基于网络空间测绘技术面向区块链的P2P网络攻击检测研究

科研背景

网络空间测绘技术是用于分析和描述网络环境的技术，旨在获取关于网络拓扑结构、网络流量、网络漏洞、网络威胁等信息的数据，以便更好地了解和管理网络空间。这些技术有助于网络安全、网络性能优化、网络规划和网络治理等领域的工作。

随着网络的不断发展以及用户对网络使用需求的急剧增长，网络规模不断扩大、网络空间趋于复杂。同时，了解网络是网络攻击检测的重要前提。通过网络空间测绘技术，如图论分析和流量分析等方法，对网络的拓扑结构和流量特性进行深入分析，为我们提供了深刻的网络背景信息。这些信息不仅有助于加强网络的安全性，还能帮助我们实现对网络攻击检测和应对潜在的威胁

以太坊是一种去中心化的区块链平台，通过P2P网络连接全球节点，允许智能合约和分布式应用的开发和部署。然而，这种去中心化特性也带来了一些潜在的网络安全威胁，如Eclipse攻击。攻击者旨在隔离特定节点，使其无法访问或与正常的区块链网络进行通信，从而对网络的稳定性和安全性构成威胁。

由于以太坊网络的特性和价值，对其进行网络空间测绘以进行网络攻击检测是很有意义的研究领域。通过这种技术，我们可以更好地了解以太坊网络的结构和行为模式，发现可能的安全风险，检测可能的安全事件，以及找到提高网络效率的方法。此外，它还可以为网络管理员和参与者提供重要的工具，以便更好地了解和管理网络空间。

科研问题

现有以太坊Eclipse攻击检测方法的特征设计上仅仅考虑了信息熵和统计特征两种类型的特征，未选取更多元的特征，并不能够充分代表网络的复杂性和节点之间的关系，因此，单一类型的特征无法捕捉到所有可能的攻击模式。
现有的Eclipse攻击检测方法存在网络流量数据中时间序列性质处理能力不足的问题
以太坊Eclipse攻击检测的研究较少，采用传统的随机森林方法对以太坊Eclipse攻击检测，存在误报率和漏报率高的问题，无法准确地识别恶意节点。

科研目的

通过问题分析，拟开展基于网络空间测绘技术面向区块链的P2P网络攻击检测研究。首先，利用网络空间测绘技术对以太坊网络的拓扑结构和流量特征做分析，提取网络背景信息。其次，利用基于Bi-LSTM的多头注意力机制Eclipse攻击检测模型以及基于图注意力网络堆叠集成的Eclipse攻击检测模型实现对以太坊Eclipse攻击检测的目标。

针对现有方法在特征设计上的局限性，引入Wireshark、CICFlowMeter来实现多元化的流量特性提取；引入图论分析，分析P2P网络的拓扑结构，实现更多元的特征提取
提出基于Bi-LSTM的多头注意力机制Eclipse攻击检测方法
提出基于图注意力网络堆叠集成的Eclipse攻击检测方法

基于网络空间测绘技术面向区块链的P2P网络资产探测研究

科研背景

网络空间测绘是一种技术，可以帮助我们理解并管理复杂的网络环境。它涉及收集网络中的数据，并以有组织和可视化的方式表示这些数据。网络空间测绘技术可以用于诸如网络发现、资产管理、安全分析等任务。

随着网络的不断发展以及用户对网络使用需求的急剧增长，网络规模不断扩大、网络空间趋于复杂。通过网络空间资产探测，可以及时发现潜在的安全风险，避免被不法之徒攻击。国家把网络空间安全概念已提升到一个重要的层次，更加显示了网络空间安全。在网络攻防对抗中，首先得了解网络，要了解网络空间，就需要对网络空间进行资产探测。

网络空间资产探测技术作为网络安全的重要基础技术，是通过主动或被动探测的方法，来绘制网络空间上设备的网络节点和网络连接关系图，为网络设备进行画像。

以太坊是一种开源的区块链平台，以其智能合约功能和自定义的加密货币以太币闻名。它在加密货币社区中有着广泛的应用和影响力。然而，以太坊的P2P网络结构使得它变得相对难以追踪和监控。P2P网络，或点对点网络，是一种网络模型，其中所有参与者都被视为等同的节点，没有中央服务器或管理体。这种分布式网络架构使得以太坊在效率和抗审查性上都有一定的优势，但同时也对网络安全性和网络资产管理带来了挑战

