(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210369361.8 (22)申请日 2022.04.08 (71)申请人 湖南旗语科技有限公司 地址 410000 湖南省长 沙市经济技 术开发 区星沙产业基地蓝田北路1号星沙区 块链产业园401号 （集群注 册） (72)发明人 彭卓　黄楷杰　罗鸣俊　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/12(2022.01) G06F 21/55(2013.01) (54)发明名称 一种基于区块链技术的网络安全入侵检测 系统 (57)摘要 本发明公开了一种基于区块链技术的网络 安全入侵检测系统， 属于区块链技术领域， 包括 用户注册模块、 信息处理模块、 信息上链模块、 区 块链存储模块、 数据采集模块、 区块更新模块、 入 侵检测模块、 入侵溯源模块和入侵阻隔模块； 本 发明利用区块链中数据可追踪且数据不可篡改 的特点对节 点主机的节点身份信息、 主机系统日 志和网络 数据包进行加密存储， 从而有利于溯源 入侵来源， 进而有利于进行针对性的网络入侵阻 隔； 此外本申请基于多节点主机进行分布式协同 入侵检测， 通过利用不同节点主机的不同特征 库， 从而有利于提高入侵检测效率， 降低漏 报率， 并且通过相似性聚类分析针对未知状态的数据 进行识别， 有利于提高入侵检测准确率， 降低入 侵检测的误报率。 权利要求书2页 说明书4页 附图1页 CN 114826698 A 2022.07.29 CN 114826698 A 1.一种基于区块链技术的网络安全入侵检测系统， 其特征在于， 包括用户注册模块、 信 息处理模块、 信息上链模块、 区块链存储模块、 数据采集模块、 区块更新模块、 入侵检测模 块、 入侵溯源 模块和入侵阻隔模块； 所述用户注 册模块用于节点主机通过输入节点身份信息的方式进行身份注 册； 所述信息处理模块用于对所述节点身份信 息进行预处理， 所述预处理包括格式统一和 数据过滤； 所述信息上链模块用于利用哈希算法对预处理后的所述节点身份信 息进行加密处理， 形成节点初始区块， 并上传至所述区块链存 储模块； 所述数据采集模块用于采集主机系统日志和网络数据包， 并发送至所述信 息处理模块 进行预处理； 所述区块更新模块用于获取所述预处理后的主机系统日志和网络数据包， 并根据 所述 初始区块进行区块更新， 形成节点区块链； 所述区块链存 储模块用于存 储初始区块以及不断更新的节点区块链； 所述入侵检测模块用于对所述主机系统日志和网络数据包进行实时检测， 判断其是否 存在入侵行为， 得到入侵检测结果； 所述入侵溯源模块用于根据 所述入侵检测结果进行溯源处理： 若所述入侵检测结果显 示存在入侵行为， 则通过查找对应节点区块链获取其入侵节点信息； 所述入侵阻隔模块用于根据 所述入侵节点信 息对相应节点主机进行网络阻断处理， 以 保障网络通信安全。 2.根据权利要求1所述的一种基于区块链技术的网络安全入侵检测系统， 其特征在于， 所述节点身份信息包括节点 IP地址、 节点MAC地址、 节点端口号和节点 地理位置 。 3.根据权利要求1所述的一种基于区块链技术的网络安全入侵检测系统， 其特征在于， 所述信息处理模块还包括节点划分模块， 所述节点划分模块用于将所述主机系统日志和网 络数据包按来源进行对应主机划分， 以保证后续节点区块链所存储的信息与对应节点主机 一一对应。 4.根据权利要求1所述的一种基于区块链技术的网络安全入侵检测系统， 其特征在于， 所述节点区块链中的每个区块包括区块头和区块体， 所述区块头包括区块Time时间戳、 Nonce随机数、 前区块Hash值、 默克尔树根和当前区块Hash值， 所述区块体包括节点身份信 息、 主机系统日志和网络数据包。 5.根据权利要求1所述的一种基于区块链技术的网络安全入侵检测系统， 其特征在于， 所述入侵检测模块包括入侵检测组件、 聚类比对单元和检测处理单元； 所述入侵检测组件 设置于各个节点主机内部， 用于利用不同节点主机的特征库进行分布式协同入侵检测， 得 到分布式协同入侵检测结果， 所述分布式协同入侵检测结果包括正常、 异常和未知状态； 所 述聚类比对单元用于将处于未知状态的主机系统日志和网络数据包转换为特征向量， 并将 其与病毒 特征进行相似性聚类分析， 若满足相似度阈值， 则判断为入侵行为； 所述检测处理 单元用于将入侵检测组件和聚类比对单元识别的入侵行为反馈给入侵溯源模块， 同时将入 侵行为输送至区块链存 储模块进行存 储， 形成入侵特 征区块链。 6.根据权利要求1所述的一种基于区块链技术的网络安全入侵检测系统， 其特征在于， 所述入侵溯源模块还包括区块链解密单元， 其根据显示存在入侵行为的入侵检测结果查找权　利　要　求　书 1/2 页 2 CN 114826698 A 2对应节点区块链并对其进行哈希解密， 以获取入侵节点信息 。权　利　要　求　书 2/2 页 3 CN 114826698 A 3