本发明专利技术涉及一种用于识别对计算机系统或计算机网络的攻击的以计算机实现的方法,该方法具有步骤:将用于计算机系统或计算机网络的分析装置作为智能合约而插入到具有多个彼此链接的区块的区块链中;针所述分析装置设定参数;基于所述参数来执行所述分析装置;和将所述分析结果添加到所述区块链中。所述参数其中的至少一部分对应于所述计算机系统或所述计算机网络的行为并且具有所述计算机系统或计算机网络的日志文件。算机网络的日志文件。算机网络的日志文件。
【技术实现步骤摘要】
【国外来华专利技术】用于识别对计算机系统或计算机网络的攻击的区块链系统和以计算机实现的方法
[0001]本专利技术涉及一种用于识别对计算机系统或计算机网络的攻击的区块链系统和以计算机实现的方法。
技术介绍
[0002]攻击识别系统或入侵检测系统(Intrusion Detection System)(IDS)是一种对计算机系统或计算机网络主动进行监控以识别可能攻击的系统。
[0003]为了在IDS中的攻击识别原则上使用如下两种技术:基于特征的(英文:“signature
‑
based”)攻击识别利用数据库中所存储的攻击模式(“Angriffssignaturen”(攻击特征))而工作,以便监控激活的系统。通过使IDS将来自自身数据库的攻击标志与当前系统行为进行比较而识别出攻击。如果所存储的特征与当前系统行为一致,那么IDS则由此推断出攻击。
[0004]基于异常的IDS尝试通过在系统行为中识别出变化而探测出攻击。这具体意味着:在第一步骤中,IDS学习/分析计算机系统的正常行为,或者换言之,值得信任的第三方机构学习该计算机系统的正常行为,以便在第二步骤中将系统的当前行为与之前所学到的正常行为进行比较。如果当前行为与之前学到的正常行为有偏差,则这接下来可以被视为如下异常,所述异常也许是针对对于计算机系统的攻击的象征。关于系统是否与其正常行为有偏差的决策可借助于统计学方法或机器学习算法(英文:“Machine Learning”)而实现。
[0005]基于主机的入侵检测系统(HIDS)是一种IDS,该IDS被安装在计算机系统上并且收集关于该计算机系统的运行状态的信息,以便借助于所述信息而识别出攻击。基于网络的入侵检测系统(NIDS)则尝试通过对网络通信的分析而发现攻击。
[0006]为了能够实现这两种IDS(也即HIDS、NIDS),必须首先创建日志文件或者必须首先创建当前系统行为的日志消息,其中所述日志文件或所述日志消息包含该系统上的进程的所有活动或特定的活动的自动进行的记录。日志消息记录系统行为、诸如系统调用(英文:“sytem calls”)、数据访问、网络包、通信协议、用户登入、失败的调用、激活的网络连接、外部传感器和执行器的输入值等等。所述日志消息(或所述日志文件)接下来必须被IDS分析和评价。日志消息分析的结果显示出:对于该系统是否曾经有/是否有攻击者是活跃的。
[0007]然而,已获得对相关计算机系统或相对应的IDS的控制的攻击者可以对日志消息的分析进行操纵。换言之,尽管日志消息已经包含有对攻击者的提示,由IDS已进行的所述日志消息分析的结果却总是显示出系统的正常运行状态,这是因为攻击者已经控制了IDS并且与此相对应地已经篡改了该结果。
[0008]为了避免这一点,可以在中央机构和值得信任的机构中执行日志消息分析:其中所述机构提供所谓的“远程认证服务”。在安全机构上执行的日志消息分析在经确保的环境中以经提高的安全措施被运行。
[0009]然而,在这种中央机构中存在如下问题:由整个生态系统将该机构视为中央安全
节点,所述中央安全节点可能导致所谓的“单点故障(single Point of Failure)”。其理解为如下技术系统组成部分,所述技术系统组成部分的失效引起整体系统的失效。
[0010]通常存在如下可能性:在稍后时间点想要分析特定组件的过去的分析/日志消息。当组件产生错误情况并且在此使得相应的运行者想要鉴于可能的异常方面而检查过去的分析过程/日志消息时,这可能是该情况。在此情况下,被监控的系统不仅仅在运行时间必须是整体的或完整的而且也必须确保较早分析的完整性。这导致复杂的并且高成本的中央分析机构,在所述中央分析机构情况下还是存在有“单点故障”的风险。
[0011]因为中央机构通常针对多个客户执行日志消息分析,该系统必须在所述中央机构情况下通过冗余机制而保证非常高的可用运行时间(英文:“Uptime(正常运行时间)”)。这也导致了:中央分析机构可能是复杂且高成本的。
[0012]中央机构的高成本累积在运营商侧,这也可能会由于没有经济吸引力而摧毁相应的商业。
[0013]此外,这种系统在中央机构中通常是复杂的,因为必须同时服务于多个客户。
技术实现思路
[0014]因此,本专利技术所基于的任务是:创建一种用于识别对计算机系统或计算机网络的攻击的以计算机实现的方法、系统、计算机程序和计算机可读介质,其以简单且有经济吸引力的方式提高关于识别对计算机系统或计算机网络的攻击方面的安全级别。
[0015]该任务根据本专利技术通过在独立权利要求中所说明的特征而得以解决。有利的扩展方案从从属权利要求中得出。
[0016]区块链技术(英文:“Blockchains”)或“分布式账本”当前是一种集中探讨的技术,这种技术能够尤其是实现为分布式数据库系统。除了用于分散支付系统的应用(例如比特币)之外,在金融工业中开发了新的应用可能性。尤其是,在企业之间的交易可以由此在没有代理或结算点的情况下以防操纵保护的方式被实现。这实现了在没有值得信任的代理的情况下的新商业模式,这减少了交易成本并且能够灵活地提供新形的数字服务,而无需为此特别设立的基础设施以及设立信任关系。由区块链保护的交易数据集(或者简称为交易)包括例如程序代码,所述程序代码也可称为所谓的“智能合约”。
[0017]“智能合约”在本专利技术的上下文中可以例如理解为可执行的程序代码。该智能合约优选地被存储在分布式数据库系统(例如区块链)的交易中,例如存储在分布式数据库系统的数据块中。针对智能合约的两个简单示例如下:如果来自地址y的总和x到达,则执行z;并且如果来自地址z的总和y>2*x到达,则发送2*x到v。
[0018]智能合约通常通过挖矿节点而被执行。“挖矿节点(Mining Nodes)”理解为执行智能合约并且尝试将执行结果作为新的区块而存储在区块链中的区块链参与者。挖矿节点只有在实现了在区块链中添加新的区块的情况下才会针对执行智能合约而被给予奖励和报酬。为了实现这一点,挖矿节点必须解开密码谜语,而这通常是计算密集型的任务。
[0019]根据第一方面,本专利技术涉及一种用于识别对计算机系统或计算机网络的攻击的以计算机实现的方法,其包括如下步骤:将用于计算机系统或计算机网络的分析装置作为智能合约而插入到具有多个彼此链接的区块的区块链中;针对分析装置设定参数,其中参数的至少一部分相应于计算机系统或计算机网络的行为并且尤其是具有该计算机系统或计
算机网络的日志文件;基于这些参数而执行该分析装置;和将该分析结果添加到区块链中。
[0020]根据本专利技术,迄今所使用的中央分析机构被基于区块链的分散式架构取代。由此可以通过智能合约而分析日志消息或日志文件(所述日志文件也可以由仅一个单独的日志消息所组成),所述日志消息或日志文件例如是由IDS和/或相对应的计算机系统和/或计算机网络所生成的。通过攻击者而对日志消息分析结果进行操纵的风险根据本专利技术而得以排除。这本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.用于识别对计算机系统或计算机网络的攻击的以计算机实现的方法,所述方法具有如下步骤:将用于所述计算机系统或计算机网络的分析装置(2)作为智能合约(2)而插入(S10)到具有多个彼此链接的区块(n
‑
2、n
‑
1、n、n+1、n+2)的区块链(50)中;针对所述分析装置(2)设定(S20)参数,其中所述参数其中的至少一部分对应于所述计算机系统或所述计算机网络的行为并且尤其是具有所述计算机系统或所述计算机网络的日志文件(3);基于所述参数而执行(S30)所述分析装置(2);和将所述分析结果添加(S40)到所述区块链(50)中。2.根据权利要求1所述的方法,所述方法具有其他步骤:将用于所述分析装置(2)的激活装置(6)插入到所述区块链(50)中,其中所述激活装置(6)设定至少一个针对执行所述分析装置(2)的前提条件。3.根据权利要求2所述的方法,其中通过所述激活装置(6)而设定在所述分析装置(2)的两次相继进行的执行之间的时间间隔(6);和/或其中通过所述激活装置(6)而设定针对执行所述分析装置(2)的数据单位;和/或其中通过所述激活装置(6)而将所述区块链(50)之外的事件设定作为针对执行所述分析装置(2)的触发器。4.根据上述权利要求其中任一项所述的方法,其中所述分析装置(2)的执行通过所述区块链(50)的挖矿节点(32)或通过所述分析装置(2)自身来进行。5.根据权利要求4所述的方法,其中所述方法具有其他步骤:针对用于执行所述分析装置(2)的所述区块链(50)的所述挖矿节点(32)提供具有预给定奖励值的奖励装置;并且如果要执行所述分析装置(2)的所述挖矿节点(32)的数目小于预给定值,则提高所述预给定奖励值。6.根据上述权利要求其中任一项所述的方法,其中所述方法具有其他步骤:将针对所述分析装置(2)的机器学习模型(4)插入到所述区块链(50)中。7.根据上述权利要求其中任一项所述的方法,其中所述挖矿节点(32)其中的在其余挖矿节点(32)之前解决了与所述分析结果有关的计算密集型任务的挖矿节点将由所述挖矿节点(32)所得出的分析结果添加到所述区块链(50)中。8.根据权利要求7所述的方法,其中所述其余挖矿节点(32)检验所得出的所述...
【专利技术属性】
技术研发人员:T,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。