基于区块链和边缘计算系统的APT攻击与防御方法

本发明涉及区块链网络安全领域，具体是基于区块链和边缘计算系统的apt攻击与防御方法。

背景技术：

1、区块链在近十年的高速发展中产生了公有链、私有链和联盟链等不同类型，它们可以根据不同的需求应用到各类组织中。然而，在全球范围内，大型组织频繁成为apt组织的攻击目标，这为apt组织提供了新的攻击面。apt网络攻击者针对新目标进行攻击时，通常采用定制的攻击工具和战术技巧，进行横向移动、数据窃取等高级攻击，以获取目标网络中的机密信息。面对统一框架且跨越多个组织使用的区块链和边缘计算系统，apt攻击者可以更快速地进行深入分析研究，并以更高效的方式获取高价值数据。同时，apt攻击者还可以通过区块链构建长期窃密的通信通道，持续获取有价值的数据，使受害目标持续遭受损失。因此，针对区块链和边缘计算系统的安全防护显得尤为重要，以防止apt攻击者利用区块链技术进行攻击，进而保护组织的信息安全。

2、随着区块链技术的快速发展和广泛应用，其在数据交换和存储领域的优势逐渐凸显，然而，与此同时，区块链和边缘计算系统也面临着日益复杂的网络安全威胁，特别是apt攻击等高级持续性威胁的威胁。在当前环境下，现有的区块链和边缘计算系统存在着诸多安全隐患，例如智能合约的沙盒通信特性为apt攻击提供了数据转发条件，智能合约编程的开放性使得攻击者可以编写定制化攻击程序，以及传统防火墙难以区分正常网络流量与攻击流量等问题。这些安全隐患严重威胁着区块链和边缘计算系统的安全性和稳定性，也对用户数据和隐私构成了严重威胁。

3、在区块链和边缘计算环境下，apt防御机制虽然提供了增强的数据安全性和去中心化处理能力，但仍存在一些缺陷和不足。这些不足主要包括智能合约的潜在漏洞，可能被攻击者利用来执行恶意操作；边缘设备的安全性能有限，容易成为攻击的切入点；数据在边缘节点处理过程中可能遭受篡改或泄露，难以保证端到端的安全性；此外，区块链的匿名性和去中心化特性可能导致监管难度增加，而边缘计算资源的有限性也可能影响安全策略的实施和更新。

技术实现思路

1、本发明的目的是为解决现有技术中存在的不足，而提出一种基于区块链和边缘计算系统的apt攻击与防御方法。这种方法能够有效防御apt攻击、无需修改现有网络结构、支持随机ip地址传输，从而极大地提高了区块链和边缘计算系统的安全性和可靠性，及提高网络数据的安全性、隐私性，并具备良好的网络兼容性。

2、实现本发明目的的技术方案是：

3、基于区块链和边缘计算系统的apt攻击与防御方法，包括如下步骤：

4、一、构建防御模型

5、假设基于ipv6的互联网由n个ipv6路由器route组成，假设每一个路由器route包含n个网络设备device，假设在基于ipv6的互联网中，网络攻击者会对互联网设备实施所有能实施的网络攻击，从而对所有互联网设备造成安全威胁；因此，基于ipv6的互联网将面临3个安全问题：(1)互联网设备如何防护扫描，以规避设备指纹被记录；(2)如何防护分布式拒绝服务攻击；(3)如何拦截非法来源的数据，以保护设备不被破坏；常规做法是使用防火墙等方法，以拦截非法来源数据，此外，仍需要考虑互联网设备的局限性，其主要局限性是难以进行二次开发，因此，对现有网络及设备透明且无须升级的安全防护技术具备较大的实际应用价值；

6、二、构建防御架构

7、为解决步骤一中基于ipv6的互联网所面临的安全问题，使用移动目标防御方法以对互联网的网络进行安全防护，从而构建区块链和边缘计算系统环境中的可信网络；可信网络中包含ipv6路由器、区块链节点、互联网网络、目标防御处理器和核心控制器；

8、首先在可信网络的两端分别设置移动目标处理器a和移动目标处理器b，移动目标处理器a和移动目标处理器b负责对可信网络传输的数据包进行ip地址的随机转换和访问控制，每个移动目标处理器都有一个独特的标识符，通过这个标识符向核心控制器请求随机ip地址组，为确保安全，移动目标处理器a和移动目标处理器b与核心控制器之间的通信通过专用网络完成，这样能有效阻止其他互联网设备的直接访问；核心控制器收到每个移动目标处理器的标识符后，会结合事先定义好的访问控制列表，在可信网络的环境中生成并返回与对应移动目标处理器相关联的随机ip地址组；这种方法的好处在于，每个移动目标处理器可以在不重复进行访问控制配对运算的情况下，获得所需的随机ip地址组，从而提高了整个区块链和边缘计算系统的效率，另外，通过核心控制器生成随机ip地址组，还能进一步增强访问控制的安全性，这样能避免每个移动目标处理器获取到不可信的随机ip地址，从而减少了潜在的安全风险；在数据传输过程中，当互联网设备发送数据包时，每个移动目标处理器会将原始ip地址替换为相应的随机ip地址，这样能保护原始ip地址的隐私和安全，而在数据包到达另一端的移动目标处理器a或b时，通过该移动目标处理器a或b将接收到的数据包的随机ip地址还原为原始ip地址，确保数据的正确传输和处理；

9、三、建立安全防护机制

10、3.1随机ip地址生成机制

11、为了确保移动目标防御架构的安全防护效能及与现有网络架构的兼容性，采用多种机制来稳定移动目标防御架构运行；其中，兼容ipv6互联网的随机ip地址生成机制是一项关键的安全措施，根据ipv6地址标准rfc2373及其后续更新，ipv6地址采用64位的用户自定义接口长度(spl)，这种长度的设置有助于各种自动配置ip地址方法的稳定运行，从而实现全网无需网络地址转换的直接访问；兼容ipv6互联网传输的随机ip地址生成机制是另一个重要的安全措施，它通过在可用ip地址范围内随机生成地址，确保传输的所有数据包都可以通过互联网进行传输，这种机制不仅提高了区块链和边缘计算系统的安全性和隐私保护水平，同时也保证了数据传输的有效性和稳定性采用这种机制，能防止恶意攻击者对特定ip地址进行追踪和识别，从而增强了区块链和边缘计算系统的抵御能力；

12、3.2支持两端时差冗余的随机ip地址机制

13、支持两端时差冗余的随机ip地址机制是为了解决每个移动目标处理器与核心控制器之间可能存在的时间偏差，虽然每个移动目标处理器都从核心控制器中获取随机ip地址组列表，但由于启动运行和获取随机ip地址组都会耗费一定时间，因此每个移动目标处理器的标准时间片段可能与核心控制器的当前标准时间不一致，这种时差冗余的情况可能影响到区块链和边缘计算系统的运行效率和准确性；为了解决这一问题，通过在每个移动目标处理器和核心控制器之间建立时差冗余机制，允许每个移动目标处理器在获取随机ip地址组列表时，考虑到可能的时间偏差，从而确保在任何情况下都能获得准确的随机ip地址，这一机制的实现能通过在每个移动目标处理器与核心控制器之间的通信协议中增加时差校正的逻辑，或者通过在每个移动目标处理器本地维护一个时间戳，并与核心控制器的时间戳进行对比来实现；此外，为了进一步提高区块链和边缘计算系统的性能和响应速度，还提出了支持多线程的无锁随机ip地址选取机制，这种机制能允许每个移动目标处理器同时处理多个随机ip地址的选取任务，而无需对共享资源进行锁定操作，从而减少了区块链和边缘计算系统的资源竞争和响应延迟，提高了整体的处理效率，随机ip地址交换数据具体过程如下：

14、3.2.1.随机ip地址生成：在核心控制器上，生成随机ip地址，这些兼容ipv6互联网传输的随机ip地址生成的随机ip地址将在下一个时间片段中使用；

15、3.2.2.标注时间片段：核心控制器为当前时间片段标注，并确定哪些随机ip地址将被使用；

16、3.2.3.过去的上一个标准：指在当前时间片段之前使用的标准或ip地址配置；

17、3.2.4.未来下一个标准：指下一个时间片段将要采用的新的ip地址配置；

18、3.2.5.时间片段：表示当前处于活动状态的时间片段，所有通信都将基于核心控制器提供的当前时间片段的ip地址进行；

19、3.2.6.移动目标处理器a和移动目标处理器b：这两个处理器代表网络中的两个节点，它们将根据核心控制器的指示，使用随机生成的ip地址进行通信；

20、3.2.7.准时间片段：指在当前时间片段结束和下一个时间片段开始之前的准备阶段；

21、3.2.8.与访问控制服务器的交互：移动目标处理器a和b与核心控制器进行交互，以接收关于即将到来的时间片段的随机ip地址信息；

22、3.2.9.更新过程：在每个时间片段结束时，移动目标处理器a和b将丢弃当前时间片段使用的ip地址，并根据核心控制器的指示采用新的随机ip地址，以准备下一个时间片段；在设计支持多线程的无锁随机ip地址选取机制时，采用了空间换时间的策略，由于随机ip地址组列表所占用的内存空间较小，因此将每次获取随机ip地址组列表时，不仅获取当前标准时间片段对应的随机ip地址组列表即ragl，还同时获取当前标准时间片段前后各一个时间片段的随机ip地址组列表，这样做的好处在于，可以提前获取可能会被使用的随机ip地址组列表，从而避免了在实际使用时的延迟，当获取到当前时间片段的随机ip地址组列表后，随机ip地址选取机制会立即将当前时间片段的上一个时间片段获取的随机ip地址组列表删除，并标记当前时间片段获取的随机ip地址组列表各个时间片段的ragl为新的随机ip地址组列表，同时，时间片段号也会相应地增加一，以便加快移动目标处理器a和b的多线程处理速度,这样的设计可以有效地提高区块链和边缘计算系统的响应速度和处理效率，同时也保证了区块链和边缘计算系统的稳定性和准确性；

23、3.3移动目标防御过程如下：

24、3.3.1.请求随机ip地址列表：移动目标处理器a或b定期通过专用网络向核心控制器发送请求，使用特定的标识符来获取与该专用网络相关的随机ip地址列表，这一步骤是为了准备在接下来的通信中使用的一系列随机ip地址；

25、3.3.2.数据包发送：网络设备通过ipv6路由器将数据包发送给移动目标处理器a或b，这表明区块链和边缘计算系统支持ipv6协议，并且数据包的传输是通过标准的网络路由机制进行的；

26、3.3.3.ip地址替换：移动目标处理器a或b根据从核心控制器获得的随机ip地址列表，将数据包中的源ip地址和目的ip地址替换为随机的ip地址；目的是增加攻击者预测和定位目标ip地址的难度；

27、3.3.4.数据包传输：ip地址随机化后，数据包中随机的源ip地址和目的ip地址在互联网中传输；这增加了网络流量的不可预测性，从而提高了网络安全性；

28、3.3.5.ip地址还原：当随机化ip地址的数据包到达接收端的目标防御处理器时，该目标防御处理器利用随机ip地址列表和访问控制规则，将随机的ip地址还原为原始的ip地址，确保数据包能够正确地被目的地接收；

29、3.3.6.安全防护：通过步骤3.3.1-3.3.5的ip地址替换方法，在不修改现有网络拓扑和互联网设备的情况下，实现高效的网络安全防护。

30、所述步骤3.1随机ip地址生成机制采用定时更新方法用于每个移动目标处理器定期获取核心控制器上最新的随机ip地址列表，

31、定时更新方法包含两个方法：核心控制器更新随机ip地址列表方法和每个移动目标处理器获取随机ip地址列表方法；

32、核心控制器更新随机ip地址列表方法首先需要输入所有被保护设备的原始ip列表，并利用核心控制器数据库中存储的数据支持异步快速处理，为避免频繁操作数据库而导致额外的区块链和边缘计算系统资源开销，该方法在随机ip地址列表生成的实例化程序上设置一个静态变量来保存上次更新时间；

33、每个移动目标处理器获取随机ip地址列表方法在核心控制器更新随机ip地址列表方法至少执行一次后方可获取有效数据，在向核心控制器请求数据时，每个移动目标处理器需要提供自身的标识符给核心控制器，用于识别每个移动目标处理器负责保护的具体网络，为此，采用一串随机数字作为每个移动目标处理器的标识符，由于标识符长度较长，还可用作认证字符串，提高安全性；

34、核心控制器更新随机ip地址具体流程如下：

35、3.1.1.开始：流程启动；

36、3.1.2.检测当前时间与上次更新时间：区块链和边缘计算系统首先检查当前时间片段是否与上次ip地址更新的时间片段相隔超过了预定的更新周期；

37、3.1.3.更新周期判断：

38、-是：若当前时间片段与上次更新时间片段大于更新周期，区块链和边缘计算系统将继续执行步骤3.1.4；

39、-否：若当前时间片段与上次更新时间片段未超过更新周期，流程将结束，等待达到下一个更新周期；

40、3.1.4.生成随机ip地址：若判断为是，区块链和边缘计算系统将提取设备原始ip地址列表的子网前缀，并基于步骤3.1.3的判断成下一个时间片段的随机ip地址；

41、3.1.5.检查当前时间片段和上一个时间片段的数据：

42、-是：区块链和边缘计算系统检查当前时间片段和上一个时间片段的数据是否为空，若为空，说明没有数据需要处理，流程将结束；

43、-否：若数据不为空，说明有ip地址需要更新；

44、3.1.6.尝试生成当前时间片段的随机ip地址列表：区块链和边缘计算系统尝试生成当前时间片段的随机ip地址列表；

45、3.1.7.存储随机ip地址：将所有生成的随机ip地址存储到数据库中，以便在下一个时间片段中使用；

46、3.1.8.结束：完成ip地址的生成和存储后，流程结束。

47、所述步骤二中移动目标处理器a和移动目标处理器b负责对网络传输的数据包进行ip地址的随机转换和访问控制，所述数据包采用访问控制方法进行检查，以限制设备的访问范围，通过加强访问控制方法的安全性，能进一步提高区块链和边缘计算系统的安全性和效能，该方法要求数据包的源ip地址和目的ip地址必须与随机ip地址组记录的数据相匹配，才能被放行，这种采用访问控制方法对数据包进行检查的方法有效地解决了网络扫描攻击的问题，增强了区块链和边缘计算系统的安全性和防护能力；

48、访问控制方法具体流程如下：

49、2.1.开始：启动数据包处理流程；

50、2.2.数据包解析：数据包解析器提取数据包中的源ip地址和目的ip地址；

51、2.3.查找源ip和目的ip：在预先定义的随机ip地址组中查找提取出的源ip地址和目的ip地址；

52、2.4.匹配结果判断：

53、-是：若随机ip地址组中有匹配的源ip和目的ip地址，表示数据包的ip地址是合法且在预期内的；

54、-否：若没有找到匹配的ip地址，表示数据包可能来自未授权或未知的源；

55、2.5.放行或拦截数据包：

56、-对于匹配成功的数据包，区块链和边缘计算系统将放行数据包，允许该数据包在网络中传输；-对于匹配失败的数据包，区块链和边缘计算系统将拦截数据包，防止该数据包进一步传播，增强网络安全；

57、2.6.返回检测结果：无论数据包是被放行还是拦截，区块链和边缘计算系统都会返回一个检测结果，以便于进一步的处理或记录；

58、2.7.结束：完成数据包的安全检查流程。

59、一种区块链和边缘计算系统，所述区块链和边缘计算系统用于上述的基于区块链和边缘计算系统的apt攻击与防御方法，所述区块链和边缘计算系统包括防护层、通信层、管理层和存储层；

60、防护层部署在移动目标处理器a和b上，负责进行ip地址变换和数据包访问控制；

61、通信层则分别部署在移动目标处理器a和b及核心控制器上，其中移动目标处理器a和b部署grpc客户端，核心控制器部署grpc服务端，以便实现不同编程语言下的快速通信；管理层位于核心控制器上，主要负责随机ip地址的生成、访问控制的管理以及每个移动目标处理器范围的管理；

62、存储层负责与数据库对接，以实现当前配置的持久化保存。

63、本技术方案，能实现以下目的：

64、1.强化区块链和边缘计算系统的安全性与稳定性：通过引入先进的安全机制和防御措施，填补现有区块链和边缘计算系统中的安全漏洞，提高区块链和边缘计算系统的抗攻击能力和稳定性，确保区块链网络的安全运行。

65、2.提供全方位的apt攻击检测与防御：基于深度学习和行为分析等先进技术，建立智能化的apt攻击检测区块链和边缘计算系统，能够准确快速地识别和应对各类apt攻击行为，保护区块链和边缘计算系统免受攻击威胁。

66、3.保障用户数据和隐私安全：采用强大的加密算法和权限管理机制，对用户数据和隐私进行有效保护，防止数据泄露和未经授权的访问，提升用户信任度和区块链和边缘计算系统可靠性。

67、4.实现网络传输的匿名性和隐私保护：通过混淆技术和匿名通信协议，保护网络传输过程中的数据安全和用户隐私，防止攻击者窃听和追踪，增强通信的安全性和隐私性。

68、5.推动区块链技术与网络安全的融合发展：积极探索区块链技术与软件定义网络(sdn)、人工智能等前沿技术的融合应用，共同构建更加安全和可信赖的网络环境，推动网络安全领域的创新与发展。

69、本技术方案的移动目标防御方法通过对用户侧可自由配置的ipv6网络地址进行随机的动态变换，并利用动态变换后的ip地址进行互联网传输。接着，结合应用区块链和边缘计算系统中的访问控制方法，能够显著降低扫描、伪造数据包等攻击的成功概率，以实现接近100％的有效防护率，保护目标网络安全。这种融合访问控制方法和移动目标防御的防护方法无需更改已有网络拓扑，可以兼容地对目标网络进行保护。另外，本技术方案方法还具备网络防火墙功能，可以限制非法来源的数据传输。

70、针对区块链应用场景，设计了一套区块链和边缘计算安全防护系统，旨在有效保护区块链和边缘计算系统免受各类威胁。本区块链和边缘计算防护系统主要结合了本技术方案提出的融合防护技术与区块链和边缘计算系统，通过中心控制器实时对移动目标处理器a和移动目标处理器b进行动态配置。能够对所有经过移动目标处理器a和移动目标处理器b的数据包进行实时的定向ip地址编辑，使定向ip能够在互联网中使用编辑后的随机ipv6地址进行传输。在数据包到达目的地后，将数据包中的随机ipv6地址还原为原始的ipv6地址，以实现安全通信闭环。通过这一设计，能够全面保护区块链和边缘计算系统及其相关的网络设备免受攻击威胁。

71、本技术方案能够有效防御apt攻击、无需修改现有网络结构、支持随机ip地址传输，从而极大地提高了区块链和边缘计算系统的安全性和可靠性。区块链和边缘计算系统通过创新的基于访问控制技术的方法，无需对现有的区块链和边缘计算系统进行修改即可缓解apt攻击，保持区块链和边缘计算系统的完整性和稳定性。引入软件定义网络(sdn)技术，软件定义网络(sdn)是一种网络架构，它通过抽象和分离控制平面与数据平面，使用开放api实现网络流量的动态和集中式管理，以提高网络的灵活性和效率。实现在二层网络中对数据进行处理，而不需改变网络架构，具备灵活性和可编程性，使区块链和边缘计算系统能够快速响应安全威胁，并保持现有网络运行。支持随机ip地址传输，有效降低被探测的风险，通过ipv6网络中的地址随机化技术提高网络数据的安全性、隐私性，并具备良好的网络兼容性。此区块链和边缘计算系统全面防护安全环境，不仅缓解apt攻击威胁，还保护区块链和边缘计算系统及相关网络设备免受其他安全威胁侵害，建立一个零信任的安全环境，确保网络数据和资产的安全性和完整性。