KR102400362B1 - A blockchain network attack packet detection method - Google Patents

A blockchain network attack packet detection method Download PDF

Info

Publication number
KR102400362B1
KR102400362B1 KR1020200137843A KR20200137843A KR102400362B1 KR 102400362 B1 KR102400362 B1 KR 102400362B1 KR 1020200137843 A KR1020200137843 A KR 1020200137843A KR 20200137843 A KR20200137843 A KR 20200137843A KR 102400362 B1 KR102400362 B1 KR 102400362B1
Authority
KR
South Korea
Prior art keywords
block
information
attack packet
transaction sequence
hash value
Prior art date
Application number
KR1020200137843A
Other languages
Korean (ko)
Other versions
KR20220053402A (en
Inventor
호준원
Original Assignee
서울여자대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서울여자대학교 산학협력단 filed Critical 서울여자대학교 산학협력단
Priority to KR1020200137843A priority Critical patent/KR102400362B1/en
Publication of KR20220053402A publication Critical patent/KR20220053402A/en
Application granted granted Critical
Publication of KR102400362B1 publication Critical patent/KR102400362B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 실시예에 따른 채굴 노드 및 검증 노드가 포함된 블록체인 네트워크의 공격 패킷 탐지 방법에 있어서, 상기 채굴 노드가 제1 블록을 생성하는 단계로서, 상기 제1 블록을 생성하는 단계는: 제1 트랜잭션 시퀀스를 수신하는 단계; Byte-SPRT(Sequential Probability Ratio Test) 기법을 기반으로 상기 제1 트랜잭션 시퀀스 내의 공격 패킷을 탐지하는 단계; 상기 공격 패킷이 탐지된 경우, 상기 제1 트랜잭션 시퀀스를 이용하여 상기 제1 블록을 생성하는 단계; 상기 제1 블록에 대한 제1 블록 해시(hash) 값을 계산 및 저장하는 단계; 및 상기 제1 블록 및 상기 제1 트랜잭션 시퀀스의 식별 정보가 포함된 제1 정보를 브로드캐스트하는 단계; 를 포함함, 상기 검증 노드가 상기 제1 정보를 수신하는 단계로서, 상기 제1 정보를 수신하는 단계는: 상기 제1 정보를 수신하는 단계; 상기 제1 정보를 기반으로 상기 제1 블록에 포함된 상기 제1 트랜잭션 시퀀스를 검색하는 단계; 검색된 제1 트랜잭션 시퀀스에 대하여 상기 Byte-SPRT 기법을 기반으로 상기 공격 패킷을 탐지하는 단계; 상기 공격 패킷이 탐지된 경우, 상기 제1 블록의 상기 제1 블록 해시 값을 계산 및 저장하는 단계; 및 상기 제1 블록에 대한 블록 검증 작업을 수행하지 않고, 상기 제1 블록을 블록체인에 추가하지 않는 단계; 를 포함할 수 있다.In the method for detecting an attack packet in a blockchain network including a mining node and a verification node according to an embodiment of the present invention, the mining node generates a first block, wherein the generating the first block includes: receiving a first transaction sequence; detecting an attack packet in the first transaction sequence based on a Byte-SPRT (Sequential Probability Ratio Test) technique; generating the first block by using the first transaction sequence when the attack packet is detected; calculating and storing a first block hash value for the first block; and broadcasting first information including identification information of the first block and the first transaction sequence; wherein the verification node receives the first information, wherein receiving the first information comprises: receiving the first information; searching for the first transaction sequence included in the first block based on the first information; detecting the attack packet based on the Byte-SPRT technique with respect to the searched first transaction sequence; calculating and storing the hash value of the first block of the first block when the attack packet is detected; and not performing a block verification operation on the first block and not adding the first block to the block chain; may include.

Description

블록체인 네트워크의 공격 패킷 탐지 방법{A blockchain network attack packet detection method}A blockchain network attack packet detection method

본 명세서는 블록체인 네트워크의 공격 패킷 탐지 방법 및 이를 위한 장치를 제안한다. The present specification proposes a method for detecting an attack packet in a block chain network and an apparatus therefor.

공격자가 대상 시스템의 정상적인 코드(예를 들어, library, instruction gadget)들을 재사용하여 코드 재사용 공격 패킷을 생성하고, 대상 시스템의 취약점을 이용하여 코드 재사용 공격 패킷을 대상 시스템에 주입하고 대상 시스템 내에서 악성 행위를 수행하게 만드는 것이 코드 재사용 공격이다. 공격자는 대상 시스템의 libc 코드 또는 instruction gadget 코드들의 주소들을 연결해서 코드 재사용 공격 패킷을 생성한다. 여기서 instruction gadget은 명령어들의 시퀀스에 해당한다. An attacker creates a code reuse attack packet by reusing the target system's normal codes (eg, library, instruction gadget), and injects a code reuse attack packet into the target system by using the vulnerability of the target system and creates a malicious code within the target system. Making an action perform is a code reuse attack. The attacker creates a code reuse attack packet by linking the addresses of the target system's libc code or instruction gadget codes. Here, the instruction gadget corresponds to a sequence of instructions.

코드 재사용 공격 패킷이 대상 시스템의 메모리에 주입되면, 코드 재사용 공격 패킷은 대상 시스템의 취약점에 의해 대상 시스템에 저장된 libc 코드 또는 instruction gadget 코드들의 주소들로 인식되어 대상 시스템 내에서 실행되며, 그 결과 악성 행위가 수행된다.When the code reuse attack packet is injected into the memory of the target system, the code reuse attack packet is recognized as the addresses of the libc code or instruction gadget codes stored in the target system by the vulnerability of the target system and is executed in the target system. action is performed

따라서, 공격자는 악성 코드를 별도로 제작하여 대상 시스템에 삽입하는 방식으로 악성 행위를 수행하지 않고, 코드 재사용 공격을 통해 대상 시스템에 이미 내장된 정상적인 명령어들을 재사용하여 대상 시스템 안에서 악성 행위를 수행하게 된다. 이러한 특징 때문에, 코드 재사용 공격은 기존의 코드 삽입 공격보다 더 효과적이며 위협적인 공격으로 인식되어 최근에 다양한 탐지 기법이 연구자들에 의해 제안되었다. Therefore, the attacker does not perform malicious actions by separately producing malicious code and inserting it into the target system, but performs malicious actions in the target system by reusing normal commands already built into the target system through a code reuse attack. Because of these characteristics, code reuse attacks are more effective than existing code injection attacks and are recognized as threatening attacks, and various detection techniques have been recently proposed by researchers.

연구자들에 의해 제안된 대부분의 탐지 기법은 시스템 기반의 탐지 기법이며, 그 중 산업용 IoT(Internet of Things) 기기에서 확률적 네트워크 패킷 검사를 통한 코드 재사용 공격 탐지 기법에 관한 "Efficient and Robust Detection of Code-Reuse Attacks Through Probabilitic Packet Inspection in Industrial IoT Devices"라는 논문이 2018년도 IEEE Access 저널에 게재된 바 있다. Most of the detection techniques proposed by the researchers are system-based detection techniques, and among them, "Efficient and Robust Detection of Code -Reuse Attacks Through Probabilitic Packet Inspection in Industrial IoT Devices" was published in the IEEE Access journal in 2018.

본 논문에 제안된 탐지 기법은, 확률적 네트워크 패킷 검사를 통하여 코드 재사용 공격을 탐지하는 기법인데, 기존의 시스템 기반 탐지 기법보다 먼저 코드 재사용 공격을 탐지할 수 있다는 장점이 있다. 즉, 상기 논문에 제안된 기법에 따를 때, 코드 재사용 패킷이 시스템에 피해를 주기 전 선제적으로 네트워크 레벨에서 코드 재사용 공격을 탐지할 수 있다는 장점이 있다. 또한, 확률적 방식과 SPRT(Sequential Probability Ratio Test)를 사용하여 산업용 IoT 기기의 자원을 비교적 적게 소비하면서 효율적으로 코드 재사용 공격을 탐지할 수 있다는 장점이 있다. The detection technique proposed in this paper is a technique to detect code reuse attacks through probabilistic network packet inspection. That is, according to the technique proposed in this paper, there is an advantage in that code reuse attacks can be preemptively detected at the network level before code reuse packets damage the system. In addition, it has the advantage of efficiently detecting code reuse attacks while consuming relatively little resources of industrial IoT devices using a probabilistic method and SPRT (Sequential Probability Ratio Test).

본 명세서는 상기 논문에 게재된 확률적 네트워크 패킷 검사 기법을 블록체인 기반의 IoT에 응용하여, 블록체인 네트워크에서의 코드 재사용 공격을 효율적으로 탐지하고자 함이 목적이다. The purpose of this specification is to efficiently detect code reuse attacks in blockchain networks by applying the probabilistic network packet inspection technique published in the above paper to blockchain-based IoT.

