JP2022528947A - ブロックチェーンベースのネットワークセキュリティシステムおよび処理方法 - Google Patents

ブロックチェーンベースのネットワークセキュリティシステムおよび処理方法 Download PDF

Info

Publication number
JP2022528947A
JP2022528947A JP2021560292A JP2021560292A JP2022528947A JP 2022528947 A JP2022528947 A JP 2022528947A JP 2021560292 A JP2021560292 A JP 2021560292A JP 2021560292 A JP2021560292 A JP 2021560292A JP 2022528947 A JP2022528947 A JP 2022528947A
Authority
JP
Japan
Prior art keywords
blockchain
server
attack defense
network
blockchain network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021560292A
Other languages
English (en)
Other versions
JP7242022B2 (ja
Inventor
ヤン,テンジャオ
ジャオ,ゼン
ヤン,タオ
Original Assignee
シャンハイ ニュードン テクノロジー カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シャンハイ ニュードン テクノロジー カンパニー リミテッド filed Critical シャンハイ ニュードン テクノロジー カンパニー リミテッド
Publication of JP2022528947A publication Critical patent/JP2022528947A/ja
Application granted granted Critical
Publication of JP7242022B2 publication Critical patent/JP7242022B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明は、ブロックチェーンベースのネットワークセキュリティシステムおよび処理方法を開示し、ブロックチェーン技術分野に関する。ブロックチェーンベースのネットワークセキュリティシステムであって、ブロックチェーンを介して分散型攻撃防御ネットワークを構築し、前記攻撃防御ネットワークは、ブロックチェーンネットワークシステムとサーバーシステムとを含み、両者は、独立して設置されかつスイッチを介してデータリンクに接続され、ブロックチェーンネットワークシステムの複数のブロックノードには、攻撃防御サーバーが設置され、各攻撃防御サーバーには少なくとも一つのサブサーバーが設置され、前記攻撃防御サーバーの前記サブサーバーに異常なアクセスイベントが発生した場合、攻撃防御サーバーに接続されたスイッチを介して前記アクセスイベントにおけるパス情報を前記ブロックチェーンネットワークシステムにロードする。本発明は、前記異常なアクセスイベントにおけるパス情報をブロックチェーンネットワークシステムにロードして分散処理して、攻撃サブサーバーが位置する攻撃防御サーバーのリソースの枯渇を防止する。

