基于區塊鏈的訪問控制在網絡靶場中的應用研究

姚保明，彭秋英，寧 鵬

（國網江西省電力有限公司鷹潭供電分公司，江西鷹潭 335000）

0 引言

各國的網絡攻防對抗已經成為主要內容，網絡空間對抗的形勢越來越嚴峻。網絡靶場[1]是一項重要的基礎設施，用于網絡攻防演練和網絡新技術評估。作為支持網絡空間安全技術驗證、網絡武器試驗、攻防對抗演練和網絡風險評估的重要手段，世界各國對網絡靶場建設都給予了高度重視。目前，網絡靶場已成為各國必不可少的網絡空間安全核心基礎設施，在網絡空間安全的研究、學習、測試、驗證和演練等方面都得到了應用。中國網絡安全問題嚴重，每年經濟損失高達數百億美元，能使與網絡安全相關的企業和互聯網用戶普遍受益，能提高企業核心競爭力和互聯網用戶安全意識和能力的網絡靶場研究成果得到持續推廣，經濟損失大大降低。因此，網絡靶場無論從保障國家安全、維護社會穩定，還是從產業不斷發展、減少經濟損失、社會經濟效益提高等方面來看，其應用前景都十分廣闊。

區塊鏈作為加密數字貨幣領域的新技術，它所具備的不可更改性、去中心化和可追溯性的特點，為訪問控制策略的安全存儲提供了一個新的思路。利用區塊鏈可以對訪問控制策略進行分布式管理，從而實現靈活管控訪問控制的策略數據。文中通過分析區塊鏈的訪問控制并將其運用在網絡靶場中，提出基于區塊鏈的訪問控制的網絡靶場系統建設新框架。能夠有效監測靶場中的各類網絡訪問行為，對提升工控設備信息安全防護能力，保障電網安全穩定運行具有重要意義。

1 區塊鏈體系架構

區塊鏈[2]是一種具有特殊數據結構的分布式數據庫。它是按時間順序排列的數據鏈表，每個塊都像項鏈一樣連著前面的塊。區塊鏈這種獨特的數據結構，對快速準確獲得新生成區塊的數據信息較為便利，并且通過每個區塊的唯一哈希值還能精準查詢某一個具體的區塊信息?？蓪^塊鏈系統從下到上分解成數據層、網絡層、共識層、激勵層、合約層等不同的層次。數據層、網絡層和共識層組成了區塊鏈的最基本結構，在此基礎上可以根據需要增加激勵層、合約層和應用層，如圖1所示。

圖1 區塊鏈架構

數據層封裝了區塊鏈的鏈式結構、區塊數據以及非對稱加密等區塊鏈核心技術，每塊一般由兩部分組成，分別為塊頭和塊身。該區塊的Hash 值、時間戳、Merkle根等信息均包含在該區塊中，而該區塊的交易信息則全部包含在該區塊中。每一個區塊都會有一個區塊Hash 值，這是一個數字指紋的32 字節，通過SHA256 算法對區塊進行二次Hash 計算得到。除了通過頭哈希值來識別，還可以通過區塊的高度來識別區塊。在一個區塊中存儲交易信息，在一個包含分享數據相應策略信息、智能合約、門禁執行結果等信息的Merkle 樹的數據結構中存儲，而Merkle 樹則是一個數據結構，用來對區塊中的所有交易進行有效總結。非對稱加密（Non-對稱加密）是一種用于安全需求和所有權認證的區塊鏈技術中的加密技術，如圖2所示。

圖2 區塊數據格式

網絡層實現各個網絡節點的通信，維護協同協議版本號、通信節點等信息，提供點對點的數據通信傳播以及驗證機制；區塊鏈網絡采用基于Internet 的P2P 架構。每臺電腦的每一個節點都是對等的，共同為整個網絡提供服務，同時每臺主機都可以作為服務端的相應請求，或者使用其他節點提供的服務作為客戶端，不需要任何中心化的服務端。P2P 通訊無需從其他實體或CA 獲取地址驗證，有效杜絕了第三方篡改和欺騙的可能。生成該數據的節點會在新的區塊數據生成后，向全網其他節點進行廣播，以供驗證。在區塊鏈網絡中，網絡中廣播的交易數據和新產生的區塊將時刻被所有節點監控。

激勵層負責發放獎勵給區塊鏈節點，以促使每個節點積極并誠實維護區塊鏈，并對發起交易請求的用戶收取相應手續費，以避免用戶發送惡意請求信息。

共識層通過工作證明算法、股權證明算法、實用拜占庭容錯算法等共識機制實現協商一致，確保交易請求信息、訪問控制策略、策略判決結果等數據信息的正確性，主要是各種共識算法在網絡節點之間達成共識；比特幣區塊鏈最初選擇了一種工作量證明共識機制（PoW），該機制依賴節點算力，以確保比特幣網絡分布式記賬的一致性。之后隨著區塊鏈技術的不斷演進和改進，一些能夠達到全網一致的算法并不過分依賴算力，例如權益證明共識機制（PoS）、授權股份證明共識機制（DepoS）等。

合約層是智能合約集合，是一種在區塊鏈中存儲，并能夠在區塊鏈網絡各節點上自動執行的計算機腳本，在基于區塊鏈的數據共享架構中，智能合約用于執行共享數據的訪問控制策略，展示了區塊鏈系統的可編程性，各種劇本，智能合約，算法封裝；作為區塊鏈技術的關鍵特征之一，智能合約是模塊化的、可重復使用的、自動執行的腳本，在區塊鏈上運行，可以實現數據處理、價值轉移、資產管理等一系列功能。智能合約[3]與區塊鏈的結合豐富了區塊鏈本身的價值內涵，其特性有以下三點：1）實現了不信任方之間的公平交換，避免了惡意方中斷協議等可能性；2）利用程序邏輯中豐富的合約規則表達能力，使交易方之間的互動最小化，避免計劃外監控追蹤的可能；3）使交易和外部狀態的互動更加豐富。應用層區塊鏈平臺和數據擁有者、數據訪問者、云存儲服務交互的接口，它封裝了區塊鏈技術的應用場景和案例。文中將區塊鏈應用到網絡靶場環境下，使得區塊鏈的安全性得到充分利用。

2 基于區塊鏈的訪問控制在網絡靶場中的設計實現

網絡靶場主要由兩大子系統構成，即靶場網分子系統以及靶場區塊鏈子系統。其中靶場網分子系統主要負責網絡流量的抓取、訪問控制、攻擊行為記錄、被攻擊效果記錄、數據統計、網絡流量核算、網絡溯源、網絡監控、數據存儲、網絡異常偵測等功能，而區塊鏈子系統主要負責實現數據層封裝區塊鏈的鏈式結構以及區塊數據存儲、行為檢測、行為控制、非對稱加密、網絡層提供點對點數據通信等區塊鏈核心機制，如圖3所示。

圖3 網絡靶場構成

2.1 靶場網分模塊

靶場網分模塊采用網分協議將網絡流量記錄到設備的高速緩存中以及流量監管服務平臺上，從而提供非常精準的流量測量、分析等功能。由于網絡通信具有流動性，所以緩存中記錄的統計數據通常包含轉發的IP信息，可以進行網絡異常偵測、行為檢測、攻擊行為記錄、網絡流量核算、網絡溯源等功能。這些數據流中包含來源和目的的相關信息，以及端到端會話使用的協議和端口。

靶場網分主要包括三個主要部分：探測器、采集器和報告系統，其中探測器用于監聽網絡數據，采集器用于收集探測器傳來的數據，報告系統用于從采集器收集到的數據中產生易讀的報告。

2.2 靶場區塊鏈模塊

靶場區塊鏈由多個協調一致、共同完成測試、控制任務的子系統組成；子系統級是對系統中各功能模塊的抽象描述，每個子系統代表一個功能模塊，而具體的功能則由相應的小功能模塊來完成，其中邏輯描述包括系統的組成、各模塊之間的通信關系、需要傳遞的參數等，然后將這些信息生成對應的數據按一定的通信協議傳遞給相應的工作模塊，由系統的組成、各模塊之間的通信關系物理描述（Physical Production）是把這些信息按照相同的協議解釋成功能模塊能夠執行的內容，而這一過程是由系統的管理模塊自動完成的。這樣，用戶只需按照規定的格式配置參數，就可以生成所需的測試記錄系統，而無需了解系統的具體結構，其功能模塊如圖4所示。

圖4 系統功能模塊圖

數據存儲區塊子系統：通過對攻擊數據與被攻擊數據的采集，通過區塊鏈的數字加密技術，存儲至數據區塊內。

P2P 網絡管理子系統：管理系統內部網絡與其他外部網絡的通信。它由連接各子系統的網絡及其通信協議組成。

數據分析處理子系統：完成傳輸數據的實時存取和顯示，應用函數庫處理試驗數據。整個系統也包含日志反饋記錄的子模塊，并對整個系統的運轉作出及時的反饋與記錄。

2.3 基于區塊鏈的訪問控制

現有基于區塊鏈的訪問控制[4]研究主要包括基于交易進行策略、權限管理和基于智能合約進行訪問控制兩個方面，主流解決方案對應策略存儲區塊和策略直接寫入智能合約兩類。策略存儲區塊的工作把區塊鏈當成訪問控制中策略管理的數據庫，同時引入一個可信的策略執行點和借助智能合約實現屬性權威、策略管理點和策略決策點功能，使得用戶可隨時查看策略并利用智能合約保證策略決策被自動執行，可避免任何一方通過篡改策略實現未授權數據訪問等欺詐行為。策略直接寫入智能合約的工作借助智能合約自動執行的特性使得合約中的訪問控制策略自動實施，同時利用區塊鏈的不可篡改性、透明性和協商一致性原則，保證智能合約下策略決策的正確性、透明性和可審計性，如圖5所示。

圖5 基于區塊鏈的訪問控制

文中在構建網絡靶場中利用區塊鏈共識機制，讓每個分布式節點實現高度一致以抵御外部惡意攻擊，確保鏈上數據的有效性和真實性，實現局部節點在無信任的環境下，構建去中心化的可信系統[5]，通過運行在區塊鏈上的訪問控制來完成主控監控、網絡異常偵測機制、攻擊行為記錄等一系列操作，系統流程圖如圖6所示。

圖6 基于區塊鏈的網絡靶場訪問行為控制系統流程圖

主控監控對整個系統進行監控，其中包括對數據加密的監控，保證數據的公開；包括對數據存儲區塊的監控，保證存儲的準確性；包括對P2P網絡管理實施監控，保證網絡的正常運行；包括對于新數據或修改、篡改數據進行主控監聽，一旦發生上述事件，通過共識機制算法進行記錄，并通過P2P網絡進行廣播至所有的節點；包括通過對數據分析的監控，保證分析算法的正常運行；包括對日志反饋存儲的監控，保證存儲的準確性。

網絡異常偵測機制可以利用已知攻擊行為特征作比對，過濾出網絡蠕蟲及已知攻擊行為。當網絡發生異常時，受感染或遭受入侵之主機會爆發大量的網絡流量及產生對外攻擊聯機的特征，利用此特征與正常網絡做比較找出異常，因此可以先找出網絡流量或聯機異常之主機，實時加以阻擋，避免讓更大量的網絡異常行為持續發生。在穩定的網絡環境中觀察平時網絡狀況，找出正常的網絡流量及聯機數，作為異常偵測的基準并觀察出正常的行為模式，定出基準值及臨界值，然而網絡流量及聯機數會因為時間不同，即有不同的呈現，所以本異常偵測機制的基準值及臨界值會隨著時間不同而改變，以動態方式呈現。當網絡中網絡流量或會話數目超出動態臨界值時，這可能代表著新的蠕蟲、阻斷服務攻擊、網絡掃瞄等的異常發生，利用此異常所造成網絡流量或會話數目增加的偏移值，找出異常發生的原因及IP 地址，另外，建立已知攻擊行為特征比對系統，利用網絡攻擊行為會存在著某些可供辨識的特征，例如針對某個特定埠或利用某些特定網絡的IP地址，過濾出網絡蠕蟲及已知攻擊行為。

攻擊行為記錄通過數字簽名加密存儲至數據區塊中，接著攻擊行為觸發行為偵測模組偵測攻擊，漏洞模塊模擬被攻擊后所產生的效果，并根據攻擊手段和技術的不同反饋不同的信息，向攻擊者展示不同的效果，其特點是：在攻擊過程中，攻擊過程中通過反饋模塊控制行為控制模塊，評估攻擊的優缺點，設定門檻，并將效果交互反饋到工坊效果分析模塊，以適應不同的網絡安全防范等級，控制難度；被攻擊效果記錄模塊按照分工協作的不同，記錄攻擊信息，分類原始信息，跟蹤攻擊信息；DataFusion-Model可將收集到的攻擊行為數據與系統接收攻擊后所帶來影響的資訊數據整合，并加以分析，以每篇為案例的詳細攻防報告，作為之后學習的教學范本，并透過系統所使用的P2P網路傳輸報告。并最終通過加密算法更新至數據日志模塊中。對于數據區塊和數據日志區塊，系統中的主控監聽始終都在運轉，一旦發生篡改或加入新數據時，數據修改便向數據區塊請求驗證，并通過節點廣播至其余的節點，保證所有的節點都是公開信息的，除了私密的信息以外，并采用共識機制算法，對變化的數據進行記錄，數據區塊內容被更新，同時需要被融合的數據也通過P2P傳輸到數據模塊中。

通過將區塊鏈技術的加入，保證了原生系統在修改和添加上安全性的提高，同時，也使得了數據具有公開透明的效果，最終保證了系統的完整性。

3 結語

文中提出基于區塊鏈的網絡靶場訪問行為控制系統，能夠有效監測靶場中的各類網絡訪問行為，可有效支撐電力工控設備信息安全檢測工作，保障測試結果的加密存儲、不可篡改和不會丟失，對提升工控設備信息安全防護能力，保障電網安全穩定運行具有重要意義。如果將各個仿真環境進行互聯，待私有鏈升級為聯盟鏈后，將各個靶場作為聯盟鏈的節點，可以實現靶場網絡訪問行為的審計，數據的異地存儲，防止敏感信息泄露，進一步提升數據的安全性。