姚保明，彭秋英，宁 鹏

（国网江西省电力有限公司鹰潭供电分公司，江西鹰潭 335000）

0 引言

各国的网络攻防对抗已经成为主要内容，网络空间对抗的形势越来越严峻。网络靶场[1]是一项重要的基础设施，用于网络攻防演练和网络新技术评估。作为支持网络空间安全技术验证、网络武器试验、攻防对抗演练和网络风险评估的重要手段，世界各国对网络靶场建设都给予了高度重视。目前，网络靶场已成为各国必不可少的网络空间安全核心基础设施，在网络空间安全的研究、学习、测试、验证和演练等方面都得到了应用。中国网络安全问题严重，每年经济损失高达数百亿美元，能使与网络安全相关的企业和互联网用户普遍受益，能提高企业核心竞争力和互联网用户安全意识和能力的网络靶场研究成果得到持续推广，经济损失大大降低。因此，网络靶场无论从保障国家安全、维护社会稳定，还是从产业不断发展、减少经济损失、社会经济效益提高等方面来看，其应用前景都十分广阔。

区块链作为加密数字货币领域的新技术，它所具备的不可更改性、去中心化和可追溯性的特点，为访问控制策略的安全存储提供了一个新的思路。利用区块链可以对访问控制策略进行分布式管理，从而实现灵活管控访问控制的策略数据。文中通过分析区块链的访问控制并将其运用在网络靶场中，提出基于区块链的访问控制的网络靶场系统建设新框架。能够有效监测靶场中的各类网络访问行为，对提升工控设备信息安全防护能力，保障电网安全稳定运行具有重要意义。

1 区块链体系架构

区块链[2]是一种具有特殊数据结构的分布式数据库。它是按时间顺序排列的数据链表，每个块都像项链一样连着前面的块。区块链这种独特的数据结构，对快速准确获得新生成区块的数据信息较为便利，并且通过每个区块的唯一哈希值还能精准查询某一个具体的区块信息。可将区块链系统从下到上分解成数据层、网络层、共识层、激励层、合约层等不同的层次。数据层、网络层和共识层组成了区块链的最基本结构，在此基础上可以根据需要增加激励层、合约层和应用层，如图1所示。

图1 区块链架构

数据层封装了区块链的链式结构、区块数据以及非对称加密等区块链核心技术，每块一般由两部分组成，分别为块头和块身。该区块的Hash 值、时间戳、Merkle根等信息均包含在该区块中，而该区块的交易信息则全部包含在该区块中。每一个区块都会有一个区块Hash 值，这是一个数字指纹的32 字节，通过SHA256 算法对区块进行二次Hash 计算得到。除了通过头哈希值来识别，还可以通过区块的高度来识别区块。在一个区块中存储交易信息，在一个包含分享数据相应策略信息、智能合约、门禁执行结果等信息的Merkle 树的数据结构中存储，而Merkle 树则是一个数据结构，用来对区块中的所有交易进行有效总结。非对称加密（Non-对称加密）是一种用于安全需求和所有权认证的区块链技术中的加密技术，如图2所示。

图2 区块数据格式

网络层实现各个网络节点的通信，维护协同协议版本号、通信节点等信息，提供点对点的数据通信传播以及验证机制；区块链网络采用基于Internet 的P2P 架构。每台电脑的每一个节点都是对等的，共同为整个网络提供服务，同时每台主机都可以作为服务端的相应请求，或者使用其他节点提供的服务作为客户端，不需要任何中心化的服务端。P2P 通讯无需从其他实体或CA 获取地址验证，有效杜绝了第三方篡改和欺骗的可能。生成该数据的节点会在新的区块数据生成后，向全网其他节点进行广播，以供验证。在区块链网络中，网络中广播的交易数据和新产生的区块将时刻被所有节点监控。

激励层负责发放奖励给区块链节点，以促使每个节点积极并诚实维护区块链，并对发起交易请求的用户收取相应手续费，以避免用户发送恶意请求信息。

共识层通过工作证明算法、股权证明算法、实用拜占庭容错算法等共识机制实现协商一致，确保交易请求信息、访问控制策略、策略判决结果等数据信息的正确性，主要是各种共识算法在网络节点之间达成共识；比特币区块链最初选择了一种工作量证明共识机制（PoW），该机制依赖节点算力，以确保比特币网络分布式记账的一致性。之后随着区块链技术的不断演进和改进，一些能够达到全网一致的算法并不过分依赖算力，例如权益证明共识机制（PoS）、授权股份证明共识机制（DepoS）等。

合约层是智能合约集合，是一种在区块链中存储，并能够在区块链网络各节点上自动执行的计算机脚本，在基于区块链的数据共享架构中，智能合约用于执行共享数据的访问控制策略，展示了区块链系统的可编程性，各种剧本，智能合约，算法封装；作为区块链技术的关键特征之一，智能合约是模块化的、可重复使用的、自动执行的脚本，在区块链上运行，可以实现数据处理、价值转移、资产管理等一系列功能。智能合约[3]与区块链的结合丰富了区块链本身的价值内涵，其特性有以下三点：1）实现了不信任方之间的公平交换，避免了恶意方中断协议等可能性；2）利用程序逻辑中丰富的合约规则表达能力，使交易方之间的互动最小化，避免计划外监控追踪的可能；3）使交易和外部状态的互动更加丰富。应用层区块链平台和数据拥有者、数据访问者、云存储服务交互的接口，它封装了区块链技术的应用场景和案例。文中将区块链应用到网络靶场环境下，使得区块链的安全性得到充分利用。

2 基于区块链的访问控制在网络靶场中的设计实现

网络靶场主要由两大子系统构成，即靶场网分子系统以及靶场区块链子系统。其中靶场网分子系统主要负责网络流量的抓取、访问控制、攻击行为记录、被攻击效果记录、数据统计、网络流量核算、网络溯源、网络监控、数据存储、网络异常侦测等功能，而区块链子系统主要负责实现数据层封装区块链的链式结构以及区块数据存储、行为检测、行为控制、非对称加密、网络层提供点对点数据通信等区块链核心机制，如图3所示。

图3 网络靶场构成

2.1 靶场网分模块

靶场网分模块采用网分协议将网络流量记录到设备的高速缓存中以及流量监管服务平台上，从而提供非常精准的流量测量、分析等功能。由于网络通信具有流动性，所以缓存中记录的统计数据通常包含转发的IP信息，可以进行网络异常侦测、行为检测、攻击行为记录、网络流量核算、网络溯源等功能。这些数据流中包含来源和目的的相关信息，以及端到端会话使用的协议和端口。

靶场网分主要包括三个主要部分：探测器、采集器和报告系统，其中探测器用于监听网络数据，采集器用于收集探测器传来的数据，报告系统用于从采集器收集到的数据中产生易读的报告。

2.2 靶场区块链模块

靶场区块链由多个协调一致、共同完成测试、控制任务的子系统组成；子系统级是对系统中各功能模块的抽象描述，每个子系统代表一个功能模块，而具体的功能则由相应的小功能模块来完成，其中逻辑描述包括系统的组成、各模块之间的通信关系、需要传递的参数等，然后将这些信息生成对应的数据按一定的通信协议传递给相应的工作模块，由系统的组成、各模块之间的通信关系物理描述（Physical Production）是把这些信息按照相同的协议解释成功能模块能够执行的内容，而这一过程是由系统的管理模块自动完成的。这样，用户只需按照规定的格式配置参数，就可以生成所需的测试记录系统，而无需了解系统的具体结构，其功能模块如图4所示。

图4 系统功能模块图

数据存储区块子系统：通过对攻击数据与被攻击数据的采集，通过区块链的数字加密技术，存储至数据区块内。

P2P 网络管理子系统：管理系统内部网络与其他外部网络的通信。它由连接各子系统的网络及其通信协议组成。

数据分析处理子系统：完成传输数据的实时存取和显示，应用函数库处理试验数据。整个系统也包含日志反馈记录的子模块，并对整个系统的运转作出及时的反馈与记录。

2.3 基于区块链的访问控制

现有基于区块链的访问控制[4]研究主要包括基于交易进行策略、权限管理和基于智能合约进行访问控制两个方面，主流解决方案对应策略存储区块和策略直接写入智能合约两类。策略存储区块的工作把区块链当成访问控制中策略管理的数据库，同时引入一个可信的策略执行点和借助智能合约实现属性权威、策略管理点和策略决策点功能，使得用户可随时查看策略并利用智能合约保证策略决策被自动执行，可避免任何一方通过篡改策略实现未授权数据访问等欺诈行为。策略直接写入智能合约的工作借助智能合约自动执行的特性使得合约中的访问控制策略自动实施，同时利用区块链的不可篡改性、透明性和协商一致性原则，保证智能合约下策略决策的正确性、透明性和可审计性，如图5所示。

图5 基于区块链的访问控制

文中在构建网络靶场中利用区块链共识机制，让每个分布式节点实现高度一致以抵御外部恶意攻击，确保链上数据的有效性和真实性，实现局部节点在无信任的环境下，构建去中心化的可信系统[5]，通过运行在区块链上的访问控制来完成主控监控、网络异常侦测机制、攻击行为记录等一系列操作，系统流程图如图6所示。

图6 基于区块链的网络靶场访问行为控制系统流程图

主控监控对整个系统进行监控，其中包括对数据加密的监控，保证数据的公开；包括对数据存储区块的监控，保证存储的准确性；包括对P2P网络管理实施监控，保证网络的正常运行；包括对于新数据或修改、篡改数据进行主控监听，一旦发生上述事件，通过共识机制算法进行记录，并通过P2P网络进行广播至所有的节点；包括通过对数据分析的监控，保证分析算法的正常运行；包括对日志反馈存储的监控，保证存储的准确性。

网络异常侦测机制可以利用已知攻击行为特征作比对，过滤出网络蠕虫及已知攻击行为。当网络发生异常时，受感染或遭受入侵之主机会爆发大量的网络流量及产生对外攻击联机的特征，利用此特征与正常网络做比较找出异常，因此可以先找出网络流量或联机异常之主机，实时加以阻挡，避免让更大量的网络异常行为持续发生。在稳定的网络环境中观察平时网络状况，找出正常的网络流量及联机数，作为异常侦测的基准并观察出正常的行为模式，定出基准值及临界值，然而网络流量及联机数会因为时间不同，即有不同的呈现，所以本异常侦测机制的基准值及临界值会随着时间不同而改变，以动态方式呈现。当网络中网络流量或会话数目超出动态临界值时，这可能代表着新的蠕虫、阻断服务攻击、网络扫瞄等的异常发生，利用此异常所造成网络流量或会话数目增加的偏移值，找出异常发生的原因及IP 地址，另外，建立已知攻击行为特征比对系统，利用网络攻击行为会存在着某些可供辨识的特征，例如针对某个特定埠或利用某些特定网络的IP地址，过滤出网络蠕虫及已知攻击行为。

攻击行为记录通过数字签名加密存储至数据区块中，接着攻击行为触发行为侦测模组侦测攻击，漏洞模块模拟被攻击后所产生的效果，并根据攻击手段和技术的不同反馈不同的信息，向攻击者展示不同的效果，其特点是：在攻击过程中，攻击过程中通过反馈模块控制行为控制模块，评估攻击的优缺点，设定门槛，并将效果交互反馈到工坊效果分析模块，以适应不同的网络安全防范等级，控制难度；被攻击效果记录模块按照分工协作的不同，记录攻击信息，分类原始信息，跟踪攻击信息；DataFusion-Model可将收集到的攻击行为数据与系统接收攻击后所带来影响的资讯数据整合，并加以分析，以每篇为案例的详细攻防报告，作为之后学习的教学范本，并透过系统所使用的P2P网路传输报告。并最终通过加密算法更新至数据日志模块中。对于数据区块和数据日志区块，系统中的主控监听始终都在运转，一旦发生篡改或加入新数据时，数据修改便向数据区块请求验证，并通过节点广播至其余的节点，保证所有的节点都是公开信息的，除了私密的信息以外，并采用共识机制算法，对变化的数据进行记录，数据区块内容被更新，同时需要被融合的数据也通过P2P传输到数据模块中。

通过将区块链技术的加入，保证了原生系统在修改和添加上安全性的提高，同时，也使得了数据具有公开透明的效果，最终保证了系统的完整性。

3 结语

文中提出基于区块链的网络靶场访问行为控制系统，能够有效监测靶场中的各类网络访问行为，可有效支撑电力工控设备信息安全检测工作，保障测试结果的加密存储、不可篡改和不会丢失，对提升工控设备信息安全防护能力，保障电网安全稳定运行具有重要意义。如果将各个仿真环境进行互联，待私有链升级为联盟链后，将各个靶场作为联盟链的节点，可以实现靶场网络访问行为的审计，数据的异地存储，防止敏感信息泄露，进一步提升数据的安全性。