Description

本発明は、ブロックチェーンの技術分野に関し、具体的には、ブロックチェーンベースのネットワークセキュリティシステムに関する。
インターネットの出現および発展に伴い、インターネットのセキュリティ問題がますます顕著になり、ハッカーは、一部のインターネットスマートデバイスのセキュリティホールを簡単に利用して、従来のネットワーク攻撃の新しいツールにすることができ、例えば、悪意のあるコードを使用してスマートデバイスを感染させかつ分散型サービス拒否攻撃(Distributed Denial of service、DDoS)を発動して対象のサービス拒否や関連サービスがオフラインになる等の深刻な結果を引き起こす。
DDoSの攻撃は、主に攻撃者によって侵入された、または間接的に使用されることができる複数のホストを介して、一見正当と思われる大量のネットワークパケットを被害ホストに送信することにより、ネットワークの輻輳やサーバーリソースの枯渇を引き起こしてサービス拒否が発生し、DDoSが実施されると、攻撃ネットワークパケットは、フラッドのように被害ホストにフラッディングすることにより、正当なユーザーのネットワークパケットがフラッディングされ、正当なユーザーは、サーバーのネットワークリソースに正常にアクセスすることができなくなるため、サービス拒否攻撃は、「フラッド攻撃」とも呼ばれる。
このようなDDoS攻撃の場合、従来の検出および防御方法には、次のような欠点がある。(1)従来の方法は、一般に攻撃されたターゲットで高速データパケットおよび接続コンテキストの欠如が検出されて防御し、ターゲットでの防御スキームは、限られた統計分析およびデータパケット処理しか実行できないため、検出の適時性に影響し、(2)ターゲットでの従来の防御計画の防御スキームは、DDoSが検出された後、通常のトラフィックと悪意のトラフィックをすぐに区別できないため、トラフィックをクリーンアップするためにすべてのトラフィックを他のネットワークセグメントに輸送する必要があり、輸送する過程で、ネットワークの混雑を引き起こしやすい。従って、従来の検出および防御方法は、適時性が低く、コストが高くて、IoTデバイスをDDoS攻撃から保護するという問題を真に効果的に解決することが困難である。
ブロックチェーンは、普遍的な適応性を備えた新しい形態の分散式アーキテクチャであり、現在、金融、経済、技術、さらには政治等の様々な分野で広く使用される。ブロックチェーンは、技術的には特別な分散式データベースであると同時にポイントツーポイント送信、暗号化アルゴリズム、コンセンサスメカニズム等のコンピューター技術を組み合わせた新しいアプリケーションモードである。従来の分散式ストレージおよびコンピューティングシステムと比較して、ブロックチェーンは、ポイントツーポイント送信およびコンセンサスメカニズムを使用して分散化を実現し、チェーン上のブロックに含まれる情報は、チェーン上の各ノードに対してオープンかつ透明であり、これは、分散式コンピューティングの通信で発生する可能性のある問題を解決する。
前記先行技術に基づいて、本発明は、同様のDDoS攻撃から保護するためにブロックチェーンネットワークシステムを使用してネットワークセキュリティシステムを構築するための技術的解決策を提供する。
本発明の目的は、ブロックチェーンベースのネットワークセキュリティシステムおよび処理方法を提供することであり、本発明の利点は、次のとおりである。本発明は、同様のDDoS攻撃から保護するためにブロックチェーンネットワークシステムを使用してネットワークセキュリティシステムを構築し、攻撃されたターゲット(サブサーバー)の異常なアクセスイベントは、前記攻撃されたサブサーバーが位置する攻撃防御サーバーシステムに接続されたスイッチを介して、前記アクセスイベントにおけるパス情報をブロックチェーンネットワークシステムにロードされることにより、分散処理し、ブロックチェーンは、分散式技術として、多くの分散式ブロックノードの間で異常検出結果を共有および統合分析する要件を実現し、攻撃されたサブサーバーが位置する攻撃防御サーバーのリソースの枯渇を防止することができる。
前記目的を達成するために、本発明は、次のような技術的解決策を提供する。
ブロックチェーンベースのネットワークセキュリティシステムであって、ブロックチェーンを介して分散型攻撃防御ネットワークを構築し、前記攻撃防御ネットワークは、ブロックチェーンネットワークシステムとサーバーシステムとを含み、前記ブロックチェーンネットワークシステムおよびサーバーシステムは、独立して設置されかつスイッチを介してデータリンクに接続され、
前記ブロックチェーンネットワークシステムは、ブロックチェーンネットワークを構成する複数のブロックノードを含み、前記ブロックノード中の複数のブロックノードには攻撃防御サーバーが設置され、各攻撃防御サーバーには少なくとも一つのサブサーバーが設置され、複数の攻撃防御サーバーは、前記サーバーシステムを構成し、
前記攻撃防御サーバーの前記サブサーバーに異常なアクセスイベントが発生した場合、攻撃防御サーバーに接続されたスイッチを介して、前記アクセスイベントにおけるパス情報を前記ブロックチェーンネットワークシステムにロードし、
前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションについては、前記コンピュータープログラムまたはアプリケーションが攻撃防御ネットワーク全体においてN個のサブサーバーに対応するように、前記攻撃防御サーバーに接続されたスイッチを介してブロックチェーンネットワークシステムにリンクされ、N個のサブサーバーは、異なる攻撃防御サーバーに属し、ここで、Nは、2以上の整数であり、
ブロックチェーンネットワークシステムにおけるブロック情報を介して、前記コンピュータープログラムまたはアプリケーションに対応するN個のサブサーバーの位置情報を交換し、N個のサブサーバーに前記異常なアクセスイベントのパス情報を割り当てる。
さらに、前記各攻撃防御サーバーには、複数の独立したブロックチェーンネットワークシステムが対応し、攻撃防御サーバーは、同じスイッチを介して複数の独立したブロックチェーンネットワークシステムとデータリンクを接続し、異常なアクセスイベントが発生した場合、前記スイッチを介して、前記アクセスイベントにおけるパス情報を前記複数のブロックチェーンネットワークシステムの任意の一つまたは複数にロードする。
さらに、前記各攻撃防御サーバーには複数の独立したブロックチェーンネットワークシステムが対応し、攻撃防御サーバーは、1対1で対応するように設置されたスイッチを介して、各独立したブロックチェーンネットワークシステムとデータリンクを接続し、異常なアクセスイベントが発生した場合、前記スイッチの一つまたは複数を選択して前記アクセスイベントにおけるパス情報を対応するブロックチェーンネットワークシステムにロードする。
好ましくは、各前記攻撃防御サーバーに対応する複数の独立したブロックチェーンネットワークシステムのうち、少なくとも一つのブロックチェーンネットワークシステムは、他の攻撃防御ネットワークに接続される。
好ましくは、前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションについては、前記攻撃防御サーバーに接続された複数の独立したブロックチェーンネットワークシステムを介して一連のシステムを構築し、各自のブロックチェーンネットワークシステムの重ね合わせにより、それぞれDDoS攻撃の各アクセスイベントを割り当て、それぞれ応答する。
さらに、前記サブサーバーには、検出モジュールと伝送モジュールとが設置され、
前記検出モジュールは、アクセスイベントが異常なDDoSアクセスイベントであるかどうかを検出するように構成され、
前記伝送モジュールは、アクセスイベントが異常なDDoSアクセスイベントである場合、当該サブサーバーネットワークが属する攻撃防御サーバーに異常なアクセス信号を送信するように構成される。
さらに、異常なDDoSアクセスイベントであると判断される場合は、次のいずれかの場合である:
前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションが受け付けたアクセス要求の頻度は、事前に設定された頻度よりも高く、
または、前記サブサーバーには、大量の待機しているTCP接続があり、
または、サブサーバーで実行されるコンピュータープログラムまたはアプリケーションには、大量の無駄なデータパケットが殺到する。
本発明は、ブロックチェーンベースのネットワークセキュリティ処理方法をさらに提供し、ブロックチェーンを介して分散型攻撃防御ネットワークを構築し、前記ネットワークは、ブロックチェーンネットワークシステムとサーバーシステムとを含み、前記ブロックチェーンネットワークシステムおよびサーバーシステムは、独立して設置されかつスイッチを介してデータリンクに接続され、
前記ブロックチェーンネットワークシステムは、ブロックチェーンネットワークを構成する複数のブロックノードを含み、前記ブロックノード中の複数のブロックノードには攻撃防御サーバーが設置され、各攻撃防御サーバーには少なくとも一つのサブサーバーが設置され、複数の攻撃防御サーバーは、前記サーバーシステムを構成し、
前記攻撃防御サーバーの前記サブサーバーに異常なアクセスイベントが発生した場合、攻撃防御サーバーに接続されたスイッチを介して、前記アクセスイベントにおけるパス情報を前記ブロックチェーンネットワークシステムにロードするステップを含み、
さらに、前記サブサーバーで実行されたコンピュータープログラムまたはアプリケーションについて、サブサーバーの位置情報を交換するステップを含み、該ステップは、
前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションについては、前記コンピュータープログラムまたはアプリケーションが攻撃防御ネットワーク全体においてN個のサブサーバーに対応するように、前記攻撃防御サーバーに接続されたスイッチを介してブロックチェーンネットワークシステムにリンクされ、N個のサブサーバーは、異なる攻撃防御サーバーに属し、ここで、Nは、2以上の整数であるステップと、および
ブロックチェーンネットワークシステムにおけるブロック情報を介して、前記コンピュータープログラムまたはアプリケーションに対応するN個のサブサーバーの位置情報を交換し、N個のサブサーバーに前記異常なアクセスイベントのパス情報を割り当てるステップとを含む。
本発明は、前記技術的解決策を採用することにより、従来の技術比べて、例として以下の利点およびプラスの効果を有する。同様のDDoS攻撃から保護するためにブロックチェーンネットワークシステムを使用してネットワークセキュリティシステムを構築し、攻撃されたサブサーバーの異常なアクセスイベントは、前記攻撃されたサブサーバーが位置する攻撃防御サーバーシステムに接続されたスイッチを介して、前記アクセスイベントにおけるパス情報を接続されたブロックチェーンネットワークシステムにロードされることにより、分散処理し、ブロックチェーンは、分散式技術として、多くの分散式ブロックノードの間で異常検出結果を共有および統合分析する要件を実現し、攻撃されたサブサーバーが位置する攻撃防御サーバーのリソースの枯渇を防止することができる。同時に、ブロックチェーンネットワーク以外のサーバーシステムをかいして、攻撃データに対して防御処理を実行し、ブロックチェーンネットワークは、直接防御処理を行わずにデータの共有および割り当て機能を実行し、ブロックチェーンネットワーク中のサーバーリソースの枯渇を防止することもできる。
本発明の実施例によって提供されるネットワークセキュリティシステムの第1の構造模式図である。 本発明の実施例によって提供されるネットワークセキュリティシステムの第2の構造模式図である。 本発明の実施例によって提供されるネットワークセキュリティシステムの第3の構造模式図である。 本発明の実施例によって提供されるネットワークセキュリティシステムの第4の構造模式図である。 本発明の実施例によって提供されるネットワークセキュリティ処理方法のフローチャート図である。
以下、添付の図面および具体的な実施例に結び付けて、本発明に開示されたブロックチェーンベースのネットワークセキュリティシステムおよび処理方法をさらに詳細に説明する。以下の実施例で説明される技術的特徴または技術的特徴の組み合わせは、孤立していると見なされるべきではなく、それらを互いに組み合わせてより良い技術的効果を達成できることに留意されたい。以下の実施例の図面において、各図面に現れる同じ参照番号は、異なる実施例に適用することができる同じ特徴または構成要素を表す。従って、一つの項目が一つの図面で定義されると、それ以降の図面でさらに説明する必要はない。
本明細書に添付された図面に示される構造、比率および大きさ等は、本技術に精通している方の理解・読解のために、本明細書に開示されている内容と一致させるためにのみ使用され、本発明の実施可能な限定条件を限定するために使用されることなく、任意構造の修飾、比率関係の変更または大きさの調整は、本発明によって達成できる効果および目的に影響を与えることなく、本発明によって開示される技術的内容の範囲内に含まれるべきであることに留意されたい。本発明の好ましい実施形態の範囲は、他の実現を含み、ここで、機能の実行は、関連する機能に応じて、実質的に同時または逆の順序を含めて、説明されたまたは議論された順序ではないこともあり得、これは、本発明の実施例が属する当業者によって理解されるべきである。
関連分野の通常の技術者に知られている技術、方法および設備については、詳細に説明しないこともあり得るが、適切な状況に応じて、前記技術、方法および設備を認可明細書の一部と見なすべきである。本明細書に示されかつ議論されるすべての例において、任意の具体的な値は、制限としてはなく、単なる例示として解釈されるべきである。従って、例示的な実施例の他の例は、異なる値を有することができる。
実施例
図1を参照すると、本発明の実施例によって提供されるブロックチェーンベースのネットワークセキュリティシステムであり、当該システムは、ブロックチェーンを介して分散型攻撃防御ネットワークを構築する。
