数据信息和第二数据信息之后,其他网关也可以对第一数据信息以及第二数据信息进行审计,若其他网关判断第一数据信息和/或第二数据信息可疑,则可发起告警提案,即第二流量可疑告警提案,并指示区块链中的其他网关(包括本地网关)对该第二流量可疑告警提案进行投票,即如步骤C11所示,本地网关可以对第二流量可疑告警提案进行投票;其中,每个网关均将投票结果均上传至区块链,使得本地网关可以获取到其他网关对该第二流量可疑告警提案进行投票的投票结果,进而能够综合多个网关的投票结果判断是否异常,实现异常检测。
此外可选地,如上所述,上链的数据信息还可以包括网关配置。具体地,上述步骤102“将输入流量进行统计整理,转化成区块链上链的第一数据信息”,包括:将输入流量以及网关配置进行统计整理,转化成区块链上链的第一数据信息。其中,该提案包括在第一数据信息中的网关配置可疑的情况下所发起的配置篡改告警提案。
可选地,在数据信息包含网关配置的情况下,上述步骤104“获取多个网关对提案进行投票的投票结果,基于投票结果判断第一数据信息和/或第二数据信息是否存在异常”包括:
步骤D1:获取多个网关对配置篡改告警提案进行投票的投票结果,基于配置篡改告警提案对应的多个投票结果判断第一数据信息中的网关配置是否存在异常。
本发明实施例中的数据信息(包括第一数据信息和第二数据信息)除了包括与输入流量相关的信息之外,还可以包括与网关配置相关的信息,例如该网关配置可以基于操作日志所生成的信息,该信息能够表征网关的操作行为;在第一数据信息中网关配置异常的情况下,将相应的网关远程关闭,并从区块链中踢出,通知管理员介入。
其中,若第一数据信息中的网关配置可以,即本地网关的网关配置可疑,则可生成该配置篡改告警提案;该配置篡改告警提案可以由本地网关生成,也可由其他网关生成,本实施例对此不做限定。并且,多个网关对该配置篡改告警提案进行投票,若多个网关的投票结果为该第一数据信息中的网关配置存在异常,则可认为本地网关包含异常的配置异常,例如,该本地网关存在异常的操作(例如,降低安全策略等级、网关配置信息被篡改等);例如,该本地网关可能已被攻击者劫持,其配置已被非法篡改,故本发明实施例将该本地网关远程关闭,并从区块链中剔除,以避免该异常的本地网关影响后续的审计决策。类似地,若第二数据信息中包含异常的网关配置,则将相应的其他网关远程关闭,此处不做赘述。通过检测数据信息中的网关配置是否异常,可以防止网关被劫持,且使用区块链保证了流量数据和网关配置的不可篡改性和不可伪造性,为对抗分布式网络攻击的靠近源端的检测提供了基础保证,可以实现高精度防御。
需要说明的是,本发明实施例中的“告警”和“异常”表示相似但不同的含义。其中,“告警”指的是由某一个网关所确定的标识,其为初步的判断结果;“异常”指的是由多个网关所确定的标识,其可以为最终的判断结果。
下面通过一个实施例详细介绍该分布式协作方法的流程。
由于本发明实施例中的多个网关可以实现联防效果,故将网关称为联防网关(或者,安全联防网关),多个联防网关处于同一区块链中,形成联防系统。
参照图2,本发明实施例的联防系统场景包括内网中的多个核心服务器以及内网边缘处的多个网关;联防系统的应用场景可具体为园区网、企业网和家庭网等具有一定私有性的局域网络。
在本发明实施例中,如图2所示,内网核心服务器的数量为三个,(核心服务器数量可根据企业需求自行选择),用于对企业的日常数据进行处理、存储和运算,能够有效提高企业的数字化水平以及管理效率。并且,该联防系统包括n个联防网关,分别命名为联防网关A-1、A-2、…、A-n。为方便描述,本发明实施例将联防网关A-1作为上述的本地网关,将联防网关A-2至A-n作为其他网关。当然,在联防网关A-2、或A-3等作为本地网关时,该联防网关A-1是上述的“其他网关”。
参照图3,本发明实施例中,联防系统的详细工作流程包括:
步骤301:定时对内网边缘处的网关进行日志记录统计,并得到所需信息。日志记录的统计时间间隔范围为3s-10s。
步骤302:将获取到的网关日志记录进行整理并上报区块链,同时计算储存哈希值。
其中,哈希值指哈希函数,表示哈希表中元素的关键键值映射为元素存储位置的函数。本发明实施例中的哈希值为一段数据,是指某个网关日志便于识别身份的“身份证”。
步骤303:区块链内部网关之间的日志记录进行互相审计,得到审计结果。
步骤304:判断审计结果是否发出告警。若告警不发出,则重回步骤301;若告警发出,则继续步骤305。
步骤305:判断网关之间的投票数是否超过网关总数的一半。若投票数大于或等于网关总数的一半,则继续步骤306;若投票数小于网关总数的一半,则重回步骤301。若输入流量中的异常数据类似于DDoS分布式网络攻击,则攻击者就会从边缘处的网关处进入内网,内网总的服务器遭到攻击,为了避免上述情况发生,所有网关的安全策略均需要同步更新并发出告警。
步骤306:网关整体发出告警。
步骤307:判断告警是否为可疑操作。若为可疑操作,将带有可疑操作的网关远程关闭、踢出区块链并通知管理员介入;若网关没有被劫持,则全部网关修改防御策略配置。
此外,本发明实施例还提供了一种电子设备,包括总线、收发器、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该收发器、该存储器和处理器分别通过总线相连,计算机程序被处理器执行时实现上述方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
参照图4,本发明实施例还提供了一种联防网关装置,装置应用于内网边缘处的网关,网关视作区块链节点,如图4所示,该装置包括:
接收模块401,用于接收通过安全策略的输入流量;
处理模块402,用于将输入流量进行统计整理,转化成区块链上链的第一数据信息;
审计模块403,用于对第一数据信息上链,并对第一数据信息以及其他网关上链的第二数据信息进行审计;第一数据信息以及其他网关上链的第二数据信息能够被其他网关审计;
投票判断模块404,用于获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,所述提案是所述网关或所述其他网关对所述第一数据信息和所述第二数据信息进行审计后生成的;
强化模块405,用于在所述网关或所述其他网关对所述第一数据信息和/或所述第二数据信息审计之后的结果存在异常的情况下,根据异常类型采取对应的安全措施。
可选地,审计模块403还用于:在对第一数据信息以及其他网关上链的第二数据信息进行审计之后,若第一数据信息和/或第二数据信息可疑,发起第一流量可疑告警提案;
投票判断模块404所执行的获取多个网关对提案进行投票的投票结果的步骤,包括:
获取其他网关对第一流量可疑告警提案进行投票的投票结果,基于第一流量可疑告警提案对应的投票结果判断是否异常。
可选地,投票判断模块404所执行的获取多个网关对提案进行投票的投票结果的步骤,包括:
对第二流量可疑告警提案进行投票,第二流量可疑告警提案为其他网关对第一数据信息以及第二数据信息进行审计,且在第一数据信息和/或第二数据信息可疑的情况下所发起的告警提案;
获取其他网关对第二流量可疑告警提案进行投票的投票结果,基于所述第二流量可疑告警提案对应的多个投票结果判断输入流量是否存在异常。
可选地,所述处理模块402将所述输入流量进行统计整理,转化成区块链上链的第一数据信息,包括:将所述输入流量以及网关配置进行统计整理,转化成区块链上链的第一数据信息;其中,所述提案包括在所述第一数据信息中的网关配置可疑的情况下所发起的配置篡改告警提案。
可选地,所述投票判断模块404获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,包括:
获取多个网关对所述配置篡改告警提案进行投票的投票结果,基于所述配置篡改告警提案对应的多个投票结果判断所述第一数据信息中的网关配置是否存在异常。
可选地,所述基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,包括:
在投票确认所述第一数据信息和/或所述第二数据信息可疑的网关数量超过网关总数的一半时,判断存在异常。
可选地,所述强化模块405根据异常类型采集对应的安全措施,包括:
在异常类型为输入流量存在异常的情况下,根据风险等级升级自身的安全策略,所述网关的安全策略与所述其他网关的安全策略同步更新;
在异常类型为所述网关的网关配置存在异常的情况下,将所述网关远程关闭,并从区块链中踢出。
此外,本发明实施例还提供了一种电子设备,包括总线、收发器、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该收发器、该存储器和处理器分别通过总线相连,计算机程序被处理器执行时实现上述分布式协作方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
具体的,参照图5所示,本发明实施例还提供了一种电子设备,该电子设备包括总线501、处理器502、收发器503、总线接口504、存储器505和用户接口506。
在本发明实施例中,该电子设备还包括:存储在存储器505上并可在处理器502上运行的计算机程序,计算机程序被处理器502执行时实现上述分布式协作方法实施例的各个过程。
收发器503,用于在处理器502的控制下接收和发送数据。
本发明实施例中,总线架构(用总线501来代表),总线501可以包括任意数量互联的总线和桥,总线501将包括由处理器502代表的一个或多个处理器与存储器505代表的存储器的各种电路连接在一起。
总线501表示若干类型的总线结构中的任何一种总线结构中的一个或多个,包括存储器总线以及存储器控制器、外围总线、加速图形端口(Accelerate Graphical Port,AGP)、处理器或使用各种总线体系结构中的任意总线结构的局域总线。作为示例而非限制,这样的体系结构包括:工业标准体系结构(Industry Standard Architecture,ISA)总线、微通道体系结构(Micro Channel Architecture,MCA)总线、扩展ISA(Enhanced ISA,EISA)总线、视频电子标准协会(Video Electronics Standards Association,VESA)、外围部件互连(Peripheral Component Interconnect,PCI)总线。
处理器502可以是一种集成电路芯片,具有信号处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中硬件的集成逻辑电路或软件形式的指令完成。上述的处理器包括:通用处理器、中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)、复杂可编程逻辑器件(Complex Programmable LogicDevice,CPLD)、可编程逻辑阵列(Programmable Logic Array,PLA)、微控制单元(Microcontroller Unit,MCU)或其他可编程逻辑器件、分立门、晶体管逻辑器件、分立硬件组件。可以实现或执行本发明实施例中公开的各方法、步骤及逻辑框图。例如,处理器可以是单核处理器或多核处理器,处理器可以集成于单颗芯片或位于多颗不同的芯片。
处理器502可以是微处理器或任何常规的处理器。结合本发明实施例所公开的方法步骤可以直接由硬件译码处理器执行完成,或者由译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(Random Access Memory,RAM)、闪存(FlashMemory)、只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、寄存器等本领域公知的可读存储介质中。所述可读存储介质位于存储器中,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
总线501还可以将,例如外围设备、稳压器或功率管理电路等各种其他电路连接在一起,总线接口504在总线501和收发器503之间提供接口,这些都是本领域所公知的。因此,本发明实施例不再对其进行进一步描述。
收发器503可以是一个元件,也可以是多个元件,例如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。例如:收发器503从其他设备接收外部数据,收发器503用于将处理器502处理后的数据发送给其他设备。取决于计算机系统的性质,还可以提供用户接口506,例如:触摸屏、物理键盘、显示器、鼠标、扬声器、麦克风、轨迹球、操纵杆、触控笔。
应理解,在本发明实施例中,存储器505可进一步包括相对于处理器502远程设置的存储器,这些远程设置的存储器可以通过网络连接至服务器。上述网络的一个或多个部分可以是自组织网络(ad hoc network)、内联网(intranet)、外联网(extranet)、虚拟专用网(VPN)、局域网(LAN)、无线局域网(WLAN)、广域网(WAN)、无线广域网(WWAN)、城域网(MAN)、互联网(Internet)、公共交换电话网(PSTN)、普通老式电话业务网(POTS)、蜂窝电话网、无线网络、无线保真(Wi-Fi)网络以及两个或更多个上述网络的组合。例如,蜂窝电话网和无线网络可以是全球移动通信(GSM)系统、码分多址(CDMA)系统、全球微波互联接入(WiMAX)系统、通用分组无线业务(GPRS)系统、宽带码分多址(WCDMA)系统、长期演进(LTE)系统、LTE频分双工(FDD)系统、LTE时分双工(TDD)系统、先进长期演进(LTE-A)系统、通用移动通信(UMTS)系统、增强移动宽带(Enhance Mobile Broadband,eMBB)系统、海量机器类通信(massive Machine Type of Communication,mMTC)系统、超可靠低时延通信(UltraReliable Low Latency Communications,uRLLC)系统等。
应理解,本发明实施例中的存储器505可以是易失性存储器或非易失性存储器,或可包括易失性存储器和非易失性存储器两者。其中,非易失性存储器包括:只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存(Flash Memory)。
易失性存储器包括:随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如:静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DRRAM)。本发明实施例描述的电子设备的存储器505包括但不限于上述和任意其他适合类型的存储器。
在本发明实施例中,存储器505存储了操作系统5051和应用程序5052的如下元素:可执行模块、数据结构,或者其子集,或者其扩展集。
具体而言,操作系统5051包含各种系统程序,例如:框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序5052包含各种应用程序5052,例如:媒体播放器(Media Player)、浏览器(Browser),用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序5052中。应用程序5052包括:小程序、对象、组件、逻辑、数据结构以及其他执行特定任务或实现特定抽象数据类型的计算机系统可执行指令。
此外,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述分布式协作方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
计算机可读存储介质包括:永久性和非永久性、可移动和非可移动媒体,是可以保留和存储供指令执行设备所使用指令的有形设备。计算机可读存储介质包括:电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备以及上述任意合适的组合。计算机可读存储介质包括:相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带存储、磁带磁盘存储或其他磁性存储设备、记忆棒、机械编码装置(例如在其上记录有指令的凹槽中的穿孔卡或凸起结构)或任何其他非传输介质、可用于存储可以被计算设备访问的信息。按照本发明实施例中的界定,计算机可读存储介质不包括暂时信号本身,例如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如穿过光纤电缆的光脉冲)或通过导线传输的电信号。
在本发明所提供的几个实施例中,应该理解到,所披露的装置、电子设备和方法,可以通过其他的方式实现。例如,以上描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的、机械的或其他的形式连接。
所述作为分离部件说明的单元可以是或也可以不是物理上分开的,作为单元显示的部件可以是或也可以不是物理单元,既可以位于一个位置,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或全部单元来解决本发明实施例方案要解决的问题。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术作出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(包括:个人计算机、服务器、数据中心或其他网络设备)执行本发明各个实施例所述方法的全部或部分步骤。而上述存储介质包括如前述所列举的各种可以存储程序代码的介质。
在本发明实施例的描述中,所属技术领域的技术人员应当知道,本发明实施例可以实现为方法、装置、电子设备及计算机可读存储介质。因此,本发明实施例可以具体实现为以下形式:完全的硬件、完全的软件(包括固件、驻留软件、微代码等)、硬件和软件结合的形式。此外,在一些实施例中,本发明实施例还可以实现为在一个或多个计算机可读存储介质中的计算机程序产品的形式,该计算机可读存储介质中包含计算机程序代码。
上述计算机可读存储介质可以采用一个或多个计算机可读存储介质的任意组合。计算机可读存储介质包括:电、磁、光、电磁、红外或半导体的系统、装置或器件,或者以上任意的组合。计算机可读存储介质更具体的例子包括:便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、闪存(Flash Memory)、光纤、光盘只读存储器(CD-ROM)、光存储器件、磁存储器件或以上任意组合。在本发明实施例中,计算机可读存储介质可以是任意包含或存储程序的有形介质,该程序可以被指令执行系统、装置、器件使用或与其结合使用。
上述计算机可读存储介质包含的计算机程序代码可以用任意适当的介质传输,包括:无线、电线、光缆、射频(Radio Frequency,RF)或者以上任意合适的组合。
可以以汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路配置数据或以一种或多种程序设计语言或其组合来编写用于执行本发明实施例操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,例如:Java、Smalltalk、C++,还包括常规的过程式程序设计语言,例如:C语言或类似的程序设计语言。计算机程序代码可以完全的在用户计算机上执行、部分的在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行以及完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括:局域网(LAN)或广域网(WAN),可以连接到用户计算机,也可以连接到外部计算机。
本发明实施例通过流程图和/或方框图描述所提供的方法、装置、电子设备。
应当理解,流程图和/或方框图的每个方框以及流程图和/或方框图中各方框的组合,都可以由计算机可读程序指令实现。这些计算机可读程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而生产出一种机器,这些计算机可读程序指令通过计算机或其他可编程数据处理装置执行,产生了实现流程图和/或方框图中的方框规定的功能/操作的装置。
也可以将这些计算机可读程序指令存储在能使得计算机或其他可编程数据处理装置以特定方式工作的计算机可读存储介质中。这样,存储在计算机可读存储介质中的指令就产生出一个包括实现流程图和/或方框图中的方框规定的功能/操作的指令装置产品。
也可以将计算机可读程序指令加载到计算机、其他可编程数据处理装置或其他设备上,使得在计算机、其他可编程数据处理装置或其他设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其他可编程数据处理装置上执行的指令能够提供实现流程图和/或方框图中的方框规定的功能/操作的过程。
以上所述,仅为本发明实施例的具体实施方式,但本发明实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例披露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明实施例的保护范围之内。因此,本发明实施例的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种分布式协作方法,其特征在于,所述方法应用于内网边缘处的网关,所述网关视作区块链节点,所述方法包括:
接收通过安全策略的输入流量;
将所述输入流量进行统计整理,转化成区块链上链的第一数据信息;
对所述第一数据信息上链,并对所述第一数据信息以及其他网关上链的第二数据信息进行审计;所述第一数据信息以及其他网关上链的第二数据信息能够被其他网关审计;
获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,所述提案是所述网关或所述其他网关对所述第一数据信息和所述第二数据信息进行审计后生成的;
在所述网关或所述其他网关对所述第一数据信息和/或所述第二数据信息审计之后的结果存在异常的情况下,根据异常类型采取对应的安全措施。
2.根据权利要求1所述的分布式协作方法,其特征在于,在所述对所述第一数据信息以及其他网关上链的第二数据信息进行审计之后,所述方法还包括:
若所述第一数据信息和/或所述第二数据信息中的输入流量可疑,发起第一流量可疑告警提案,同时标记区块链上相应的可疑数据;
所述获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,包括:
获取其他网关对所述第一流量可疑告警提案进行投票的投票结果,基于所述第一流量可疑告警提案对应的多个投票结果判断输入流量是否存在异常。
3.根据权利要求1所述的分布式协作方法,其特征在于,所述获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,包括:
对第二流量可疑告警提案进行投票,所述第二流量可疑告警提案为其他网关对所述第一数据信息以及所述第二数据信息中的输入流量进行审计,且在所述第一数据信息和/或所述第二数据信息中的输入流量可疑的情况下所发起的告警提案;
获取其他网关对所述第二流量可疑告警提案进行投票的投票结果,基于所述第二流量可疑告警提案对应的多个投票结果判断输入流量是否存在异常。
4.根据权利要求1所述的分布式协作方法,其特征在于,所述将所述输入流量进行统计整理,转化成区块链上链的第一数据信息,包括:
将所述输入流量以及网关配置进行统计整理,转化成区块链上链的第一数据信息;
其中,所述提案包括在所述第一数据信息中的网关配置可疑的情况下所发起的配置篡改告警提案。
5.根据权利要求4所述的分布式协作方法,其特征在于,所述获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,包括:
获取多个网关对所述配置篡改告警提案进行投票的投票结果,基于所述配置篡改告警提案对应的多个投票结果判断所述第一数据信息中的网关配置是否存在异常。