由于以太坊网络的特性和价值，对其进行网络空间测绘以进行资产探测是很有意义的研究领域。通过这种技术，我们可以更好地了解以太坊网络的结构和行为模式，发现可能的安全风险，以及找到提高网络效率的方法。此外，它还可以为网络管理员和参与者提供重要的工具，以更有效地管理和利用他们的网络资产。

科研问题

以太坊P2P网络中的资产可以用哪些参数和指标来描述，并如何探测？需要明确哪些参数和指标可以用来描述以太坊网络中的资产。例如网络节点数量、分布、类型、状态等以及账户数量、类型、状态等。

通过网络空间测绘技术检测到哪些安全事件？使用网络空间测绘技术进行资产探测可能会揭示一些潜在的安全风险，例如可能被攻击的网络节点。
网络层：Eclipse攻击检测
应用层：钓鱼诈骗检测

研究内容

实验结果

基于网络空间测绘技术面向区块链的P2P网络资产探测研究

科研背景

习近平总书记指出“要全面加强网络安全检查，摸清家底，认清风险”，强调“全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”。建设网络强国，必须要全面摸清网络空间资产的数量、状态、类型、分布及相互关系等，形成对网络空间的动态感知、精准画像、快速定位的能力，从而为态势预警、信息管控、反恐维稳等提供技术保障。
客户端/服务器模式（C/S）常规网络vs 点对点（P2P）网络

科研问题

（1）如何实现以太坊P2P网络资产的探测？（数量、分布、类型、状态等）
（2）如何高效准确的监控网络层所遭受的攻击并做出预警？

科研目的

通过实现对网络空间资产的探测，可以全面掌握关键资产的数量、分布、类型、状态、属性等情况，有利于及时全面掌握网络防护目标的安全态势，也是实施区块链网络空间防御、掌握战略主动权的前提和基础。

研究内容

自身节点的状态（系统、网络、数据库、交易的状态）

以太坊中节点的状态（是否遭受网络攻击）

基于网络空间测绘技术面向区块链的P2P网络资产探测研究

科研背景（1/2）

习近平总书记指出“要全面加强网络安全检查，摸清家底，认清风险”，强调“全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”。建设网络强国，必须要全面摸清网络空间资产的数量、状态、类型、分布及相互关系等，形成对网络空间的动态感知、精准画像、快速定位的能力，从而为态势预警、信息管控、反恐维稳等提供技术保障。
国内：我国在网络空间测绘方向进行了相关的部署和研究。公安部第一研究所设计研发的“网络资产测绘分析系统”（简称网探D01），通过收集互联网资产数据及指纹，实现网络空间资产检索、分析、监控，结合漏洞、厂商信息等威胁情报，开展漏洞统计分析工作，旨在为国家重点行业、部门提供全面的网络资产安全态势，使其更好地应对威胁关键信息基础设施的网络攻击事件。另外，国内网络空间测绘方面也有几款新型的网络资产搜索引擎，例如有“钟馗之眼”之称的ZoomEye，可以识别网络空间中包括路由器、交换机、网络摄像头、网络打印机、移动设备在内的30余种网络终端设备；再如Fofa，积累了包含1.6亿数据的网络空间资产基因库，覆盖网络地址、端口号、服务、操作系统、网络协议等网络组件。
国外：美国等西方国家近年来也高度重视网络空间相关技术。自2010年发生以“震网”为代表的瞄准工业控制系统的网络攻击事件以来，美国就开始着力绘制网络空间地图。2012年启动的“X计划”项目，主要目标之一就是建立一幅完整的全球计算机分布图，以详细描绘整个网络空间。2013年斯诺登曝光美国国家安全局和英国政府通信总部共同谋划了网络空间“藏宝图计划”，其目标是构建近乎实时交互的全球互联网地图，通过对网络上实时连接的智能手机、平板和台式电脑进行定位，实现对整个互联网的监视。

