CN110474870B - 基于区块链的网络主动防御方法、***及计算机可读存储介质 - Google Patents

基于区块链的网络主动防御方法、***及计算机可读存储介质 Download PDF

Info

Publication number
CN110474870B
CN110474870B CN201910598895.6A CN201910598895A CN110474870B CN 110474870 B CN110474870 B CN 110474870B CN 201910598895 A CN201910598895 A CN 201910598895A CN 110474870 B CN110474870 B CN 110474870B
Authority
CN
China
Prior art keywords
contract
defense
abnormal
block chain
active defense
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910598895.6A
Other languages
English (en)
Other versions
CN110474870A (zh
Inventor
吴啸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Pure White Matrix Technology Co ltd
Original Assignee
Nanjing Pure White Matrix Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Pure White Matrix Technology Co ltd filed Critical Nanjing Pure White Matrix Technology Co ltd
Priority to CN201910598895.6A priority Critical patent/CN110474870B/zh
Publication of CN110474870A publication Critical patent/CN110474870A/zh
Application granted granted Critical
Publication of CN110474870B publication Critical patent/CN110474870B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及区块链处理技术应用领域,提供一种基于区块链的网络主动防御方法、***及计算机可读存储介质,存储介质存储有计算机程序,计算机程序被控制器执行时实现上述方法。在客户端建有记录有筛选标准的智能合约,用于查询后台控制端的分析节点并对其智能合约进行覆盖感知,从而自动监测异常的智能调用、跨合约攻击、溢出攻击等行为。一旦发现了异常的行为,***立即自动调用分析节点来获取存储合约里的爬虫逻辑,递归抓取异常的调用节点,收集进攻方的数据从而对进攻方信息进行溯源,并根据获取的进攻方信息调用预存的与之匹配的防御合约来实现主动防御。由于该网络主动防御方法中建立在区块链上,在易于更新的情况下拥有较高的稳定性。

Description

基于区块链的网络主动防御方法、***及计算机可读存储 介质
技术领域
本发明涉及区块链处理技术应用领域,特别涉及一种计算机可读存储介质和***,计算机可读存储介质存储有计算机程序,计算机程序被控制器执行时实现基于区块链的网络主动防御方法。
背景技术
主动防御技术是前摄性防御,以提前实施防御措施为主,让攻击方无法达到攻击目标,也可以理解为在无须人为被动应对的情况下,***能够很好地进行预防,避免威胁安全计算机数据库的情况发生。在计算机广泛普及和深入应用的今天,主动防御技术的应用使得网络安全防护进入了一个全新的阶段,也是未来维护网络安全的重要手段与发展趋势。但是,随着网络防御***的发展,越来越多的针对破解网络防御***的反编译技术使得网络攻击技术越发多样,为应对复杂多样的网络攻击,网络安全***往往同样庞大复杂,而且需要经常更新,自身的稳定性难以保证,给网络安全带来隐患。
发明内容
发明人想到,区块链技术由于通过基于节点与节点之间的信息交互实现交易的安全性的保证,降低了信任成本而得到广泛应用。如果能在区块链技术的基础上构建网络安全防御***,可以增加网络安全***的稳定性。
本发明的目的在于:避免上述现有技术中的不足之处而提供一种基于区块链的网络主动防御方法,能够提高网络防御的稳定性。
本发明的目的通过以下技术方案实现:
提供基于区块链的网络主动防御方法,包括如下步骤:
态势感知智能合约构建步骤,基于态势感知智能合约来查询后台控制端的分析节点的动态,从而判断这些分析节点是否存在感知触发条件,对判断结果为存在的分析节点上的节点智能合约进行覆盖感知;
感知数据记录步骤,记录上述覆盖感知得到的数据;
异常行为处理步骤,判断所述数据是否存在异常行为,若判断结果为是则调用预存的存储合约抓取异常数据,读取异常数据中的来源信息和进攻语句;
安全防御步骤,根据获取的异常数据调用预存的与之匹配的防御合约。
优选的,在所述态势感知智能合约构建步骤中,所述感知触发条件是指该智能合约处于活跃状态。
优选的,在所述态势感知智能合约构建步骤中,所述覆盖感知动作不受被覆盖的分析节点的节点智能合约的保护协议限制而强制执行。
优选的,在所述异常行为步骤中,所述异常行为包括超出该分析节点智能合约协议的智能调用和/或跨合约攻击和/或溢出攻击行为。
优选的,在所述异常行为步骤中,对进攻方信息进行溯源是指:通过存储合约内预设的爬虫逻辑来递归抓取异常的调用节点及背后的服务器,收集进攻方的数据。
优选的,所述安全防御步骤中预存的防御合约放置在去跨链的不同主链上。
优选的,所述各个主链上分别设有跨链唤醒合约,用于激活各个主链上的防御合约代码或重启自身防御合约。
优选的,所述异常行为处理步骤还包括反击步骤,在获取进攻方信息后通过溯源调查、深度爬虫、跨合约堵塞通信中的一种或多种防御方式来制止进攻方持续对该网络进行非法调用和/或注入攻击。
还提供一种基于区块链的网络主动防御***,***的处理器能够实现上述基于区块链的网络主动防御方法。
还提供一种计算机可读存储介质,该存储介质存储有可执行计算机程序,计算机程序被控制器执行时能够实现上述基于区块链的网络主动防御方法。
本发明的有益效果:该基于区块链的网络主动防御方法,在客户端用于连接区块链的端口建有记录有筛选标准的智能合约,用于查询后台控制端的分析节点并对其智能合约进行覆盖感知,从而自动监测异常的智能调用、跨合约攻击、溢出攻击等行为。一旦发现了异常的行为,***立即自动调用分析节点来获取存储合约里的爬虫逻辑,递归抓取异常的调用节点,收集进攻方的数据从而对进攻方信息进行溯源,并根据获取的进攻方信息调用预存的与之匹配的防御合约来实现主动防御。由于该网络主动防御方法中的覆盖感知行为建立在区块链上,其不可篡改逻辑以及可信可验证执行力由智能合约保证,具体的分析节点的算法和爬虫算法由中心化/去中心化承担,保证网络主动防御方法整体在易于更新的情况下拥有较高的稳定性。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1为该基于区块链的网络主动防御***的架构图。
具体实施方式
结合以下实施例对本发明作进一步描述。
如图1所示,该基于区块链的主动防御***有后台控制端(Voyager Server)和多个客户端(Game Server1,2…),支付应用(Wallet)、游戏应用(Player)等分别通过客户端连接到Genesis平台(Genesis Interface),从而受到来自多个区块链(如ETH、TRON、NAS)的智能合约(Smart Contract)的管理。该***主要包括区块链态势感知模块、多链主动防御模块、智能升级的存储合约模块、跨链交互与通信***、外部监测合约模块、永续备份以及跨链唤醒模块。
区块链态势感知模块在后台控制端和客户端分别工作,在客户端用于连接区块链的端口建有记录有筛选标准的智能合约,用于查询后台控制端的分析节点,从而确认对哪些分析节点地址的智能合约进行覆盖感知。并且,可以不受被覆盖的分析节点地址的智能合约的保护协议限制而强制执行感知动作。客户端收集统计在后台控制端覆盖感知得到的数据并进行记录。其中,覆盖感知的具体手段包括通过不同区块链上的分析节点调取存储合约的算法,并自动监测异常的智能调用、跨合约攻击、溢出攻击等行为。一旦发现了异常的行为,***立即自动调用分析节点来获取存储合约里的爬虫逻辑,递归抓取异常的调用节点及背后的服务器,收集进攻方的数据。
由于该覆盖感知行为建立在区块链上,整套***的不可篡改逻辑以及可信可验证执行力由智能合约保证,具体的分析节点的算法和爬虫算法由中心化/去中心化承担。这样可以在保证算法与爬虫易于更新的情况下,同时保证全套***的自动化强制执行的逻辑,从而实现更好态势感知效果与立体监控。
其中,多链主动防御模块主要是基于不同的主链分别放置智能合约,来保证主动防御体系自动执行。后台控制端的服务器采用周期同步规则(Periodic Synchronization)定期对不同区块链主链上的防御合约进行交互处理,结合上述区块链态势感知模块,一旦服务器锁定了进攻方的合约,不同主链上的智能合约会自动的调动起来,安排不同子服务器进行协调防御,并展开主动反击。在反击的模块中包含了基于存储合约可智能升级的不同反击方法,如溯源调查、深度爬虫、跨合约堵塞通信,来制止进攻方持续对该***智能合约和后端进行非法调用和注入攻击。
其中,智能升级的存储合约是整套可以永久存续、智能升级的去中心化数据库。所有主动防御中的算法数据、爬虫数据、防注入数据、跨链协议、主动防御方案都由存储合约永久存储,并实现智能升级。智能升级是指一旦服务器/合约被注入数据攻击或者被跨权限攻击,攻击语句及类似的语句会自动的***到智能合约中,到下次使用该库中数据作为逻辑的时候,该语句被用于主动防御,即自动完成了存储合约的升级过程。因为整个过程由智能合约保证,存储合约整体是不可逆的,主动防御***的数据库的数据会随着***长期运营越来越全面,防御逻辑也越来越完备。
其中,在不同主链的之间的智能合约,通过实现不同链上智能合约同步信息以及保持协调,***整体的去中心化的程度越高,整体的防御体系就越稳固。该跨链交互与通信***通过不依附于中心化服务器存储的跨链中间件实现,具体的,在后台控制端构建节点集群,该节点集群设有面向各个客户端的程序编程接口和多个对应到不同区块链的公链接口,节点集群采用拓展性集群架构,各个集群之间根据响应时间百分位进行排序来分配客户端负荷。并且,在节点集群构建用于格式数据的底层共识合约,通过程序编程接口与客户端对话,在客户端的公链上用该公链所属区块链的语言把需要传输的数据编写为预设的数据格式。在节点集群构建用于实现跨链交互的跨链信息同步框架,对经底层共识合约编写后的数据按照其各自对应的区块链进行分组得到多个用户群,在各个用户群内执行智能合约的点对点的信息传输,以用户群为载体连接到不同的区块链。具体的,按照区块链各自对应的语言采用UUID分组方式对数据进行分组,通过UUID的唯一性把客户端传输的数据的详细信息存储在通过UUID随机分配出来的查询表中并以Form表单向服务器提交数据,在索引表中存储UUID和关键字段用于用户***互。随着加入的服务器越多,跨链的稳定性以及信息的交互速度会越快,在多链主动防御***中,可以更方便的实现信息共享,从而达到联合防御的目的。
另外,在依靠用户群来承载跨链功能的时候,可以通过分组以及权限控制的功能,形成联盟链的跨链承载功能,从而达到数据的性能与稳定性的调节。并且,当大量数据由用户群进行跨链时,通过构建新的智能合约来分段分配跨链任务给不同段的用户,或者在跨链信息对于单点用户承载过多的情况,可以使用分页结果承载(paginated results)链接来减轻单集群的负荷,优化多公链的联合调试方法。
其中,智能合约虽然可以强制执行,但是不同主链之间的稳定性以及通信的时效性是不同的,越去中心化的主链执行起来越慢。因此,该主动防御***还设置有外部检测区块链状态的监测合约,用来检查进攻方有无针对区块链防御合约本身进行的堵塞攻击、节点攻击以及关闭区块链的动向。
该主动防御***还设置有永续备份以及跨链唤醒模块,提供可以把原合约代码重新激活的方案,在***的单链被攻破时可以有后手继续激活。具体的,类似于去中心化的备灾合约,该永续备份以及跨链唤醒模块在链上发布多个合约,或者在合约中加入重启的功能,从而达到二次启动的作用。结合上述跨链技术,可以做到跨链唤醒,大大增加了防御***的稳定性和持久性。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。

Claims (10)

1.基于区块链的网络主动防御方法,其特征在于,包括如下步骤:
态势感知智能合约构建步骤,在客户端用于连接区块链的端口建有记录有筛选标准的智能合约,基于态势感知智能合约来查询后台控制端的分析节点的动态,从而判断这些分析节点是否存在感知触发条件,对判断结果为存在的分析节点上的节点智能合约进行覆盖感知,所述覆盖感知包括通过不同区块链上的分析节点调取存储合约的算法;
感知数据记录步骤,记录上述覆盖感知得到的数据;
异常行为处理步骤,判断所述数据是否存在异常行为,若判断结果为是则根据所调取的存储合约的算法来调用预存的存储合约抓取异常数据,读取异常数据中的来源信息和进攻语句;
安全防御步骤,根据获取的异常数据调用预存的与之匹配的防御合约。
2.如权利要求1所述的基于区块链的网络主动防御方法,其特征在于,在所述态势感知智能合约构建步骤中,所述感知触发条件是指该智能合约处于活跃状态。
3.如权利要求1所述的基于区块链的网络主动防御方法,其特征在于,在所述态势感知智能合约构建步骤中,所述覆盖感知动作不受被覆盖的分析节点的节点智能合约的保护协议限制而强制执行。
4.如权利要求1所述的基于区块链的网络主动防御方法,其特征在于,在所述异常行为步骤中,所述异常行为包括超出该分析节点智能合约协议的智能调用和/或跨合约攻击和/或溢出攻击行为。
5.如权利要求4所述的基于区块链的网络主动防御方法,其特征在于,在所述异常行为步骤中,对进攻方信息进行溯源是指:通过存储合约内预设的爬虫逻辑来递归抓取异常的调用节点及背后的服务器,收集进攻方的数据。
6.如权利要求1所述的基于区块链的网络主动防御方法,其特征在于,所述安全防御步骤中预存的防御合约放置在去跨链的不同主链上。
7.如权利要求6所述的基于区块链的网络主动防御方法,其特征在于,所述各个主链上分别设有跨链唤醒合约,用于激活各个主链上的防御合约代码或重启自身防御合约。
8.如权利要求1所述的基于区块链的网络主动防御方法,其特征在于,所述异常行为处理步骤还包括反击步骤,在获取进攻方信息后通过溯源调查、深度爬虫、跨合约堵塞通信中的一种或多种防御方式来制止进攻方持续对该网络进行非法调用和/或注入攻击。
9.基于区块链的网络主动防御***,其特征在于,所述***包括处理器,所述处理器能够执行权利要求1~8中任一项所述的方法。
10.计算机可读存储介质,其存储有计算机程序,其特征在于,所述计算机程序被控制器执行时能够实现权利要求1~8中任一项所述的方法。
CN201910598895.6A 2019-07-04 2019-07-04 基于区块链的网络主动防御方法、***及计算机可读存储介质 Active CN110474870B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910598895.6A CN110474870B (zh) 2019-07-04 2019-07-04 基于区块链的网络主动防御方法、***及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910598895.6A CN110474870B (zh) 2019-07-04 2019-07-04 基于区块链的网络主动防御方法、***及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN110474870A CN110474870A (zh) 2019-11-19
CN110474870B true CN110474870B (zh) 2022-02-25

Family

ID=68506855

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910598895.6A Active CN110474870B (zh) 2019-07-04 2019-07-04 基于区块链的网络主动防御方法、***及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN110474870B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111310191B (zh) * 2020-02-12 2022-12-23 广州大学 一种基于深度学习的区块链智能合约漏洞检测方法
GB202004748D0 (en) * 2020-03-30 2020-05-13 British Telecomm Method of analysing anomalous network traffic
CN113783901B (zh) * 2021-11-15 2022-02-08 湖南宸瀚信息科技有限责任公司 一种基于区块链的多通信节点协同抗攻击网络***
CN115065562B (zh) * 2022-08-17 2022-11-22 湖南红普创新科技发展有限公司 基于区块链的注入判定方法、装置、设备及存储介质
CN116506104B (zh) * 2023-06-25 2023-08-29 天津市城市规划设计研究总院有限公司 基于跨链区块链的不同部门信息安全交互的方法及***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107172085A (zh) * 2017-06-30 2017-09-15 江苏华信区块链产业研究院有限公司 基于区块链智能合约的主动防御方法及节点
CN108616534A (zh) * 2018-04-28 2018-10-02 中国科学院信息工程研究所 一种基于区块链防护物联网设备DDoS攻击的方法及***
WO2019032864A1 (en) * 2017-08-10 2019-02-14 Patroness, LLC SYSTEM AND METHODS FOR INTEGRATING SENSORS IN SUPPORT OF SITUATIONAL PERCEPTION OF A MOTORIZED MOBILE SYSTEM

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107172085A (zh) * 2017-06-30 2017-09-15 江苏华信区块链产业研究院有限公司 基于区块链智能合约的主动防御方法及节点
WO2019032864A1 (en) * 2017-08-10 2019-02-14 Patroness, LLC SYSTEM AND METHODS FOR INTEGRATING SENSORS IN SUPPORT OF SITUATIONAL PERCEPTION OF A MOTORIZED MOBILE SYSTEM
CN108616534A (zh) * 2018-04-28 2018-10-02 中国科学院信息工程研究所 一种基于区块链防护物联网设备DDoS攻击的方法及***

Also Published As

Publication number Publication date
CN110474870A (zh) 2019-11-19

Similar Documents

Publication Publication Date Title
CN110474870B (zh) 基于区块链的网络主动防御方法、***及计算机可读存储介质
US20220329616A1 (en) Using static analysis for vulnerability detection
CN102902909B (zh) 一种防止文件被篡改的***和方法
US10013318B2 (en) Distributed event correlation system
US10409980B2 (en) Real-time representation of security-relevant system state
JP2021512380A (ja) 資産管理方法および装置、ならびに電子デバイス
US11106800B1 (en) Detecting kernel exploits
Saleem et al. Sok: Anatomy of data breaches
KR101969481B1 (ko) 다이나믹 보안모듈 생성방법 및 생성장치
CN105074718A (zh) 具有多个分析仪模型提供商的移动设备中的在线行为分析引擎
US9275238B2 (en) Method and apparatus for data security reading
CN108022090B (zh) 虚拟账户管理方法、设备、***及可读存储介质
CN110764871A (zh) 一种基于云平台的拟态化应用封装与控制***和方法
CN112528296B (zh) 漏洞检测方法、装置和存储介质及电子设备
CN104753861A (zh) 安全事件处理方法和装置
CN103428212A (zh) 一种恶意代码检测及防御的方法
CN103646198A (zh) 一种锁定移动终端工作区的方法、***及装置
US9330266B2 (en) Safe data storage method and device
CN115174279A (zh) 一种以太坊智能合约漏洞实时检测方法、终端及存储介质
Ritzdorf Analyzing covert channels on mobile devices
CN109241783A (zh) 移动终端管控策略的实施方法及装置
WO2017080362A1 (zh) 数据管理方法及装置
Vaz et al. MIRES: Intrusion recovery for applications based on backend-as-a-service
CN113626850B (zh) 基于联盟链的请求处理方法、装置、设备和存储介质
CN107015787B (zh) 一种交互式应用框架设计的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant