基于区块链的安全威胁检测方法和系统与流程

本发明涉及实现区块链技术的连接的设备的网络内安全的技术领域。

背景技术：

物联网在市场上引入了相当数目和广泛的连接和智能设备，这些设备能够相互通信/合作并且经由因特网远程访问。这会对所涉及的连接和智能设备以及连接到它们的其他设备二者的安全性和隐私性造成特定威胁。实际上，嵌入在连接和智能设备中的弱安全系统可能被利用来进入网络，并且从那里访问更强大的设备，诸如服务器、笔记本电脑等。

为了解决这些安全问题，当前的系统基于日志分析和数据关联，并且旨在在其上构建攻击模型和风险缓解策略。然而，恶意软件变得越来越复杂，能够通过移除自己的足迹以及从一个受害者(即：连接的设备)快速移动到下一受害者来绕过监控系统，以使监控系统难以找到和跟踪它。

最近，区块链技术被设计和发布(最初在比特币的上下文中)，以允许通过不可信对等体的网络在多方之间安全地共享或处理数据。

技术实现要素：

本发明提供了基于区块链的安全威胁检测方法和系统。

提供了一种检测连接的设备的网络内的安全威胁的方法，连接的设备以交换的区块链事务的形式共享它们之间的事务账本，该方法包括以下步骤：(a)通过保持分叉(fork)链的所有信息来构建增强区块链结构；(b)检查增强区块链结构中的分叉链；(c)基于分叉链中的模式来检测异常；(d)通过审查(review)分叉链中账本的所有事务以及导致网络攻击入口点的区块链事务来标识安全威胁；以及(e)在连接的设备之间交换增强区块链事务。

更具体地，本发明提供了一种检测连接的设备的网络内的安全威胁的方法，连接的设备以交换的区块链消息的形式共享它们之间的事务账本，该方法包括以下步骤：

-通过将丢弃在设备处的分叉链添加到标准区块链来构建增强区块链；

-检查增强区块链中的添加的分叉链；

-基于增强区块链中的添加的分叉链中的模式来检测异常；

-通过审查已经检测到异常的分叉链以及导致网络攻击入口点的标准区块链中的账本的所有事务来标识安全威胁；以及

-在交换消息中包括增强区块链。

在该方法的一个实施例中，标准区块链的处理和增强区块链的构建在设备处同时进行。

在该方法的另一实施例中，检测异常的步骤还包括检测添加的分叉链中未被整个网络接受的行为的步骤。

还提供了一种设备，其连接到这样的连接的设备的网络，这些连接的设备以交换的区块链消息的形式共享它们之间的事务账本，该设备包括(a)采矿机，被配置为分析和更新区块链数据库中的区块链事务；(b)分叉广播部，被配置为从区块链事务中提取分叉链并且将它们发送到其他设备；(c)链管理器，被配置为通过将所有分叉链添加到原始区块链来构建增强区块链；以及(d)异常检测系统，被配置为检查增强区块链并且检测安全威胁的。

更具体地，本发明提供了一种连接到这种网络的设备，该设备包括被配置为分析和更新区块链数据库中的接收的区块链消息的采矿机，并且该设备还包括：

-分叉广播部，被配置为从区块链消息中提取分叉链；

-链管理器，被配置为将所有分叉链添加到区块链消息以便构建增强区块链，该增强区块链要被包括在向网络中的其他设备发送的消息中；以及

-异常检测系统，被配置为检查增强区块链并且检测安全威胁。

在一个实施例中，该设备还包括：

-事务过滤器，被配置为拦截区块链消息并且将它们转发给采矿机和链管理器二者，其中区块链消息由采矿机和链管理器并行处理。

在又一实施例中，该设备中的事务过滤器还被配置为从区块链消息中收集元数据，并且丢弃从网络接收的重复区块链消息。

在又一实施例中，该设备还包括：

-模式检查器，被配置为检测分叉链中未被整个网络接受的行为。

在又一实施例中，该设备还包括：

-威胁检测器，被配置为一旦行为被模式检查器检测到，则检查链接到包含检测到的行为的分叉链的标准区块链的部分，以便复原安全威胁的来源。

在又一实施例中，该设备还包括被配置为收集关于安全威胁的信息的威胁数据库。

附图说明

参考附图，通过示例，参考下文中描述的实施例，本发明的这些和其他方面将变得很清楚并且得以阐明。

图1是具有实现区块链技术的连接的设备的网络的表示(现有技术)。

图2是在网络中执行挖掘的连接的设备的功能表示(现有技术)。

图3是根据本发明的具有基于区块链的安全威胁检测方法和系统的网络的表示。

图4是根据本发明的实现基于区块链的安全威胁检测方法和系统的连接的设备的功能表示。

图5示出了根据本发明的由链管理器构建的增强区块链。

图6示出了威胁检测器对增强区块链执行的检查。

具体实施方式

图1是具有实现区块链技术的连接的设备(11、12)的网络(10)的表示。网络10可以是wifi、3g、lte、蓝牙、rfid/nfc、有线连接、或支持通过连接(13)在连接的设备之间交换消息的协议的任何类型的网络。正在交换的消息可以属于不同级别的一个或多个基于区块链的应用，诸如基于http/ftp的应用(用于跟踪网络流量)、基于ssh/telnet/rdp/vnc/vpn的应用(用于跟踪远程访问)、基于rfid/nfc的应用程(用于跟踪物理交互)等。

用作网络内的验证对等体(包括维护在连接的设备之间共享的账本)的连接的设备(11)包含如图2所示的采矿机(20)。由采矿机接收的消息(13)包含被收集以构建链中的下一块的标准的区块链事务。一旦新的块已经由采矿机或网络内的其他设备构建，则将其添加到区块链，写入区块链数据库(21)并且以广播方式发送给其他设备。一旦设备接收到由其他设备构建的一个或多个块，它就会将新的块与本地存储的块进行比较。如果它们不匹配并且接收的块数目大于本地存储的块数目，则本地链被标记为分叉。一旦检测到分叉，采矿机则丢弃它并且利用那些先前已经被网络验证和接受并且形成较长链的新接收块覆盖部分/全部区块链。分叉通常被丢弃，因为区块链基于并发挖掘过程(即，每个连接的设备在本地贡献链的更新)，其中可以在网络中创建和分发临时分叉(即，来自主链的并行分支)。这些并行分支可能导致节点/连接的设备之间的冲突事务，在加密货币的上下文中，诸如在比特币网络中，这是特别成问题的。

相反，并且根据本发明，在图3中，在连接的设备之间交换的连接(31)上的附加消息使得不仅可以共享标准区块链，而且可以共享其所有分支，因此创建用于安全威胁检测的更大且增强的区块链。因此提供了一种基于区块链技术的新型分散异常检测系统。

图4示出了根据本发明的连接的设备(11)。该设备包含采矿机(20)和区块链数据库(21)。此外，该设备包含：

-事务过滤器(40)，其拦截区块链消息(m1)并且将它们转发给采矿机(使用m2消息)和链管理器(42)(使用m3消息)二者。该并行处理允许采矿机和区块链数据库通过m4消息交换来对标准区块链协议进行不间断(即：未修改或减慢)处理。事务过滤器收集m1元数据，诸如消息发送者、接收者、时间戳等，但是也丢弃重复的消息，因为区块链技术基于广播模型。

-分叉广播部(41)，被添加到采矿机并且在被丢弃以及被采矿机覆盖之前提取任何分叉链(m5)。

-链管理器(42)，从事务过滤器接收m3消息，并且从分支广播接收m5消息，并且从中计算由标准区块链组成的增强区块链，并且考虑分叉链。由于m3和m5没有描述整个链，而是在其之上进行更新，因此链管理器通过m6从链数据库(43)检索到目前为止构建的区块链，并且然后向该区块链添加利用m3和/或m5获得的所有信息。一旦计算出增强区块链，则增强区块链会通过m6被发送回链数据库以保留这样的增强区块链的更新版本。m3和m5不一定同时到达链管理器；因此，链管理器可以接收m3消息(每次接收到标准区块链消息)或m5消息(每次m2强制采矿机丢弃先前的分支)。

-异常检测系统(44)，利用m7从链数据库加载包含网络历史的增强区块链的最新版本。异常检测系统由两个子系统组成：

-模式检查器(45)：它检测和跟踪仅在分叉链中发现(即，不被整个网络接受)的异常/意外行为以便检测可疑模式，诸如黑客攻击ssh认证的恶意企图或针对特定机器的拒绝服务攻击；

-威胁检测器(46)：一旦可疑行为/模式由模式检查器检测到，威胁检测器则进一步检查已经发现攻击的分叉链以及与其链接的标准区块链的部分以便复原这样的安全威胁/问题的来源。从模式检查器发现的异常开始，它利用从分叉链和区块链下载的所有事务来回滚受害者完成的所有操作，直到找到可能的攻击根。然后，通过m8在威胁数据库(47)内收集关于攻击的所有信息(活动/协议的类型、时间、负责的连接的设备等)。

图5示出了由链管理器42构建的增强区块链：它由块头(bh)引导的标准区块链(50)和其他分叉链(51)组成，每个分叉链由其自己的分叉头块(fh)引导。该增强区块链被存储在链数据库43中，并且被传递给模式检查器45。

图6示出了威胁检测器对增强区块链执行的检查。一旦异常(60)由模式检查器在分叉链中检测到，威胁检测器就会审查分叉链以及导致网络攻击入口点(61)的区块链消息中的账本的所有事务。

因此，本发明利用分叉链内的意外行为，因为它们代表网络活动的不同视觉，并且因此可能描述在全球范围内尚未知晓/分布的恶意/奇怪行为或攻击(例如，在中间攻击中的人，其中http请求被窃听并且重定向到除了预期接收者之外的接收者)。这样，通过不仅收集主区块链而且收集所有本地和并发分叉链，本发明使得可以导出考虑全局和局部意外变化的全局网络历史。然后通过异常检测系统分析这些差异，该异常检测系统可以检测攻击者或恶意软件试图移除的足迹、或者甚至可能表示网络内存在受感染设备的恶意重复模式。

本发明引入的安全性无法避免，因为通过利用区块链技术及其分叉链，不可能改变在网络中的每个设备内收集的区块链的所有复制品。因此，旨在更改或删除恶意活动或创建虚假活动的任何试验都将被记录在区块链中，并且通过将分叉链链接到标准链，将始终可以追溯到并且找到问题的源或攻击入口点。

诸如采矿机、事务过滤器、分叉广播、链管理器、异常检测系统、模式检查器或威胁检测器等元件每个可以例如是硬件装置(例如，asic)或硬件和软件的组合(例如，asic和fpga)或至少一个微处理器和其中定位有软件模块的至少一个存储器。

本发明不限于所描述的实施例。所附权利要求应当被解释为实施本领域技术人员可以想到的所有修改和替代结构，并且这些修改和替代结构完全落入本文所述的基本教导的范围内。

动词“包括”、“包含”或“含有”及其变形的使用不排除权利要求中所述之外的其他元件或步骤的存在。此外，在元件或步骤之前使用冠词“一”或“一个”并不排除存在多个这样的元件或步骤。

在权利要求中，括号内的任何附图标记不应当被解释为限制权利要求的范围。