科研背景（2/2）

区块链系统的一个重要组成部分是作为通信基础设施的点对点（P2P）网络。
P2P 网络与传统的集中式客户端/服务端模式比较，最大的优点就是数据资源的共享在网络节点之间直接进行。由于 P2P 技术不需要中央控制服务器的参与，整个文件交换过程没有其他因素干预。该技术的去中心化的特性导致 P2P 网络中传输的资源难以被追踪监管，极易诱发盗版文件、病毒侵害、传播非法内容等网络安全问题。
目前人们对各种加密货币的P2P网络和块传播机制进行了广泛的研究。例如对比特币网络中信息传播的研究，对比特币P2P网络攻击的分析、对MoneroP2P网络的测量等研究，也都集中在系统的安全性上。
以太坊的发展势头推动了许多应用层的研究，如区块和事务记录的跟踪、智能合约代码分析或对智能合约的攻击。然而，探测其底层P2P网络的研究却很少。

科研问题

以太坊用于传输其事务和区块的P2P网络对系统的效率和安全性有很大影响。目前对以太坊的探测和分析大多基于应用层，忽略了对底层P2P网络的探测和分析，并不能掌握关键资产的数量、分布、类型、状态、属性等情况。（问题）
（1）在以太坊主网络上实现P2P网络资产的探测和分析（数量、分布、类型、状态、属性等）
（2）测量以太坊网络中的拓扑并分析
开展区块链网络空间数字资产主动检测，全面掌握网络空间数字资产的安全态势，是实施区块链网络空间防御、掌握战略主动权的前提和基础。通过网络空间资产检测，可以全面掌握关键资产的数量、分布、类型、状态、属性等情况，构建网络空间资产信息数据库，有利于及时全面掌握网络防护目标的安全态势。

研究现状

以前许多关于分析和测量P2P网络的工作都集中在文件共享系统上，如BitTorrent和Gnutella； 这些度量方法不能应用于区块链系统，因为它们利用了特定于相关文件共享系统的协议。
目前的以太坊区块链研究专注于区块和事务记录的跟踪以及合约层的攻击分析、，忽略了对底层P2P网络的分析和表征。
此外，现有针对比特币的P2P网络提出的分析方法并不适用于以太坊，因为以太坊使用Kademlia DHT结构管理其P2P网络，这与比特币区块链采用的非结构化P2P网络有根本性的不同。
有少数人研究了以太坊P2P网络的一些特性，以太坊P2P网络的规模、节点间的时延分布和节点的地理分布。 而对以太坊P2P网络中节点的状态和以太坊P2P网络拓扑结构分析的研究实际上很少。

研究内容

对以太坊网络各个阶段抓取数据并分析

基于网络空间测绘技术面向区块链的P2P网络资产探测研究

科研背景

国内：习近平总书记指出“要全面加强网络安全检查，摸清家底，认清风险”，强调“全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”。建设网络强国，必须要全面摸清网络空间资产的数量、状态、类型、分布及相互关系等，形成对网络空间的动态感知、精准画像、快速定位能力，从而为态势预警、信息管控、反恐维稳等提供技术保障。

国外：美国等西方国家近年来也高度重视网络空间相关技术。自2010年发生以“震网”为代表的瞄准工业控制系统的网络攻击事件以来，美国就开始着力绘制网络空间地图。2012年启动的“X计划”项目，主要目标之一就是建立一幅完整的全球计算机分布图，以详细描绘整个网络空间。2013年斯诺登曝光美国国家安全局和英国政府通信总部共同谋划了网络空间“藏宝图计划”，其目标是构建近乎实时交互的全球互联网地图，通过对网络上实时连接的智能手机、平板和台式电脑进行定位，实现对整个互联网的监视，形成对全球多维度信息由主动探测、大规模高价值数据获取与分析能力。显然，谁的网络空间测绘能力最强，谁掌了网络空间地图，谁就能指点全球网络空间的万里江山。

区块链的点对点（P2P）网络用于传输其事务和区块，对系统的效率和安全性有很大影响。因此，流行的区块链的P2P网络拓扑结构，如比特币和以太坊，值得我们高度关注。目前的以太坊区块链研究专注于区块和事务记录的追踪（如Etherscan），但忽略了底层P2P网络的特征。（问题）
点对点（P2P）网络作为通信基础设施是区块链系统的一个重要组成部分。区块链的节点通过P2P网络发送和接收包含事务和区块的消息，以实现分布式共识。区块链系统的运行性能和稳定性受到消息转发协议、节点发现协议和其底层P2P网络拓扑结构的影响。

科研问题

以太坊用于传输其事务和区块的P2P网络对系统的效率和安全性有很大影响。目前的以太坊区块链探索者专注于区块和交易记录的追踪，但忽略了底层P2P网络的特征，并不能掌握关键资产的分布、类型、属性等情况。（问题）
（1）提出节点发现机制，在以太坊主网络上实现P2P链路的发现；
（2）提出资源发现机制，在以太坊主网络上实现P2P资源的发现；
（3）测量以太坊网络中的拓扑并分析其P2P网络的拓扑特征。
开展区块链网络空间数字资产主动检测，全面掌握网络空间数字资产的安全态势，是实施区块链网络空间防御、掌握战略主动权的前提和基础。通过网络空间资产检测，可以全面掌握关键资产的分布、类型、属性等情况，构建网络空间资产信息数据库，有利于及时全面掌握网络防护目标的安全态势。

科研现状

以前许多关于分析和测量P2P网络的工作都集中在文件共享系统上，如BitTorrent和Gnutella； 这些度量方法不能应用于区块链系统，因为它们利用了特定于相关文件共享系统的协议。
目前的以太坊区块链研究专注于区块和事务记录的跟踪（如EtherScan)，忽略了对底层P2P网络的分析和表征。
此外，现有针对比特币的P2P网络提出的分析方法并不适用于以太坊，因为以太坊使用Kademlia DHT结构管理其P2P网络，这与比特币区块链采用的非结构化P2P网络有根本性的不同。
有少数人研究了以太坊P2P网络的一些特性，包括以太坊P2P网络的规模、节点间的时延分布和节点的地理分布。 然而，对以太坊网络拓扑结构还没有做出任何结论。 到目前为止，对以太坊P2P网络中节点度的度量和基于度分布的以太坊P2P网络拓扑结构分析的研究还很少。

科研点1-以太坊节点发现

协议改进

整体流程

区块链网络中数字资产的探测调研

科研背景

国内：习近平总书记指出“要全面加强网络安全检查，摸清家底，认清风险”，强调“全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”。建设网络强国，必须要全面摸清网络空间资产的数量、状态、类型、分布及相互关系等，形成对网络空间的动态感知、精准画像、快速定位能力，从而为态势预警、信息管控、反恐维稳等提供技术保障。
国外：美国等西方国家近年来也高度重视网络空间相关技术。自2010年发生以“震网”为代表的瞄准工业控制系统的网络攻击事件以来，美国就开始着力绘制网络空间地图。2012年启动的“X计划”项目，主要目标之一就是建立一幅完整的全球计算机分布图，以详细描绘整个网络空间。2013年斯诺登曝光美国国家安全局和英国政府通信总部共同谋划了网络空间“藏宝图计划”，其目标是构建近乎实时交互的全球互联网地图，通过对网络上实时连接的智能手机、平板和台式电脑进行定位，实现对整个互联网的监视，形成对全球多维度信息由主动探测、大规模高价值数据获取与分析能力。显然，谁的网络空间测绘能力最强，谁掌了网络空间地图，谁就能指点全球网络空间的万里江山。

区块链技术具有可靠的信息交互、完整的数据存储、可信的节点认证等安全性优势，因而为网络安全提供一种崭新的安全防护思路和模式，将传统网络边界式防护转变成全网络节点参与的安全防护新模式，通过分布式的节点共识机制来抵抗恶意节点的攻击，在网络安全领域具有极大的应用潜力。
只是，现阶段区块链技术还不够成熟，区块链系统仍然存在许多安全隐患和漏洞，而且硬件设施落后也是现阶段的一个难点，因此在下一步区块链应用推进中，关键是要加强基础设施的建设，以及加强区块链的监管和安全技术的研究和实践，推动区块链应用的稳步发展，充分发挥区块链技术的安全优势，有效提升网络安全防护水平，才能更有效的使区块链市场良性发展。

科研问题

目前对网络空间资产探测的方法都是基于常规网络，并未有方法实现对区块链网络中的资产进行探测。
对于区块链中网络空间资产的探测，不再是实体资产的探测，而是针对数字资产的探测，基于区块链系统而存在的数字资产具有无形性、加密验证机制、使用分布式账本、去中心化、共识算法等典型特征，这使其显著区别于传统网络虚拟财产和实体资产。因此对于区块链网络空间中的资产探测有一定的差异和难度。

科研目的

开展区块链网络空间数字资产主动检测，全面掌握网络空间资产的安全态势，是实施区块链网络空间防御、掌握战略主动权的前提和基础。
特别是在大规模网络管理中（区块链），通过网络空间资产检测，可以全面掌握关键资产的分布、类型、属性等情况，构建网络空间资产信息数据库，有利于及时全面掌握网络防护目标的安全态势。
帮助我们发现“风险资产”（例如未知、非法访问网络、长期无人管理的资产等），此外，在发现新漏洞的第一时间，还可以将漏洞信息与资产信息进行关联，分析漏洞的范围，为漏洞修复的实施提供准确的目标定位，实现快速响应。

架构

节点大小：发起交易频率
节点颜色：区块链分为多个子社区
边的颜色：颜色越深，说明二者交易越频繁

以太坊交易中的异常用户检测

科研背景

以太坊是全球最大的区块链网络之一。 其自身特性在其他加密货币中独树一帜，得到了更广泛的关注。由于匿名性，在这个庞大的网络中识别异常是一个挑战。 传统的基于机器学习的技术，如单类支持向量机和隔离森林，由于在获取以太坊事务中节点间或账户关系信息方面的局限性，在识别以太坊事务中的异常方面有很大的局限性。以太坊事务可以使用属性图有选择性地表示，该属性图具有捕获相互依赖关系的节点和边。

科研问题

如何检测以太坊中的异常交易并识别出异常用户？

方法

基于比特币交易混合服务中的异常用户检测

作为第一个去中心化点对点加密货币系统，比特币近年来变得越来越流行。然而，比特币的 P2P 和匿名性质使得该平台上的交易非常难以追踪，从而引发了比特币生态系统中各种非法活动的出现。特别是，比特币中的混合服务，最初旨在增强交易匿名性，但目前已被广泛用于洗钱，被盗的比特币通常需要通过混合服务清洗成“干净”的比特币，然后兑现。如BitcoinLaunder、HelixMixer、BitcoinFog等都参与了这一洗钱过程，并被视为隐藏比特币非法利润的重要工具，使追踪非法资金的过程复杂化。

框架

基于决策树的自动编码网络的异常能耗检测方法

文献来源

（1）Himeur, Yassine, et al. “A novel approach for detecting anomalous energy consumption based on micro-moments and deep neural networks.” Cognitive Computation 12.6 (2020): 1381-1401.
（2）Himeur, Yassine, et al. “Smart power consumption abnormality detection in buildings using micromoments and improved K‐nearest neighbors.” International Journal of Intelligent Systems 36.6 (2021): 2865-2894.
（3）Aguilar D L, Perez M A M, Loyola-Gonzalez O, et al. Towards an interpretable autoencoder: A decision tree-based autoencoder and its application in anomaly detection[J]. IEEE Transactions on Dependable and Secure Computing, 2022.

科研背景

选择SVM方法时：
DRED数据集准确率和F1-分数达到97.41%
QUD数据集准确率和F1-分数分别达到67.9%和44.59%，均不足70%

选择DNN和KNN方法时：

效果较好，但数据集还有可考虑的属性，例如：温度，湿度，季节等。

方法：

结果

本次组会介绍论文《Smart power consumption abnormality detection in buildings using micromoments and improved K‐nearest neighbors》，主要从以下方面介绍：

介绍理由：

对现有功耗异常检测方案的分类进行全面概述
收集新的异常检测数据集（QUD）
提出了一种使用 OCSVM (UAD-OCSVM) 的新型无监督异常检测方 法
提出了一种使用微矩 (SAD-M2) 的新型监督异常检测，它使用 IKNN模型来学习使用微矩范式定义的消耗异常。（IKNN，与传统的 KNN 和其他 ML 方法相比，它可以提高异常检测性能，并且可以进一步减少计算时间。）

科研背景：

目前存在的相关研究方法有各自的优点，但它们也显示出不同的缺点和局限性。
明确地，在能耗中检测用电异常会遇到以下问题和挑战：
缺乏对正常和异常能源使用的精确定义；
正常和异常能源消耗行为之间没有明确的界限；
缺乏带标签的数据集；
使得电力异常检测解决方案的开发成为一项具有挑战性的任务。

科研问题：

如何识别电气设备中的能源异常消耗？
解决此科研问题原因：
能源消耗异常检测是开发高效节能系统、减少整体能源消耗和减少碳排放的关键一步。实现能源消耗异常检测这一目标并告知最终用户他们的能源消耗足迹，并为他们提供改善习惯的建议。在这种情况下，节能有助于促进可持续行为，也有助于减少总能源消耗

方法：

1.OCSVM（无监督）

2.SAD-M2（有监督）

结论：