6.根据权利要求1-5任意一项所述的分布式协作方法,其特征在于,所述基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,包括:
在投票确认所述第一数据信息和/或所述第二数据信息可疑的网关数量超过网关总数的一半时,判断存在异常。
7.根据权利要求1-5任意一项所述的分布式协作方法,其特征在于,所述根据异常类型采集对应的安全措施,包括:
在异常类型为输入流量存在异常的情况下,根据风险等级升级自身的安全策略,所述网关的安全策略与所述其他网关的安全策略同步更新;
在异常类型为所述网关的网关配置存在异常的情况下,将所述网关远程关闭,并从区块链中踢出。
8.一种联防网关装置,其特征在于,所述装置应用于内网边缘处的网关,所述网关视作区块链节点,所述装置包括:
接收模块,用于接收通过安全策略的输入流量;
处理模块,用于将所述输入流量进行统计整理,转化成区块链上链的第一数据信息;
审计模块,用于对所述第一数据信息上链,并对所述第一数据信息以及其他网关上链的第二数据信息进行审计;所述第一数据信息以及其他网关上链的第二数据信息能够被其他网关审计;
投票判断模块,用于获取多个网关对提案进行投票的投票结果,基于所述投票结果判断所述第一数据信息和/或所述第二数据信息是否存在异常,所述提案是所述网关或所述其他网关对所述第一数据信息和所述第二数据信息进行审计后生成的;
强化模块,用于在所述网关或所述其他网关对所述第一数据信息和/或所述第二数据信息审计之后的结果存在异常的情况下,根据异常类型采取对应的安全措施。
9.一种电子设备,包括总线、收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述收发器、所述存储器和所述处理器通过所述总线相连,其特征在于,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的分布式协作方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的分布式协作方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211341634.4A CN115412367B (zh) | 2022-10-31 | 2022-10-31 | 一种分布式协作方法、联防网关装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211341634.4A CN115412367B (zh) | 2022-10-31 | 2022-10-31 | 一种分布式协作方法、联防网关装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115412367A true CN115412367A (zh) | 2022-11-29 |
| CN115412367B CN115412367B (zh) | 2022-12-27 |
Family
ID=84167326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211341634.4A Active CN115412367B (zh) | 2022-10-31 | 2022-10-31 | 一种分布式协作方法、联防网关装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115412367B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117176547A (zh) * | 2023-08-17 | 2023-12-05 | 鸿图百奥科技(广州)有限公司 | 一种通信设备的管控方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111478902A (zh) * | 2020-04-07 | 2020-07-31 | 江苏润和智融科技有限公司 | 电力边缘网关设备及基于该设备的传感数据上链存储方法 |
| CN111835556A (zh) * | 2020-06-10 | 2020-10-27 | 清华大学 | 安全管控的方法、装置及计算机可读存储介质 |
| CN112804310A (zh) * | 2020-12-31 | 2021-05-14 | 河南中盾云安信息科技有限公司 | 一种面向物联网应用的多链智能安全网关及实现方法 |
| US20220035932A1 (en) * | 2018-12-14 | 2022-02-03 | Zerynth S.r.l. | System, device and method for securely transferring information from a hardware to a blockchain |
-
2022
- 2022-10-31 CN CN202211341634.4A patent/CN115412367B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220035932A1 (en) * | 2018-12-14 | 2022-02-03 | Zerynth S.r.l. | System, device and method for securely transferring information from a hardware to a blockchain |
| CN111478902A (zh) * | 2020-04-07 | 2020-07-31 | 江苏润和智融科技有限公司 | 电力边缘网关设备及基于该设备的传感数据上链存储方法 |
| CN111835556A (zh) * | 2020-06-10 | 2020-10-27 | 清华大学 | 安全管控的方法、装置及计算机可读存储介质 |
| CN112804310A (zh) * | 2020-12-31 | 2021-05-14 | 河南中盾云安信息科技有限公司 | 一种面向物联网应用的多链智能安全网关及实现方法 |
Non-Patent Citations (2)
| Title |
|---|
| MAZIN DEBE 等: "Trustworthy Blockchain Gateways for Resource-Constrained Clients and IoT Devices", 《IEEE ACCESS》 * |
| 王振明 等: "云边协同物联网中区块链技术的应用研究", 《物联网技术》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117176547A (zh) * | 2023-08-17 | 2023-12-05 | 鸿图百奥科技(广州)有限公司 | 一种通信设备的管控方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115412367B (zh) | 2022-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Brotsis et al. | Blockchain solutions for forensic evidence preservation in IoT environments | |
| US11361071B2 (en) | Apparatus and method for conducting endpoint-network-monitoring | |
| Rani et al. | Threats and corrective measures for IoT security with observance of cybercrime: A survey | |
| US9848016B2 (en) | Identifying malicious devices within a computer network | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| Srivastava et al. | Future IoT‐enabled threats and vulnerabilities: State of the art, challenges, and future prospects | |
| CN114124583B (zh) | 基于零信任的终端控制方法、系统及装置 | |
| EP3433749B1 (en) | Identifying and trapping wireless based attacks on networks using deceptive network emulation | |
| WO2019201458A1 (en) | Methods, nodes and operator network for enabling management of an attack towards an application | |
| CN111010384A (zh) | 一种物联网终端自我安全防御系统及其安全防御方法 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| Liebergeld et al. | Cellpot: A concept for next generation cellular network honeypots | |
| CN115412367B (zh) | 一种分布式协作方法、联防网关装置及电子设备 | |
| Anisetti et al. | Security threat landscape | |
| Cagalaban et al. | Improving SCADA control systems security with software vulnerability analysis | |
| Zeinali | Analysis of security information and event management (SIEM) evasion and detection methods | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| Гарасимчук et al. | Analysis of principles and systems for detecting remote attacks through the internet | |
| Alqahtani et al. | Embedding a distributed auditing mechanism in the service cloud | |
| Karamagi | Comptia Security+ Practice Exams | |
| KR102571147B1 (ko) | 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램 | |
| US20230370495A1 (en) | Breach prediction via machine learning | |
| Berasaluce | Cybercrime in the IoT era | |
| US20240129338A1 (en) | Risk Mitigation Effectiveness Score of Network Security Services | |
| Maidamwar et al. | Intrusion Detection Systems in IoT: Techniques, Datasets, and Challenges |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |