一种基于区块链的铁路信号入侵检测系统的制作方法

本发明涉及入侵检测，尤其涉及一种基于区块链的铁路信号入侵检测系统。

背景技术：

1、铁路信号系统经过多年的信息化建设，信息化引用水平不断提高，但随着信息化的发展，面临的网络攻击风险日益严重，且攻击来源、攻击目的、攻击方法以及攻击规模都在发生着巨大的变化。

2、在网络安全等级保护制度标准2.0版本及关键信息基础设施安全保护要求中，对入侵防范提出了明确要求：系统能够从关键网络节点检测、防止或限制从外部或内部发起的网络攻击行为；当检测到攻击行为时，能够记录攻击源ip，攻击类型，攻击目标，攻击时间，在发生严重入侵时应提供报警。

3、入侵检测系统（intrusion detection systems，ids），是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。入侵检测系统依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性（confidentiality）、完整性（integrity）和可用性（availability）。

4、目前，入侵检测系统根据结构可分为三类：第一类，集中式入侵检测系统，第二类，层次式入侵检测系统，第三类，分布式入侵检测系统。

5、1、集中式入侵检测系统。

6、例如，公开号为cn106961428a的中国发明专利申请《一种基于私有云平台的集中式入侵检测系统》。

7、在集中式入侵检测系统中，数据分析的功能不是在被监测的主机上，而是在具有高性能的中心节点上，对被监测主机的性能没有显著影响，系统工作效率较高。由于数据是集中分析的，容易做出全局性的检测和决策，同时中心站相比被监测主机具有更严格的安全措施，可以保证入侵检测功能更加可靠地实现。集中式的策略管理保证了安全策略应用的有效性和一致性。其不足在于中心站与各主机监测代理之间的通信繁重，随着网络规模的增长，大量的审计数据和控制信息需要在各主机监测代理与中心站之间进行传送，可能会造成网络性能的严重下降；而且一旦中心站因攻击而失效，将会导致全部检测功能的丧失。而且，单一的中心站难以使其配置适应所有被监测主机的各种不同的本地需求，在引入新的检测问题和新的检测模型时，重新配置所有被监测主机适应这些变化也十分困难。

8、2、层次式入侵检测系统。

9、例如，公开号为cn1460932a的中国发明专利申请《一种基于相关特征聚类的层次入侵检测系统》。

10、在层次式入侵检测系统中，每个代理可以单独配置调试，可以根据需要进行安装、运行、停止和卸载，既不影响其他代理的工作，又具有极大的灵活性。层次式入侵检测系统的网络流量适中，对被监测主机的影响取决于代理的数量和检测模型的复杂程度。层次式入侵检测系统的不足在于如何根据具体的网络系统设计对应的入侵检测系统层次结构、选择合适的代理以及配置代理的检测模型和运行参数，当网络结构发生变化时，原有的层次结构和上传汇总机制也需要改变。当高层次的节点被攻击或崩溃时，利用低层次节点进行全局事件分析从而识别入侵的模式容易发生检测逃逸。

11、3、分布式入侵检测系统。

12、例如，公开号为cn113965339a的中国发明专利申请《一种基于相关性的层次型分布式入侵检测系统》。

13、分布式入侵检测系统解决了集中式和层次式入侵检测系统中存在的问题，网络中单个或部分检测实体受到攻击失效时，每个检测实体只是实现整体入侵检测任务的一个较小功能单位，因此对整个入侵检测功能只产生较小影响。此外，各检测实体之间可以交叉检验，实现互监视和互检测，从而获得较好的鲁棒性与可靠性。每个被监视主机上的入侵检测组件可以单独配置以满足本地系统特定的应用或安全策略需求。当网络系统规模扩大时，只需对新加入的主机配置相应的入侵检测组件，对其他主机上的入侵检测组件不需要做任何变动。分布式入侵检测系统的不足在于各个检测实体的检测结果需要达成一致，且存在内部节点恶意作恶的可能，各实体间达成意见一致需要消耗时间。大量入侵检测组件的存在带来了更多可能的安全脆弱性和突破口，增加了被入侵的可能。

技术实现思路

1、本发明的目的是提供一种基于区块链的铁路信号入侵检测系统，基于区块链实现分布式入侵检测，避免现有的三类入侵检测系统所存在的问题，能够提升入侵检测方案的可靠性与准确性，提高检测网络攻击的能力。

2、本发明的目的是通过以下技术方案实现的：

3、一种基于区块链的铁路信号入侵检测系统，包括：若干入侵检测组件，分别部署于铁路信号系统各个业务设备中以及核心网中，每一入侵检测组件均作为区块链中的入侵检测节点，铁路信号系统中系统日志的哈希值以及入侵检测节点输出的告警信息的哈希值均上传至区块链；其中：

4、每一入侵检测节点中设有入侵检测模型，利用入侵检测模型对所处业务设备或者核心网中的系统日志进行入侵检测，输出的告警信息表示是否存在外部攻击；

5、结合各入侵检测节点的入侵检测准确率建立信任评价机制，经信任评价机制选出的入侵检测节点利用共识机制，对告警信息进行确认，完成入侵检测结果的一致性表达。

6、由上述本发明提供的技术方案可以看出，基于区块链分布式的链式结构，不存在受信任的控制中心，从而避免集中式入侵检测中心被恶意攻击发生失效的弊端，且采用基于区块链的分布式的结构，能够避免入侵检测中心发生单点故障的可能。此外，区块链的哈希加密特性，使得基于区块链入侵检测系统的数据难以被恶意篡改，从而保证其数据的安全性与可用性。利用入侵检测模型抵御外部网络攻击；将基于区块链入侵检测系统中表现优异入侵检测节点的入侵检测模型参数同步给区块链上其他入侵检测节点，进一步提升整个链上入侵检测系统抵抗外部攻击的有效性。利用区块链节点信任评价机制，实现入侵检测节点的信任评价，避免内部作恶造成无法达成入侵检测节点间共识，从而影响入侵检测性能；利用区块链的共识机制，在入侵检测节点间达成共识，形成检测结果的一致性表达。

技术特征：

1.一种基于区块链的铁路信号入侵检测系统，其特征在于，包括：若干入侵检测组件，分别部署于铁路信号系统各个业务设备中以及核心网中，每一入侵检测组件均作为区块链中的入侵检测节点，铁路信号系统中系统日志的哈希值以及入侵检测节点输出的告警信息的哈希值均上传至区块链；其中：

2.根据权利要求1所述的一种基于区块链的铁路信号入侵检测系统，其特征在于，所述入侵检测模型为基于知识库的入侵检测规则库，或者为基于机器学习的人工智能检测模型；当入侵检测模型为基于机器学习的人工智能检测模型时，通过区块链上已经确认的告警信息进行模型训练和测试验证。

3.根据权利要求1或2所述的一种基于区块链的铁路信号入侵检测系统，其特征在于，当某个入侵检测节点a的入侵检测模型具有最高的入侵检测准确率时，其他入侵检测节点验证入侵检测节点a的入侵检测模型的准确性，经过各个入侵检测节点验证确认后，认定入侵检测节点a的入侵检测模型参数为最优模型参数，最优模型参数由选定的记账节点写入区块链，并被所有入侵检测节点共享。

4.根据权利要求1所述的一种基于区块链的铁路信号入侵检测系统，其特征在于，所述信任评价机制包括：节点奖励和惩罚机制与节点信任黑名单机制；

5.根据权利要求4所述的一种基于区块链的铁路信号入侵检测系统，其特征在于，所述根据入侵检测节点的入侵检测准确率对入侵检测节点进行奖励与惩罚，并结合节点信任黑名单机制，将入侵检测节点分为可信节点与不可信节点包括：

6.根据权利要求4或5所述的一种基于区块链的铁路信号入侵检测系统，其特征在于，信任度权重越采用动态评估方式，表示为：

7.根据权利要求4或5所述的一种基于区块链的铁路信号入侵检测系统，其特征在于，入侵检测节点移入黑名单中，在经过预先设置的一段时间t1后，如果入侵检测节点表现正常，则被移除黑名单，成为可信节点；其中，入侵检测节点表现正常是指入侵检测节点输出的多个连续告警信息表达的结果与入侵检测结果的一致性表达对应的结果相同。

8.根据权利要求4或5所述的一种基于区块链的铁路信号入侵检测系统，其特征在于，经信任评价机制选出入侵检测节点后包括：通过共识机制选出记账节点，使用信任度权重作为共识机制的影响因子，采用竞争方式赢得记账权，其中，入侵检测节点的信任度权重越大，赢得记账权的概率越大。

9.根据权利要求8所述的一种基于区块链的铁路信号入侵检测系统，其特征在于，所述信任评价机制中还包含计数器，通过计数器对同一记账节点进行计数，当某一入侵检测节点连续赢得记账权而达到计数器阈值时，将相应入侵检测节点排除竞争记账节点过程外指定时间，所述赢得记账权表示相应入侵检测节点被选定为记账节点。

10.根据权利要求4或5所述的一种基于区块链的铁路信号入侵检测系统，其特征在于，所述经信任评价机制选出的入侵检测节点利用共识机制，对各告警信息进行确认，完成入侵检测结果的一致性表达包括：

技术总结
本发明公开了一种基于区块链的铁路信号入侵检测系统，基于区块链分布式的链式结构，不存在受信任的控制中心，从而避免集中式入侵检测中心被恶意攻击发生失效的弊端，且采用基于区块链的分布式的结构，能够避免发生单个入侵检测中心发生故障的可能。此外，基于区块链的入侵检测系统的数据难以被恶意篡改，从而保证其数据的安全性与可用性，利用区块链的共识机制，可以使得入侵检测节点间达成共识，解决内部作恶攻击，避免内部作恶造成无法达成节点间共识，从而影响入侵检测性能；同时，通过入侵检测模型可以抵御外部网络攻击。

技术研发人员：李其昌,赵然,林炳跃,张华,李刚,崔莹莹,王琳,富德佶,王飞,付紫彪,王菲,寇亚洲,赵佳丽,高强,栾先锋,张辉,赵刚,闫石,常浩,朱超平,刘珍珍,谢智多,杨勇,马元,胡启正
受保护的技术使用者：中国铁道科学研究院集团有限公司通信信号研究所
技术研发日：
技术公布日：2024/1/11