CN116896480A - 一种基于区块链的网络安全管理系统 - Google Patents
一种基于区块链的网络安全管理系统 Download PDFInfo
- Publication number
- CN116896480A CN116896480A CN202311122417.0A CN202311122417A CN116896480A CN 116896480 A CN116896480 A CN 116896480A CN 202311122417 A CN202311122417 A CN 202311122417A CN 116896480 A CN116896480 A CN 116896480A
- Authority
- CN
- China
- Prior art keywords
- network
- information
- blockchain
- event information
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 claims abstract description 39
- 238000013475 authorization Methods 0.000 claims abstract description 36
- 238000012544 monitoring process Methods 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 23
- 238000001514 detection method Methods 0.000 claims abstract description 20
- 238000005516 engineering process Methods 0.000 claims abstract description 14
- 230000007246 mechanism Effects 0.000 claims abstract description 12
- 230000002159 abnormal effect Effects 0.000 claims description 49
- 238000007726 management method Methods 0.000 claims description 46
- 230000008569 process Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 10
- 238000012790 confirmation Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 10
- 241000700605 Viruses Species 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000005856 abnormality Effects 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007480 spreading Effects 0.000 description 2
- 238000003892 spreading Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于区块链的网络安全管理系统,包括访问控制模块、事件共享模块、入侵检测模块和策略管理模块,访问控制模块用于利用第一智能合约算法,对接入网络系统的网络节点进行身份验证和授权控制;事件共享模块,用于记录网络系统的网络事件信息,以及利用分布式账本技术,对所有网络事件信息进行共享;入侵检测模块,用于利用共识机制,基于事件共享模块所共享的网络事件信息,监测网络系统中的潜在威胁信息;策略管理模块,用于执行潜在威胁信息对应的安全策略,安全策略用于对存在潜在威胁信息的网络系统进行异常处理。实现了降低对网络边界的依赖以及实现网络安全管理系统的集中管理,提高网络安全性和管理效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于区块链的网络安全管理系统。
背景技术
随着互联网快速发展与普及,网络安全问题也日益凸显,所以针对网络安全问题进行有效管理迫在眉睫。目前,相关技术采用如防火墙、入侵检测、虚拟专用网、病毒防护和漏洞扫描等传统网络安全系统进行管理,其采用分散式管理和依赖于网络边界的界定。
然而,随着无线网络、移动网络和虚拟专用网等网络普及,网络边界逐渐变得模糊,使得传统的访问控制难以充分发挥作用,容易出现不可信设备接入网络而发生数据篡改,使得网络中的正常设备存在安全隐患,对整个网络正常运行造成不利影响。
发明内容
本申请提供了一种基于区块链的网络安全管理系统,以解决当前网络安全性低的技术问题。
为了解决上述技术问题,第一方面,本申请提供了一种基于区块链的网络安全管理系统,包括:
访问控制模块,用于利用第一智能合约算法,对接入所述网络系统的网络节点进行身份验证和授权控制;
事件共享模块,用于记录所述网络系统的网络事件信息,以及利用分布式账本技术,对所有所述网络事件信息进行共享;
入侵检测模块,用于利用共识机制,基于所述事件共享模块所共享的网络事件信息,监测所述网络系统中的潜在威胁信息;
策略管理模块,用于执行所述潜在威胁信息对应的安全策略,所述安全策略用于对存在潜在威胁信息的所述网络系统进行异常处理。
在第一方面的一些实现方式中,所述访问控制模块,具体包括:
合约管理单元,用于存储所述网络系统的预设智能合约,所述预设智能合约包括网络节点的身份验证条件和授权规则信息;
合约验证单元,用于对所述网络节点的身份信息与区块链上的预设身份信息进行对比,以验证所述网络节点是否满足所述身份验证规则条件,所述预设身份信息基于所述网络节点的公钥进行哈希运算得到;
授权控制单元,用于基于所述授权规则信息,分配所述网络节点的身份信息对应的授权信息;
访问记录单元,用于记录所述网络节点的访问过程信息,所述访问过程信息包括所述身份信息和所述授权信息。
在第一方面的一些实现方式中,所述事件共享模块,具体包括:
事件记录单元,用于记录所述网络系统的网络事件信息;
确认共识单元,用于基于第一预设共识算法,确认所述网络事件信息是否符合有效性条件;
事件广播单元,用于将符合有效性条件的所述网络事件信息存储至预设分布式账本,并对所述网络事件信息进行广播,所述预设分布式账本用于共享所述网络事件信息。
在第一方面的一些实现方式中,所述入侵检测模块,具体包括:
异常监测单元,用于监测所述事件共享模块所共享的网络事件信息中的异常事件信息;
共识验证单元,用于利用第二预设共识算法,根据区块链中已知的异常事件信息,对所述异常监测单元监测到的异常事件信息进行验证,以确认所述异常事件信息是否为潜在威胁信息。
在第一方面的一些实现方式中,所述共识验证单元,具体包括:
初始化子单元,用于初始化参与共识验证的所有区块链节点;
消息广播子单元,用于将所述异常事件信息广播至每个所述区块链节点;
投票子单元,用于接收每个所述区块链节点反馈的投票信息,所述投票信息为所述区块链节点根据区块链中已知的异常事件信息,对所述异常监测单元监测到的异常事件信息进行完整性验证和合法性验证的结果信息;
共识决策子单元,用于对所述投票信息进行汇总和验证,并确认所述异常事件信息是否为潜在威胁信息。
在第一方面的一些实现方式中,所述策略管理模块,具体包括:
共识决策单元,用于利用第三预设共识算法,确认所述潜在威胁信息对应的安全策略;
策略执行单元,用于利用第二智能合约算法,执行所述安全策略,以对存在潜在威胁信息的所述网络系统进行异常处理。
在第一方面的一些实现方式中,所述事件追溯模块,用于基于所述网络事件信息,追溯所述潜在威胁信息的攻击者信息。
第二方面,本申请还提供一种基于区块链的网络安全管理方法,包括:
利用第一智能合约算法,对接入所述网络系统的网络节点进行身份验证和授权控制;
记录所述网络系统的网络事件信息,以及利用分布式账本技术,对所有所述网络事件信息进行共享;
利用共识机制,基于所述事件共享模块所共享的网络事件信息,监测所述网络系统中的潜在威胁信息;
执行所述潜在威胁信息对应的安全策略,所述安全策略用于对存在潜在威胁信息的所述网络系统进行异常处理。
第三方面,本申请还提供一种计算机设备,包括处理器和存储器,所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时实现如第二方面所述的基于区块链的网络安全管理方法。
第四方面,本申请还提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如第二方面所述的基于区块链的网络安全管理方法。
与现有技术相比,本申请至少具备以下有益效果:
通过一种基于区块链的网络安全管理系统,包括访问控制模块、事件共享模块、入侵检测模块和策略管理模块,访问控制模块用于利用第一智能合约算法,对接入所述网络系统的网络节点进行身份验证和授权控制,其能够对接入网络系统的网络节点进行身份验证和授权,以建立针对不可信设备的第一层防护,避免不可信设备接入网络系统而对网络系统的正常运行造成不利影响;事件共享模块,用于记录所述网络系统的网络事件信息,以及利用分布式账本技术,对所有所述网络事件信息进行共享,以使区块链节点能够获得最新的威胁情报和安全漏洞,为入侵检测模块识别潜在威胁信息提供最新情报依据,从而提高入侵检测模块的检测准确度;入侵检测模块,用于利用共识机制,基于所述事件共享模块所共享的网络事件信息,监测所述网络系统中的潜在威胁信息,以能够利用区块链共享的已知事件对当前网络事件进行分析,从而能够针对病毒等恶意程序具备的快速感染等特点,及时发现互联网出现的最新病毒和有效防范最新病毒蔓延,从而降低对网络边界的依赖;策略管理模块,用于执行所述潜在威胁信息对应的安全策略,所述安全策略用于对存在潜在威胁信息的所述网络系统进行异常处理,以能够获取最新安全策略和执行该安全策略,提高安全策略执行的有效性。同时,本申请利用区块链技术的去中心化特点,既实现了网络安全管理系统的集中管理,又实现了避免单点故障和数据泄露的风险;以及利用区块链技术的不可篡改性,保障数据安全,提高网络安全性;利用智能合约的高效性,提高网络安全管理系统的管理效率。
附图说明
图1为本申请实施例示出的基于区块链的网络安全管理装置的结构示意图;
图2为本申请实施例示出的基于区块链的网络安全管理方法的流程示意图;
图3为本申请实施例示出的计算机设备的结构示意图。
实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参照图1,图1为本申请实施例提供的一种基于区块链的网络安全管理系统的结构示意图。本申请实施例的网络安全管理系统可搭载于与区块链通信的计算机设备,该计算机设备包括但不限于智能手机、笔记本电脑、平板电脑、桌上型计算机、物理服务器和云服务器等设备。如图1所示,本实施例的基于区块链的网络安全管理系统包括访问控制模块11、事件共享模块12、入侵检测模块13和策略管理模块14,详述如下:
访问控制模块11,用于利用第一智能合约算法,对接入所述网络系统的网络节点进行身份验证和授权控制。
在本模块中,网络系统可以为多个相互连接的计算机、设备或节点组成的系统,它们通过通信链路(如有线或无线网络)进行连接和交换信息,以实现数据传输、资源共享和协同工作等功能。智能合约算法为以计算机程序形式编写的自动执行智能合约的算法,其通过区块链技术确保智能合约的可靠性、安全性和透明性,使得智能合约的执行不依赖于控制中心或信任第三方。
可选地,智能合约包括身份验证条件和授权规则信息,将智能合约部署到区块链网络中,并在区块链上创建唯一的合约实例,合约参与者基于智能合约算法与智能合约交互,传递网络节点的相关参数和数值,以自动执行该智能合约的相关约束条件,从而实现身份验证和授权控制。
需要说明的是,智能合约代替传统合约中需要中介或第三方来执行的任务,并消除了信任的需求,有效避免不可信设备携带的恶意程序修改中介或第三方的信任条件而绕过身份验证的情况,降低对网络边界的依赖。智能合约还可以执行各种复杂的逻辑,并提供高度可靠、不可篡改的合约执行环境。
在一些实施例中,所述访问控制模块11,具体包括:
合约管理单元,用于存储所述网络系统的预设智能合约,所述预设智能合约包括网络节点的身份验证条件和授权规则信息;
合约验证单元,用于对所述网络节点的身份信息与区块链上的预设身份信息进行对比,以验证所述网络节点是否满足所述身份验证规则条件,所述预设身份信息基于所述网络节点的公钥进行哈希运算得到;
授权控制单元,用于基于所述授权规则信息,分配所述网络节点的身份信息对应的授权信息;
访问记录单元,用于记录所述网络节点的访问过程信息,所述访问过程信息包括所述身份信息和所述授权信息。
在本实施例中,将预设智能合约部署到区块链网络,以在区块链网络存储该预设智能合约;将网络节点的身份信息和公钥发送至区块链网络,智能合约算法根据网络节点的公钥和签名验证算法验证身份信息的真实性和完整性(即身份验证条件);当网络节点身份验证成功,则向智能合约发送授权确认请求,如某个资源或功能的访问权限请求,智能合约查询该网络节点的权限信息,并基于授权规则信息,确认该网络节点的授权信息。同时,将访问过程写入区块链,以确保验证授权的过程可追述和不可篡改。
可选地,访问控制模块11还包括权限管理单元,用于维护网络节点的权限信息,并根据授权规则信息管理权限,当权限需要更改时,智能合约进行相应的更新和变更。
需要说明的是,通过智能合约进行身份验证和授权确认,能够利用加密技术和公钥密码学保证身份信息的安全性,并确保合约的正确执行。智能合约可以提供更加透明、去中心化的身份验证和授权确认机制,减少了对中央机构的依赖,并提高了安全性和可信度。
事件共享模块12,用于记录所述网络系统的网络事件信息,以及利用分布式账本技术,对所有所述网络事件信息进行共享。
在本模块中,网络事件信息为与网络安全相关的事件信息,其涵盖了各种与网络有关的事件、威胁、攻击、漏洞和安全事件的数据,包括但不限于以下内容:对于攻击类型,网络事件信息可以包括各种类型的网络攻击事件信息,如分布式拒绝服务(DDoS)攻击、恶意软件(如病毒、木马、蠕虫)攻击、网络钓鱼、勒索软件等事件信息;对于攻击源和攻击目标,网络事件信息可以包括有关攻击的源IP地址、攻击者的行为模式、攻击目标(如特定网站、服务器)的信息;对于攻击程度,网络事件信息可以包含有关攻击的影响程度、受攻击系统的漏洞和安全弱点、被攻击系统的响应时间和服务中断情况的度量指标信息;对于安全事件响应,网络事件信息可以包括针对网络事件的响应措施,如安全修补程序、网络监控、入侵检测和入侵防御系统的使用情况等信息。
分布式账本技术(Distributed Ledger Technology,DLT)是一种通过将数据和交易记录分散存储在多个节点上,并使用共识算法来确保数据的一致性和安全性的技术。本实施例利用分布式账本技术将网络事件信息发布到区块链网络,以使区块链网络中的区块链节点能够共享网络事件信息,以获知最新网络威胁情报和安全漏洞情报,有效阻止病毒等恶意程序在互联网中快速蔓延。
在一些实施例中,所述事件共享模块12,具体包括:
事件记录单元,用于记录所述网络系统的网络事件信息;
确认共识单元,用于基于第一预设共识算法,确认所述网络事件信息是否符合有效性条件;
事件广播单元,用于将符合有效性条件的所述网络事件信息存储至预设分布式账本,并对所述网络事件信息进行广播,所述预设分布式账本用于共享所述网络事件信息。
在本实施例中,事件记录单元将网络事件信息分散存储在区块链网络中的多个节点上,以提高数据的可靠性和可用性。本实施例利用第一预设共识算法针对网络事件信息的有效性达成一致性共识,确保存储至区块链网络的网络事件信息的有效性;再将区块链节点针对网络事件信息的有效性达成一致性共识的网络事件信息发布至预设分布式账本,并对该网络事件信息进行广播。可选地,第一预设共识算法包括但不限于工作量证明(Proof of Work,PoW)算法和权益证明(Proof of Stake,PoS)算法等。
需要说明的是,本实施例通过将网络事件信息添加至分布式账本中,以确保信息不可更改或篡改,避免恶意程序伪造网络事件信息或变更网络事件信息,从而提高了信息的安全性和可信度。同时,分布式账本技术能够使所有区块链节点都有权访问账本的副本,提供了更高的透明度和可验证性,任何参与者都可以验证和审查账本中的数据,因此增加了信任和可靠性。
入侵检测模块13,用于利用共识机制,基于所述事件共享模块所共享的网络事件信息,监测所述网络系统中的潜在威胁信息;
在本模块中,共识机制(Consensus Mechanism)为通过预设共识算法或协议,使得不同区块链节点就网络系统的网络事件信息达成一致共识的过程和方法,其包括但不限于工作量证明算法、权益证明算法、共识委员会(Delegated Proof of Stake,DPoS)算法和实用拜占庭容错(Practical Byzantine Fault Tolerance,PBFT)算法等。
可选地,不同区块链节点就网络事件信息是否存在潜在威胁信息达成一致性共识的过程中,区块链节点以分布式账本所共享的所有网络事件信息作为共识算法的运算依据,验证当前网络事件信息是否存在分布式账本中被标记为潜在威胁信息,以利用最新威胁情报和安全漏洞信息,对当前网络事件信息进行入侵检测,从而提高入侵检测的准确度和时效性。
在一些实施例中,所述入侵检测模块13,具体包括:
异常监测单元,用于监测所述事件共享模块所共享的网络事件信息中的异常事件信息;
共识验证单元,用于利用第二预设共识算法,根据区块链中已知的异常事件信息,对所述异常监测单元监测到的异常事件信息进行验证,以确认所述异常事件信息是否为潜在威胁信息。
在本实施例中,异常事件信息包括但不限于基于网络流量分析的流量异常信息、基于入侵检测系统的异常程序信息和基于异常行为检测的异常行为信息等。可选地,第二预设共识算法可以为工作量证明算法、权益证明算法、共识委员会算法和实用拜占庭容错算法等。其中,实用拜占庭容错算法是基于消息传递的共识机制,能够解决拜占庭容错问题,可要求n个节点达成共识,其中总节点中至少有3f+1个节点是诚实节点,f是最大容忍的恶意节点或故障节点的数量,以确保在存在恶意程序节点的情况下也能保持系统的正确性和一致性,以避免节点被病毒感染为恶意程序节点而影响共识决策。
可选地,区块链节点结合机器学习算法,提取区块链中已知的异常事件信息的特征信息,并根据该特征信息以对异常事件信息进行分析。
在一些实施例中,所述共识验证单元,具体包括:
初始化子单元,用于初始化参与共识验证的所有区块链节点;
消息广播子单元,用于将所述异常事件信息广播至每个所述区块链节点;
投票子单元,用于接收每个所述区块链节点反馈的投票信息,所述投票信息为所述区块链节点根据区块链中已知的异常事件信息,对所述异常监测单元监测到的异常事件信息进行完整性验证和合法性验证的结果信息;
共识决策子单元,用于对所述投票信息进行汇总和验证,并确认所述异常事件信息是否为潜在威胁信息。
在本实施例中,选择预设数量的区块链节点参与共识验证,每个参与者将公钥和私钥进行配对,以完成初始化。一个区块链节点基于消息广播函数BroadcastMessage(message),将异常事件信息广播至其他区块链节点;其他区块链节点基于消息验证函数VerifyMessageSignature(message, sender),对该异常事件信息进行完整性和合法性验证,并基于提议确认函数ConfirmProposal(proposal, validators),反馈投票信息,区块链网络收集每个区块节点的投票信息,当n个区块链节点认为异常事件信息为潜在威胁信息时,则基于提议确认函数ConfirmProposal(proposal, validators),确定该异常事件信息为威胁信息。
可选地,区块链节点运行消息验证函数时,实现以下步骤:对网络事件信息进行预处理和清洗,去除无效数据并进行格式化和标准化,以便后续的处理和分析;基于机器学习算法(如卷积神经网络),从预处理后的网络事件信息中提取事件特征,该事件特征可以为与潜在威胁相关的指标、模式或行为特征;将提取的事件特征输入到基于机器学习的共识算法中进行处理,例如对事件特征与区块链中已知异常事件信息的特征进行聚类,以识别潜在威胁信息,输出共识结果,该共识结果可以为被标记为恶意活动的网络节点、异常行为的模式或潜在攻击事件等。
本实施例将共识算法与机器学习算法结合,以有效结合区块链中已知的异常事件信息对当前网络事件信息进行潜在威胁信息识别,从而有效利用最新威胁情报和安全漏洞信息,提高入侵检测的准确度。
策略管理模块14,用于执行所述潜在威胁信息对应的安全策略,所述安全策略用于对存在潜在威胁信息的所述网络系统进行异常处理。
在本模块中,安全策略为基于共识生成的结果进行威胁分析并采取相应的响应措施,其包括但不限于断开连接、封禁节点IP、进一步调查、封锁或隔离受感染的节点以及修复漏洞或提升安全防护等。可选地,安全策略可以为区块链中共享的安全策略,其可以是由其他区块链节点针对最新威胁发布的安全策略,安全策略也可以为本地预设的安全策略。
在一些实施例中,所述策略管理模块,具体包括:
共识决策单元,用于利用第三预设共识算法,确认所述潜在威胁信息对应的安全策略;
策略执行单元,用于利用第二智能合约算法,执行所述安全策略,以对存在潜在威胁信息的所述网络系统进行异常处理。
在本实施例中,由于潜在威胁类型可能多种多样,区块链上发布的安全策略也可能多种多样,为了确认最适合当前潜在威胁信息的安全策略,本实施例采用共识算法进行验证,第三预设共识算法可以为工作量证明算法、权益证明算法、共识委员会算法和实用拜占庭容错算法等。可选地,第三预设共识算法将协调多个区块链节点的判断结果,并根据共识规则确定潜在威胁等级或类型对应的安全策略。安全策略作为智能合约,并以智能合约算法形式自动执行,保障安全策略执行的可靠性。
在一些实施例中,所述事件追溯模块,用于基于所述网络事件信息,追溯所述潜在威胁信息的攻击者信息。
在本实施例中,利用区块链的不可篡改性和透明度特性,使得网络安全管理系统能够更好地进行安全事件的溯源和溯责。所有的安全事件记录将被永久存储在区块链上,可以随时追溯事件的发生事件和参与者。
图2为本申请实施例提供的一种基于区块链的网络安全管理方法的流程示意图。本申请实施例的基于区块链的网络安全管理方法可应用于计算机设备,该计算机设备包括但不限于智能手机、笔记本电脑、平板电脑、桌上型计算机、物理服务器和云服务器等设备。如图1所示,本实施例的基于区块链的网络安全管理方法包括步骤S101至步骤S104,详述如下:
步骤S101,利用第一智能合约算法,对接入所述网络系统的网络节点进行身份验证和授权控制;
步骤S102,记录所述网络系统的网络事件信息,以及利用分布式账本技术,对所有所述网络事件信息进行共享;
步骤S103,利用共识机制,基于所述事件共享模块所共享的网络事件信息,监测所述网络系统中的潜在威胁信息;
步骤S104,执行所述潜在威胁信息对应的安全策略,所述安全策略用于对存在潜在威胁信息的所述网络系统进行异常处理。
在一些实施例中,所述步骤S101,具体包括:
存储所述网络系统的预设智能合约,所述预设智能合约包括网络节点的身份验证条件和授权规则信息;
对所述网络节点的身份信息与区块链上的预设身份信息进行对比,以验证所述网络节点是否满足所述身份验证规则条件,所述预设身份信息基于所述网络节点的公钥进行哈希运算得到;
基于所述授权规则信息,分配所述网络节点的身份信息对应的授权信息;
记录所述网络节点的访问过程信息,所述访问过程信息包括所述身份信息和所述授权信息。
在一些实施例中,所述步骤S102,具体包括:
记录所述网络系统的网络事件信息;
基于第一预设共识算法,确认所述网络事件信息是否符合有效性条件;
将符合有效性条件的所述网络事件信息存储至预设分布式账本,并对所述网络事件信息进行广播,所述预设分布式账本用于共享所述网络事件信息。
在一些实施例中,所述步骤S103,具体包括:
监测所述事件共享模块所共享的网络事件信息中的异常事件信息;
利用第二预设共识算法,根据区块链中已知的异常事件信息,对所述异常监测单元监测到的异常事件信息进行验证,以确认所述异常事件信息是否为潜在威胁信息。
在一些实施例中,所述利用第二预设共识算法,根据区块链中已知的异常事件信息,对所述异常监测单元监测到的异常事件信息进行验证,以确认所述异常事件信息是否为潜在威胁信息,具体包括:
初始化参与共识验证的所有区块链节点;
将所述异常事件信息广播至每个所述区块链节点;
接收每个所述区块链节点反馈的投票信息,所述投票信息为所述区块链节点根据区块链中已知的异常事件信息,对所述异常监测单元监测到的异常事件信息进行完整性验证和合法性验证的结果信息;
对所述投票信息进行汇总和验证,并确认所述异常事件信息是否为潜在威胁信息。
在一些实施例中,所述策略管理模块,具体包括:
利用第三预设共识算法,确认所述潜在威胁信息对应的安全策略;
利用第二智能合约算法,执行所述安全策略,以对存在潜在威胁信息的所述网络系统进行异常处理。
在一些实施例中,所述方法还包括:基于所述网络事件信息,追溯所述潜在威胁信息的攻击者信息。
上述的基于区块链的网络安全管理方法可基于上述装置实施例实现,上述装置实施例中的可选项也适用于本实施例,这里不再详述。本申请实施例的其余内容可参照上述方法实施例的内容,在本实施例中,不再进行赘述。
图3为本申请一实施例提供的计算机设备的结构示意图。如图3所示,该实施例的计算机设备3包括:至少一个处理器30(图3中仅示出一个)处理器、存储器31以及存储在所述存储器31中并可在所述至少一个处理器30上运行的计算机程序32,所述处理器30执行所述计算机程序32时实现上述任意方法实施例中的步骤。
所述计算机设备3可以是智能手机、平板电脑、桌上型计算机和云端服务器等计算设备。该计算机设备可包括但不仅限于处理器30、存储器31。本领域技术人员可以理解,图3仅仅是计算机设备3的举例,并不构成对计算机设备3的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器30可以是中央处理单元(Central Processing Unit,CPU),该处理器30还可以是其他通用处理器、数字信号处理器 (Digital Signal Processor,DSP)、专用集成电路 (Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器31在一些实施例中可以是所述计算机设备3的内部存储单元,例如计算机设备3的硬盘或内存。所述存储器31在另一些实施例中也可以是所述计算机设备3的外部存储设备,例如所述计算机设备3上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital, SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器31还可以既包括所述计算机设备3的内部存储单元也包括外部存储设备。所述存储器31用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器31还可以用于暂时地存储已经输出或者将要输出的数据。
另外,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任意方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在计算机设备上运行时,使得计算机设备执行时实现上述各个方法实施例中的步骤。
在本申请所提供的几个实施例中,可以理解的是,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意的是,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述的具体实施例,对本申请的目的、技术方案和有益效果进行了进一步的详细说明,应当理解,以上所述仅为本申请的具体实施例而已,并不用于限定本申请的保护范围。特别指出,对于本领域技术人员来说,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种基于区块链的网络安全管理系统,其特征在于,包括:
访问控制模块,用于利用第一智能合约算法,对接入所述网络系统的网络节点进行身份验证和授权控制;
事件共享模块,用于记录所述网络系统的网络事件信息,以及利用分布式账本技术,对所有所述网络事件信息进行共享;
入侵检测模块,用于利用共识机制,基于所述事件共享模块所共享的网络事件信息,监测所述网络系统中的潜在威胁信息;
策略管理模块,用于执行所述潜在威胁信息对应的安全策略,所述安全策略用于对存在潜在威胁信息的所述网络系统进行异常处理。
2.如权利要求1所述的基于区块链的网络安全管理系统,其特征在于,所述访问控制模块,具体包括:
合约管理单元,用于存储所述网络系统的预设智能合约,所述预设智能合约包括网络节点的身份验证条件和授权规则信息;
合约验证单元,用于对所述网络节点的身份信息与区块链上的预设身份信息进行对比,以验证所述网络节点是否满足所述身份验证规则条件,所述预设身份信息基于所述网络节点的公钥进行哈希运算得到;
授权控制单元,用于基于所述授权规则信息,分配所述网络节点的身份信息对应的授权信息;
访问记录单元,用于记录所述网络节点的访问过程信息,所述访问过程信息包括所述身份信息和所述授权信息。
3.如权利要求1所述的基于区块链的网络安全管理系统,其特征在于,所述事件共享模块,具体包括:
事件记录单元,用于记录所述网络系统的网络事件信息;
确认共识单元,用于基于第一预设共识算法,确认所述网络事件信息是否符合有效性条件;
事件广播单元,用于将符合有效性条件的所述网络事件信息存储至预设分布式账本,并对所述网络事件信息进行广播,所述预设分布式账本用于共享所述网络事件信息。
4.如权利要求1所述的基于区块链的网络安全管理系统,其特征在于,所述入侵检测模块,具体包括:
异常监测单元,用于监测所述事件共享模块所共享的网络事件信息中的异常事件信息;
共识验证单元,用于利用第二预设共识算法,根据区块链中已知的异常事件信息,对所述异常监测单元监测到的异常事件信息进行验证,以确认所述异常事件信息是否为潜在威胁信息。
5.如权利要求4所述的基于区块链的网络安全管理系统,其特征在于,所述共识验证单元,具体包括:
初始化子单元,用于初始化参与共识验证的所有区块链节点;
消息广播子单元,用于将所述异常事件信息广播至每个所述区块链节点;
投票子单元,用于接收每个所述区块链节点反馈的投票信息,所述投票信息为所述区块链节点根据区块链中已知的异常事件信息,对所述异常监测单元监测到的异常事件信息进行完整性验证和合法性验证的结果信息;
共识决策子单元,用于对所述投票信息进行汇总和验证,并确认所述异常事件信息是否为潜在威胁信息。
6.如权利要求1所述的基于区块链的网络安全管理系统,其特征在于,所述策略管理模块,具体包括:
共识决策单元,用于利用第三预设共识算法,确认所述潜在威胁信息对应的安全策略;
策略执行单元,用于利用第二智能合约算法,执行所述安全策略,以对存在潜在威胁信息的所述网络系统进行异常处理。
7.如权利要求1所述的基于区块链的网络安全管理系统,其特征在于,所述事件追溯模块,用于基于所述网络事件信息,追溯所述潜在威胁信息的攻击者信息。
8.一种基于区块链的网络安全管理方法,其特征在于,包括:
利用第一智能合约算法,对接入所述网络系统的网络节点进行身份验证和授权控制;
记录所述网络系统的网络事件信息,以及利用分布式账本技术,对所有所述网络事件信息进行共享;
利用共识机制,基于所述事件共享模块所共享的网络事件信息,监测所述网络系统中的潜在威胁信息;
执行所述潜在威胁信息对应的安全策略,所述安全策略用于对存在潜在威胁信息的所述网络系统进行异常处理。
9.一种计算机设备,其特征在于,包括处理器和存储器,所述存储器用于存储计算机程序,所述计算机程序被所述处理器执行时实现如权利要求8所述的基于区块链的网络安全管理方法。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求8所述的基于区块链的网络安全管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311122417.0A CN116896480A (zh) | 2023-09-01 | 2023-09-01 | 一种基于区块链的网络安全管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311122417.0A CN116896480A (zh) | 2023-09-01 | 2023-09-01 | 一种基于区块链的网络安全管理系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116896480A true CN116896480A (zh) | 2023-10-17 |
Family
ID=88312390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311122417.0A Pending CN116896480A (zh) | 2023-09-01 | 2023-09-01 | 一种基于区块链的网络安全管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116896480A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117494219A (zh) * | 2023-12-29 | 2024-02-02 | 智慧(东营)大数据有限公司 | 一种基于区块链技术的票据管理系统及方法 |
| CN117540391A (zh) * | 2024-01-05 | 2024-02-09 | 北京中百信信息技术股份有限公司 | 一种基于区块链技术的信息系统安全监理方法及应用 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108306893A (zh) * | 2018-03-05 | 2018-07-20 | 北京大学深圳研究生院 | 一种自组网络的分布式入侵检测方法和系统 |
| CN108737348A (zh) * | 2017-04-21 | 2018-11-02 | 中国科学院信息工程研究所 | 一种基于区块链的智能合约的物联网设备访问控制方法 |
| US20190109717A1 (en) * | 2017-10-09 | 2019-04-11 | Cisco Technology, Inc. | Sharing network security threat information using a blockchain network |
| CN112261155A (zh) * | 2020-12-21 | 2021-01-22 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于联盟区块链具有动态共识的物联网访问控制方法 |
| CN116032659A (zh) * | 2023-02-20 | 2023-04-28 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种基于区块链的铁路信号入侵检测系统 |
-
2023
- 2023-09-01 CN CN202311122417.0A patent/CN116896480A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737348A (zh) * | 2017-04-21 | 2018-11-02 | 中国科学院信息工程研究所 | 一种基于区块链的智能合约的物联网设备访问控制方法 |
| US20190109717A1 (en) * | 2017-10-09 | 2019-04-11 | Cisco Technology, Inc. | Sharing network security threat information using a blockchain network |
| CN108306893A (zh) * | 2018-03-05 | 2018-07-20 | 北京大学深圳研究生院 | 一种自组网络的分布式入侵检测方法和系统 |
| CN112261155A (zh) * | 2020-12-21 | 2021-01-22 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种基于联盟区块链具有动态共识的物联网访问控制方法 |
| CN116032659A (zh) * | 2023-02-20 | 2023-04-28 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种基于区块链的铁路信号入侵检测系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117494219A (zh) * | 2023-12-29 | 2024-02-02 | 智慧(东营)大数据有限公司 | 一种基于区块链技术的票据管理系统及方法 |
| CN117540391A (zh) * | 2024-01-05 | 2024-02-09 | 北京中百信信息技术股份有限公司 | 一种基于区块链技术的信息系统安全监理方法及应用 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111164948B (zh) | 使用区块链网络管理网络安全漏洞 | |
| Tselios et al. | Enhancing SDN security for IoT-related deployments through blockchain | |
| Choi et al. | System hardening and security monitoring for IoT devices to mitigate IoT security vulnerabilities and threats | |
| US11171974B2 (en) | Distributed agent based model for security monitoring and response | |
| Shammar et al. | A survey of IoT and blockchain integration: Security perspective | |
| US20190036957A1 (en) | Trust topology selection for distributed transaction processing in computing environments | |
| US20100100962A1 (en) | Internet security dynamics assessment system, program product, and related methods | |
| CN116896480A (zh) | 一种基于区块链的网络安全管理系统 | |
| US20140214938A1 (en) | Identifying participants for collaboration in a threat exchange community | |
| US20070277242A1 (en) | Distributed peer attack alerting | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| CN117040896A (zh) | 一种物联网管理方法及物联网管理平台 | |
| CN114139203A (zh) | 基于区块链的异构身份联盟风险评估系统、方法及终端 | |
| Sukiasyan et al. | Secure data exchange in Industrial Internet of Things | |
| Soltys | Cybersecurity in the AWS Cloud | |
| Sanfilippo et al. | Stride-based threat modeling for mysql databases | |
| Lee et al. | Assessment of the Distributed Ledger Technology for Energy Sector Industrial and Operational Applications Using the MITRE ATT&CK® ICS Matrix | |
| Varadharajan et al. | Techniques for Enhancing Security in Industrial Control Systems | |
| Kim et al. | A new cost-saving and efficient method for patch management using blockchain | |
| CN114024957A (zh) | 一种零信任架构中对用户的行为做风险判定的方法 | |
| Rencelj Ling et al. | Estimating Time-To-Compromise for Industrial Control System Attack Techniques Through Vulnerability Data | |
| Elrom et al. | Security and compliance | |
| CN117240621B (zh) | 网络请求的处理方法、装置、计算机可读介质及电子设备 | |
| Chaka et al. | Curtailing the threats to cloud computing in the fourth industrial revolution | |
| Cha et al. | Trustworthiness Evaluation for Permissioned Blockchain-Enabled Applications. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |