基于区块链的网络安全事件溯源追踪方法、系统技术方案

本发明专利技术提供了一种基于区块链的网络安全事件溯源追踪方法、系统，该方法包括：S101，获取网络安全设备的攻击行为日志；S201，读取攻击行为日志，把日志数据上传至追踪溯源系统；S301，在追踪溯源系统中分析日志数据，把日志详情格式化上链并提取交易请求，所述交易请求包括攻击详情的数据信息；S401，追踪溯源系统发送交易请求调用与区块链网络账本关联的智能合约层，所述交易请求与智能合约层绑定完成相应的业务逻辑，根据逻辑运算溯源追踪攻击者相关信息。本方案在减少安全事件排查追踪溯源工作量的同时，攻击行为日志数据的获取、提取、格式化上链、智能合约运算数据很难被篡改，过程公开透明，公信力足。公信力足。公信力足。

【技术实现步骤摘要】
基于区块链的网络安全事件溯源追踪方法、系统


[0001]本专利技术涉及区块链
，尤其涉及一种基于区块链的网络安全事件溯源追踪方法、系统。

技术介绍

[0002]区块链技术是近年兴起的一项新兴分布式技术，核心技术点包括共识算法、点对点传输、分布式数据库等。整条区块链由大量节点组成，每个节点有一个完整的账本即数据库。向区块链节点写入数据需要通过共识算法，确认整条区块链达成共识后才可以写入。区块链的数据通过链式结构存储，即上一个区块与下一个区块之间互相关联。
[0003]随着信息网络资产的增加，网络与信息系统的隐患与漏洞以及面临的攻击越来越多，很多企业都部署了的网络安全设备及系统进行隐患漏洞的检测及外部攻击的监控。但是发生网络安全事件后，网络与信息系统存在技术的缺陷和不足：（1）网络安全管理人员需要查看所有安全设备的日志，再通过筛选出攻击行为日志进行分析，通过分析查找证据，安全事件排查的过程存在追踪过程工作量大；（2）网络安全设备只能记录发起攻击行为的IP地址，无法分辨是否是“傀儡机”发起的攻击，无法做到进一步追踪；（3）网络安全设备记录的信息不公开透明，收集的证据公信力不足；（4）网络安全设备可能自身存在漏洞，安全日志信息容易被篡改。
[0004]有鉴于此，需要提出一种新的技术方案来解决上述技术问题。

技术实现思路

[0005]本专利技术的目的在于提供一种基于区块链的网络安全事件溯源追踪方法、系统，旨在解决网络与信息系统的安全事件查证与追踪溯源的技术问题。
[0006]为实现上述目的，本专利技术采用以下技术手段：第一方面，本专利技术提供一种基于区块链的网络安全事件溯源追踪方法，包括：S101，获取网络安全设备的攻击行为日志；S201，读取攻击行为日志，把日志数据上传至追踪溯源系统；S301，在追踪溯源系统中分析日志数据，把日志详情格式化上链并提取交易请求，所述交易请求包括攻击详情的数据信息；S401，追踪溯源系统发送交易请求调用与区块链网络账本关联的智能合约层，所述交易请求与智能合约层绑定完成相应的业务逻辑，根据逻辑运算溯源追踪攻击者相关信息。
[0007]可选地，所述S301中提取交易请求包括攻击时间、攻击IP地址、攻击类型、恶意文件、受攻击详情、攻击域名中的至少一种；通过提取的攻击类型分析攻击详情的交易请求包。
[0008]可选地，所述S301中分析日志数据还包括：日志数据的域名/IP地址分析、入侵日
志监测、全流量分析、同源分析、攻击模型分析中至少一种方法进行追踪溯源；通过日志数据的域名whois信息关联攻击者信息，所述攻击者信息包括注册名、注册邮箱、注册地址、电话、注册时间、服务商中的至少一种。
[0009]可选地，所述S301的把日志详情格式化上链并提取交易请求包括：提取攻击来源IP地址、目标IP地址、攻击类型、安全风险等级的信息并将其格式化；把格式化后的内容生成哈希数据H（m）加密，将哈希数据传至智能合约层。
[0010]可选地，所述S101包括：在网关的总出口设置网络安全设备，通过分析监测网络数据判断网络是否有攻击行为；若是，则把攻击来源和攻击目标的相关信息记录于网络攻击行为日志。
[0011]可选地，所述S201包括：网络安全设备对接网络攻击行为日志提取接口，在日志提取接口读取攻击行为日志。
[0012]可选地，所述S401之前还包括：在智能合约层中部署网络攻击行为监管规则和业务逻辑的智能合约，所述智能合约可由追踪溯源系统通过API调用；建立与智能合约层互联互通的区块链网络账本，所述区块链网络账本由网络安全设备攻击行为日志和网络安全监管部门共同组成的联盟链，各网络安全事件追踪溯源参与方和网络安全监管部门作为区块链网络节点共同维护区块链网络账本。
[0013]第二方面，本专利技术提供一种基于区块链的网络安全事件溯源追踪系统，包括：获取模块，用于获取网络安全设备的攻击行为日志；读取模块，用于读取攻击行为日志，把日志数据上传至追踪溯源系统；分析模块，用于在追踪溯源系统中分析日志数据，把日志详情格式化上链并提取交易请求，所述交易请求包括攻击详情的数据信息；运算模块，用于追踪溯源系统发送交易请求调用与区块链网络账本关联的智能合约层，所述交易请求与智能合约层绑定完成相应的业务逻辑，根据逻辑运算溯源追踪攻击者相关信息。
[0014]第三方面，本专利技术提供一种电子设备，所述电子设备包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行前述的溯源追踪方法。
[0015]第四方面，本专利技术提供一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质存储计算机指令，该计算机指令用于使该计算机执行前述的溯源追踪方法。
[0016]相比于现有技术，本专利技术带来以下技术效果：本专利技术的一种基于区块链的网络安全事件溯源追踪方法、系统，用于解决网各与信息系统的安全事件查证追踪溯源的问题。技术效果包括：（1）网络安全管理人员通过网络直接获取攻击行为日志，不需要查看所有安全设备的日志，减少分析查找证据以及追踪溯源的工作量；（2）由于区块链控制大量节点存在一定困难，区块链具有不可篡改、可追溯的特
性，适用于信息安全事件查证与追踪溯源。攻击行为日志加密上链，日志信息由本地保存至智能合约层运算，攻击行为日志信息难被篡改，保证追踪溯源数据源头的安全性。在减少安全事件排查追踪溯源过程的工作量的同时，攻击行为日志数据的获取、提取、格式化上链、智能合约运算的过程公开透明，公信力足。
附图说明
[0017]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0018]图1示出了本专利技术的追踪溯源方法的流程示意图；图2示出了本专利技术的追踪溯源系统的示意图。
具体实施方式
[0019]下面详细描述本专利技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本专利技术，而不能理解为对本专利技术的限制。
[0020]此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本专利技术的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
[0021]请参照图1，本专利技术提供了一种基于区块链的网络安全事件溯源追踪方法，包括：S101，获取网络安全设备的攻击行为日志；网络安全为信息技术安全，在于对抗网络系统和应用程序的风险。保护我们使用的设备，智能手机、笔记本电本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于区块链的网络安全事件溯源追踪方法，其特征在于，包括：S101，获取网络安全设备的攻击行为日志；S201，读取攻击行为日志，把日志数据上传至追踪溯源系统；S301，在追踪溯源系统中分析日志数据，把日志详情格式化上链并提取交易请求，所述交易请求包括攻击详情的数据信息；S401，追踪溯源系统发送交易请求调用与区块链网络账本关联的智能合约层，所述交易请求与智能合约层绑定完成相应的业务逻辑，根据逻辑运算溯源追踪攻击者相关信息。2.根据权利要求1所述的方法，其特征在于，所述S301中提取交易请求包括攻击时间、攻击IP地址、攻击类型、恶意文件、受攻击详情、攻击域名中的至少一种；通过提取的攻击类型分析攻击详情的交易请求包。3.根据权利要求1所述的方法，其特征在于，所述S301中分析日志数据还包括：日志数据的域名/IP地址分析、入侵日志监测、全流量分析、同源分析、攻击模型分析中至少一种方法进行追踪溯源；通过日志数据的域名whois信息关联攻击者信息，所述攻击者信息包括注册名、注册邮箱、注册地址、电话、注册时间、服务商中的至少一种。4.根据权利要求1所述的方法，其特征在于，所述S301的把日志详情格式化上链并提取交易请求包括：提取攻击来源IP地址、目标IP地址、攻击类型、安全风险等级的信息并将其格式化；把格式化后的内容生成哈希数据H（m）加密，将哈希数据传至智能合约层。5.根据权利要求1所述的方法，其特征在于，所述S101包括：在网关的总出口设置网络安全设备，通过分析监测网络数据判断网络是否有攻击行为；若是，则把攻击来源和攻击目标的相关信息记录于网络攻击行为日志。6.根据权利要求1所述的方法，其特征在于，所述S20...

【专利技术属性】
技术研发人员：杨小剑，黄恒，周积，
申请(专利权)人：广东长盈科技股份有限公司，
类型：发明
国别省市：