[发明专利]一种基于区块链的分布式可信审计安全存证方法

权利要求书

1.一种基于区块链的分布式可信审计安全存证方法，其特征在于，包括如下步骤：

步骤一，通过基于多组织协同的跨域存证数据安全存储与共享方法，实现跨域实体存证数据的可靠存储，并进行数据共享；具体包括，搭建基于分布式账本的联盟区块链网络，其中的单位节点是实体在跨域信任链中的角色；实体间的数据传输涉及到的数据包括工控协议数据、网络协议数据；存证信息被联盟区块链网络中各方通过高速共识机制，快速协同更新分布式账本，实现安全存储与共享，存证信息包括实体个体的操作系统、应用以及固件版本数据等；

步骤二，通过基于风险模型与存证数据匹配的实体功能安全异常审计方法，进行功能安全异常审计，利用协议智能识别与语义重组、基于Fuzzing的系统漏洞挖掘方法以及海量数据的智能关联分析方法实现对存证数据的安全分析与匹配；从工业控制专用协议安全威胁、网络安全威胁、操作系统安全威胁以及终端及应用安全风险的多个维度对安全事件进行归类；具体包括：

（1.1）识别模型通过基于静态特征过滤识别一般协议，对于通过安全加密端口无法确定且无明显静态特征的协议通过基于协议行为特征过滤的方式进行识别；

（1.2）对于不能快速识别的，结合基于加密的难识别协议分析处理后继包，建立协议运行期间行为状态模型作为协议行为特征，使该协议数据包进入基于识别状态的处理，根据不同协议的特点分别设计不同协议识别状态机进行匹配，直到匹配结果超过系统所设定的检查数据包个数为止，识别结束；

（1.3）利用网络包分析工具软件Wireshark，监控和记录单独运行网络应用软件时的网络数据包跟踪数据，对这些数据包进行统计分析；

（1.4）网络协议特征建立阶段，对于UDP前两个包和TCP三次握手后的两个包就能够准确识别协议的静态特征集合，直接提取其静态标识字段进行过滤识别；大部分协议通过首个数据包的识别出来，如果首个数据包识别不出来，将协议的状态设置为L7_CHECK对第二个数据包进行识别；若失败，则结果设置为UNKNOWN，协议状态为L7_END，首个数据包和第二个数据包对应的连接的数据包不会再次进行检测；

（1.5）利用基于协议行为特征的过滤算法实现不常见数据的识别，对于具有显著特征的数据包但是位置不确定的，直接对数据包封堵深入监测会影响到防火墙的性能，建立基于运行期间的状态模型作为协议特征会避免对数据包有效负载进行大量检查匹配；

步骤三，通过智能合约的实体功能安全异常存证自动更新方法，实现跨域数据实体存证信息安全更新，在存证数据完成审计完成后，联盟网络内实体利用智能合约强制执行的机制对审计存证数据进行自动化标识。

2.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法，其特征在于，所述步骤一中：

所述联盟区块链网络利用块链式数据结构来验证与存储数据，利用分布式节点共识算法来生成和更新数据，利用密码学的方式保证数据传输和访问的安全，利用由自动化脚本代码组成的智能合约来编程和操作数据；所述智能合约是在区块链系统中运行的程序，是代码和数据或状态的集合。

3.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法，其特征在于，所述步骤一中：

所述联盟区块链网络各节点与节点之间以P2P方式通信，节点能够随意的添加和删除；联盟信任群组通过高速共识机制和实体可信身份指纹，并借助节点自主调用执行的运行在联盟信任群组上的代码，快速完成分布式实体功能安全交互信息的深度留痕存储；节点都具有安全交互数据集合的一个副本，并且都能够调用代码中定义的操作方法对数据集合进行更改，联盟信任群组节点通过调用代码中安全交互信息数据集合的添加方法实现数据的提交，添加请求会被扩散到全群组，其它节点对该请求进行验证。

4.根据权利要求1所述的一种基于区块链的分布式可信审计安全存证方法，其特征在于，所述步骤一中：

所述工控协议包括运行在数据链路层的Ethernet POWERLINK协议， Modbus协议封装进TCP协议中进行传输的Modbus TCP/IP 协议，适配 EhterNet/IP, DeviceNet, CompoNet以及 ControlNet网络的通用工业协议。