前記ブロックチェーンとは、オープンかつ透明かつ追跡可能な製品を実現するアーキテクチャ設計方法のことで、広義にはブロックチェーンとして数えられる。広義のブロックチェーンは、ポイントツーポイントネットワーク設計、暗号化技術の適用、分散式アルゴリズムの実装、データストレージ技術の使用という四つの側面を含み、その他には、分散式ストレージ、機械学習、VR、IoT、ビッグデータ等が含まれる可能性がある。狭義のブロックチェーンは、データストレージ技術、データベースまたはファイル操作等のみを含む。本発明のブロックチェーンは、広義のブロックチェーンを指す。
前記攻撃防御ネットワークは、ブロックチェーンネットワークシステム100およびサーバーシステム200を含み、前記ブロックチェーンネットワークシステム100およびサーバーシステム200は、独立して設置されかつスイッチ300を介してデータリンクに接続される。もちろん、前記スイッチ300は、前記ブロックチェーンネットワークシステム100およびサーバーシステム200を分離するように機能することもできる。
前記ブロックチェーンネットワークシステム100は、ブロックチェーンネットワークを構成する複数のブロックノード110を含み、各ブロックノード110は、コンセンサスアルゴリズムに基づいてコンセンサスノードを構成するし、ブロックチェーンは、ポイントツーポイント通信およびコンセンサスメカニズムを使用して、分散化の目的を達成し、チェーン上のブロックに含まれる情報は、チェーン上の各ブロックノード110に対してオープンかつ透明である。
前記ブロックノード110とは、携帯電話、タブレットコンピュータ、デスクトップコンピュータ、マイニングマシンおよびサーバー等の様々なコンピューティングデバイスを含むがこれらに限定されない、ブロックチェーンネットワーク中のコンピューターを指す。前記ブロックノード110を操作する対象は、任意の一人または複数のユーザーであり得る。
本実施例において、前記複数のブロックノード110のいつ、複数の(少なくとも二つの)ブロックノード110には、すべて攻撃防御サーバー210が設置され、各攻撃防御サーバーには、1~X個のサブサーバー211が設置され、Xは、2以上の整数であり、複数の攻撃防御サーバー210は、前記サーバーシステム200を構成する。
前記攻撃防御サーバー210の前記サブサーバー211に異常なアクセスイベントが発生した場合、攻撃防御サーバー210に接続されたスイッチ300を介して、前記アクセスイベントにおけるパス情報を前記ブロックチェーンネットワークシステム100にロードする。
前記サブサーバー211とは、携帯電話、タブレットコンピュータ、デスクトップコンピュータ、ワークグループサーバーおよび部門サーバー等の様々なコンピューティングデバイスを含むがこれらに限定されない、サーバーシステム200でコンピューティングサービスを提供するコンピューター(コンピューティングデバイス)を指す。
本実施例において、前記サブサーバー211で実行されるコンピュータープログラムまたはアプリケーションAについては、攻撃防御ネットワーク全体にA個のサブサーバー(Xは、2以上の整数、即ち、A、A、A……、A個のサブサーバーに対応する)が存在する可能性があり、当該A個のサブサーバーは、好ましくは、異なる攻撃防御サーバー210に属する。このようにして、当該サブサーバー211が攻撃される場合、ブロックチェーンネットワークを介して、他の攻撃防御サーバー210のサブサーバー211に大量の要求情報を割り当てて、攻撃されたサブサーバー211が位置する攻撃防御サーバーのリソースの枯渇を防止することができる。割り当てる過程において、前記ブロックチェーンネットワークシステム100の分散式技術は、多くの分散式ブロックノード110の間で異常検出結果を共有および統合分析する要件を実現することができる。
前記コンピュータープログラムまたはアプリケーションは、限定ではなく例として、例えば、電子メールボックス、オンラインビデオクライアント、ショッピングプラットフォームおよび支払いプラットフォーム等であり得る。
前記サブサーバー211で実行されるコンピュータープログラムまたはアプリケーションについては、それが位置する攻撃防御サーバー210に接続されたスイッチ300を介してブロックチェーンネットワークシステム100にリンクして、前記コンピュータープログラムまたはアプリケーションが攻撃防御ネットワーク全体のN個のサブサーバーに対応することができ、N個のサブサーバーは、異なる攻撃防御サーバーに属し、ここで、Nは、2以上の整数である。また、ブロックチェーンネットワークシステム100のブロック情報を介して、前記コンピュータープログラムまたはアプリケーションに対応するN個のサブサーバーの位置情報を交換し、N個のサブサーバーに前記異常なアクセスイベントのパス情報を割り当てる。前記位置情報は、例えば、物理的な住所情報であり得る。
限定ではなく例としては、例えば、サブサーバー(特定のデスクトップコンピュータP)上で実行されるアプリケーションAは、デスクトップコンピュータP位置する攻撃防御サーバー210を介してスイッチ300に接続され、スイッチ300を介して当該アプリケーションAをブロックチェーンネットワークシステム100にリンクし、当該ブロックチェーンネットワークシステム100は、他のスイッチを介して他の攻撃防御サーバーに接続され、当該攻撃防御サーバーは、複数のサブサーバーBを含み、前記アプリケーションAとサブサーバーBとの間のリンク関係を確立することにより、前記アプリケーションAは攻撃防御ネットワーク全体の異なる場所に属するN個のサブサーバーに対応することができ、ここで、Nは、2以上の整数である。ブロックチェーンネットワークシステム100中のブロック情報を介して、前記アプリケーションAに対応するN個のサブサーバーが位置する物理的アドレス情報を交換および共有することができ、N個のサブサーバーに前記異常なアクセスイベントのパス情報を割り当てることができる。
本実施例の別の実施形態において、前記サブサーバーには、検出モジュールおよび伝送モジュールが設置されることができる。
前記検出モジュールは、アクセスイベントが異常なDDoSアクセスイベントであるかどうかを検出するように構成される。
前記伝送モジュールは、アクセスイベントが異常なDDoSアクセスイベントである場合、当該サブサーバーネットワークが属する攻撃防御サーバーに異常なアクセス信号を送信するように構成される。
好ましくは、異常なDDoSアクセスイベントであると判断される場合は、次のいずれかの場合である。
前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションが受け付けたアクセス要求の頻度は、事前に設定された頻度よりも高い。
または、前記サブサーバーには、大量の待機しているTCP接続がある。
または、前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションには、大量の無駄なデータパケットが殺到する。
同様のDDoS攻撃から保護するためにブロックチェーンネットワークシステムを使用してネットワークセキュリティシステムを構築し、攻撃されたサブサーバーの異常なアクセスイベントは、前記攻撃されたサブサーバーが位置する攻撃防御サーバーシステムに接続されたスイッチを介して、前記アクセスイベントにおけるパス情報を接続されたブロックチェーンネットワークシステムにロードされることにより、分散処理し、ブロックチェーンは、分散式技術として、多くの分散式ブロックノードの間で異常検出結果を共有および統合分析する要件を実現し、攻撃されたサブサーバーが位置する攻撃防御サーバーのリソースの枯渇を防止する。
本実施例の別の実施形態において、並列ブロックチェーンネットワークを構築することもでき、各攻撃防御サーバー210は、並列ブロックチェーンネットワークを構築することによって、複数(2個以上を指す)の独立したブロックチェーンネットワークシステム100に対応することができる。前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションについては、前記攻撃防御サーバーに接続された複数の独立したブロックチェーンネットワークシステムを介して一連の配布システムを構築し、各自のブロックチェーンネットワークシステムの重ね合わせにより、複数の独立したブロックチェーンネットワークシステム100にそれぞれDDoS攻撃中の各要求を割り当て、それぞれ応答する。
具体的に設置する場合、図2を参照すると、前記攻撃防御サーバー210は、同じスイッチ300を介して複数の独立したブロックチェーンネットワークシステム100とデータリンクを接続することができ、異常なアクセスイベントが発生した場合、前記スイッチを介して、前記アクセスイベント中のパス情報を前記複数のブロックチェーンネットワークシステム100のいずれか一つまたは複数にロードする。
または、図3を参照すると、前記攻撃防御サーバー210は、1対1で対応するように設置されたスイッチ300を介して各独立したブロックチェーンネットワークシステム100とデータリンクを接続し、即ち、各ブロックチェーンネットワークシステム100には、スイッチ300が対応して設置される。異常なアクセスイベントが発生した場合、一つまたは複数の前記スイッチ300を選択して、対応するブロックチェーンネットワークシステム100にロードされる前記アクセスイベント中のパス情報を選択することができる。
好ましくは、図4を参照すると、攻撃防御ネットワーク中の複数の攻撃防御サーバー210は、同じ二つのブロックチェーンネットワークシステム100に接続することができるため、ブロックチェーンネットワークシステムの重ね合わせによってそれぞれDDoS攻撃中の各要求を配信する。
本実施例において、好ましくは、異なる攻撃防御サーバー210は、異なるブロックノード110を介してブロックチェーンネットワークシステム100に接続される。
別の実施形態において、各前記攻撃防御サーバー210に対応する複数の独立したブロックチェーンネットワークシステム100のうち、少なくとも一つのブロックチェーンネットワークシステム100は、他の攻撃防御ネットワークに接続され、即ち、当該ブロックチェーンネットワークシステム100は、他の攻撃防御ネットワークのブロックチェーンネットワークシステムとしてセキュリティサービスを提供する。
前記方法を介して並列ブロックチェーンネットワークを構築することにより、ブロックチェーンネットワークに接続された攻撃防御サーバーに配布システムを構築し、当該配布システムにおいて、一つの攻撃防御サーバー中のサブサーバーが要求を送信した後、当該攻撃防御サーバーは、スイッチを介して並列ブロックチェーンネットワークから一つまたは複数のターゲットブロックチェーンネットワークを選択し、前記要求に対応するイベントをターゲットブロックチェーンネットワークして配布処理する。
もちろん、複数のブロックチェーンネットワークシステムに対して優先度を設定することができ、優先度のレベルに基づいてターゲットブロックチェーンネットワークシステムを選択することもできる。限定ではなく例としては、例えば、第1のレベル、第2のレベルおよび第3のレベルの三つのレベルに設定し、情報を割り当てる場合、第1のレベルは、最も高い優先度を有しかつ最初に割り当てる。
図5を参照すると、本発明は、ブロックチェーンベースのネットワークセキュリティ処理方法を提供し、次のようなステップを含む。
S100:ブロックチェーンを介して分散型攻撃防御ネットワークを構築し、前記ネットワークは、ブロックチェーンネットワークシステムとサーバーシステムとを含み、前記ブロックチェーンネットワークシステムおよびサーバーシステムは、独立して設置されかつスイッチを介してデータリンクに接続され、
前記ブロックチェーンネットワークシステムは、ブロックチェーンネットワークを構成する複数のブロックノードを含み、前記ブロックノード中の複数のブロックノードには攻撃防御サーバーが設置され、各攻撃防御サーバーには少なくとも一つのサブサーバーが設置され、複数の攻撃防御サーバーは、前記サーバーシステムを構成する。
S200:前記攻撃防御サーバーの前記サブサーバーに異常なアクセスイベントが発生した場合、攻撃防御サーバーに接続されたスイッチを介して前記アクセスイベント中のパス情報を前記ブロックチェーンネットワークシステムにロードする。
さらに、前記サブサーバーで実行されたコンピュータープログラムまたはアプリケーションについては、サブサーバーの位置情報を交換するステップをさらに含み、前記ステップは、
前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションについては、前記コンピュータープログラムまたはアプリケーションが攻撃防御ネットワーク全体においてN個のサブサーバーに対応するように、前記攻撃防御サーバーに接続されたスイッチを介してブロックチェーンネットワークシステムにリンクされ、N個のサブサーバーは、異なる攻撃防御サーバーに属し、ここで、Nは、2以上の整数であり、
ブロックチェーンネットワークシステムにおけるブロック情報を介して、前記コンピュータープログラムまたはアプリケーションに対応するN個のサブサーバーの位置情報を交換し、N個のサブサーバーに前記異常なアクセスイベントのパス情報を割り当てる。
他の技術的特徴については、前記実施例を参照し、ここでは繰り返さない。
前記の説明において、本発明の開示内容は、それ自体をこれらの態様に限定することを意図するものではない。むしろ、本開示内容のターゲット保護範囲内で、各構成要素は、任意の数で選択的かつ操作可能に組み合わせることができる。さらに、「含む」、「含まれる」および「有する」等の用語は、明確に反対に定義されていない限り、排他的または密閉的ではなく、包括的または開放的として解釈される必要がある。すべての技術的、科学的または他の側面の用語は、反対の意味に限定されない限り、当業者によって理解される意味に準拠する。辞書に見られる公共用語は、本開示内容でそれらを明確に限定されない限り、関連する技術文書の文脈においてあまりにも理想的または非現実的に解釈されるべきではない。当業者が前記開示内容によって行われた任意の変更および修飾は、すべて特許請求の範囲に含まれる。
100:ブロックチェーンネットワークシステム
110:ブロックノード
210:攻撃防御サーバー
200:サーバーシステム
211:サブサーバー
300:スイッチ

Claims (8)

  1. ブロックチェーンを介して分散型攻撃防御ネットワークを構築し、前記攻撃防御ネットワークは、ブロックチェーンネットワークシステムとサーバーシステムとを含み、前記ブロックチェーンネットワークシステムおよびサーバーシステムは、独立して設置され、かつスイッチを介してデータリンクに接続され、
    前記ブロックチェーンネットワークシステムは、ブロックチェーンネットワークを構成する複数のブロックノードを含み、前記ブロックノード中の複数のブロックノードには攻撃防御サーバーが設置され、各攻撃防御サーバーには少なくとも一つのサブサーバーが設置され、複数の攻撃防御サーバーは、前記サーバーシステムを構成し、
    前記攻撃防御サーバーの前記サブサーバーに異常なアクセスイベントが発生した場合、攻撃防御サーバーに接続されたスイッチを介して、前記アクセスイベントにおけるパス情報を前記ブロックチェーンネットワークシステムにロードし、
    前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションについては、前記コンピュータープログラムまたはアプリケーションが攻撃防御ネットワーク全体においてN個のサブサーバーに対応するように、前記攻撃防御サーバーに接続されたスイッチを介してブロックチェーンネットワークシステムにリンクされ、前記N個のサブサーバーは、異なる攻撃防御サーバーに属し、ここで、Nは、2以上の整数であり、
    ブロックチェーンネットワークシステムにおけるブロック情報を介して、前記コンピュータープログラムまたはアプリケーションに対応するN個のサブサーバーの位置情報を交換し、N個のサブサーバーに前記異常なアクセスイベントのパス情報を割り当てることを特徴とする
    ブロックチェーンベースのネットワークセキュリティシステム。
  2. 前記各攻撃防御サーバーには、複数の独立したブロックチェーンネットワークシステムが対応し、攻撃防御サーバーは、同じスイッチを介して、複数の独立したブロックチェーンネットワークシステムとデータリンクを接続し、異常なアクセスイベントが発生した場合、前記スイッチを介して、前記アクセスイベントにおけるパス情報を前記複数のブロックチェーンネットワークシステムの任意の一つまたは複数にロードすることを特徴とする
    請求項1に記載のブロックチェーンベースのネットワークセキュリティシステム。
  3. 前記各攻撃防御サーバーには、複数の独立したブロックチェーンネットワークシステムが対応し、攻撃防御サーバーは、1対1で対応するように設置されたスイッチを介して、各独立したブロックチェーンネットワークシステムとデータリンクを接続し、異常なアクセスイベントが発生した場合、前記スイッチの一つまたは複数を選択して、前記アクセスイベントにおけるパス情報を、対応するブロックチェーンネットワークシステムにロードすることを特徴とする
    請求項1に記載のブロックチェーンベースのネットワークセキュリティシステム。
  4. 各前記攻撃防御サーバーに対応する複数の独立したブロックチェーンネットワークシステムのうち、少なくとも一つのブロックチェーンネットワークシステムは、他の攻撃防御ネットワークに接続されることを特徴とする
    請求項2または3に記載のブロックチェーンベースのネットワークセキュリティシステム。
  5. 前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションについて、前記攻撃防御サーバーに接続された複数の独立したブロックチェーンネットワークシステムを介して一連の配布システムを構築し、各ブロックチェーンネットワークシステムの重ね合わせにより、それぞれDDoS攻撃の各アクセスイベントを割り当て、それぞれ応答することを特徴とする
    請求項2または3に記載のブロックチェーンベースのネットワークセキュリティシステム。
  6. 前記サブサーバーには、検出モジュールと伝送モジュールとが設置され、
    前記検出モジュールは、アクセスイベントが異常なDDoSアクセスイベントであるか否かを検出するように構成され、
    前記伝送モジュールは、アクセスイベントが異常なDDoSアクセスイベントである場合、当該サブサーバーが属する攻撃防御サーバーに異常なアクセス信号を送信するように構成されることを特徴とする
    請求項1に記載のブロックチェーンベースのネットワークセキュリティシステム。
  7. 下記のいずれかの場合に、異常なDDoSアクセスイベントであると判断されることを特徴とする、請求項6に記載のブロックチェーンベースのネットワークセキュリティシステム:
    前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションが受け付けたアクセス要求の頻度が、事前に設定された頻度よりも高い場合、
    または、前記サブサーバーに、大量の待機しているTCP接続がある場合、
    または、サブサーバーで実行されるコンピュータープログラムまたはアプリケーションに、大量の無駄なデータパケットが殺到する場合。
  8. ブロックチェーンベースのネットワークセキュリティ処理方法であって、
    ブロックチェーンを介して分散型攻撃防御ネットワークを構築し、前記攻撃防御ネットワークは、ブロックチェーンネットワークシステムとサーバーシステムとを含み、前記ブロックチェーンネットワークシステムおよびサーバーシステムは、独立して設置され、かつスイッチを介してデータリンクに接続され、
    前記ブロックチェーンネットワークシステムは、ブロックチェーンネットワークを構成する複数のブロックノードを含み、前記ブロックノード中の複数のブロックノードには攻撃防御サーバーが設置され、各攻撃防御サーバーには少なくとも一つのサブサーバーが設置され、複数の攻撃防御サーバーは、前記サーバーシステムを構成し、
    前記方法は、
    前記攻撃防御サーバーの前記サブサーバーに異常なアクセスイベントが発生した場合、攻撃防御サーバーに接続されたスイッチを介して、前記アクセスイベントにおけるパス情報を前記ブロックチェーンネットワークシステムにロードするステップを含み、
    前記サブサーバーで実行されたコンピュータープログラムまたはアプリケーションについて、サブサーバーの位置情報を交換するステップをさらに含み、該ステップは、
    前記サブサーバーで実行されるコンピュータープログラムまたはアプリケーションについては、前記コンピュータープログラムまたはアプリケーションが攻撃防御ネットワーク全体においてN個のサブサーバーに対応するように、前記攻撃防御サーバーに接続されたスイッチを介してブロックチェーンネットワークシステムにリンクされるステップと、
    ブロックチェーンネットワークシステムにおけるブロック情報を介して、前記コンピュータープログラムまたはアプリケーションに対応するN個のサブサーバーの位置情報を交換し、N個のサブサーバーに前記異常なアクセスイベントのパス情報を割り当てるステップと
    を含み、前記N個のサブサーバーは、異なる攻撃防御サーバーに属し、ここで、前記Nは2以上の整数であることを特徴とする、ブロックチェーンベースのネットワークセキュリティ処理方法。
JP2021560292A 2019-03-27 2020-03-24 ブロックチェーンベースのネットワークセキュリティシステムおよび処理方法 Active JP7242022B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201910235647.5A CN109714372B (zh) 2019-03-27 2019-03-27 基于区块链的网络安全系统及处理方法
CN201910235647.5 2019-03-27
PCT/CN2020/080925 WO2020192659A1 (zh) 2019-03-27 2020-03-24 基于区块链的网络安全系统及处理方法