본 발명의 일 실시예에 따른 채굴 노드 및 검증 노드가 포함된 블록체인 네트워크의 공격 패킷 탐지 방법에 있어서, 상기 채굴 노드가 제1 블록을 생성하는 단계로서, 상기 제1 블록을 생성하는 단계는: 제1 트랜잭션 시퀀스를 수신하는 단계; Byte-SPRT(Sequential Probability Ratio Test) 기법을 기반으로 상기 제1 트랜잭션 시퀀스 내의 공격 패킷을 탐지하는 단계; 상기 공격 패킷이 탐지된 경우, 상기 제1 트랜잭션 시퀀스를 이용하여 상기 제1 블록을 생성하는 단계; 상기 제1 블록에 대한 제1 블록 해시(hash) 값을 계산 및 저장하는 단계; 및 상기 제1 블록 및 상기 제1 트랜잭션 시퀀스의 식별 정보가 포함된 제1 정보를 브로드캐스트하는 단계; 를 포함함, 상기 검증 노드가 상기 제1 정보를 수신하는 단계로서, 상기 제1 정보를 수신하는 단계는: 상기 제1 정보를 수신하는 단계; 상기 제1 정보를 기반으로 상기 제1 블록에 포함된 상기 제1 트랜잭션 시퀀스를 검색하는 단계; 검색된 제1 트랜잭션 시퀀스에 대하여 상기 Byte-SPRT 기법을 기반으로 상기 공격 패킷을 탐지하는 단계; 상기 공격 패킷이 탐지된 경우, 상기 제1 블록의 상기 제1 블록 해시 값을 계산 및 저장하는 단계; 및 상기 제1 블록에 대한 블록 검증 작업을 수행하지 않고, 상기 제1 블록을 블록체인에 추가하지 않는 단계; 를 포함할 수 있다.In the method for detecting an attack packet in a blockchain network including a mining node and a verification node according to an embodiment of the present invention, the mining node generates a first block, wherein the generating the first block includes: receiving a first transaction sequence; detecting an attack packet in the first transaction sequence based on a Byte-SPRT (Sequential Probability Ratio Test) technique; generating the first block by using the first transaction sequence when the attack packet is detected; calculating and storing a first block hash value for the first block; and broadcasting first information including identification information of the first block and the first transaction sequence; wherein the verification node receives the first information, wherein receiving the first information comprises: receiving the first information; searching for the first transaction sequence included in the first block based on the first information; detecting the attack packet based on the Byte-SPRT technique with respect to the searched first transaction sequence; calculating and storing the hash value of the first block of the first block when the attack packet is detected; and not performing a block verification operation on the first block and not adding the first block to the block chain; may include.

본 발명의 일 실시예에 따를 때, 코드 재사용 패킷이 시스템에 피해를 주기 전에 선제적으로 네트워크 레벨에서 코드 재사용 공격의 탐지가 가능하므로, 블록체인 네트워크의 자원을 최소한으로 소비하면서 효율적으로 코드 재사용 공격 패킷을 탐지할 수 있다는 효과가 있다.According to an embodiment of the present invention, it is possible to preemptively detect a code reuse attack at the network level before a code reuse packet causes damage to the system. It has the effect of being able to detect packets.

또한, 본 발명의 일 실시예에 따를 때, 블록체인 기반 네트워크에 특화된 효율적인 코드 재사용 공격 탐지 기법이 제안된다는 효과가 있다. 나아가, 본 발명의 일 실시예예 따를 때, 코드 재사용 공격 탐지 기법의 기술 영역이 확장된다는 효과가 있다. In addition, according to an embodiment of the present invention, there is an effect that an efficient code reuse attack detection technique specialized for a blockchain-based network is proposed. Furthermore, according to an embodiment of the present invention, there is an effect that the technical area of the code reuse attack detection technique is expanded.

도 1은 본 발명의 일 실시예에 따른 블록체인 네트워크를 예시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 공격 패킷 탐지 방법을 예시한 순서도이다.
도 3은 본 발명의 일 실시예에 따라 제1 블록 해시 값 및 Byte-SPRT 기법을 이용하여 공격 패킷을 탐지하는 실시예에 관한 순서도이다.
도 4는 본 발명의 일 실시예에 따라 공격 패킷이 탐지되지 않은 경우에 있어서 블록체인 네트워크 시스템의 동작에 관한 순서도이다.
도 5는 본 발명의 일 실시예에 따른 블록체인 노드의 블록도이다.1 is a diagram illustrating a block chain network according to an embodiment of the present invention.
2 is a flowchart illustrating an attack packet detection method according to an embodiment of the present invention.
3 is a flowchart of an embodiment of detecting an attack packet using a first block hash value and a Byte-SPRT technique according to an embodiment of the present invention.
4 is a flowchart of the operation of the blockchain network system in the case where an attack packet is not detected according to an embodiment of the present invention.
5 is a block diagram of a blockchain node according to an embodiment of the present invention.

이하 설명하는 기술은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 이하 설명하는 기술을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 이하 설명하는 기술의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Since the technology to be described below may have various changes and may have various embodiments, specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the technology described below to specific embodiments, and it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the technology described below.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 상기 용어들에 의해 한정되지는 않으며, 단지 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 이하 설명하는 기술의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. 예를 들어, 'A 및/또는 B'는 'A 또는 B 중 적어도 하나'의 의미로 해석될 수 있다. 또한, '/'는 '및' 또는 '또는'으로 해석될 수 있다.Terms such as first, second, A, and B may be used to describe various components, but the components are not limited by the above terms, and only for the purpose of distinguishing one component from other components. is used only as For example, a first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component without departing from the scope of the present invention. and/or includes a combination of a plurality of related listed items or any of a plurality of related listed items. For example, 'A and/or B' may be interpreted as meaning 'at least one of A or B'. Also, '/' may be interpreted as 'and' or 'or'.

본 명세서에서 사용되는 용어에서 단수의 표현은 문맥상 명백하게 다르게 해석되지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함한다" 등의 용어는 설시된 특징, 개수, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 의미하는 것이지, 하나 또는 그 이상의 다른 특징들이나 개수, 단계 동작 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하지 않는 것으로 이해되어야 한다.In terms of terms used herein, the singular expression should be understood to include a plural expression unless the context clearly dictates otherwise, and terms such as "comprises" include the specified feature, number, step, operation, and element. , parts or combinations thereof are to be understood, but not to exclude the possibility of the presence or addition of one or more other features or numbers, step operation components, parts or combinations thereof.

도면에 대한 상세한 설명을 하기에 앞서, 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다.Prior to a detailed description of the drawings, it is intended to clarify that the classification of the constituent parts in the present specification is merely a division according to the main function each constituent unit is responsible for. That is, two or more components to be described below may be combined into one component, or one component may be divided into two or more for each more subdivided function. In addition, each of the constituent units to be described below may additionally perform some or all of the functions of other constituent units in addition to the main function it is responsible for. Of course, it can also be performed by being dedicated to it.

또, 방법 또는 동작 방법을 수행함에 있어서, 상기 방법을 이루는 각 과정들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 과정들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In addition, in performing the method or method of operation, each process constituting the method may occur differently from the specified order unless a specific order is clearly described in context. That is, each process may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.

도 1은 본 발명의 일 실시예에 따른 블록체인 네트워크를 예시한 도면이다.1 is a diagram illustrating a block chain network according to an embodiment of the present invention.

도 1을 참조하면, 블록체인 네트워크(100)는 복수의 블록체인 노드들(110-1~110-N)로 구성될 수 있다. 블록체인 노드(110-1~110-N)는 블록체인 네트워크(100)를 구성하는 IoT 기기로서, 크게 채굴 작업에 참여하는 채굴(mining) 노드, 채굴된 블록의 검증 작업을 수행하는 검증(verification) 노드로 구분될 수 있다. 특히, 채굴 노드는 다수의 트랜잭션들을 하나의 블록으로 구성하여 블록 채굴 작업을 수행할 수 있으며, 채굴한 블록을 블록체인 네트워크(100)에 포함된 다른 블록체인 노드들에게 브로드캐스트할 수 있다. 검증 노드는 채굴 노드로부터 수신한 블록에 대하여 작업 증명(Proof of Work) 메커니즘을 기반으로 검증 작업을 수행하며, 검증이 완료된 블록만 선택적으로 블록 체인에 추가할 수 있다. 보다 상세하게는, 검증 노드는 트랜잭션이 포함된 블록의 블록 해시 값이 기설정된 해시 값보다 작은지 여부를 기초로 검증 작업을 수행하며, 블록 해시 값이 기설정된 해시 값보다 작다고 판단되는 경우에만 검증을 완료할 수 있다. Referring to FIG. 1 , the block chain network 100 may be composed of a plurality of block chain nodes 110-1 to 110-N. The blockchain nodes 110-1 to 110-N are IoT devices constituting the blockchain network 100, and are a mining node that largely participates in the mining operation, and verification that performs the verification operation of the mined block. ) can be divided into nodes. In particular, the mining node may perform block mining by composing a plurality of transactions into one block, and may broadcast the mined block to other blockchain nodes included in the blockchain network 100 . The verification node performs verification work on the blocks received from the mining node based on the Proof of Work mechanism, and only verified blocks can be selectively added to the block chain. More specifically, the verification node performs verification based on whether the block hash value of the block including the transaction is smaller than the predetermined hash value, and only verifies when it is determined that the block hash value is smaller than the predetermined hash value. can be completed

트랜잭션(transaction)은 하나의 블록체인 노드가 다른 블록체인 노드로 전송하는 IoT 관련 데이터를 통칭하며, 블록의 구성 요소로서 블록에 포함되어 블록체인 네트워크(100)로 브로드캐스트될 수 있다. A transaction refers to IoT-related data transmitted by one blockchain node to another blockchain node, and may be included in the block as a component of the block and broadcast to the blockchain network 100 .

블록체인 네트워크(100) 내에, 공격자에 의해 제어되며 코드 재사용 공격을 수행하는 공격 노드가 생성될/존재할 수 있으며, 이러한 공격 노드에 의해 공격받는 공격 대상 노드가 존재할 수 있다. 공격 노드는 공격 대상 노드로 코드 재사용 공격 패킷(즉, 악성 코드)이 포함된 트랜잭션을 전송함으로써 공격 대상 노드에 대한 공격을 수행할 수 있다. 공격 대상 노드는 앞서 상술한 채굴 노드 및/또는 검증 노드가 될 수 있다. In the blockchain network 100, an attack node that is controlled by an attacker and performs a code reuse attack may be created/exist, and an attack target node that is attacked by such an attack node may exist. The attack node can perform an attack on the attack target node by sending a transaction containing a code reuse attack packet (ie, malicious code) to the attack target node. The attack target node may be the aforementioned mining node and/or verification node.

본 명세서에서는 이러한 공격 노드로부터 전송된 코드 재사용 공격 패킷(이하, '공격 패킷'이라 지칭)을 탐지하기 위한 방법에 대해 제안하고자 한다. This specification intends to propose a method for detecting a code reuse attack packet (hereinafter, referred to as an 'attack packet') transmitted from such an attack node.

도 2는 본 발명의 일 실시예에 따른 공격 패킷 탐지 방법을 예시한 순서도이다.2 is a flowchart illustrating an attack packet detection method according to an embodiment of the present invention.

본 순서도는 채굴 노드 및 검증 노드에 의해 수행될 수 있다. 따라서, 본 공격 패킷 탐지 방법은 전체적으로 블록체인 네트워크 시스템의 공격 패킷 탐지 방법으로 볼 수 있다. 본 실시예는 크게 채굴 노드에 의한 제1 블록 생성 단계 및 검증 노드에 의한 제1 정보 수신 단계로 나뉠 수 있다. 이하에서는 상기 단계별 채굴/검증 노드에 의한 구체적인 수행 동작에 대해 상세히 후술한다.This flowchart may be performed by a mining node and a verification node. Therefore, this attack packet detection method can be viewed as an attack packet detection method of the blockchain network system as a whole. This embodiment can be largely divided into a first block generation step by a mining node and a first information reception step by a verification node. Hereinafter, specific operations performed by the step-by-step mining/verification node will be described in detail.

우선, 채굴 노드의 제1 블록 생성 단계의 구체적인 동작에 대해 설명한다.First, the specific operation of the first block generation step of the mining node will be described.

채굴 노드는 제1 트랜잭션 시퀀스를 수신할 수 있다(S210). 트랜잭션 시퀀스는 복수의 트랜잭션들의 나열(예를 들어, {T_k, T_(k+1), ..., T_(k+p-1)}, 1<=k<=n-p+1)을 의미하며, 이러한 트랜잭션 시퀀스 내에 공격 패킷이 삽입되어 채굴 노드로 전송될 수 있다. The mining node may receive the first transaction sequence (S210). A transaction sequence is a list of multiple transactions (eg, {T_k, T_(k+1), ..., T_(k+p-1)}, 1<=k<=n-p+1). This means that an attack packet can be inserted into this transaction sequence and transmitted to the mining node.

다음으로, 채굴 노드는 Byte-SPRT 기법을 기반으로 제1 트랜잭션 시퀀스 내의 공격 패킷을 탐지할 수 있다(S220). 여기서 Byte-SPRT 기법은, IEEE Access 2018에 게재된 "Efficient and Robust Detection of Code-Reuse Attacks Through Probabilitic Packet Inspection in Industrial IoT Devices" 논문에서 제안된 기법으로, IoT 센서 데이터 패킷들의 시퀀스의 값이 사전에 설정된 공격 패킷 시퀀스 인식 범위에 포함되는 경우가 임의로 설정된 횟수 이상으로 발생하는 경우, 공격 패킷을 탐지하는 기법에 해당한다. 보다 상세하게는, 코드 재사용 공격에 사용되는 공격 패킷들의 값은 기본적으로 대상 시스템에 저장된 명령어들의 주소로 볼 수 있으며, 대상 시스템의 명령어 주소 체계에 따라 설정된 명령어들의 주소 범위를 알 수 있기 때문에, 그에 따라 코드 재사용 공격 패킷들의 값의 범위(즉, 주소 범위)도 알 수 있어 이를 이용하여 공격 패킷의 탐지가 가능한 것이다. Next, the mining node may detect an attack packet in the first transaction sequence based on the Byte-SPRT technique (S220). Here, the Byte-SPRT technique is a technique proposed in the paper "Efficient and Robust Detection of Code-Reuse Attacks Through Probabilitic Packet Inspection in Industrial IoT Devices" published in IEEE Access 2018. If the case included in the set attack packet sequence recognition range occurs more than an arbitrarily set number of times, it corresponds to a technique for detecting an attack packet. More specifically, the value of the attack packets used in the code reuse attack can be basically seen as the address of the commands stored in the target system, and the address range of commands set according to the command address system of the target system can be known, Accordingly, the range of values (ie, address range) of code reuse attack packets can also be known, and attack packets can be detected using this.

만일, 채굴 노드가 Byte-SPRT 기법을 기반으로 제1 트랜잭션 시퀀스 내의 공격 패킷을 탐지한 경우, 제2 트랜잭션 시퀀스를 이용하여 제1 블록을 생성할 수 있다(S230). 나아가, 채굴 노드는 생성한 제1 블록에 대한 제1 블록 해시(hash) 값을 계산하여 저장할 수 있다(S240). 제1 블록 해시 값은, 제1 블록의 블록 헤더 값이 해쉬 함수에 입력된 경우, 출력 값으로서 도출될 수 있다.If the mining node detects an attack packet in the first transaction sequence based on the Byte-SPRT technique, the first block may be generated using the second transaction sequence (S230). Furthermore, the mining node may calculate and store a first block hash value for the generated first block (S240). The first block hash value may be derived as an output value when the block header value of the first block is input to the hash function.

마지막으로, 채굴 노드는 제1 블록 및 제1 트랜잭션 시퀀스의 식별 정보가 포함된 제1 정보를 블록체인 네트워크에 브로드캐스트할 수 있다(S250). 제1 트랜잭션 시퀀스의 식별 정보는 제1 트랜잭션 시퀀스에 포함된 트랜잭션별 식별자 집합에 해당할 수 있다. 예를 들어, 제1 트랜잭션 시퀀스 내에 p개의 트랜잭션 {T_k, T_(k+1), ..., T_(k+p-1)}이 존재하는 경우, 채굴 노드는 제1 트랜잭션 시퀀스의 식별 정보로서 {ID_k, ID_(k+1), ..., ID_(k+p-1)}(즉, p개의 식별자(ID))를 브로드캐스트할 수 있다. Finally, the mining node may broadcast the first information including the identification information of the first block and the first transaction sequence to the blockchain network (S250). The identification information of the first transaction sequence may correspond to a transaction-specific identifier set included in the first transaction sequence. For example, if p transactions {T_k, T_(k+1), ..., T_(k+p-1)} exist in the first transaction sequence, the mining node identifies the first transaction sequence As {ID_k, ID_(k+1), ..., ID_(k+p-1)} (ie, p identifiers (IDs)) may be broadcast.

제1 정보가 채굴 노드로부터 정상적으로 생성되어 전송된 정보가 맞는지 확인할 수 있도록, 제1 정보에는 채굴 노드의 서명 및 공공 키 정보가 추가로 포함될 수 있다. 보다 상세하게는, 제1 정보에는 제1 블록(B) 및 제1 트랜잭션 시퀀스의 식별 정보 외에, 다음의 정보를 추가로 포함할 수 있다:The first information may additionally include signature and public key information of the mining node so that it can be checked whether the first information is normally generated and transmitted by the mining node. More specifically, the first information may further include the following information in addition to the identification information of the first block (B) and the first transaction sequence:

- 비밀 키(private key)를 이용하여, 제1 트랜잭션 시퀀스의 식별 정보와 제1 블록에 대하여 생성된 채굴 노드의 서명(Sig_m)- Using a private key, identification information of the first transaction sequence and the signature of the mining node generated for the first block (Sig_m)

- 채굴 노드의 공공 키(Public key)(PK_m)- Public key of mining node (PK_m)

이 경우, 제1 정보는 [ID_k, ID_(k+1), ..., ID_(k+p-1) || B || Sig_m || PKm]와 같은 형식/포맷으로 브로드캐스트될 수 있다. 서명은 비밀키를 이용한 일반적인 서명 방식이 사용될 수 있으며, 예를 들어 채굴 노드는 해시를 생성한 후 비밀 키로 해시 값을 암호화함으로써 서명을 수행할 수 있다. In this case, the first information is [ID_k, ID_(k+1), ..., ID_(k+p-1) || B || Sig_m || PKm] can be broadcast in the same format/format. A general signature method using a private key may be used for the signature. For example, a mining node may perform a signature by generating a hash and then encrypting the hash value with the private key.

다음은 검증 노드의 제1 정보를 수신하는 단계의 구체적인 동작에 대해 설명한다.The following describes a specific operation of the step of receiving the first information of the verification node.

검증 노드는, 채굴 노드로부터 브로드캐스트된 제1 정보를 수신할 수 있다(S260). 검증 노드는 수신한 제1 정보의 형식/포맷을 인식함으로써 제1 트랜잭션 시퀀스에 공격 패킷이 포함되어 있는지 여부를 간접적으로 판단할 수 있다. 보다 상세하게는, 제1 정보에 제1 트랜잭션 시퀀스의 식별 정보가 포함되어 있음을 인식한 경우, 검증 노드는 제1 트랜잭션 시퀀스에 공격 패킷이 포함되어 있는 것으로 인식할 수 있다. The verification node may receive the first information broadcast from the mining node (S260). The verification node may indirectly determine whether an attack packet is included in the first transaction sequence by recognizing the format/format of the received first information. More specifically, when recognizing that the first information includes identification information of the first transaction sequence, the verification node may recognize that the attack packet is included in the first transaction sequence.

나아가, 본 순서도에는 도시하지 않았으나, 제1 정보에 채굴 노드의 서명 및 공공 키가 추가로 포함되어 있는 경우, 검증 노드는 제1 정보에 포함된 공공 키를 이용하여, 제1 정보에 포함된 서명이, 제1 트랜잭션 시퀀스의 식별 정보 및 제1 블록에 대하여 채굴 노드에 의해 작성된 것이 맞는지 확인할 수 있다. 이러한 서명 확인 역시, 일반적인 서명 확인 기술을 통해 수행될 수 있다. 예를 들어 검증 노드는 공공 키를 이용하여 채굴 노드로부터 수신한 서명의 유효성을 검증할 수 있다. 검증 노드는, 채굴 노드에 의해 제1 정보가 정상적으로 작성 및 송부된 것을 확인한 경우에 한해서만, 다음 단계로 넘어갈 수 있다. Furthermore, although not shown in this flowchart, when the first information additionally includes the signature and public key of the mining node, the verification node uses the public key included in the first information to sign the first information It can be checked whether the identification information and the first block of the first transaction sequence are written by the mining node. Such signature verification may also be performed through a general signature verification technique. For example, a verification node can use a public key to verify the validity of a signature received from a mining node. The verification node can proceed to the next step only when it is confirmed that the first information has been normally created and transmitted by the mining node.

다음으로, 검증 노드는 제1 정보를 기반으로 제1 블록에 포함된 제1 트랜잭션 시퀀스를 검색하고(S270), 검색된 제1 트랜잭션 시퀀스에 대하여 Byte-SPRT 기법을 적용하여 제1 트랜잭션 시퀀스 내에 숨겨진 공격 패킷을 탐지할 수 있다(S280). Next, the verification node searches for the first transaction sequence included in the first block based on the first information (S270), and applies the Byte-SPRT technique to the searched first transaction sequence to attack hidden within the first transaction sequence. A packet may be detected (S280).

검증 노드는, 제1 정보의 포맷/형식(예를 들어, 제1 정보에 제1 트랜잭션 시퀀스의 식별 정보가 포함되어 있는지 여부)을 통해 공격 패킷의 존재를 간접적으로 인식할 수도 있으나, 추가적으로 Byte-SPRT 기법을 적용하여 직접적으로 공격 패킷의 존재를 탐지할 수 있다(즉, 이중 탐지 방식 적용). 이렇듯 이중으로(1차로 채굴 노드에 의해, 2차로 검증 노드에 의해) 공격 패킷을 탐지하는 이유는, 공격 노드에 의해 제1 정보가 조작되어 전송될 가능성에 대비한 것이다. 즉, 공격 노드가 제1 블록에 공격 패킷을 숨긴 상태에서 제1 트랜잭션 시퀀스의 식별 정보가 포함되지 않은 제1 정보를 검증 노드에 전송하는 경우에 검증 노드가 제1 정보 형식/포맷만을 보고 공격 패킷을 탐지하지 않음에 따라 공격받을 가능성에 대비한 것이다.The verification node may indirectly recognize the existence of an attack packet through the format/format of the first information (eg, whether the identification information of the first transaction sequence is included in the first information), but additionally Byte- The presence of an attack packet can be directly detected by applying the SPRT technique (ie, double detection method applied). The reason for detecting an attack packet in this way (primarily by the mining node and secondly by the verification node) is to prepare for the possibility that the first information may be manipulated and transmitted by the attacking node. That is, when the attack node transmits the first information that does not include the identification information of the first transaction sequence to the verification node in a state in which the attack packet is hidden in the first block, the verification node sees only the first information format/format and sends the attack packet It is prepared for the possibility of being attacked by not detecting it.

다음으로, 검증 노드는 제1 트랜잭션 시퀀스 내의 공격 패킷을 탐지한 경우, 제1 블록의 제1 블록 해시 값을 계산 및 저장할 수 있다. 앞서 채굴 노드가 제1 블록 해시 값을 계산 및 저장한 단계와 동일하게, 검증 노드는 해시 함수 및 제1 블록의 블록 헤더 값을 이용하여 제1 블록 해시 값을 계산하여 저장할 수 있다(S290). Next, when the verification node detects an attack packet in the first transaction sequence, the verification node may calculate and store the first block hash value of the first block. In the same manner as in the previous step of calculating and storing the first block hash value by the mining node, the verification node may calculate and store the first block hash value using the hash function and the block header value of the first block (S290).

마지막으로, 검증 노드는 제1 블록에 대한 블록 검증 작업을 수행하지 않고, 제1 블록을 블록체인에 추가하지 않을 수 있다(S300). Finally, the verification node may not perform block verification on the first block, and may not add the first block to the block chain (S300).

종합하자면, 본 순서도에 따른 실시예는, 결국 공격 패킷을 탐지하기 위한 제1 블록 해시 값을 획득하기 위한 실시예로서, 이렇게 획득한 제1 블록 해시 값은 추후 Byte-SPRT 기법과 함께 공격 패킷을 탐지하는 데 사용되게 된다.In summary, the embodiment according to this flowchart is an embodiment for obtaining a first block hash value for eventually detecting an attack packet. will be used to detect

제1 블록 해시 값 및 Byte-SPRT 기법을 사용하여 공격 패킷을 탐지하는 실시예에 대해서는 도 3을 참조하여 이하에서 후술한다.An embodiment of detecting an attack packet using the first block hash value and the Byte-SPRT technique will be described below with reference to FIG. 3 .

도 3은 본 발명의 일 실시예에 따라 제1 블록 해시 값 및 Byte-SPRT 기법을 이용하여 공격 패킷을 탐지하는 실시예에 관한 순서도이다.3 is a flowchart of an embodiment of detecting an attack packet using a first block hash value and a Byte-SPRT technique according to an embodiment of the present invention.

본 실시예는 도 2의 실시예가 선행적으로 수행된 결과 적어도 하나의 제1 블록 해시 값이 채굴 노드에 저장되어 있는 상황을 전제로 한다. 특히, 본 실시예는 도 2의 실시예가 복수 회 반복 수행된 결과 기설정된 수만큼의 제1 블록 해시 값이 모인 후에 수행될 수 있다. This embodiment assumes a situation in which at least one first block hash value is stored in the mining node as a result of performing the embodiment of FIG. 2 in advance. In particular, this embodiment may be performed after a predetermined number of first block hash values are collected as a result of repeating the embodiment of FIG. 2 a plurality of times.

도 3을 참조하면, 채굴 노드는 제2 트랜잭션 시퀀스를 수신할 수 있다(S310). 다음으로, 채굴 노드는 제2 트랜잭션 시퀀스를 이용하여 제2 블록을 생성하고(S320), 제2 블록에 대한 제2 블록 해시 값을 계산할 수 있다(S330). 다음으로, 채굴 노드는 제2 블록 해시 값과 제1 블록 해시 값을 비교할 수 있다(S340). 저장 중인 제1 블록 해시 값이 복수개인 경우, 채굴 노드는 복수개의 제1 블록 해시 값과 제2 블록 해시 값을 일대일로 비교하여 제2 블록 해시 값과 매칭되는 제1 블록 해시 값이 존재하는지 판단할 수 있다. Referring to FIG. 3 , the mining node may receive the second transaction sequence ( S310 ). Next, the mining node may generate a second block by using the second transaction sequence (S320), and may calculate a second block hash value for the second block (S330). Next, the mining node may compare the second block hash value with the first block hash value (S340). If there are a plurality of first block hash values being stored, the mining node compares the plurality of first block hash values and the second block hash values one-to-one to determine whether a first block hash value matching the second block hash value exists can do.

만일, 제2 블록 해시 값이 제1 블록 해시 값과 동일한 경우(또는 복수의 제1 블록 해시 값들 중 제2 블록 해시 값과 일치하는 제1 블록 해시 값이 존재하는 경우), 검증 노드는 제2 트랜잭션 시퀀스 내에 공격 패킷이 포함된 것으로 인식하여(S350) 제2 블록을 채굴하지 않을 수 있다. If the second block hash value is the same as the first block hash value (or if there is a first block hash value matching the second block hash value among the plurality of first block hash values), the verification node performs the second block hash value. The second block may not be mined by recognizing that the attack packet is included in the transaction sequence (S350).

반대로, 제2 블록 해시 값이 제1 블록 해시 값과 동일하지 않은 경우(또는 복수의 제1 블록 해시 값들 중 제2 블록 해시 값과 일치하는 제1 블록 해시 값이 존재하지 않는 경우), 검증 노드는 Byte-SPRT 기법을 기반으로 제2 트랜잭션 시퀀스 내의 공격 패킷을 탐지할 수 있다(S360). Conversely, if the second block hash value is not the same as the first block hash value (or if there is no first block hash value matching the second block hash value among the plurality of first block hash values), the verification node may detect an attack packet in the second transaction sequence based on the Byte-SPRT technique (S360).

탐지 결과, 공격 패킷이 탐지된 경우, 채굴 노드는 제2 블록 및 제2 트랜잭션 시퀀스의 식별 정보가 포함된 제2 정보를 블록체인 네트워크에 브로드캐스트할 수 있다. 본 동작에 관한 상세한 설명은, 도 2의 S240 단계에서 제1 정보가 제2 정보로 대체된 경우와 실질적으로 동일하므로, 중복되는 설명은 생략한다.As a result of the detection, when an attack packet is detected, the mining node may broadcast second information including identification information of the second block and the second transaction sequence to the blockchain network. Since the detailed description of this operation is substantially the same as the case in which the first information is replaced with the second information in step S240 of FIG. 2 , a redundant description will be omitted.

브로드캐스트된 제2 정보를 검증 노드가 수신할 수 있으며, 검증 노드는 제2 정보를 기반으로 제2 블록에 포함된 제2 트랜잭션 시퀀스를 검색하고, 검색된 제2 트랜잭션 시퀀스에 대하여 Byte-SPRT 기법을 기반으로 공격 패킷을 탐지할 수 있다. 공격 패킷이 탐지된 경우, 검증 노드는 제2 블록의 제2 블록 해시 값을 계산 및 저장할 수 있으며, 제2 블록에 대한 블록 검증 작업을 수행하지 않고, 제2 블록을 블록체인에 추가하지 않을 수 있다. 이에 대한 상세한 설명은, 도 2의 S260 내지 S300 단계에서 제1 블록이 제2 블록으로, 제1 트랜잭션 시퀀스가 제2 트랜잭션 시퀀스로, 제1 블록 해시 값이 제2 블록 해시 값으로 대체된 경우와 실질적으로 동일하므로, 중복되는 설명은 생략한다.A verification node may receive the broadcast second information, and the verification node searches for the second transaction sequence included in the second block based on the second information, and applies the Byte-SPRT technique to the found second transaction sequence. Based on this, attack packets can be detected. When an attack packet is detected, the verification node may calculate and store the hash value of the second block of the second block, and may not perform block verification on the second block and not add the second block to the blockchain. there is. A detailed description of this will be described in the case where the first block is replaced with the second block, the first transaction sequence is replaced with the second transaction sequence, and the first block hash value is replaced with the second block hash value in steps S260 to S300 of FIG. Since they are substantially the same, overlapping descriptions are omitted.

탐지 결과, 공격 패킷이 탐지되지 않은 경우, 채굴 노드는 제2 트랜잭션 시퀀스에 공격 패킷이 포함되어 있지 않은 것으로 보고, 제2 블록을 생성하여 블록체인 네트워크로 브로드캐스트할 수 있으며, 이를 수신한 검증 노드는 제2 블록을 검증하여 블록체인에 추가할 수 있다.As a result of the detection, if no attack packet is detected, the mining node considers that the second transaction sequence does not contain the attack packet, and can create a second block and broadcast it to the blockchain network, and the verification node that has received it can verify the second block and add it to the blockchain.

이렇게 획득된 제2 블록 해시 값은 제1 블록 해시 값과 마찬가지로, Byte-SPRT 기법과 함께 공격 탐지 패킷을 탐지하는 데 사용되게 된다. 이 경우, 채굴 노드는 새롭게 수신되는 트랜잭션 시퀀스를 제2 트랜잭션 시퀀스로 보고 본 순서도의 동작을 동일하게 수행할 수 있으며, S340 단계에서 비교 대상을 제1 블록 해시 값에서 상기 획득한 제2 블록 해시 값으로까지 확장할 수 있다. The second block hash value obtained in this way is used to detect an attack detection packet together with the Byte-SPRT technique, like the first block hash value. In this case, the mining node may view the newly received transaction sequence as the second transaction sequence and perform the same operation in the flowchart, and in step S340, the second block hash value obtained from the first block hash value to be compared can be extended to

즉, 블록체인 네트워크의 채굴 노드 및 검증 노드는 도 2 및 도 3을 반복적으로 수행하여 공격 패킷을 식별하기 위한 제1 및 제2 블록 해시 값을 최대한 많이 모으는 것이 목적이며, 종단에는 Byte-SPRT 기법을 수행하지 않고도 블록 해시 값만으로 공격 패킷의 탐지를 가능하게 함이 궁극적인 목적이다. 이렇게 완성된 공격 패킷 탐지 시스템은 최소한의 자원 및 오버헤드를 이용하여 공격 패킷을 효과적으로 탐지해낼 수 있게 된다. That is, the purpose of the mining node and verification node of the blockchain network is to collect as many first and second block hash values for identifying attack packets as possible by repeatedly performing FIGS. 2 and 3, and at the end, the Byte-SPRT technique The ultimate purpose is to enable detection of attack packets only with block hash values without performing The completed attack packet detection system can effectively detect an attack packet using minimal resources and overhead.

도 4는 본 발명의 일 실시예에 따라 공격 패킷이 탐지되지 않은 경우에 있어서 블록체인 네트워크 시스템의 동작에 관한 순서도이다.4 is a flowchart of the operation of the blockchain network system in the case where an attack packet is not detected according to an embodiment of the present invention.

특히, 본 순서도는 도 2의 실시예와 반대로, 채굴 노드 및 검증 노드가 제1 트랜잭션 시퀀스 내에서 공격 패킷을 탐지하지 못한 경우에 관한 실시예이다.In particular, this flowchart is an embodiment related to a case in which the mining node and the verification node fail to detect an attack packet in the first transaction sequence, contrary to the embodiment of FIG. 2 .

도 4를 참조하면, 우선 채굴 노드는 제1 트랜잭션 시퀀스를 수신할 수 있으며(S410), Byte-SPRT 기법을 이용하여 제1 트랜잭션 시퀀스 내의 공격 패킷을 탐지할 수 있다. Referring to FIG. 4 , first, the mining node may receive the first transaction sequence ( S410 ), and may detect an attack packet in the first transaction sequence using the Byte-SPRT technique.

탐지 결과, 제1 트랜잭션 시퀀스 내의 공격 패킷을 탐지하지 못한 경우(S420), 채굴 노드는 제1 트랜잭션 시퀀스를 이용하여 제3 블록을 생성하여 제3 블록을 채굴할 수 있다(S430). 다음으로, 채굴 노드는 채굴한 제3 블록, 제3 블록에 대하여 비밀 키를 이용하여 생성한 채굴 노드의 서명 및/또는 채굴 노드의 공공 키가 포함된 제3 정보를, 블록체인 네트워크로 브로드캐스트할 수 있다(S440). As a result of the detection, when the attack packet in the first transaction sequence is not detected (S420), the mining node may generate a third block using the first transaction sequence and mine the third block (S430). Next, the mining node broadcasts third information including the mined third block and the mining node's signature and/or the public key of the mining node generated using the secret key for the third block to the blockchain network. It can be done (S440).

제3 정보를 수신(S450)한 검증 노드는, 제3 정보에 포함된 공공 키를 이용하여 제3 정보에 포함된 서명이, 제3 블록에 대하여 채굴 노드에 의해 작성된 것이 맞는지 확인할 수 있다(S460). 서명의 확인이 완료된 경우, 검증 노드는 제3 블록에 대한 검증을 수행(S470)할 수 있으며, 제3 블록에 대한 검증이 완료된 경우에 제3 블록을 블록체인에 추가(S480)할 수 있다. 블록 검증은 작업 증명 메커니즘을 기반으로 수행될 수 있으며, 이에 대해서는 앞서 도 1을 참조하여 상술한 바와 같다(즉, 제3 블록 해시 값과 기설정된 해시 값의 대소 비교). The verification node that has received the third information (S450) may check whether the signature included in the third information is written by the mining node for the third block by using the public key included in the third information (S460). ). When the verification of the signature is completed, the verification node may verify the third block (S470), and when the verification of the third block is completed, the third block may be added to the block chain (S480). Block verification may be performed based on a proof-of-work mechanism, as described above with reference to FIG. 1 (ie, comparison between the third block hash value and a preset hash value).

본 순서도의 실시예는 공격 패킷이 포함되지 않은 정상적인 트랜잭션 시퀀스가 수신되는 경우의 블록 채굴 및 검증 작업에 관한 것으로, 상술한 동작 외에 일반적인 블록 채굴 및 검증 작업/방식/기술이 적용될 수 있다.The embodiment of this flowchart relates to a block mining and verification operation when a normal transaction sequence that does not include an attack packet is received. In addition to the above-described operations, general block mining and verification operations/methods/techniques may be applied.

도 5는 본 발명의 일 실시예에 따른 블록체인 노드의 블록도이다.5 is a block diagram of a blockchain node according to an embodiment of the present invention.

도 5를 참조하면, 블록체인 노드(500)는 프로세서(510), 메모리부(520) 및 통신부(530)를 포함할 수 있다. Referring to FIG. 5 , the block chain node 500 may include a processor 510 , a memory unit 520 , and a communication unit 530 .

프로세서(510)는, 본 명세서에서 제안되는 적어도 하나의 실시예를 수행하기 위한 데이터 처리/프로세싱 동작을 수행할 수 있다. 따라서, 상술한 실시예들에서 블록체인 노드(500)는 프로세서(510)로 대체되어 설명될 수 있다. 프로세서(510)는 메모리부(520)에 저장된 다양한 메커니즘/알고리즘/프로그램 등을 실행하고, 내부의 데이터를 프로세싱할 수 있다. 또한, 본 명세서에서 제안된 적어도 하나의 실시예를 수행하기 위해 메모리부(520) 및 통신부(530)를 제어하며, 구성들간의 데이터 송수신을 매니지할 수도 있다. 프로세서(510)는, CPU(Central Processing Unit), MPU(Micro Processor Unit), MCU(Micro Controller Unit), AP(Application Processor), AP(Application Processor) 또는 본 발명의 기술 분야에 잘 알려진 임의의 형태의 프로세서를 적어도 하나 포함하여 구성될 수 있다. The processor 510 may perform a data processing/processing operation for performing at least one embodiment proposed in the present specification. Accordingly, in the above-described embodiments, the block chain node 500 may be described as being replaced with the processor 510 . The processor 510 may execute various mechanisms/algorithms/programs stored in the memory unit 520 and process internal data. In addition, the memory unit 520 and the communication unit 530 may be controlled to perform at least one embodiment proposed in the present specification, and data transmission/reception between components may be managed. The processor 510 is a CPU (Central Processing Unit), MPU (Micro Processor Unit), MCU (Micro Controller Unit), AP (Application Processor), AP (Application Processor), or any form well known in the art. It may be configured to include at least one processor.

특히, 본 명세서의 프로세서(510)는 앞서 상술한 Byte-SPRT 기법을 이용한 공격 패킷 탐지 방법을 수행할 수 있으며, 기본적으로 블록 채굴 및/또는 검증 동작과 같은 블록체인 네트워크 기능 관련 기본 동작들도 다양하게 수행할 수 있다. In particular, the processor 510 of the present specification may perform the attack packet detection method using the above-described Byte-SPRT technique, and basically, there are various basic operations related to the block chain network function such as block mining and/or verification operation. can be performed

메모리부(520)는 다양한 디지털 데이터(예를 들어, 트랜잭션, 트랜잭션이 포함된 블록, 트랜잭션 시퀀스, 트랜잭션 시퀀스 식별 정보, 블록 해시 값, 비밀 키, 공공 키 등)를 저장할 수 있다. 메모리부(520)는 플래시 메모리, HDD(Hard Disk Drive), SSD(Solid State Drive) 등의 다양한 디지털 데이터 저장 공간을 나타낸다.The memory unit 520 may store various digital data (eg, a transaction, a block including a transaction, a transaction sequence, transaction sequence identification information, a block hash value, a private key, a public key, etc.). The memory unit 520 represents various digital data storage spaces such as a flash memory, a hard disk drive (HDD), and a solid state drive (SSD).

통신부(530)는 적어도 하나의 유/무선 통신 프로토콜을 사용하여 통신을 수행, 다양한 정보/데이터를 송신/수신할 수 있다. 특히, 통신부(530)는 트랜잭션(또는 트랜잭션이 포함된 블록)을 송수신할 수 있다. The communication unit 530 may transmit/receive various information/data by performing communication using at least one wired/wireless communication protocol. In particular, the communication unit 530 may transmit/receive a transaction (or a block including a transaction).

본 발명에 따른 실시예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 발명의 일 실시예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.Embodiments according to the present invention may be implemented by various means, for example, hardware, firmware, software, or a combination thereof. In the case of implementation by hardware, an embodiment of the present invention provides one or more application specific integrated circuits (ASICs), digital signal processors (DSPs), digital signal processing devices (DSPDs), programmable logic devices (PLDs), FPGAs ( field programmable gate arrays), a processor, a controller, a microcontroller, a microprocessor, and the like.

또한, 펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 일 실시예는 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현되어, 다양한 컴퓨터 수단을 통하여 판독 가능한 기록매체에 기록될 수 있다. 여기서, 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 예컨대 기록매체는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광 기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함한다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 이러한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.In addition, in the case of implementation by firmware or software, an embodiment of the present invention is implemented in the form of a module, procedure, function, etc. that performs the functions or operations described above, and is stored in a recording medium readable through various computer means. can be recorded. Here, the recording medium may include a program command, a data file, a data structure, etc. alone or in combination. The program instructions recorded on the recording medium may be specially designed and configured for the present invention, or may be known and available to those skilled in the art of computer software. For example, the recording medium includes a magnetic medium such as a hard disk, a floppy disk, and a magnetic tape, an optical recording medium such as a compact disk read only memory (CD-ROM), a digital video disk (DVD), and a floppy disk. Magneto-Optical Media, such as a disk, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions may include high-level language codes that can be executed by a computer using an interpreter or the like as well as machine language codes such as those generated by a compiler. Such hardware devices may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

아울러, 본 발명에 따른 장치나 단말은 하나 이상의 프로세서로 하여금 앞서 설명한 기능들과 프로세스를 수행하도록 하는 명령에 의하여 구동될 수 있다. 예를 들어 그러한 명령으로는, 예컨대 JavaScript나 ECMAScript 명령 등의 스크립트 명령과 같은 해석되는 명령이나 실행 가능한 코드 혹은 컴퓨터로 판독 가능한 매체에 저장되는 기타의 명령이 포함될 수 있다. 나아가 본 발명에 따른 장치는 서버 팜(Server Farm)과 같이 네트워크에 걸쳐서 분산형으로 구현될 수 있으며, 혹은 단일의 컴퓨터 장치에서 구현될 수도 있다.In addition, the device or terminal according to the present invention may be driven by a command to cause one or more processors to perform the functions and processes described above. For example, such instructions may include interpreted instructions, such as script instructions, such as JavaScript or ECMAScript instructions, or executable code or other instructions stored on a computer-readable medium. Furthermore, the device according to the present invention may be implemented in a distributed manner across a network, such as a server farm, or may be implemented in a single computer device.

또한, 본 발명에 따른 장치에 탑재되고 본 발명에 따른 방법을 실행하는 컴퓨터 프로그램(프로그램, 소프트웨어, 소프트웨어 어플리케이션, 스크립트 혹은 코드로도 알려져 있음)은 컴파일 되거나 해석된 언어나 선험적 혹은 절차적 언어를 포함하는 프로그래밍 언어의 어떠한 형태로도 작성될 수 있으며, 독립형 프로그램이나 모듈, 컴포넌트, 서브루틴 혹은 컴퓨터 환경에서 사용하기에 적합한 다른 유닛을 포함하여 어떠한 형태로도 전개될 수 있다. 컴퓨터 프로그램은 파일 시스템의 파일에 반드시 대응하는 것은 아니다. 프로그램은 요청된 프로그램에 제공되는 단일 파일 내에, 혹은 다중의 상호 작용하는 파일(예컨대, 하나 이상의 모듈, 하위 프로그램 혹은 코드의 일부를 저장하는 파일) 내에, 혹은 다른 프로그램이나 데이터를 보유하는 파일의 일부(예컨대, 마크업 언어 문서 내에 저장되는 하나 이상의 스크립트) 내에 저장될 수 있다. 컴퓨터 프로그램은 하나의 사이트에 위치하거나 복수의 사이트에 걸쳐서 분산되어 통신 네트워크에 의해 상호 접속된 다중 컴퓨터나 하나의 컴퓨터 상에서 실행되도록 전개될 수 있다.Further, a computer program (also known as a program, software, software application, script or code) mounted on the device according to the invention and executing the method according to the invention includes compiled or interpreted language or a priori or procedural language. It can be written in any form of programming language, and can be deployed in any form, including stand-alone programs, modules, components, subroutines, or other units suitable for use in a computer environment. A computer program does not necessarily correspond to a file in a file system. A program may be in a single file provided to the requested program, or in multiple interacting files (eg, files that store one or more modules, subprograms, or portions of code), or portions of files that hold other programs or data. (eg, one or more scripts stored within a markup language document). The computer program may be deployed to be executed on a single computer or multiple computers located at one site or distributed over a plurality of sites and interconnected by a communication network.

설명의 편의를 위하여 각 도면을 나누어 설명하였으나, 각 도면에 서술되어 있는 실시예들을 병합하여 새로운 실시예를 구현하도록 설계하는 것도 가능하다. 또한, 본 발명은 상술한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상술한 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시 예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.Although each drawing is described separately for convenience of description, it is also possible to design to implement a new embodiment by merging the embodiments described in each drawing. In addition, the present invention is not limited to the configuration and method of the described embodiments as described above, but the above-described embodiments are configured by selectively combining all or part of each embodiment so that various modifications can be made. it might be

또한, 이상에서는 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 명세서는 상술한 특정의 실시예에 한정되지 아니하며, 청구 범위에서 청구하는 요지를 벗어남이 없이 당해 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형 실시들은 본 명세서의 기술적 사상이나 전망으로부터 개별적으로 이해되어서는 안될 것이다.In addition, although preferred embodiments have been illustrated and described above, the present specification is not limited to the specific embodiments described above, and those of ordinary skill in the art to which the specification belongs without departing from the gist of the claims Various modifications are possible by a person, of course, and these modifications should not be individually understood from the technical spirit or perspective of the present specification.

100: 블록체인 네트워크
110-1~110-N: 블록체인 노드들100: Blockchain Network
110-1~110-N: Blockchain Nodes

Claims (15)

채굴 노드 및 검증 노드가 포함된 블록체인 네트워크의 공격 패킷 탐지 방법에 있어서,
상기 채굴 노드가 제1 블록을 생성하는 단계로서, 상기 제1 블록을 생성하는 단계는:
제1 트랜잭션 시퀀스를 수신하는 단계;
Byte-SPRT(Sequential Probability Ratio Test) 기법을 기반으로 상기 제1 트랜잭션 시퀀스 내의 공격 패킷을 탐지하는 단계;
상기 공격 패킷이 탐지된 경우, 상기 제1 트랜잭션 시퀀스를 이용하여 상기 제1 블록을 생성하는 단계;
상기 제1 블록에 대한 제1 블록 해시(hash) 값을 계산 및 저장하는 단계; 및
상기 제1 블록 및 상기 제1 트랜잭션 시퀀스의 식별 정보가 포함된 제1 정보를 브로드캐스트하는 단계; 를 포함함,
상기 검증 노드가 상기 제1 정보를 수신하는 단계로서, 상기 제1 정보를 수신하는 단계는:
상기 제1 정보를 수신하는 단계;
상기 제1 정보를 기반으로 상기 제1 블록에 포함된 상기 제1 트랜잭션 시퀀스를 검색하는 단계;
검색된 제1 트랜잭션 시퀀스에 대하여 상기 Byte-SPRT 기법을 기반으로 상기 공격 패킷을 탐지하는 단계;
상기 공격 패킷이 탐지된 경우, 상기 제1 블록의 상기 제1 블록 해시 값을 계산 및 저장하는 단계; 및
상기 제1 블록에 대한 블록 검증 작업을 수행하지 않고, 상기 제1 블록을 블록체인에 추가하지 않는 단계; 를 포함하는, 공격 패킷 탐지 방법.A method for detecting an attack packet in a blockchain network including a mining node and a verification node, the method comprising:
The mining node generates a first block, wherein the generating of the first block includes:
receiving a first transaction sequence;
detecting an attack packet in the first transaction sequence based on a Byte-SPRT (Sequential Probability Ratio Test) technique;
generating the first block by using the first transaction sequence when the attack packet is detected;
calculating and storing a first block hash value for the first block; and
broadcasting first information including identification information of the first block and the first transaction sequence; including;
The verification node receiving the first information, wherein receiving the first information comprises:
receiving the first information;
searching for the first transaction sequence included in the first block based on the first information;
detecting the attack packet based on the Byte-SPRT technique with respect to the searched first transaction sequence;
calculating and storing the hash value of the first block of the first block when the attack packet is detected; and
not performing a block verification operation on the first block and not adding the first block to a blockchain; Including, attack packet detection method. 제 1 항에 있어서,
상기 제1 블록 해시 값은, 상기 Byte-SPRT 기법과 함께 상기 공격 패킷을 탐지하는 데 사용되는, 공격 패킷 탐지 방법.The method of claim 1,
The first block hash value is used to detect the attack packet together with the Byte-SPRT technique. 제 2 항에 있어서,
상기 제1 블록 해시 값을 저장한 후, 상기 채굴 노드가:
제2 트랜잭션 시퀀스를 수신하는 단계;
상기 제2 트랜잭션 시퀀스를 이용하여 제2 블록을 생성하는 단계;
상기 제2 블록에 대한 제2 블록 해시 값을 계산하는 단계;
상기 제2 블록 해시 값과 상기 제1 블록 해시 값을 비교하는 단계; 및
상기 제2 블록 해시 값이 상기 제1 블록 해시 값과 동일한 경우, 상기 제2 트랜잭션 시퀀스 내에 상기 공격 패킷이 포함된 것으로 인식하여 상기 제2 블록을 채굴하지 않는 단계; 를 더 포함하는, 공격 패킷 탐지 방법.3. The method of claim 2,
After storing the first block hash value, the mining node:
receiving a second sequence of transactions;
generating a second block using the second transaction sequence;
calculating a second block hash value for the second block;
comparing the second block hash value with the first block hash value; and
not mining the second block by recognizing that the attack packet is included in the second transaction sequence when the second block hash value is the same as the first block hash value; Further comprising, an attack packet detection method. 제 3 항에 있어서,
상기 제2 블록 해시 값이 상기 제1 블록 해시 값과 동일하지 않은 경우, 상기 Byte-SPRT 기법을 기반으로 상기 제2 트랜잭션 시퀀스 내의 상기 공격 패킷을 탐지하는 단계; 를 더 포함하는, 공격 패킷 탐지 방법.4. The method of claim 3,
detecting the attack packet in the second transaction sequence based on the Byte-SPRT technique when the second block hash value is not the same as the first block hash value; Further comprising, an attack packet detection method. 제 4 항에 있어서,
상기 공격 패킷이 탐지된 경우, 상기 제2 블록 및 상기 제2 트랜잭션 시퀀스의 식별 정보가 포함된 제2 정보를 브로드캐스트하는 단계; 를 더 포함하는, 공격 패킷 탐지 방법.5. The method of claim 4,
broadcasting second information including identification information of the second block and the second transaction sequence when the attack packet is detected; Further comprising, an attack packet detection method. 제 5 항에 있어서,
상기 검증 노드가 상기 제2 정보를 수신하는 단계; 를 더 포함하되, 상기 제2 정보를 수신하는 단계는:
상기 제2 정보를 수신하는 단계;
상기 제2 정보를 기반으로 상기 제2 블록에 포함된 상기 제2 트랜잭션 시퀀스를 검색하는 단계;
검색된 제2 트랜잭션 시퀀스에 대하여 상기 Byte-SPRT 기법을 기반으로 상기 공격 패킷을 탐지하는 단계;
상기 공격 패킷이 탐지된 경우, 상기 제2 블록의 상기 제2 블록 해시 값을 계산 및 저장하는 단계; 및
상기 제2 블록에 대한 블록 검증 작업을 수행하지 않고, 상기 제2 블록을 블록체인에 추가하지 않는 단계; 를 포함하는, 공격 패킷 탐지 방법.6. The method of claim 5,
receiving, by the verification node, the second information; Further comprising, the step of receiving the second information comprises:
receiving the second information;
searching for the second transaction sequence included in the second block based on the second information;
detecting the attack packet based on the Byte-SPRT technique with respect to the found second transaction sequence;
calculating and storing the hash value of the second block of the second block when the attack packet is detected; and
not performing block verification on the second block and not adding the second block to the blockchain; Including, attack packet detection method. 제 1 항에 있어서,
상기 제1 정보는,
상기 채굴 노드의 서명; 및
상기 채굴 노드의 공공 키(public key); 를 더 포함하고,
상기 채굴 노드의 서명은 상기 제1 트랜잭션 시퀀스의 식별 정보와 상기 제1 블록에 대하여 비밀 키(private key)를 이용하여 생성된, 공격 패킷 탐지 방법.The method of claim 1,
The first information is
signature of the mining node; and
the public key of the mining node; further comprising,
The signature of the mining node is generated using identification information of the first transaction sequence and a private key for the first block. 제 7 항에 있어서,
상기 제1 정보를 수신하는 단계는, 상기 제1 정보에 포함된 상기 공공 키를 이용하여, 상기 제1 정보에 포함된 상기 서명이, 상기 제1 트랜잭션 시퀀스의 식별 정보 및 상기 제1 블록에 대하여 상기 채굴 노드에 의해 작성된 것이 맞는지 확인하는 단계; 를 더 포함하고,
상기 서명의 확인이 완료된 경우에만 상기 제1 블록에 포함된 상기 제1 트랜잭션 시퀀스를 검색하는 단계가 수행되는, 공격 패킷 탐지 방법.8. The method of claim 7,
In the receiving of the first information, the signature included in the first information by using the public key included in the first information includes identification information of the first transaction sequence and the first block. checking whether the information written by the mining node is correct; further comprising,
The step of searching for the first transaction sequence included in the first block is performed only when the verification of the signature is completed. 제 1 항에 있어서,
상기 제1 블록을 생성하는 단계는,
상기 공격 패킷이 탐지되지 않은 경우, 상기 제1 트랜잭션 시퀀스를 이용하여 제3 블록을 생성하는 단계;
상기 제3 블록을 채굴하는 단계; 및
상기 제3 블록, 상기 제3 블록에 대하여 비밀 키를 이용하여 생성된 상기 채굴 노드의 서명 및 상기 채굴 노드의 공공 키가 포함된 제3 정보를 브로드캐스트하는 단계; 를 더 포함하는, 공격 패킷 탐지 방법.The method of claim 1,
The step of generating the first block comprises:
generating a third block using the first transaction sequence when the attack packet is not detected;
mining the third block; and
broadcasting the third block and third information including the signature of the mining node and the public key of the mining node generated using a private key for the third block; Further comprising, an attack packet detection method. 제 9 항에 있어서,
상기 검증 노드가 상기 제3 정보를 수신하는 단계; 를 더 포함하되, 상기 제3 정보를 수신하는 단계는:
상기 제3 정보를 수신하는 단계;
상기 제3 정보에 포함된 상기 공공 키를 이용하여 상기 제3 정보에 포함된 상기 서명이, 상기 제3 블록에 대하여 상기 채굴 노드에 의해 작성된 것이 맞는지 확인하는 단계;
상기 서명의 확인이 완료된 경우, 상기 제3 블록에 대한 검증을 수행하는 단계; 및
상기 제3 블록에 대한 검증이 완료된 경우, 상기 제3 블록을 상기 블록체인에 추가하는 단계; 포함하는, 공격 패킷 탐지 방법.10. The method of claim 9,
receiving, by the verification node, the third information; Further comprising, the step of receiving the third information comprises:
receiving the third information;
checking whether the signature included in the third information is written by the mining node for the third block using the public key included in the third information;
performing verification of the third block when verification of the signature is completed; and
adding the third block to the block chain when verification of the third block is completed; Including, attack packet detection method. 제 10 항에 있어서,
상기 제3 블록에 대한 검증은, 작업 증명(Proof of Work) 메커니즘을 기반으로 수행되는, 공격 패킷 탐지 방법.11. The method of claim 10,
The verification of the third block is performed based on a Proof of Work mechanism, an attack packet detection method. 제 11 항에 있어서,
상기 제3 블록에 대한 검증은,
상기 제3 블록의 제3 블록 해시 값이, 상기 작업 증명 메커니즘에서 기설정되어 있는 해시 값보다 작은 경우에 완료되는, 공격 패킷 탐지 방법.12. The method of claim 11,
The verification of the third block is,
The attack packet detection method is completed when the third block hash value of the third block is smaller than the hash value preset in the proof-of-work mechanism. 제 1 항에 있어서,
상기 Byte-SPRT 기법은,
상기 블록체인 네트워크 상에서 수신되는 데이터 패킷 시퀀스들의 값이 사전에 설정된 공격 패킷 시퀀스 인식 범위에 포함되는 경우가 기설정된 횟수 이상으로 연속 발생하는 경우, 상기 공격 패킷을 탐지하는 기법인, 공격 패킷 탐지 방법.The method of claim 1,
The Byte-SPRT technique is,
A method for detecting the attack packet when the value of the data packet sequences received on the block chain network is included in a preset attack packet sequence recognition range continuously occurs more than a preset number of times. 제 1 항에 있어서,
상기 공격 패킷은 악성 코드에 해당하는, 공격 패킷 탐지 방법.The method of claim 1,
wherein the attack packet corresponds to malicious code. 제 1 항에 있어서,
상기 제1 블록 해시 값은, 상기 제1 블록의 블록 헤더 값이 입력된 해쉬 함수의 출력 값인, 공격 패킷 탐지 방법.The method of claim 1,
The first block hash value is an output value of a hash function to which the block header value of the first block is input.
KR1020200137843A 2020-10-22 2020-10-22 A blockchain network attack packet detection method KR102400362B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200137843A KR102400362B1 (en) 2020-10-22 2020-10-22 A blockchain network attack packet detection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200137843A KR102400362B1 (en) 2020-10-22 2020-10-22 A blockchain network attack packet detection method

Publications (2)

Publication Number Publication Date
KR20220053402A KR20220053402A (en) 2022-04-29
KR102400362B1 true KR102400362B1 (en) 2022-05-19

Family

ID=81428907

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200137843A KR102400362B1 (en) 2020-10-22 2020-10-22 A blockchain network attack packet detection method

Country Status (1)

Country Link
KR (1) KR102400362B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102085593B1 (en) 2019-09-16 2020-03-06 포항공과대학교 산학협력단 Method and device for detecting posting bot for blockchain SNS based on machine learning

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190075495A (en) * 2017-12-21 2019-07-01 서강대학교산학협력단 method for preventing DDos attack in blockchain system and Blockchain network system for preventing DDos attack

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102085593B1 (en) 2019-09-16 2020-03-06 포항공과대학교 산학협력단 Method and device for detecting posting bot for blockchain SNS based on machine learning

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
T.Saranya et al., "Performance Analysis of Machine Learning Algorithms in Intrusion Detection System", Third International Conference on Computing and Network Communications (CoCoNet'19) (2020.06.04.)
WEI SHE et al., "Blockchain Trust Model for Malicious Node Detection in Wireless Sensor Networks", IEEE Access, Vol.7 (2019.03.18.)

Also Published As

Publication number Publication date
KR20220053402A (en) 2022-04-29

Similar Documents

Publication Publication Date Title
CN109831425B (en) Block chain consensus method, device, equipment and computer readable storage medium
CN110311885B (en) Device and method for implementing safety connection
CN110505241B (en) Network attack plane detection method and system
US10225269B2 (en) Method and apparatus for detecting network attacks and generating attack signatures based on signature merging
EP2924943B1 (en) Virus detection method and device
US20180083770A1 (en) Detecting encoding attack
CN111971931A (en) Method for verifying transactions in a blockchain network and nodes forming the network
CN109413016B (en) Rule-based message detection method and device
CN113127569A (en) Consensus method and device for block chain system, electronic equipment and storage medium
KR102400362B1 (en) A blockchain network attack packet detection method
Saghar et al. Raeed: A solution for hello flood attack
US11588833B2 (en) Tracing traffic in the internet
KR102307483B1 (en) Forward secure sequential aggregate signature method and apparatus thereof
CN109993526B (en) Block chain checking method, processing node and storage medium
CN112889239A (en) Method and apparatus for validating physical attacks
Stabili et al. A Benchmark Framework for CAN IDS.
CN111694588B (en) Engine upgrade detection method and device, computer equipment and readable storage medium
WO2021237621A1 (en) Information leakage detection method and apparatus, and computer-readable medium
CN109348304B (en) Bullet screen data verification method and device and terminal
KR101645412B1 (en) Malicious file diagnosis device and control method thereof
KR20220124940A (en) Digital sign-based system information block message transmission/reception method and apparatus
KR20210125147A (en) Method and apparatus for generating malicious traffic using malicious file
Tokhtabayev et al. Non-stationary Markov models and anomaly propagation analysis in IDS
CN112738044B (en) Multi-protocol link path tracking method and system
Wu et al. Modeling and verifying the ariadne protocol using process algebra

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant