用于激励式入侵检测系统的技术的制作方法

用于激励式入侵检测系统的技术
1.相关申请的交叉引用
2.本技术要求于2019年7月30日提交的美国临时专利申请第62/880,587号的权益，并且还要求于2020年7月22日提交的美国非临时专利申请第16/936,014号的权益，这两件申请均出于所有目的而通过引用全部合并于此。
技术领域
3.本公开总体上涉及安全解决方案。更具体地，提供实现基于激励的入侵检测系统以检测针对资产的恶意行为的技术(例如，系统、方法和设备)。该激励可以引诱或促进行为者提供检测针对资产的恶意行为的信息。


技术实现要素：

4.本文描述了用于激励式入侵检测的技术，其可为一个或多个系统(例如，信息技术系统)提供安全解决方案。两种常见类型的安全解决方案是基于检测的(例如，入侵检测系统、防病毒、端点检测和响应等)和使用诱饵(例如，蜜罐)。基于检测的系统试图通过使用在受损系统上留下的痕迹、可疑网络流量和/或可疑活动来检测恶意行为者(例如，一个人正在使用的设备)的存在。这种基于检测的解决方案基于将签名与恶意签名的数据库进行比较。将不会检测到任何带有新签名的未知可执行文件。由于恶意和良性行为的重叠，可疑的网络活动提供了很高的假阳性率。
5.基于诱饵的系统(例如蜜罐系统)试图通过模仿真实系统来引诱恶意行为者揭露他们的存在。蜜罐系统或其他基于诱饵的系统没有有价值的信息，对此类系统的任何访问都由系统和/或监视系统的安全团队监视。基于诱饵的系统试图检测恶意行为者的存在，而不是鼓动他们暴露自己。它们通常是昂贵的解决方案，并且违规检测时间通常很慢(例如，不够快以检测和/或识别恶意行为者)。因此，需要减少检测时间并尽快收到入侵系统的警报。
6.此处描述的激励式入侵检测技术利用了这样一个事实，即恶意行为者在入侵信息技术系统时的主要目标之一是获得金钱或其他激励。例如，本文描述的激励式入侵检测系统和方法激励恶意行为者访问资产并因此暴露其自身。访问资产可以包括下载资产、读取资产、暴露资产等。代替冒着恶意行为者发现潜在有价值的信息或破坏信息技术系统的风险，可以提供恶意行为者能够相对匿名地申领的激励。然而，恶意行为者的存在可能会在申领时被揭示以通知被攻击方。例如，当资产被恶意访问时，可以检测系统的漏洞并且可以获得与漏洞相关的信息。该激励可以使系统能够使用智能合约和分布式分类账近乎实时地获得信息。分布式分类账可以启用跟踪并确保申领激励的优先权。该激励可以进一步阻止恶意行为者执行恶意行为。可以根据进一步的行动或不行动来减少或改善激励。在某些情况下，激励可以在内部部署，在这种情况下，系统的客户(例如，公司或其他用户)可能不会引起恶意行为者的不必要的关注。
7.激励可以将恶意行为者的注意力转向寻找和申领激励而不是损害被攻击方。另
外，恶意行为者可能会被诱惑尽快申领激励，因为该激励可能被其他恶意行为者申领或可能不再有效。使用分布式分类账(例如，区块链)技术，当恶意行为者通过智能合约申领激励时，信息技术系统(以及在某些情况下监视该系统的安全团队)会被警告恶意行为者的存在。
8.鼓动恶意行为者揭露他们的存在可以减少检测违规所需的时间。这可能是因为如果有可用的激励，恶意行为者更有可能更快地揭露自己。另外，这将降低违规的成本和影响，因为与利用当前的信息技术安全工具相比，信息技术安全团队可以更早收到警报。
9.本公开的某些实施例包括一种方法。该方法可以包括在数字环境上配置储存库。该方法还可以包括识别用于访问由一个或多个设备在数字环境上配置的储存库的资产。该方法还可以包括生成与资产的智能合约。在一些实施例中，可以生成多个智能合约并且可以将它们链接或链式连接在一起。元数据可以链接到智能合约。该资产可以包括元数据并被部署到储存库。该方法还可以包括在分布式分类账上部署智能合约。该方法还可以包括接收元数据的至少一部分以触发智能合约来基于对储存库的访问而提供资产。
10.本公开的某些实施例包括一种系统。该系统可以包括一个或多个数据处理器；以及包含指令的非暂态计算机可读存储介质，所述指令在一个或多个数据处理器上被执行时使所述一个或多个数据处理器执行上文和本文描述的方法。
11.本公开的某些实施例包括一种被有形地实施于非暂态机器可读存储介质中的计算机程序产品，包括被配置为使数据处理装置执行上文和本文描述的方法的指令。
12.本发明内容并不旨在识别要求保护的主题的关键特征或必要特征，也不旨在单独使用以确定要求保护的主题的范围。主题应该通过参考本专利的整个说明书的适当部分、任何或所有附图以及每项权利要求来理解。
13.通过参考以下说明书、权利要求和附图，前述内容连同其他特征和实施例将变得更加显而易见。
附图说明
14.下面参考以下附图详细描述本技术的说明性实施例：
15.图1示出了区块链激励入侵检测系统的实施例中的后端的框图；
16.图2示出了区块链激励入侵检测系统的实施例中的应用的框图；
17.图3示出了区块链激励入侵检测系统的实施例中的奖赏创建方法的框图；
18.图4示出了区块链激励入侵检测系统的实施例中的子网的框图；
19.图5示出了区块链激励入侵检测系统的实施例中的区块链中的区块的表示；
20.图6示出了根据一些实施例的区块链激励入侵检测系统中的恶意行为者的行动的流程图；
21.图7示出了根据一些实施例的区块链激励入侵检测系统中的对智能合约的行动的流程图；
22.图8示出了根据一些实施例的区块链激励入侵检测方法的流程图；
23.图9是根据一些实施例的区块链激励入侵检测方法的流程图；以及
24.图10是示出根据一些示例的计算系统架构的示例的框图。
具体实施方式
25.下面提供本公开的某些方面和实施例。对本领域技术人员来说显而易见的是，这些方面和实施例中的一些可以独立地应用，并且它们中的一些可以组合应用。在以下描述中，出于解释的目的，阐述了具体细节以提供对本技术实施例的透彻理解。然而，显而易见的是，可以在没有这些具体细节的情况下实践各种实施例。附图和描述并不旨在是限制性的。
26.随后的描述仅提供示例性实施例，并不旨在限制本公开的范围、适用性或配置。确切地，对示例性实施例的随后描述将为本领域技术人员提供用于能够实现示例性实施例的描述。应当理解，在不脱离所附权利要求中阐述的本技术的精神和范围的情况下，可以对要素的功能和布置进行各种改变。
27.系统和网络安全问题在诸如信息技术系统的数字环境中很常见。在数字环境中，违规访问数字信息的情况也很常见。恶意行为者可能会以这些数字环境为目标，以获得有价值的或私人的信息、激励或其他资产。鼓动信息技术系统的恶意行为者或入侵者揭露自己是了解恶意行为者的身份、攻击方法和关于事件的信息的一种方法，并且可以使用金钱激励、对其技能的认可或其他激励来实现。为了证明他们的存在，信息技术系统中可以存在特定资产(也称为人工品(artefact))。资产可以包括有价值的信息(例如私人信息、货币化信息、应用、技能认可等)或在数字环境中可用的可鼓动恶意行为者的任何其他数据。资产可以包含与关联智能合约相关的某些信息，例如货币金额、受损的信息技术财产、资产的唯一指纹、元数据或其他信息。
28.智能合约可以存在于分布式分类账(例如，区块链)上。智能合约可用于连接恶意行为者和激励的所有者，与传统的客户端-服务器系统相比，提供相对匿名性。恶意行为者和所有者中的每一个都可以拥有对数字存储设备的访问权。所有者的数字存储设备可能被注资一激励来鼓动恶意行为者定位漏洞，并且恶意行为者的数字存储设备可以被用于申领该激励。每个相应的数字存储设备可以由公钥(例如，攻击者的数字存储设备中的第一公钥和所有者的数字存储设备中的第二公钥)表示。公钥可以写在交易内并识别交易的发送者。例如，所有者的数字存储设备可用于将必要的激励转移到智能合约，该合约可充当存款。恶意行为者的数字存储设备可用于申领资产并从智能合约中接收激励。使用资产的唯一组件，只有发现资产的那些人才可以通过智能合约申领激励。确定申领人的合法性可以使用资产中的信息进行数学验证，并且智能合约将不允许猜测资产中的信息。
29.提供这样的系统存在挑战。第一，必须定义证明信息技术网络中存在恶意行为者所需的资产。第二，资产必须部署在异构信息技术系统上。异构信息技术系统可以包括具有部署在操作系统级别的资产、部署在应用上的资产、部署在在线或离线信息技术系统上的资产以及部署在较低级别(例如，芯片级别)的资产的物理或虚拟服务器。第三，智能合约必须用条款、条件和元数据来定义以申领货币激励。第四，必须管理资产、激励和智能合约。第五，必须监视智能合约所处于和被执行的分布式分类账。
30.当前的安全解决方案无法及时检测异常恶意活动，或者被延迟或不准确。然而，攻击者会尝试创建新的攻击向量(例如，通过it系统的攻击路径)并修改旧的攻击向量以绕过传统的安全解决方案。这会在创建新的攻击向量和改进用于检测攻击的攻击定义之间产生持续的竞争。
31.如上所述，两种常见类型的安全解决方案是基于检测的(例如，入侵检测系统、防病毒、端点检测和响应等)和基于诱饵的系统(例如，蜜罐)。基于检测的系统尝试通过使用在受损系统上留下的痕迹、可疑网络流量和/或可疑活动来检测攻击者的存在。基于检测的解决方案可以将签名与恶意签名的数据库进行比较，以检测任何恶意活动。将不会检测到任何带有新签名的未知可执行文件。由于恶意和良性行为的重叠，可疑的网络活动提供了高的假阳性率。
32.基于诱饵的系统(例如蜜罐系统)试图通过模仿真实系统来引诱攻击者暴露他们的存在。然而，蜜罐系统或其他基于诱饵的系统没有有价值的信息，并且对此类系统的任何访问都由系统和/或监视该系统的安全团队监视。基于诱饵的系统试图检测攻击者的存在，而不是鼓动他们暴露自己。此类系统可能成本高昂且违规检测时间通常很慢(例如，不够快以检测和/或识别攻击者)。
33.另一种类型的安全解决方案基于行为分析，其试图检测异常活动。然而，由于恶意和良性行为的重叠，对可疑活动进行分类是一项艰巨的任务。这些工具通常具有很高的假阳性率。因此，通常需要人类操作者的最终决定来提高分类率。
34.漏洞奖赏计划只会鼓动白帽子参与，因为他们需要揭露他们的身份。另外，他们的攻击范围由组织者良好地定义，并且通常有时间限制。
35.这些和其他问题和挑战可以通过实现本文描述的一种或多种激励式入侵检测技术来解决。这种系统的实施例可以允许客户在他们定义所提议的资产和激励的数量的情况下创建奖赏。之后，客户可以配置由激励式入侵检测系统支持的一个或多个目标环境。一旦配置了目标环境，激励式入侵检测系统就可以创建一个或多个子存储设备并为其提供来自主数字存储设备的一个或多个代币以用于激励。然后可以在目标环境上部署智能合约，并且可以将智能合约上的交易写入分布式分类账(例如，区块链)。智能合约可用于处理恶意行为者的激励申领。也可以在目标环境上部署一个或多个资产。系统可以监视分布式分类账上的申领活动(例如，是否已申领任何激励)以在需要时发出警报。
36.图1示出了激励式入侵检测系统的实施例中的后端的框图。客户105可以通过客户接口110(也称为用户接口或图形用户界面)来访问系统130。客户105可以是激励式入侵检测系统的任何合适的操作者，例如系统管理员、信息技术专家或能够访问数字环境的任何其他人。客户接口110可以是与应用115可操作地通信的任何合适的接口，例如显示器。应用115可以访问数据库120。数据库120可以包括攻击记录、对数字存储设备125注入的资金，或对应用115有用的任何其他数据。应用115可以向客户105提供对数字存储设备125的访问。数字存储设备125可以被配置为由客户105注资以便创建要在智能合约145上提供的激励。智能合约145可以部署在客户系统150中的分布式分类账135上，客户系统150可以包括服务器、数据库、子网和/或恶意行为者可能会以此为目标的其他在线和/或离线数字环境。例如，一个资产可以部署在一个目标环境155上，而多个资产可以部署在客户系统150中的不同物理、虚拟在线或离线信息技术系统中。智能合约145上的交易可以写入分布式分类账135。
37.使用分布式分类账135和智能合约145，可以为恶意行为者提供伪匿名，并且可以保证激励可供申领。例如，激励可以是可用于数字传输的货币奖励；信息激励，例如私人或有价值的数据；或认可激励，例如认可恶意行为者的努力的激励。在某些情况下，恶意行为
者不需要与除分布式分类账135、智能合约145和资产140之外的任何元素交互来申领激励。
38.将智能合约145和资产140与(例如，与分布式分类账135相关联的)密码算法联系起来，可以保证即使智能合约145可能是公开的，也只有特定客户系统150上的恶意行为者才能申领与智能合约相关联的激励。智能合约145和资产140可以以重放攻击(即，针对同一激励的重复攻击)不可能的方式被构建。另外，资产不能被伪造和修改以申领另一激励。例如，资产可以包括随机数、标识符(例如，识别资产位置)和智能合约145的地址。在一个说明性示例中，资产可以由随机数、标识符和智能合约145地址的串接构成。然后可以用合约所有者的私钥对资产数据进行签名(并且在某些情况下进行散列)，其中所有者是生成智能合约145的数字存储设备125。智能合约145可具有责任来验证签名是正确的(例如，资产140链接到智能合约145)。签名验证可以使用在创建阶段期间存储在智能合约145内的所有者的公共地址来完成，如本文进一步描述的。随机数和智能合约145地址可用于避免重放攻击，而标识符可识别资产的位置，从而允许客户105知道哪个目标环境155受到损害。
39.攻击者和客户105可以通过智能合约145建立关系。当申领激励时，客户105可能只知道恶意行为者的数字存储设备并且客户系统150中的目标环境155受到损害。客户105可以决定奖赏的属性(例如，激励的集合)以鼓动恶意行为者暴露他们自己。
40.警报可以自动触发，因为分布式分类账135的属性可以保证当恶意行为者通过其智能合约145申领激励时，该交易记录在分布式分类账135上。分布式分类账135可以由激励式入侵检测系统的应用(例如，应用的活动管理器)监视，如本文进一步描述的。与激励申领相关联的交易不能被撤销、拒绝或修改，因为它被记录到分布式分类账135。因此，通过提供激励，可以减少检测入侵的时间，因为一旦申领激励，攻击者的存在就通过分布式分类账135的监视被检测到。
41.图2示出了激励式入侵检测系统的实施例中的应用的框图。如图2所示，客户105是应用115的用户。客户105可以通过管理控制台205与应用115交互。客户105可以创建和管理一个或多个活动奖赏，向数字存储设备提供资金，并且对由活动监视引擎255触发的警报进行监视和反应(下面更详细地描述)。多个角色可以分离对应用115的使用并避免客户窃取激励。例如，审计者可以审计应用的使用情况，直至哪个用户部署了多少具有激励金额的资产。监视者可以访问通过活动监视引擎255触发的警报。财务官可以访问数字存储管理器260并且可以提供资金。管理员可以创建和部署资产并定义目标环境。管理员可以从具有财务官角色的客户接收资金。管理员可以是具有高安全性设置的高度信任的用户，可以被配置为将部署资产和定义目标环境分开，确保没有人知道在何处和何时部署了激励。如果定义了足够的目标环境，那么可以在不知道资产的确切位置的情况下定义部署。根帐户可以拥有应用的所有权限，并可在应用的初始设置期间使用。根帐户可用作最后一次使用。此帐户的任何使用可以被标记给审计者和监视者。
42.恶意行为者(未示出)可以是激励式入侵检测系统的目标。恶意行为者可以是使用计算设备攻击目标环境240的个人或使用一个或多个计算设备攻击目标环境240的一组人。系统可以尝试用一个或多个激励来鼓动恶意行为者揭露他的存在。揭露过程可以使用一个或多个智能合约285来处理，该智能合约可以使用非对称密钥来保证恶意行为者的伪匿名性以申领一个或多个激励。激励可以代表来自各种分布式分类账275的货币和效用代币。激励可以是从智能合约285可申领的代币。
43.资产230可以是恶意行为者使用智能合约285申领激励时必须提供的证据。例如，资产230可以是通过智能合约285申领与资产230相关联的激励所需的数据。在一些情况下，多个资产可以链接到一个智能合约285并部署在同一目标环境240上。智能合约285可以与一阶段相关联。阶段可以与奖赏(例如，奖赏250)相关联。如下文更详细描述的，奖赏可以包括一个或多个阶段，每个阶段都可以在奖赏的前一阶段之后申领。在某些情况下，一个阶段可具有多个资产。在某些情况下，一项资产可以与一个特定阶段相关联。每个阶段可以与唯一的智能合约相关联(例如，与智能合约285相关联的第一阶段，与另一个智能合约相关联的第二阶段，等等)。智能合约将定义使用该阶段的资产申领包含在智能合约中的一个或多个激励所需的步骤或参数。资产可以包含用于找到合适的智能合约285的信息和元数据，例如激励金额和/或激励的有效性的持续时间。例如，可以缩短有效性的持续时间(例如，激励在目标环境上轮转的30分钟)以鼓动恶意行为者快速暴露自己。为了避免任何其他人使用资产230来申领激励，可以使用非对称密码和散列算法。散列协议可用于对资产的元数据进行散列。所得到的散列可以用合约所有者的私钥签名。合约可以使用所有者的公钥(即其地址)来检查签名的有效性(因此，非对称加密)。资产元数据的任何更改都会修改散列值并使签名无效。
44.智能合约285可以代表各方之间的条款和条件并且可以驻留在分布式分类账275中。分布式分类账275可以包括任何合适的分布式分类账，例如区块链、以太坊或另一个分布式分类账。另外，分布式分类账275可自动进行验证并执行可通过满足某些条件而触发的任何类型的操作。智能合约285可以将资产230链接到激励(或在某些情况下链接到多个激励)。当恶意行为者发现资产230时，恶意行为者使用的计算设备可以将资产230提供给分布式分类账275上的关联智能合约以申领激励。当恶意行为者使用具有适当参数(例如，元数据)的智能合约285申领激励时，可以将激励(从数字存储设备280)转移到恶意行为者的数字存储设备，并且可以将交易写入适当的分布式分类账275上。为了促进将激励转移到恶意行为者的数字存储设备，与资产230一起可以包括申领激励的脚本。在这种情况下，脚本可以包括可由恶意行为者执行以使用元数据作为参数来申领激励的命令。如果恶意行为者不信任脚本，他可以重新创建他自己的等效脚本。恶意行为者还可以在目标环境或由恶意行为者控制的机器上执行脚本。
45.客户105可以选择几个选项来限制智能合约285并鼓动恶意行为者尽快申领激励。例如，激励的价值可以随着时间的流逝而降低，激励可以在时间上受到限制(例如，可以将激励有效的持续时间设置为特定值)等。另外，资产可以轮换。通常，资产可以在当前目标环境上失效，并且可以部署同一目标环境中的另一个资产，即不在目标环境的确切位置，迫使恶意行为者再次搜索它。
46.在某些情况下，智能合约285可能不一定包含满额的激励。例如，使用代币作为激励的示例，智能合约285可能需要至少包含具有最大激励金额的资产所需的多个代币。应用115可以在需要时从智能合约285自动提供和借记资金。例如，当使用一项资产230申领激励时，应用115可以为智能合约285提供关联激励所需的资金。另外，如果资产失效，则应用115可以从智能合约285借记资金。
47.如上所述，奖赏250可以包括一个或多个阶段。多个奖赏250可以并行存在。对于具有多个阶段的奖赏，奖赏的每个阶段可以在奖赏的前一阶段之后申领(例如，可以首先申领
奖赏的第一阶段，然后可以申领奖赏的第二阶段，然后是第三阶段，等等)。每个阶段可以与唯一的智能合约(例如，智能合约285)相关联，每个智能合约定义使用阶段的资产之一来申领它包括的一个或多个激励所需的参数(例如，元数据)的步骤。在某些情况下，可以使用高级阶段，其中高级阶段可能需要第三方验证以解放激励。第三方可以具有解放资金或不解放资金的决策能力，这取决于恶意行为者提供的报告的质量。这可能需要第三方与系统中的行为者保持信任关系。
48.在一些示例中，可以有两种类型的数字存储设备280，包括主数字存储设备和子存储设备。主数字存储设备可以链接到一个奖赏250。子存储设备可以链接到当前奖赏250的一个阶段。数字存储设备280中的数字存储设备(主数字存储设备或子存储设备)可以包括特定分布式分类账275的代币，其可以与奖赏250的一个阶段相关联，如上所述。客户105可以向主数字存储设备发送资金。子存储设备可以与在创建奖赏时由奖赏250创建的智能合约285相关联。当子存储设备用于部署智能合约285时，它成为智能合约285的所有者。
49.目标环境240可以是使用资产部署器220部署资产的地方。这可以代表一个或多个信息技术实体，例如计算机、服务器、数据库、智能手机、远程云实例(例如，亚马逊网络服务(aws)服务器)、邮件服务器等，或者由客户105手动部署的文件和软件。
50.分布式分类账275可以是可以由各种参与者管理的去中心化数据库。可能没有充当仲裁员或监视者的中央机构。区块链可以是分布式分类账275，其中所有数据都分配给所有参与者。分布式分类账275可以包括智能合约285和可以通过在分布式分类账275上执行的交易来更新的数字存储设备280金额。对分布式分类账275的可能行动可以是例如铸造(代币创建)、花费(转移代币)和销毁(申领)代币。分布式分类账的一个示例可以是区块链或以太坊。也可以使用其他分布式分类账。
51.当恶意行为者申领来自正在进行的奖赏250的智能合约285的激励时，活动监视引擎255可以触发警报。警报可以显示在管理控制台205上并且可以被导出或推送到外部警报系统270。
52.客户105和外部应用245可以通过其编程接口(例如客户接口110和/或api)访问应用115。例如，客户105可以查询活动监视引擎255以审阅已触发的任何警报。
53.应用115可以包括管理控制台205、核210、数据库235、奖赏管理器215、智能合约管理器265、资产生成器225、资产部署器220、数字存储管理器260和活动监视引擎255。
54.管理控制台205可以是应用115的组件之一。管理控制台205可以是可以显示来自应用115的不同组件的各种信息的接口。例如，使用管理控制台205，客户105可以创建奖赏250程序，触发相关资产230、临时数字存储设备280、代币和智能合约285的部署，并监视关联的智能合约285。
55.核210可以是负责协调应用115的所有组件的协调器。客户105可以通过管理控制台205向核210发送请求，核210协调和分派适当的组件。
56.数据库235可以是应用115的组件，其存储应用115所需的所有配置，以及关于奖赏250程序、资产230、警报、目标环境240、客户105等的信息。
57.奖赏管理器215可以是应用115的另一组件。奖赏管理器215可以负责管理一个或多个奖赏250。根据基于先前和正在进行的奖赏250的数字存储设备280中可用的总资金，奖赏管理器215可以向客户105提供对可创建的奖赏250的合适的选择。当发起(来自一个或多
个奖赏250的)奖赏的创建时，客户105可以决定资产生成器225将生成多少个资产230。奖赏管理器215可以提示客户105(例如，通过管理控制台205)将资金(从数字存储设备280)发送到由数字存储管理器260生成的主数字存储设备。根据为奖赏选择的多个阶段，智能合约管理器265可以被查询以创建链接到资产230的一个或多个适当的智能合约285。奖赏管理器215可以使用数据库235跟踪正在进行的和先前的奖赏250。如本文所用的，正在进行的奖赏(也称为当前奖赏)是具有尚未申领的未完成激励的奖赏，而先前的奖赏是已申领所有激励的奖赏。先前的奖赏也可以是失效的奖赏。失效的奖赏可以自动使所有资产失效。
58.智能合约管理器265可以管理智能合约285。当部署智能合约285时，智能合约管理器265包括必要的信息和元数据，这些信息和元数据链接到所需资产230并存储在数据库235中。智能合约管理器265可以使用来自专用于当前智能合约285的子存储设备(来自数字存储设备280)的资金来提供一个或多个激励。智能合约管理器265可以在数据库235中以及一个或多个分布式分类账275上存储与智能合约相关的信息(例如，条款、激励、元数据等)。
59.资产生成器225可以负责生成资产230，如上所述，资产230是通过智能合约申领激励所需的数据。例如，恶意行为者必须提供资产作为使用智能合约申领激励的证据。资产生成器225可以使用数据库235跟踪所生成的资产230。当客户105创建新的奖赏250时，他可以选择为奖赏250生成的资产230的数量。
60.资产部署器220可以负责在目标环境240上部署资产230。资产部署器220可以使用数据库235来跟踪部署的资产230。当客户105创建新的奖赏250时，他可以决定他希望在其上部署资产230的一个或多个目标环境(例如，包括目标环境240)。
61.数字存储管理器260可以负责管理数字存储设备280。数字存储管理器260可以跟踪数字存储设备280中的剩余金额并且可以在适当的分布式分类账275上写入交易。当创建奖赏250时，数字存储管理器260可以创建客户105需要向其发送资金的主数字存储设备(来自数字存储设备280)。当创建奖赏250时，可以创建具有定义的激励的数字存储设备280。可以在来自与奖赏250相关联的智能合约285的一个或多个智能合约中参考这些激励。数字存储管理器260可以在数据库235中和适当的分布式分类账275上存储与数字存储设备相关的信息(例如，资金金额等)。
62.活动监视引擎255可以负责监视智能合约285所驻留的分布式分类账275。当恶意行为者使用适当的资产230申领智能合约285的激励时，该申领可以触发警报，该警报被转发到管理控制台205和/或存储在数据库235中。在一些情况下，活动监视引擎255可以将警报转发到外部警报系统270。外部警报系统270可以通过其应用编程接口(api)访问活动监视引擎255。
63.图3示出了激励式入侵检测系统的实施例中的奖赏创建方法的框图。在第一步中，客户330在初始化步骤305处初始化奖赏创建。在初始化步骤305期间，客户330可以应用对目标环境、客户和角色以及激励式入侵检测系统300上的警报的应用115配置。可以以多种方式配置应用115：常规设置和按奖赏设置。可以在应用115上使用按奖赏设置，例如奖赏程序的生存时间和奖赏元数据的配置，例如描述奖赏目标的信息、资产应该部署在哪种类型的目标环境上、可用的最大激励金额等。
64.在创建第一奖赏之前可以配置一些常规设置。首先，可以通过添加所需的连接细节来定义一个或多个目标环境。支持的目标环境和所需信息有很多示例。在一个说明性示
例中，在linux机器上，应用115可能能够连接到基于安全外壳(ssh)协议的连接以通过例如中继器415或直接从资产部署器220放置资产。ssh是一种用于在不安全的网络上安全运行网络服务的加密网络协议。使用的ssh密钥可以链接到已被授予访问权限以执行管理功能(称为sudo权限)的客户330。拥有sudo权限可以允许以下行动：放置激励，将资产放置在根用户主目录中，打开特定端口并如网站上所宣传的那样在该端口上运行哑应用应答，在多播地址上广播应用的存在，以及将文本文件放在已知位置以说明机器上有奖赏。在windows机器上可以使用类似的配置。
65.也可以使用各种其他实现方式。例如，在kubernetes上，目标环境可以是具有特定名称的特定命名空间中的pod。在具有凭证的数据库中，应用115可以在特定表或模式中写入资产。在具有特定电子邮件帐户的邮件服务器上，应用115可以创建带有关于如何查找和申领激励的细节的电子邮件。在亚马逊网络服务(aws)、azure、谷歌云(gcp)或其他云供应商上，使用api密钥，应用115可以产生虚拟机，令一个或多个资产部署在每个虚拟机上。手动地，应用115可以向客户330提供下载资产的方式，使得客户330可以放置资产。资产可以是不同的类型，例如文件、程序等。手动放置可以是可选的，并且可以允许另一个客户以降低的风险获得资产。
66.由于在创建奖赏时可能需要将资金转移到主数字存储设备，因此客户330可以决定将资金存储在本地还是在硬件存储设备中。例如，客户330可以在应用115处理它时将数字分类账的代币存储在可从应用115直接访问的软件存储上。另一种可能性是使用独立于无法控制它的应用115的硬件存储设备。客户可以提供硬件存储设备。应用115将从需要客户确认的硬件存储设备请求资金。然而，硬件存储设备可能会导致与隐私相关的问题，因为恶意行为者可能获得有关奖赏的信息。
67.在一些实施例中，管理员可以是客户330。管理员可以决定使用多重管理签名来部署资产。当应用115以需要高安全级别的方式配置时，应用115可以强制客户330使用多重签名。换句话说，可以禁止单独的客户未经确认就部署资产。使用多重管理签名，只有当所有指定的管理员客户都同意时才会部署奖赏，这避免了只有一个管理员客户批准资产。目标可以是避免任何单个客户330将资产部署到已知位置、去这个位置并申领激励。在一些实施例中，可以针对多重管理签名模式停用资产的手动部署。管理员客户可以决定可以同时开启多少奖赏以及可以申领多少可用资金。
68.警报还可以被配置为关于活动监视引擎255在哪里发送警报(例如，经由短消息服务(sms)、电子邮件、传输控制协议(tcp)和传输层安全(tls)等)。另外，字段可以是可配置的并且可以由客户添加。管理员可以创建具有更多或更少有限权限的应用115的其他客户。管理员客户还可以创建和撤销其他应用用来查询应用115的各种组件的api密钥。客户330还可以创建具有相关联的不同风险级别的网络地图。目标环境可以被用风险级别来指定。这可以允许应用计算推荐的激励金额，并建议哪些目标环境资产应该部署，以为攻击者创建推荐的途径。
69.一旦初始化305完成，激励式入侵检测系统300准备好创建奖赏335。可以在定义步骤310定义奖赏。定义奖赏定义可以包括定义阶段、资产和目标环境，并且客户330向数字存储设备发送所需资金。当客户330创建新的奖赏时，他可以被要求创建一个或多个将链接到奖赏的资产。如前所述，每个奖赏都可具有一个或多个阶段。例如，奖赏的第一阶段可以定
义为恶意行为者发现资产。奖赏的第二阶段可用于向恶意行为者提供向受信任的第三方发送关于系统如何被违规的报告的可能性。如果报告提供足够的信息来修复问题，第三方可以验证正确性并且可以将资金释放给攻击者(例如，释放到恶意攻击者的数字存储设备)。该报告可以由受信任的第三方定义，并可以包括以下任何或所有信息：违规日期、漏洞检测方法、漏洞利用方法、受损的客户环境中的其他服务器、恶意行为者发现的其他潜在问题，等等。更多阶段是可能的，例如，鼓动恶意行为者遵循特定路径。
70.奖赏的资产数量由客户330决定，并且可以根据客户330想要为奖赏设置的范围来确定。在一个示例中，奖赏可以覆盖获得对目标环境的员工使用的任何计算机的访问权。在另一个示例中，奖赏可以覆盖部署了多个资产的网络服务器。对于每项资产，可以定义一个或多个目标环境。在一些实施例中，可以将同一资产部署到多个目标环境；但是，只能申领一次激励。多个资产可以部署在同一个目标环境上，例如，在同一个linux机器上，在同一个kubernetes集群上，等等。激励金额可以由客户330决定。如果可能，应用可以基于先前的奖赏、目标环境的类型等提供对金额的推荐。还可以指定资产的生存时间。可以推荐短的生存时间来鼓动恶意行为者迅速申领奖赏。
71.客户可以定义与每个阶段相关的智能合约。例如，客户可以决定最初要发送给智能合约的金额(例如，最小可能金额是与智能合约相关的最高激励的值)和激励的生存时间(即，多长时间可以申领激励)。然后应用可以创建主数字存储设备并要求客户330向其转移足够的资金以覆盖奖赏。
72.一旦在定义步骤310定义了代币程序340，就可以在部署步骤315部署它。可以按每个智能合约生成子存储设备。用于激励的足够金额的资金可以从主数字存储设备转移到子存储设备。智能合约可以部署在分布式分类账上。可以在目标环境上生成和部署资产。
73.一旦部署了资产，就可以准备好发现345资产，并且可以在监视步骤320监视部署的智能合约350。活动监视引擎255可以监视任何事件。当检测到与激励申领相关的事件时，可以生成警报。
74.资产可以以这样的方式部署，即对于知道系统的任何恶意行为者355来说，了解它们可能在哪里可能并不困难。当恶意行为者355发现资产时，恶意行为者355在激励步骤325被激励以使用资产的生存时间和智能合约以及激励金额尽快申领激励。
75.图4示出了激励式入侵检测系统的实施例中的子网的框图。如图4所示，应用115可以驻留在云中。应用115可以分别与存在于子网405、410上的中继器415、425通信。子网可以存在于客户系统150中。每个子网405、410可以分别具有目标环境420、430。在一些实施例中，每个子网405、410可以覆盖客户系统150的不同区域。尽管被示出和描述为具有两个子网405、410，但是可以设想到在客户系统150中可以存在具有任意数量的目标环境的任意数量的子网。
76.图5示出了激励式入侵检测系统的一个示例实施例中的区块链中的区块的表示。如本文所用的，术语“区块链”可用作“分布式分类账”的示例。适用于本文所述目的的示例性区块链可以是可用于智能合约的以太坊。智能合约可以在区块链上运行，以确保其数据的永久存储以及其数据被篡改或更改的极度困难。在一些实施例中，智能合约可以通过执行脚本、验证脚本的结果并将智能合约及其结果存储在区块中来运行。一般而言，区块可以包括递增的区块编号、散列值、对直接前趋区块的引用、工作量证明和/或执行的智能合约
的一个或多个交易。在一些示例中，区块还可以包括时间戳、随机数以及与发送方和/或接收方相关的标识符。
77.例如，图5示出了区块链的三个连续的区块：区块0 500，区块1 501和区块2 502。以区块0 500为例，该区块包括索引(0)，其随着后续区块被创建而增大。例如，区块1 501的索引为1，并且区块2 502的索引为2。区块0 500还包括表示其创建日期和时间的时间戳。如图所示，具有较晚索引的区块可以具有比先前区块晚的日期和/或时间的时间戳。区块0 500还包括数据；在这种情况下，区块0500表示 1000的资金事件以产生数字存储设备。区块0 500还可以包括其数据的散列值和前一散列值。在这种情况下，前一散列值可以是0，因为区块0 500是区块链的第一区块。
78.另一方面，区块1 501表示区块链中的后续区块。区块1 501代表通过与区块链相关联的智能合约(例如，与奖赏的第一阶段相关联的智能合约)的激励的申领。具体地，区块1 501指示 1000数字存储设备的值减损-55。区块1 501还可以指示申领人的标识符；具体地，为攻击者1。区块1 501还可以包括其数据的散列值，以及区块0 500的散列值。
79.类似地，区块2 502表示区块链中在区块1 501之后的时间戳处发生的后续块。区块2 502表示通过与区块链关联的另一个智能合约(例如，与奖赏的第二阶段关联的智能合约)的另一个激励的申领。具体地，区块2 502指示 945数字存储设备的值减损-62。区块2 502还可以指示申领人的标识符；具体地，为攻击者2。在一些情况下，申领人可以包括同与区块1 501相关联的激励的申领人相同的申领人(攻击者1)。区块2 502还可以包括其数据的散列值，以及区块1501的散列值。通过在当前区块中包含每个区块的前一区块的散列值，区块链变得牢不可破和不可变，从而提供了许多安全益处。
80.图6示出了根据一些实施例的激励式入侵检测系统中的攻击者的行动的流程图。在客户创建奖赏之后，可以在一个或多个目标环境上部署一项或多项资产，并且可以在分布式分类账上提供一个或多个智能合约。系统可能正在等待恶意行为者发现资产并使用以下可以在目标环境中执的过程申领激励。目标环境可以是任何在线或离线数字环境，例如公司网络或恶意行为者可以访问并且可以部署资产的任何其他位置。
81.在步骤610，恶意行为者605可以获得对部署资产的目标环境的访问。在步骤615，确定恶意行为者605是否发现资产。如果恶意行为者605没有发现资产，则过程在步骤620结束。如果恶意行为者605确实发现了资产，则在步骤625确定恶意行为者605是否想要申领激励。当恶意行为者605发现资产时，该资产可以包括了解其用途和使用方式所需的信息。例如，资产可以包括提供各种信息的文本(例如，关于资产是什么的解释，关于如何验证激励存在并且可以使用所需的元数据申领的解释，关于如何申领激励的解释，关于任何下一阶段的解释，例如关于在哪里发现它的解释，等等)，申领该激励的提议脚本，以及发现关联的智能合约并申领激励所需的元数据。可以在文本中通知恶意行为者605需要数字存储设备来接收资金。资产可以以这样的方式部署在目标环境上，即，使得恶意行为者605容易发现它。另外，对于恶意行为者605来说，验证资产的真实性可能相对简单。
82.如果恶意行为者605不想申领激励，则该过程在步骤620结束。申领激励的决定可以由恶意行为者605决定。由客户提供足够的激励来鼓动恶意行为者605揭露自己。在一些实施例中，本文描述的系统可以通过基于若干参数和统计提出足够的激励来帮助做出决策。例如，系统可以应用人工智能或机器学习来决定多大的激励金额可能会吸引恶意行为
者605。目标可以是与恶意行为者605危害可以发现资产的目标环境的难度相比，提供足够的激励。这可能取决于客户如何为其数据和信息技术系统定价。另外，可以使用来自先前奖赏、来自其他客户的奖赏等的统计数据。参数可以包括中央处理单元(cpu)、随机存取存储器(ram)和盘存储器的数量、正在运行的处理数量、此目标环境所在的环境、与此目标环境相同的子网中的其他信息技术系统的数量，等等。
83.如果恶意行为者605确实想要申领激励，则在步骤630根据恶意行为者605是否决定在目标环境或另一恶意行为者控制的机器上使用提供的脚本，来确定申领过程应该是自动的还是手动的。如果申领过程是手动的，则在步骤640从资产解析元数据并用于申领激励。例如，恶意行为者605可以从网站下载提供的脚本以申领激励。脚本可以要求恶意行为者605的数字存储设备和资产的路径或其元数据。在另一示例中，恶意行为者605可以创建他自己的脚本以通过使用资产中的元数据来申领激励。如果申领过程是自动的，则可以在步骤635使用提供的脚本(其包括所需的元数据)来申领激励。如果恶意行为者605想要从另一机器申领激励，则手动申领可能是有用的。
84.不管申领过程是手动的还是自动的，在步骤645，恶意行为者605可以使用资产的元数据和他的数字存储地址来调用智能合约的申领函数。资产的元数据可以包括，例如，智能合约地址、资产标识符、加密随机数(例如，任意数字)、激励金额等。当智能合约的函数被调用时，该过程可以移动到智能合约所在的分布式分类账，并在那里执行其函数。针对图7讨论进一步的步骤。
85.图7示出了根据一些实施例的激励式入侵检测系统中对智能合约的行动的流程图。一旦在步骤645恶意行为者605使用资产的元数据和他的数字存储地址调用了智能合约的申领函数，就在步骤705确定智能合约的申领函数是否有效。这可以通过请求恶意行为者605向申领函数提供资产的元数据和签名来实现。智能合约可以验证签名的有效性。智能合约的申领函数可以监督对接收到的资产的元数据的验证。如果在步骤705确定智能合约的申领函数无效，则该过程在步骤710结束并且对于该攻击不再发生任何事情。如果在步骤705确定智能合约的申领函数有效(例如，具有有效的元数据和数字存储地址)，则智能合约可以在步骤715触发资金转移。智能合约中指定的资金可以从智能合约转移到恶意行为者605的数字存储设备。该函数可以发出申领成功事件。智能合约上的函数在被调用时可以发出事件。最关键的事件可以是可以引发安全警报的申领事件。活动监视引擎255可以监视发出的不同类型的事件。然后该过程可以在步骤720结束。
86.图8示出了根据一些实施例的激励式入侵检测方法的流程图。在激励式入侵检测方法中，可以在步骤805监视智能合约。在步骤810，确定发生了什么类型的事件。如果该事件是激励的申领，则可以在步骤815产生警报。如果该事件是另一种类型的事件(例如，改变合约所有者、增加或减少合约余额等)，则可以在步骤820采取另一行动。例如，其他事件可以被记录，写入数据库记录，用于确定未来的激励、资产、目标环境等，和/或馈送到人工智能或机器学习模型。
87.图9是根据一些实施例的激励式入侵检测方法的流程图。在步骤905，可以在数字环境上配置储存库。在一些实施例中，储存库可以是子网。然而，可以设想到储存库可以是离线的或在线的，并且可以包括服务器、网络、网关、电子设备、数据库等。可以设想到数字环境可以是目标环境，并且可以包括在客户环境中。
88.在步骤910，可以识别资产以鼓动恶意行为者使用一个或多个设备访问储存库。换言之，可以选择、提供、生成或检索资产。在一些实施例中，可以基于使用一个或多个设备访问储存库的特定类型的恶意行为者来识别资产。可以基于知识水平、经验或复杂性、恶意行为者的位置、恶意行为者的历史或恶意行为者的任何其他识别特征，使用资产将特定类型的恶意行为者作为目标。在一些实施例中，资产可以随时间改变。
89.在步骤915，可以针对资产生成智能合约。智能合约可以基于资产中的元数据与资产相关联。资产可以包括元数据并且可以部署到储存库。资产可以与激励结合使用，以使得一个或多个恶意行为者执行智能合约。在一些实施例中，元数据可以包括随机数、标识符、地址和代币金额。在一些实施例中，元数据可以被散列并用私钥签名。在步骤920，可以在分布式分类账系统(例如，上述分布式分类账中的一个或多个)上部署智能合约。如本文所用，分布式分类账可以包括区块链。
90.在步骤925，可以获得元数据的至少一部分以发起智能合约以基于对储存库的访问提供与资产相关联的激励。例如，攻击者可以访问储存库以获得对资产的访问权，并为此向智能合约提供至少一些元数据(或其他数据)。在一些实施例中，元数据的至少一部分可以包括触发智能合约以提供资产的脚本。在一些实施例中，可以从所述一个或多个设备中的设备接收元数据的至少一部分。在一些实施例中，可以基于正被触发的智能合约生成事件。例如，可以生成警报，可以做出日志条目，可以将数据保存到数据库中，或者可以发生资金转移。在一些实施例中，触发智能合约包括将资产的提供写入分布式分类账。
91.在一些示例中，本文描述的过程(例如，过程900和/或本文描述的其他过程)可以由计算设备或装置来执行。在一个示例中，过程900可以由本文描述的入侵检测系统来执行。在另一示例中，过程800可以由具有图10中所示的计算系统1000的计算设备来执行。计算设备可以包括任何合适的设备，例如移动设备(例如，移动电话)、桌面计算设备、平板计算设备、可穿戴设备、服务器计算机、电视和/或具有资源能力来执行本文描述的过程(包括过程900)的任何其他计算设备。在一些情况下，计算设备或装置可以包括被配置为执行本文描述的过程的步骤的各种组件，例如一个或多个输入设备、一个或多个输出设备、一个或多个处理器、一个或多个微处理器、一个或多个微型计算机、一个或多个照相机、一个或多个传感器和/或其他组件。在一些示例中，计算设备可以包括显示器、被配置为传送和/或接收数据的网络接口、它们的任何组合和/或其他组件。网络接口可以被配置为传送和/或接收基于互联网协议(ip)的数据或其他类型的数据。
92.计算设备的组件可以在电路中实现。例如，组件可以包括和/或可以使用电子电路或其他电子硬件来实现，这些电子电路和/或其他电子硬件可以包括一个或多个可编程电子电路(例如，微处理器、图形处理单元(gpu)、数字信号处理器(dsp)、中央处理单元(cpu)和/或其他合适的电子电路)，和/或可以包括和/或使用计算机软件、固件或它们的任何组合来实现，以执行本文描述的各种操作。
93.过程900被示为逻辑流程图，其操作表示可以在硬件、计算机指令或其组合中实现的操作序列。在计算机指令的情景中，操作表示存储在一个或多个计算机可读存储介质上的计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时执行所述操作。通常，计算机可执行指令包括执行特定功能或实现特定数据类型的例程、程序、对象、组件、数据结构等。描述所述操作的顺序不旨在被解释为限制，并且任意数量的所描述的操作
可以以任何顺序和/或并行地组合以实现这些过程。
94.另外，本文描述的过程900和/或其他过程可以在配置有可执行指令的一个或多个计算机系统的控制下执行，并且可以被实现为代码(例如，可执行指令、一个或多个计算机程序、或一个或多个计算机应用)在一个或多个处理器上、由硬件或它们的组合共同执行。如上所述，代码可以例如以包括可由一个或多个处理器执行的多个指令的计算机程序的形式存储在计算机可读或机器可读存储介质上。计算机可读或机器可读存储介质可以是非暂态的。
95.本文描述的激励式入侵检测系统和技术可用于各种类型的系统或平台，例如漏洞奖赏(bug bounty)平台、夺旗(capture the flag，ctf)系统和红队/蓝队事件(其中代币用于评分并且是获得对系统的访问的证明)，等等。在一个说明性示例中，激励式入侵检测系统和技术可用于(例如，白标的)漏洞奖赏平台。漏洞奖赏公司提供漏洞奖赏平台，该平台充当想要针对有道德黑客测试应用、系统和网络的客户(例如，公司)之间的中介。
96.为了实现激励式入侵检测技术，漏洞奖赏客户可以下载激励式入侵检测代理(例如，软件应用，诸如一些说明性示例中的应用115)并将代理安装在客户想要测试的应用、系统和/或网络上。代理可以将自己注册到激励式入侵检测系统管理平台。在一个说明性示例中，系统管理平台可以包括应用115或可以与应用115通信。激励式入侵检测系统管理平台允许客户针对一个或多个人工品创建奖赏，如本文所述。然后代理可以拖动该一个或多个人工品并放置在客户的应用、系统和/或网络内的关键位置。
97.人工品在具有唯一标识符的私有区块链(例如私有以太坊区块链)上被识别并且具有预定义金额的奖励代币。当客户创建人工品并且客户从漏洞奖赏平台购买期望金额时，客户可以定义该金额。在某些情况下，奖励代币在漏洞奖赏平台之外没有价值。
98.当有道德黑客(例如，由漏洞奖赏公司选择并被提供对客户的环境的特殊访问权限)使用提供的脚本发现和申领人工品时，代币转移到黑客在漏洞奖赏平台上的账户。如本文中所描述的，人工品的位置可被放置在应用、系统和/或网络的敏感区域。因此，获得对人工品的访问提供证据证明被利用的安全漏洞的存在。在某些情况下，代币可用于对黑客进行排名，并允许黑客针对真正的货币奖例来交换代币。
99.如本文更详细地描述的，人工品可以具有多个阶段。例如，每个人工品的第二阶段可以包含另一更大金额的代币。黑客可以在提交额外信息(例如，详细说明用于获得对人工品所在位置的访问的方法的报告)时申领第二阶段。例如，该报告可由漏洞奖赏公司和/或客户审查并验证。批准后，代币可以被释放并自动转移给有道德黑客。漏洞奖赏公司的激励式入侵检测技术的优点例如包括提供一种简单的方法来管理评分，管理由客户向黑客的付款，公司与黑客之间的更少的冲突，因为来自后者的申领无法反驳，等等。用于有道德黑客的激励式入侵检测技术的优点示例包括，当发现人工品时，有道德黑客确定他们将获得公司的付款(或收到某一其他激励)。对客户而言，激励式入侵检测技术的优点示例是他们可以确定黑客的申领是正确的。
100.图10示出了计算系统1000的架构，其中系统1000的组件使用诸如总线的连接1005相互进行电通信。示例性系统1000包括处理单元(cpu或处理器)1010和系统连接1005，该系统连接1005将包括系统存储器1015(例如只读存储器(rom)1020和随机存取存储器(ram)1025)的各种系统组件耦合到处理器1010。系统1000可以包括高速存储器的高速缓存器，该
高速缓存器与处理器1010直接连接、紧邻或集成为处理器1010的一部分。系统1000可以将数据从存储器1015和/或存储设备1030复制到高速缓存器1012以供处理器1010快速访问。这样，高速缓存器可以提供避免处理器1010在等待数据时延迟的性能提升。这些和其它模块可控制或被配置为控制处理器1010来执行各种动作。也可以使用其他系统存储器1015。存储器1015可以包括具有不同性能特性的多个不同类型的存储器。处理器1010可包括任何通用处理器和硬件或软件服务，例如存储在存储设备1030中且被配置为控制处理器1010的服务1 1032、服务21034和服务3 1036、以及其中软件指令被并入实际处理器设计中的专用处理器。处理器1010可以是完全自包含的计算系统，包含多个核或处理器、总线、存储器控制器、高速缓存器等。多核处理器可以是对称的或不对称的。
101.为了使客户能够与计算系统1000交互，输入设备1045可以表示任何数量的输入机构，例如用于语音的麦克风、用于手势或图形输入的触敏屏、键盘、鼠标、运动输入、语音等等。输出设备1035也可以是本领域技术人员已知的许多输出机构中的一个或多个。在一些示例中，多模系统可以使客户能够提供多种类型的输入以与计算系统1000进行通信。通信接口1040通常可以支配和管理客户输入和系统输出。对在任何特定硬件配置上的操作没有限制，因此这里的基本特征可以很容易地在改进的硬件或固件布置被开发时被替换为它们。
102.存储设备1030是非易失性存储器，并且可以是硬盘或其它类型的可以存储计算机可访问的数据的计算机可读介质，例如磁带盒、闪存卡、固态存储器设备、数字多功能盘、盒式磁带、随机存取存储器(ram)1025、只读存储器(rom)1020、以及它们的杂合体。
103.存储设备1030可以包括用于控制处理器1010的服务1032、1034、1036。可以设想到其他硬件或软件模块。存储设备1030可以连接到系统连接1005。一方面，执行特定功能的硬件模块可以包括存储在计算机可读介质中的软件组件以及必要的硬件组件，例如处理器1010、连接1005、输出设备1035等，以执行该功能。
104.如本文所用的，术语“计算机可读介质”包括但不限于，便携式或非便携式的存储设备、光学存储设备、以及能够存储、包含或承载指令和/或数据的各种其它介质。计算机可读介质可包括其中可以存储数据并且不包括载波和/或无线地或通过有线连接传播的暂态电子信号的非暂态介质。非暂态介质的示例可以包括但不限于，磁盘或磁带、诸如压缩盘(cd)或数字多功能盘(dvd)的光学存储介质、闪速存储器，存储器或存储设备。计算机可读介质可以在其上存储代码和/或机器可执行指令，其可以表示过程、函数、子程序、程序、例程、子例程、模块、软件包、类，或指令、数据结构或程序语句的任何组合。代码段可通过传递和/或接收信息、数据、自变量、参数或存储器内容被耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以通过包括存储器共享、消息传递、令牌传递、网络传输等的任何合适方式被传递、转发或传输。
105.在一些实施例中，所述计算机可读存储设备、介质和存储器可以包括电缆或包含比特流的无线信号等。然而，在提到的情况下，非暂态计算机可读存储介质明确排除了诸如能量、载波信号、电磁波和信号本身的介质。
106.在以上描述中提供了具体细节以提供对本文提供的实施例和示例的透彻理解。然而，本领域普通技术人员将理解，可以在没有这些具体细节的情况下实践实施例。为了解释清楚起见，在一些情况下，本技术可以被呈现为包括单独的功能块，所述功能块包括包含设
备、设备组件、以软件实施的方法中的步骤或例程或者硬件和软件的组合的功能块。可以使用除了图中所示和/或本文描述的组件之外的附加组件。例如，电路、系统、网络、过程和其他组件可以以框图形式示出为组件，以免在不必要的细节中混淆实施例。在其他情况下，可以在没有不必要的细节的情况下示出公知的电路、过程、算法、结构和技术以避免混淆实施例。
107.以上可以将各个实施例描述为过程或方法，其被描绘为流程图、流程示图、数据流图、结构图或框图。尽管流程图可以将操作描述为顺序过程，但许多操作可以并行或并发执行。另外，可以重新安排操作的顺序。过程在其操作完成时终止，但可能具有图中未包含的其他步骤。过程可以对应方法、函数、程序、例程、子程序等。当过程对应函数时，它的终止可以对应该函数返回到调用函数或主函数。
108.可以使用存储或以其他方式可从计算机可读介质获得的计算机可执行指令来实现根据上述实施例的过程和方法。这样的指令可以包括例如导致或以其他方式配置通用计算机、专用计算机或处理设备以执行特定功能或功能组的指令和数据。使用的计算机资源的部分可以通过网络访问。计算机可执行指令可以是，例如，二进制代码、诸如汇编语言的中间格式指令、固件、源代码等。可用于存储指令、使用的信息和/或在根据所描述的示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、设有非易失性存储器的usb设备、网络存储设备、等等。
109.实现根据这些公开的过程和方法的设备可以包括硬件、软件、固件、中间件、微代码、硬件描述语言或其任何组合，并且可以采用各种形式因素中的任一种。当以软件、固件、中间件、或微码实现时，执行必要的任务的程序代码或代码段(例如，计算机程序产品)可以被存储在计算机可读或机器可读介质。处理器可以执行必要的任务。形式因素的典型示例包括膝上型计算机、智能手机、移动电话、平板设备或其他小尺寸个人计算机、个人数字助理、机架式设备、独立设备、等等。本文描述的功能也可以实施在外围设备或附加卡中。作为进一步的示例，这样的功能也可以在不同芯片或在单个设备中执行的不同过程之间的电路板上实现。
110.指令、用于传送此类指令的介质、用于执行它们的计算资源以及用于支持此类计算资源的其他结构是用于提供本公开中描述的功能的示例手段。
111.在前面的描述中，本技术的各方面参考其具体实施例被描述了，但是，本领域技术人员将认识到，本技术并不限于此。因此，虽然本技术的示例性实施例已在本文中详细地描述了，但是应该理解的是，本公开中的概念可以以其它方式不同地实施和使用，并且所附权利要求旨在解释为包括这些变化，除非受现有技术的限制。上述应用的各种特征和各方面可以单独或联合使用。另外，在不脱离本说明书的更广泛的精神和范围的情况下，实施例可以在超出本文描述的环境和应用的任何数量的环境和应用中使用。因此，说明书和附图应被认为是说明性的而不是限制性的。为了说明的目的，方法以特定的顺序被描述。应当理解，在替代实施例中，该方法可以以与所描述的顺序不同的顺序进行。
112.本领域普通技术人员将理解，本文使用的小于(“《”)和大于(“》”)符号或术语可以被替换为小于或等于(“≤”)和大于或等于(“≥”)符号，而没有脱离本描述的范围。
113.在组件被描述为“被配置为”执行某些操作的情况下，例如，这种配置可以通过设计电子电路或其他硬件执行操作来实现，通过对可编程电子电路(例如，微处理器，或其他
合适的电子电路)进行编程以执行操作来实现，或通过其任何组合来实现。
114.短语“耦合到”是指任何组件直接或间接物理连接到另一个组件，和/或任何组件与另一个组件直接或间接通信(例如，通过有线或无线连接和/或其他合适的通信接口连接到另一个组件)。
115.记载一个集合中的“至少一个”或“一个或多个”的声明语言或其他语言表示该集合的一个成员或该集合的多个成员满足该声明。例如，记载“a和b中的至少一个”的声明语言是指a、b或a和b。
116.结合本文公开的实施例描述的各种说明性逻辑块、模块、电路和算法步骤可以实现为电子硬件、计算机软件、固件或其组合。为了清楚地说明硬件和软件的这种可互换性，各种说明性组件、块、模块、电路和步骤已经在上面大体上根据它们的功能进行了描述。这种功能是作为硬件还是软件来实现的，取决于特定的应用和对整个系统施加的设计约束。技术人员可以针对每个特定应用以不同方式实现所描述的功能，但是这种实现决定不应被解释为导致偏离本技术的范围。
117.本文描述的技术还可以用电子硬件、计算机软件、固件、或其任何组合实现。此类技术可以在多种设备中的任一种中实现，例如通用计算机、无线通信设备手持机或具有多种用途的集成电路设备，其包括在无线通信设备手持机和其他设备中的应用。描述为模块或组件的任何特征可在集成逻辑设备中一起实施或单独实施为分立但可互操作的逻辑设备。如果以软件实施，所述技术可至少部分地由计算机可读数据存储介质来实现，其包括包含在被执行时执行上述方法中的一个或多个的指令的程序代码。所述计算机可读数据存储介质可形成计算机程序产品的一部分，其可包括封装材料。该计算机可读介质可以包括存储器或数据存储介质，例如，诸如同步动态随机存取存储器(sdram)的随机存取存储器(ram)、只读存储器(rom)、非易失性随机存取存储器(nvram)、电可擦除可编程只读存储器(eeprom)、闪速存储器、磁性或光学数据存储介质，等等。另外或替代地，所述技术可以至少部分地通过计算机可读通信介质来实现，该计算机可读通信介质以指令或数据结构(例如传播的信号或波)的形式承载或传送程序代码并且可以由计算机访问、读取和/或执行。
118.程序代码可以由处理器执行，处理器可以包括一个或多个处理器，诸如一个或多个数字信号处理器(dsp)、通用微处理器、专用集成电路(asic)、现场可编程逻辑阵列(fpga)、或其它等效集成或离散逻辑电路。这样的处理器可以被配置为执行本公开中所描述的任何技术。通用处理器可以是微处理器；但是，在替代方案中，处理器可以是任何常规的处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合，例如，dsp和微处理器的组合，多个微处理器，一个或多个微处理器结合dsp核，或任何其它这样的配置。因此，如本文所用的，术语“处理器”可指任何前述结构、前述结构的任何组合、或适用于实现本文所述技术的任何其他结构或装置。另外，在一些方面中，本文描述的功能可以在专用软件模块或硬件模块内提供。
119.示例1：一种用于部署一个或多个智能合约的方法。所述方法包括：在数字环境中配置储存库；识别通过一个或多个设备访问所述储存库时可用的资产；生成与部署在所述储存库中的所述资产相关联的智能合约，该智能合约基于所述资产中的元数据与所述资产相关联；在分布式分类账系统上部署所述智能合约；以及基于对所述储存库的访问获取所述元数据的至少一部分，以发起所述智能合约来提供与所述资产相关联的激励。
120.示例2：根据示例1的方法，还包括向所述智能合约提供数据以验证所述激励的提供。
121.示例3：根据示例1或2中的任一项的方法，其中，所述元数据的至少一部分包括发起所述智能合约来提供所述激励的脚本。
122.示例4：根据示例1至3中的任一项的方法，其中，所述元数据的至少一部分是从所述一个或多个设备中的设备接收的。
123.示例5：根据示例1至4中的任一项的方法，还包括基于正在发起的所述智能合约生成事件。
124.示例6：根据示例1至5中的任一项的方法，其中，触发所述智能合约包括将所述激励的提供写入所述分布式分类账系统。
125.示例7：根据示例1至6中的任一项的方法，其中，所述元数据包括随机数、标识符、地址和代币金额。
126.示例8：根据示例1至7中的任一项的方法，其中，所述元数据被散列并用私钥进行签名。
127.示例9：根据示例1至8中的任一项的方法，其中，所述资产随时间改变。
128.示例10：一种计算机程序产品，被有形地实施在非暂态机器可读存储介质中，所述计算机程序产品包含当由一个或多个处理器执行时使该一个或多个处理器执行包括以下的操作的指令：在数字环境中配置储存库；识别通过一个或多个设备访问所述储存库时可用的资产；生成与部署在所述储存库中的所述资产相关联的智能合约，该智能合约基于所述资产中的元数据与所述资产相关联；在分布式分类账系统上部署所述智能合约；以及基于对所述储存库的访问获取所述元数据的至少一部分，以发起所述智能合约来提供与所述资产相关联的激励。
129.示例11：根据示例10的计算机程序产品，还包括向所述智能合约提供数据以验证所述激励的提供。
130.示例12：根据示例10或11中的任一项的计算机程序产品，其中，所述元数据的至少一部分包括发起所述智能合约来提供所述激励的脚本。
131.示例13：根据示例10至12中的任一项的计算机程序产品，其中，所述元数据的至少一部分是从所述一个或多个设备中的设备接收的。
132.示例14：根据示例10至13中的任一项的计算机程序产品，还包括基于正在发起的所述智能合约生成事件。
133.示例15：根据示例10至14中的任一项的计算机程序产品，其中，触发所述智能合约包括将所述激励的提供写入所述分布式分类账系统。
134.示例16：根据示例10至15中的任一项的计算机程序产品，其中，所述元数据包括随机数、标识符、地址和代币金额。
135.示例17：根据示例10至16中的任一项的计算机程序产品，其中，所述元数据被散列并用私钥进行签名。
136.示例18：根据示例10至17中的任一项的计算机程序产品，其中，所述资产随时间改变。
137.示例19：一种系统，包括一个或多个处理器和一个或多个非暂态机器可读存储介
质，所述一个或多个非暂态机器可读存储介质包含当由所述一个或多个处理器执行时使所述一个或多个处理器执行包括以下的操作的指令：在数字环境中配置储存库；识别通过一个或多个设备访问所述储存库时可用的资产；生成与部署在所述储存库中的所述资产相关联的智能合约，该智能合约基于所述资产中的元数据与所述资产相关联；在分布式分类账系统上部署所述智能合约；以及基于对所述储存库的访问获取所述元数据的至少一部分，以发起所述智能合约来提供与所述资产相关联的激励。
138.示例20：根据示例19的系统，还包括向所述智能合约提供数据以验证所述激励的提供。
139.示例21：根据示例19或20中的任一项的系统，其中，所述元数据的至少一部分包括发起所述智能合约来提供所述激励的脚本。
140.示例22：根据示例19至21中的任一项的系统，其中，所述元数据的至少一部分是从所述一个或多个设备中的设备接收的。
141.示例23：根据示例19至22中的任一项的系统，还包括基于正在发起的所述智能合约生成事件。
142.示例24：根据示例19至23中的任一项的系统，其中，触发所述智能合约包括将所述激励的提供写入所述分布式分类账系统。
143.示例25：根据示例19至24中的任一项的系统，其中，所述元数据包括随机数、标识符、地址和代币金额。
144.示例26：根据示例19至25中的任一项的系统，其中，所述元数据被散列并用私钥进行签名。
145.示例27：根据示例19至26中的任一项的系统，其中，所述资产随时间改变。