Publications (2)

Publication Number Publication Date
JP2022528947A true JP2022528947A (ja) 2022-06-16
JP7242022B2 JP7242022B2 (ja) 2023-03-20

Family

ID=66265921

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021560292A Active JP7242022B2 (ja) 2019-03-27 2020-03-24 ブロックチェーンベースのネットワークセキュリティシステムおよび処理方法

Country Status (5)

Country Link
US (1) US11863570B2 (ja)
EP (1) EP3952240A4 (ja)
JP (1) JP7242022B2 (ja)
CN (1) CN109714372B (ja)
WO (1) WO2020192659A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109714372B (zh) 2019-03-27 2019-06-07 上海量明科技发展有限公司 基于区块链的网络安全系统及处理方法
CN110866288B (zh) * 2019-11-18 2023-01-10 广州安加互联科技有限公司 一种基于区块链的数据保护方法、系统及终端
CN111585984B (zh) * 2020-04-24 2021-10-26 清华大学 面向分组全生存周期的去中心化安全保障方法及装置
CN112632544B (zh) * 2020-12-30 2022-06-17 宁夏希望信息产业股份有限公司 一种区块链信息数据安全管理系统及区块链动态锚定方法
CN114726563A (zh) * 2021-01-04 2022-07-08 中国移动通信有限公司研究院 DDoS攻击的流量清洗方法、装置、检测区域及联盟链
CN113630398B (zh) * 2021-07-28 2023-02-21 上海纽盾科技股份有限公司 网络安全中的联合防攻击方法、客户端及系统
CN114219374B (zh) * 2022-02-21 2022-05-06 济南法诺商贸有限公司 一种基于区块链的大数据分析决策系统与方法
CN116170286B (zh) * 2023-04-25 2023-09-15 陕西盛禾汇达网络科技有限公司 基于区块链的网络安全服务器及控制系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050111367A1 (en) * 2003-11-26 2005-05-26 Hung-Hsiang Jonathan Chao Distributed architecture for statistical overload control against distributed denial of service attacks
US20050165901A1 (en) * 2004-01-22 2005-07-28 Tian Bu Network architecture and related methods for surviving denial of service attacks
US20170353490A1 (en) * 2016-06-03 2017-12-07 Ciena Corporation Method and system of mitigating network attacks

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110072515A1 (en) * 2009-09-22 2011-03-24 Electronics And Telecommunications Research Institute Method and apparatus for collaboratively protecting against distributed denial of service attack
MX2019008244A (es) * 2017-01-27 2019-09-06 Walmart Apollo Llc Gestión de participación en un sistema monitorizado que utiliza tecnologia decadena de bloques.
CN107172085B (zh) * 2017-06-30 2018-06-22 浙江华信区块链科技服务有限公司 基于区块链智能合约的主动防御方法及节点
US10924466B2 (en) * 2017-07-28 2021-02-16 SmartAxiom, Inc. System and method for IOT security
CN108566449A (zh) * 2018-04-17 2018-09-21 广州大学 基于区块链的域名解析数据管理方法、系统及存储系统
CN108616534B (zh) * 2018-04-28 2020-05-26 中国科学院信息工程研究所 一种基于区块链防护物联网设备DDoS攻击的方法及系统
CN108881233B (zh) * 2018-06-21 2021-06-01 中国联合网络通信集团有限公司 防攻击处理方法、装置、设备及存储介质
US11108544B2 (en) * 2018-07-02 2021-08-31 International Business Machines Corporation On-chain governance of blockchain
CN109377223B (zh) 2018-10-18 2021-07-27 李玥 一种基于区块链技术管理网络安全事件处置过程的方法及系统
US11190520B2 (en) * 2018-11-20 2021-11-30 Microsoft Technology Licensing, Llc Blockchain smart contracts for digital asset access
CN109714372B (zh) 2019-03-27 2019-06-07 上海量明科技发展有限公司 基于区块链的网络安全系统及处理方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050111367A1 (en) * 2003-11-26 2005-05-26 Hung-Hsiang Jonathan Chao Distributed architecture for statistical overload control against distributed denial of service attacks
US20050165901A1 (en) * 2004-01-22 2005-07-28 Tian Bu Network architecture and related methods for surviving denial of service attacks
JP2005210727A (ja) * 2004-01-22 2005-08-04 Lucent Technol Inc サービス拒否攻撃に耐えるネットワーク・アーキテクチャおよび関連方法
US20170353490A1 (en) * 2016-06-03 2017-12-07 Ciena Corporation Method and system of mitigating network attacks

Also Published As

Publication number Publication date
US20220159019A1 (en) 2022-05-19
WO2020192659A1 (zh) 2020-10-01
EP3952240A4 (en) 2022-12-14
US11863570B2 (en) 2024-01-02
JP7242022B2 (ja) 2023-03-20
CN109714372B (zh) 2019-06-07
EP3952240A1 (en) 2022-02-09
CN109714372A (zh) 2019-05-03

Similar Documents

Publication Publication Date Title
JP7242022B2 (ja) ブロックチェーンベースのネットワークセキュリティシステムおよび処理方法
Javaid et al. Mitigating loT device based DDoS attacks using blockchain
US11297070B2 (en) Communication apparatus, system, method, and non-transitory medium
Kim et al. Preventing DNS amplification attacks using the history of DNS queries with SDN
US8887280B1 (en) Distributed denial-of-service defense mechanism
Khalaf et al. A simulation study of syn flood attack in cloud computing environment
US20130166677A1 (en) Role-based access control method and apparatus in distribution system
US10116646B2 (en) Software-defined network threat control
Jeyanthi et al. A virtual firewall mechanism using army nodes to protect cloud infrastructure from ddos attacks
Lee et al. Security enhancement in InfiniBand architecture
Alani IoT lotto: Utilizing IoT devices in brute-force attacks
Mohiuddin et al. Analysis of network issues and their impact on Cloud Storage
Swati et al. Design and analysis of DDoS mitigating network architecture
Singh et al. Performance analysis of emm an edos mitigation technique in cloud computing environment
Lee et al. A comprehensive framework for enhancing security in InfiniBand architecture
Mahajan et al. Attacks in software-defined networking: a review
Sangeetha et al. Defense against protocol level attack in Tor network using deficit round robin queuing process
AGR et al. Mitigating DDoS flooding attacks with dynamic path identifiers in wireless network
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof
US20080289004A1 (en) Method and Module for Protecting Against Attacks in a High-Speed Network
Gairola et al. A review on dos and ddos attacks in cloud environment & security solutions
Naik et al. Increasing security in cloud environment
Juyal et al. A comprehensive study of ddos attacks and defense mechanisms
Rubayet Cross-layer design in Software Defined Networks (SDNs): issues and possible solution
Gulati et al. A Review on Secure Channel Establishment Technique to Increase Security of IoT

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211124

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230228

R150 Certificate of patent or registration of utility model

Ref document number: 7242022

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150