一种基于区块链技术的网络安全入侵检测系统的制作方法

1.本发明涉及区块链技术领域，尤其涉及一种基于区块链技术的网络安全入侵检测系统。


背景技术：

2.网络入侵检测系统(network intrusion detection system，nids)，是指对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为，进行检测的软件与硬件的组合；随着计算机技术的不断发展以及物联网技术的广泛使用,大量的物理设备接入网络,使得整个网络容易受到各种各样的安全威胁，近些年网络攻击无论是在规模还是在数量上都呈现出急剧增长的趋势，为了有效缓解这一上升趋势，保护好网络安全，入侵检测系统已经成为众多安全组织的必备工具；但是，当前使用率比较高的入侵网络系统基本上都是建立在规则之上的系统，其虽然也可以很好地保障网络安全，但存在一定局限性；例如cn113254925a公开了一种基于pca与svm的网络入侵检测系统，该发明虽然提高了入侵检测效率，但其难以检测到新的入侵，并且无法溯源入侵来源，从而无法及时进行针对性的网络入侵阻隔以保护网络安全；区块链技术是一种由多方共同维护，使用密码学保证传输和访问安全，能够实现数据一致存储、无法篡改、无法抵赖的技术体系，通过区块链技术进行网络数据的存储，使得存储的数据可追踪、不可篡改，从而保证了存储数据的可靠可信性；因此，如何结合区块链技术以实现对网络入侵行为的识别和溯源，以及时进行针对性入侵阻隔已成为当下研究重点；为此，我们提出一种基于区块链技术的网络安全入侵检测系统。


技术实现要素：

3.本发明的目的是为了解决现有技术中存在的缺陷，而提出的一种基于区块链技术的网络安全入侵检测系统。
4.为了实现上述目的，本发明采用了如下技术方案：
5.一种基于区块链技术的网络安全入侵检测系统，包括用户注册模块、信息处理模块、信息上链模块、区块链存储模块、数据采集模块、区块更新模块、入侵检测模块、入侵溯源模块和入侵阻隔模块；
6.所述用户注册模块用于节点主机通过输入节点身份信息的方式进行身份注册；
7.所述信息处理模块用于对所述节点身份信息进行预处理，所述预处理包括格式统一和数据过滤；
8.所述信息上链模块用于利用哈希算法对预处理后的所述节点身份信息进行加密处理，形成节点初始区块，并上传至所述区块链存储模块；
9.所述数据采集模块用于采集主机系统日志和网络数据包，并发送至所述信息处理模块进行预处理；
10.所述区块更新模块用于获取所述预处理后的主机系统日志和网络数据包，并根据
所述初始区块进行区块更新，形成节点区块链；
11.所述区块链存储模块用于存储初始区块以及不断更新的节点区块链；
12.所述入侵检测模块用于对所述主机系统日志和网络数据包进行实时检测，判断其是否存在入侵行为，得到入侵检测结果；
13.所述入侵溯源模块用于根据所述入侵检测结果进行溯源处理：若所述入侵检测结果显示存在入侵行为，则通过查找对应节点区块链获取其入侵节点信息；
14.所述入侵阻隔模块用于根据所述入侵节点信息对相应节点主机进行网络阻断处理，以保障网络通信安全。
15.进一步地，所述节点身份信息包括节点ip地址、节点mac地址、节点端口号和节点地理位置。
16.进一步地，所述信息处理模块还包括节点划分模块，所述节点划分模块用于将所述主机系统日志和网络数据包按来源进行对应主机划分，以保证后续节点区块链所存储的信息与对应节点主机一一对应。
17.进一步地，所述节点区块链中的每个区块包括区块头和区块体，所述区块头包括区块time时间戳、nonce随机数、前区块hash值、默克尔树根和当前区块hash值，所述区块体包括节点身份信息、主机系统日志和网络数据包。
18.进一步地，所述入侵检测模块包括入侵检测组件、聚类比对单元和检测处理单元；所述入侵检测组件设置于各个节点主机内部，用于利用不同节点主机的特征库进行分布式协同入侵检测，得到分布式协同入侵检测结果，所述分布式协同入侵检测结果包括正常、异常和未知状态；所述聚类比对单元用于将处于未知状态的主机系统日志和网络数据包转换为特征向量，并将其与病毒特征进行相似性聚类分析，若满足相似度阈值，则判断为入侵行为；所述检测处理单元用于将入侵检测组件和聚类比对单元识别的入侵行为反馈给入侵溯源模块，同时将入侵行为输送至区块链存储模块进行存储，形成入侵特征区块链。
19.进一步地，所述入侵溯源模块还包括区块链解密单元，其根据显示存在入侵行为的入侵检测结果查找对应节点区块链并对其进行哈希解密，以获取入侵节点信息。
20.相比于现有技术，本发明的有益效果在于：
21.本技术提出的一种基于区块链技术的网络安全入侵检测系统，其利用区块链技术中数据可追踪且数据不可篡改的特点对节点主机的节点身份信息、主机系统日志和网络数据包进行加密存储，从而有利于溯源入侵来源，进而有利于进行针对性的网络入侵阻隔，以保障网络通信安全；此外，本技术基于多节点主机进行分布式协同入侵检测，通过利用不同节点主机的不同特征库，从而有利于大大提高入侵检测效率，进而降低漏报率，并且本技术通过相似性聚类分析针对未知状态的数据进行识别，有利于提高入侵检测准确率，降低入侵检测的误报率。
附图说明
22.附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。
23.图1为本发明提出的一种基于区块链技术的网络安全入侵检测系统的整体结构示意图。
具体实施方式
24.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
25.在本发明的描述中，需要理解的是，术语“上”、“下”、“前”、“后”、“左”、“右”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
26.参照图1，本实施例公开了一种基于区块链技术的网络安全入侵检测系统，包括用户注册模块、信息处理模块、信息上链模块、区块链存储模块、数据采集模块、区块更新模块、入侵检测模块、入侵溯源模块和入侵阻隔模块；
27.用户注册模块用于节点主机通过输入节点身份信息的方式进行身份注册；
28.具体的，该节点身份信息包括但不限于节点ip地址、节点mac地址、节点端口号和节点地理位置。
29.信息处理模块用于对节点身份信息进行预处理，预处理包括格式统一和数据过滤；
30.具体的，该信息处理模块还包括节点划分模块，节点划分模块用于将主机系统日志和网络数据包按来源进行对应主机划分，以保证后续节点区块链所存储的信息与对应节点主机一一对应。
31.信息上链模块用于利用哈希算法对预处理后的节点身份信息进行加密处理，形成节点初始区块，并上传至区块链存储模块；
32.数据采集模块用于采集主机系统日志和网络数据包，并发送至信息处理模块进行预处理；
33.区块更新模块用于获取预处理后的主机系统日志和网络数据包，并根据初始区块进行区块更新，形成节点区块链；
34.具体的，该节点区块链中的每个区块包括区块头和区块体，区块头包括区块time时间戳、nonce随机数、前区块hash值、默克尔树根和当前区块hash值，区块体包括节点身份信息、主机系统日志和网络数据包。
35.区块链存储模块用于存储初始区块以及不断更新的节点区块链；
36.入侵检测模块用于对主机系统日志和网络数据包进行实时检测，判断其是否存在入侵行为，得到入侵检测结果；
37.具体的，该入侵溯源模块还包括区块链解密单元，其根据显示存在入侵行为的入侵检测结果查找对应节点区块链并对其进行哈希解密，以获取入侵节点信息。
38.入侵溯源模块用于根据入侵检测结果进行溯源处理：若入侵检测结果显示存在入侵行为，则通过查找对应节点区块链获取其入侵节点信息；
39.入侵阻隔模块用于根据入侵节点信息对相应节点主机进行网络阻断处理，以保障网络通信安全。
40.本实施例公开了一种基于区块链技术的网络安全入侵检测系统，除与上述实施例相同结构外，本实施例将具体介绍入侵检测模块的运行过程；
41.信息上链模块利用哈希算法对预处理后的节点身份信息和主机系统日志和网络
数据包进行加密处理，形成节点区块链，并上传至区块链存储模块；
42.入侵检测模块对所述主机系统日志和网络数据包进行实时检测，判断其是否存在入侵行为，得到入侵检测结果；
43.具体的，该入侵检测模块包括入侵检测组件、聚类比对单元和检测处理单元；该入侵检测组件设置于各个节点主机内部，用于利用不同节点主机的特征库进行分布式协同入侵检测，得到分布式协同入侵检测结果，分布式协同入侵检测结果包括正常、异常和未知状态；由于不同节点主机的特征库存在不同，因而基于联合各个节点主机的分布式协同入侵检测大大提高了入侵检测效率，有利于降低漏报率；并且对于无法识别的未知状态，通过聚类比对单元将处于未知状态的主机系统日志和网络数据包转换为特征向量，并将其与病毒特征进行相似性聚类分析，若满足相似度阈值，则判断为入侵行为；通过相似性聚类分析大大降低入侵检测的误报率；随后检测处理单元将入侵检测组件和聚类比对单元识别的入侵行为反馈给入侵溯源模块，同时将入侵行为输送至区块链存储模块进行存储，形成入侵特征区块链。
44.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。