区块链系统攻击与防御技术研究进展

区块链作为一种多技术融合的新兴服务架构,因其去中心化、不可篡改等特点,受到了学术界和工业界的广泛关注.然而,由于区块链技术架构的复杂性,针对区块链的攻击方式层出不穷,逐年增加的安全事件导致了巨大的经济损失,严重影响了区块链技术的发展与应用.本文从层级分类、攻击关联分析两个维度对区块链已有安全问题的系统架构、攻击原理、防御策略展开研究.首先,按照区块链层级架构对现有区块链攻击进行归类,介绍了这些攻击方式的攻击原理,分析了它们的共性与特性.其次,分析总结了已有解决方案的思路,提出一些有效的建议和防御措施.最后,通过攻击关联分析归纳出多个区块链攻击簇,构建了一个相对完整的区块链安全防御体系,展望了区块链技术在未来复杂服务场景下的安全态势.     

基于区块链的分布式可信网络连接架构

可信网络连接是信任关系从终端扩展到网络的关键技术.但是,TCG的TNC架构和中国的TCA架构均面向有中心的强身份网络,在实际部署中存在访问控制单点化、策略决策中心化的问题.此外,信任扩展使用二值化的信任链传递模型,与复杂网络环境的安全模型并不吻合,对网络可信状态的刻画不够准确.针对上述问题,在充分分析安全世界信任关系的基础上,提出一种基于区块链的分布式可信网络连接架构——B-TNC,其本质是对传统可信网络连接进行分布式改造.B-TNC充分融合了区块链去中心化、防篡改、可追溯的安全特性,实现了更强的网络信任模型.首先描述B-TNC的总体架构设计,概括其信任关系.然后,针对核心问题展开描述：（1）提出了面向访问控制、数据保护和身份认证的3种区块链系统;（2）提出了基于区块链技术构建分布式的可信验证者;（3）提出了基于DPoS共识的的远程证明协议.最后,对B-TNC进行正确性、安全性和效率分析.分析结果表明,B-TNC能够实现面向分布式网络的可信网络连接,具有去中心化、可追溯、匿名、不可篡改的安全特性,能够对抗常见的攻击,并且具备良好的效率.     

基于Mycat的拟态数据库中间件研究

数据库系统的安全不仅依赖于数据库本身的安全,还受网络环境和操作系统的安全性影响,拟态防御是邬江兴院士首次提出的基于动态异构冗余体系架构,协同实现数据库所依赖环境,使数据库安全由被动防御变为主动防御.本文通过Mycat作为数据库中间件,通过对数据库的读写分离,集群的高可用,分布式事务处理,对指纹化SQL识别,以减轻单一数据库的数据存取和处理压力.Mycat将数据库模块变为异构动态冗余模式,实现数据库拟态化,使数据高效,快速,安全的存取和切分.     

区块链网络综述

区块链是典型的分布式系统, 底层网络的性能和安全性至关重要. 区块链网络的本质是P2P网络, 然而在安全模型、传输协议和性能指标等方面与传统P2P网络存在明显差异. 首先, 针对区块链网络的传输流程进行全面、深入地分析, 阐明区块链网络所面临的瓶颈挑战. 其次, 针对区块链网络拓扑结构和传输协议的最新研究工作, 从节点异构性、编码方案、广播算法和中继网络等方面系统性地分类梳理, 并归纳总结跨链网络实现和网络仿真工具. 最后, 探讨区块链网络的未来研究趋势.     

一种基于执行体异构度的拟态裁决优化方法

网络空间拟态防御技术通过构建动态异构冗余的系统架构来提高系统的安全性能,而裁决器的表决机制是防御链中的关键步骤,直接影响拟态系统的安全性和效率。针对拟态表决环节的任务特性,对一致表决算法进行改进,设计基于执行体异构度的拟态裁决优化方法。结合拟态防御系统的异构特性,在选择执行体表决输出时引入执行体间的异构度作为决策因素,同时综合考虑执行体数目和历史记录信息,使表决算法更适用于拟态架构面临的威胁场景。实验结果表明,与一致表决算法相比,该算法能够显著提高拟态系统的安全性能,有效规避共模逃逸的风险。     

软件定义网络下的拟态防御实现架构

针对传统防御技术难以应对未知漏洞和后门的问题,拟态安全防御(MSD,mimic security defense)通过构造动态异构冗余模型,提高系统的不确定性,增加攻击者的攻击难度和成本,提升网络安全性能。基于软件定义网络,提出了一种拟态防御的实现架构,首先,按照非相似余度准则构建异构冗余执行体,而后借助软件定义网络的集中管理控制实现动态选调和多模判决等功能。实验验证了架构的入侵容忍能力和可用性。     

拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.     

基于区块链的网络安全防御关键技术研究

区块链是互联网发展的阶段性产物,引入了共识机制、点对点传输、分布式数据存储和加密算法等先进技术,已经在金融证券、数据存储、产品追溯等领域得到广泛应用.网络安全作为区块链的一个重要应用领域,其可以基于区块链构建一个新型的网络安全防御体系,提高网络安全防御性能,比如利用专有网络的防数据篡改,保护互联网基础服务,防止分布式拒绝服务攻击,避免发生数据被盗、拒绝服务等安全事故,具有重要作用和意义.     

区块链原理及其核心技术

随着第一个去中心化加密货币系统——比特币系统自2009年上线成功运行至今,其背后的区块链技术也受到广泛关注.区块链技术独有的去中心化、去信任的特性,为构建价值互联平台提供了可能.在比特币白皮书中,区块链的概念十分模糊,而现有的一些介绍区块链的文章中,也多从抽象层次进行介绍,对于更深入的后续研究提供的帮助十分有限.本文首先将区块链技术从具体应用场景中抽象出来,提取出其五层核心架构,并就其中数据、网络、共识三层基础架构作详细说明.这三层架构包含了区块链系统中的三大核心技术:密码学、共识算法、网络.文中介绍这三种技术的研究现状,能够使读者迅速了解区块链技术的发展状况,并能根据自己的需要进行深入阅读.最后,介绍了区块链目前的应用现状和技术展望.     

动态异构冗余架构下Web实践及安全性分析

当前网络环境下安全事件频发,攻防双方处于极度失衡状态,对其进行解决刻不容缓.针对目前安全领域内缺乏有效的防御手段的现状,对拟态安全防御技术进行分析、探索、实践.在对现有防御技术探讨的基础上,通过对拟态安全防御中核心思想、架构设计的引入与分析,构建一种动态异构冗余架构下的典型Web服务系统,并在实验中证实该系统的安全稳定性.进一步地,从攻击行为模型和安全防护概率角度出发,对系统的安全性进行分析.仿真结果表明,系统在动态异构冗余架构下能够增强防护能力,这对现网环境下网络安全改造方案具有指导意义,为下一步构造安全稳固的系统提供了理论支撑.     

网络空间拟态防御发展综述：从拟态概念到“拟态+”生态

网络空间拟态防御（CMD,cyberspace mimic defense）基于动态异构冗余架构实现多体执行、多模裁决和多维重构,以不确定性系统应对网络空间泛在化的不确定性威胁。从纵向、横向、当前、发展和未来5个视角对其8年来的演进进行系统综述：纵向观,概述了CMD从概念提出,到理论、实践层面形成发展的历程;横向观,阐述了CMD的DHR（dynamical heterogeneous redundancy）核心架构、以CMD三定理为支柱的原理、安全增益、性能开销,将其与入侵容忍、移动目标防御、零信任架构、可信计算和计算机免疫学 5 类其他主动防御技术进行了综合对比辨析;当前观,综述了拟态路由器、拟态处理机、拟态 DNS服务器、拟态云平台等 11 类现有主要拟态产品的实现要素、性能表现、系统架构、异构策略、调度策略、表决策略等共性技术模式与特性技术特点;发展观,结合人工智能、物联网、云计算、大数据和软件定义网络5类新型技术探讨了“拟态+”AICDS（拟态+AI/ IoT/Cloud/Data/SDN）共生生态,提出了相应技术结合点和交叉研究价值;未来观,展望了未来拟态基线 2.0 产品生态、“拟态+5G/6G”“拟态+边缘计算”“拟态+云”和“拟态+区块链”5 类“拟态+”应用场景,分析归纳了拟态防御技术面临的存在多模决策攻击逃逸空间、异构与同步互制约、安全与功能难平衡和现有内生安全组件变换空间有限4点挑战。     

拟态防御DHR模型若干问题探讨和性能评估

针对传统防御技术难以应对未知特征和未知缺陷的攻击,近年来,工业界和学术界尝试发展能够“改变游戏规则”的创新性防御技术。网络空间拟态防御（CMD：Cyberspace Mimic Defense）以动态异构冗余（DHR：Dynamical Heterogeneous Redundant）作为核心架构技术。针对信息系统保护的元功能,采用非相似余度设计方法构造多个功能等价的异构执行体;在系统运行期间,动态调度元功能的不同异构执行体在线运行,以阻断攻击者的攻击过程;同时,利用多模判决机制对多个异构执行体的输出结果进行判决,以检测是否发生攻击。本文针对DHR模型的若干问题进行了探讨,给出了一种理论分析方法,并进行了实验仿真,理论分析和仿真结果表明,DHR能够大幅提升攻击者攻击难度,增强信息系统的安全性。     

区块链安全问题:研究现状与展望

区块链是比特币底层的核心技术，展示了在自组织模式下实现大规模协作的巨大潜力，为解决分布式网络中的一致性问题提供了全新的方法.随着比特币的广泛流通和去中心化区块链平台的蓬勃发展，区块链应用也逐渐延伸至金融、物联网等领域，全球掀起了区块链的研究热潮.然而，区块链为无信任的网络环境提供安全保障的同时，也面临安全和隐私方面的严峻挑战.本文定义了区块链系统设计追求的安全目标，从机制漏洞、攻击手段和安全措施三方面对区块链各层级的安全问题进行全面分析，提出了区块链的平行安全概念框架，并总结未来区块链安全问题的研究重点.本文致力于为区块链研究提供有益的安全技术理论支撑与借鉴.     

基于拟态防御架构的多余度裁决建模与风险分析

网络空间拟态防御技术以动态异构冗余的内生安全特性作为架构核心,通过多余度裁决方保证服务质量并阻断攻击威胁。然而,目前对于多余度裁决的方法,并没有对其防御的代价和风险进行有效分析和评估。本文根据拟态防御与多余度裁决模型之间的关系,针对多余度裁决方法的防御能力、运行效率和系统恢复三方面进行建模和分析。根据模型分析方法挖掘出模型的三项指标之间的潜在关系和部分同构的部署策略下裁决模型的风险隐患问题,并通过实验验证了该方法的有效性。最后,根据模型的评估结果给出了实际部署意见并总结了模型的不足和改进方向。     

基于免疫算法的网络功能异构冗余部署方法

针对现有安全防御手段无法抵御网络功能虚拟化平台中众多未知的漏洞与后门的问题。运用拟态防御思想,提出一种网络功能虚拟化的拟态防御架构,并针对其中的异构体池构建问题设计了一种基于免疫算法的网络功能异构冗余部署方法。首先,结合熵值法对异构体之间的异构度进行量化评估;然后,以实现异构体之间异构度最大为优化目标将网络功能异构冗余部署问题构建成极大极小问题;最后,基于免疫算法快速求解最优部署方案。仿真结果表明,该方法可以迅速收敛到最优部署方案,并保证异构体之间的异构度值整体分布在较高的水平,有效增加了异构体池的多样性,提升了攻击者的攻击难度。     

基于区块链的数字版权交易系统

在当前数字化、网络化时代中,数字版权交易需求越来越大,传统的中心化版权保护系统存在注册成本高、作品受理时间长、容易遭受破坏者的篡改等问题。区块链技术作为一个以P2P网络为基础,以密码技术为核心的去中心化网络结构,能够在网络上以纯数学方法建立信任关系,无需依托中间平台就能够缓解上述问题。借助区块链技术的自我监管、可追溯、去中心化的特性,结合数字版权交易场景,设计了一个基于联盟链的数字版权交易系统模型,利用当前 IBM 提供的最新联盟链技术,做了版权注册和版权交易的实现,能够保证版权信息不可篡改性和可溯源性。最后,测试了链码部署安装时间。结果表明,系统安装简单,维护成本低。相比传统的基于可信第三方版权认证机制,基于区块链的数字版权交易系统注册时间短,无需注册费,具有更好的架构安全性和可扩展性。     

基于动态异构冗余机制的路由器拟态防御体系结构

路由器作为网络空间的基础核心要素,其安全性能对网络安全具有决定性意义。但由于它的封闭性、专用性和复杂性,导致其存在的漏洞更多,后门隐藏更深。目前对路由器的安全防御手段均为被动式“补漏洞、堵后门”的“亡羊补牢”式的防御,不仅防御滞后更无法应对未知的安全威胁。本文基于拟态防御技术,在路由器体系架构上引入异构冗余功能执行体,通过动态调度机制,随机选择多个异构执行体工作,在相同外部激励的情况下,通过比对多个异构功能执行体的输出结果,对功能执行体进行异常检测,实现路由系统的主动防御。实验结果表明,该架构可以明显提升攻击链中每一步攻击的实施难度,增加攻击成本,并能抵御基于未知漏洞与后门的攻击。