本次组会汇报关于《基于DDQN的区块链APT攻击建模研究》的研究进展，从科研背景、科研问题、科研目的、实验结果等几个方面展开。

科研背景

• 随着区块链技术的发展与不断应用，许多涉及生产生活的服务使用区块链作为数据存储使用，这其中包含大量大型组织以及政务系统。同时，区块链相关发展规划也写入“十四五”规划之中，应用前景广阔。
• 区块链作为一种分布式存储系统，具有去中心化等特点，因此出现了大量跨网络部署的应用场景。然而，区块链系统由于涉及大量关键数据的存储，较容易遭APT攻击。其中，Fabric作为联盟链的代表，由于其智能合约存在由于外部访问引发的命令执行风险，APT攻击者可以利用一些漏洞获取组织的MSP证书，利用Chaincode可嵌入攻击的特性，对整个联盟链网络进行APT攻击，构建一条可靠的稳定通信信道，达到长期隐蔽的获取价值数据的目的，实现APT攻击。

科研问题

• 目前国内外关于区块链系统的安全性研究，主要针对信息安全传输方面研究居多，针对面向区块链的APT攻击研究较少。
• 传统的网络攻击建模方法往往依赖于专家知识和规则的手动定义，受到个人主观意见和经验的影响，存在一定的局限性，导致模型无法全面覆盖各种攻击情况和变化，并且需要大量的时间和资源。

科研目的

提出一种基于深度学习DDQN算法的区块链系统APT攻击图生成方法。将APT攻击路径生成建模为智能体通过与环境交互来学习最优行为策略的问题，深度强化学习可以通过学习和模拟攻击者的行为，更加准确高效的生成攻击路径，帮助区块链系统更好地应对复杂的APT攻击。

科研内容

实验结果

• 攻击图：

• 对比实验：

• 仿真实验：

这次组会主要介绍《基于DDQN的区块链网络攻击建模》研究进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景

• 随着区块链技术的发展与不断应用，许多涉及生产生活的服务使用区块链作为数据存储使用，这其中包含大量大型组织以及政务系统。同时，区块链相关发展规划也写入“十四五”规划之中，应用前景广阔。区块链作为一种分布式存储系统，具有去中心化等特点，因此出现了大量跨网络部署的应用场景。然而，区块链系统由于涉及大量关键数据的存储，较容易遭APT攻击。
• 其中，Fabric作为联盟链的代表，由于其智能合约存在由于外部访问引发的命令执行风险,APT攻击者可以利用一些漏洞获取组织的MSP，利用Chaincode可嵌入攻击的特性，对整个联盟链网络进行APT攻击，构建一条可靠的稳定通信信道，达到长期隐蔽的获取价值数据的目的，实现APT攻击。
• 深度强化学习通常用于解决决策问题，利用其进行网络攻击建模，可以模拟攻击者的行为，并预测可能的攻击路径和目标。有助于了解攻击者的行为模式，及时发现潜在的威胁，并采取相应的防御措施来保护网络安全。
• （Double Deep Q-Network）作为一种深度强化学习算法，通过解决DQN中的过估计问题，提高了收敛速度和稳定性，提高了决策的准确性，能够更好地处理高维状态空间，进一步改进了DQN算法的性能，适合于区块链这种较为复杂的环境

科研问题

• 关于区块链系统的安全性研究，主要针对信息安全传输方面研究居多，针对面向区块链的APT攻击研究较少。
• 建模方法往往依赖于专家知识和规则的手动定义，受到个人主观意见和经验的影响，存在一定的局限性，导致模型无法全面覆盖各种攻击情况和变化，并且需要大量的时间和资源

科研目的

提出一种基于深度学习的区块链系统APT攻击图生成方法。将APT攻击路径生成建模为智能体通过与环境交互来学习最优行为策略的问题，深度强化学习可以通过学习和模拟攻击者的行为，更加准确高效的生成攻击路径，帮助区块链系统更好地应对复杂的APT攻击。

研究内容

实验结果

本次组会汇报关于面向区块链网络攻击建模思路进展，从科研背景、科研问题、科研目的、研究内容等几个方面展开。

科研背景

1、Eclipse 攻击是一种会对区块链网络造成严重后果的攻击，它通过侵占区块链节点的路由表和网络连接通道将区块链节点“隔离”于正常网络之外。Eclipse 攻击能够改变受害节点所看到的网络交易历史，甚至完全控制整个区块链网络，从而进一步实施更多攻击行为。事实上，比特币和以太坊都易受到 Eclipse 攻击。
2、当前，区块链安全保护技术的研究主要侧重于数据完整性、用户隐私保护和可扩展性等方面，在网络攻击检测与防御方面研究较少。

科研问题

1、区块链网络层的Eclipse攻击流量较小，代表的是不平衡的数据，影响攻击检测精度。
2、Eclipse 攻击具有隐蔽性和并发性，目前仍然缺乏有效的实时检测手段以及相应的防御措施。

科研目的

1、分析 Eclipse 攻击流量特征，在此基础上完成以太坊Eclipse攻击实验，在真实的以太坊网络环境中完成攻击流量收集。
2、设计流量检测模型，利用ISMOTE算法处理流量数据不平衡的问题，提高模型实时检测的精度。
3、提出相应的防御策略，及时应对 Eclipse 攻击。

研究内容

1、用改进的合成少数过采样技术（ISMOTE）上采样算法，消除日食攻击流量样本分布不均匀对检测结果的干扰
2、利用CNN和Bi-LSTM从空间和时间序列的分布特征对日食攻击流量进行深度特征挖掘。同时，利用多头注意力机制将挖掘特征完全集成到混合特征中。

面向区块链的网络攻击建模研究

科研背景

随着区块链技术的迅猛发展，区块链系统的安全问题正逐渐暴露出来，针对区块链关键组件的新时代安全攻击正在出现，这些攻击非常复杂，可以造成巨大的不可挽回的损害，给区块链生态系统带来巨大风险。
攻击图作为一种网络攻击建模工具，可以可视化数据结构表示所有攻击场景，并作为风险分析、防御、检测和取证的基础，详尽的网络攻击图提供了网络安全态势的全方位视图，便于进行定量评估。

科研问题

网络攻击图的生成方法主要针对普通的网络攻击建模，针对区块链系统研究较少。
不同的网络攻击图生成方法有不同的优点，但不能够提供一个元模型来描述网络域的公共或共享特征，如区块链网络。

科研目的

基于Bigraph理论对区块链系统进行网络攻击建模，自动生成攻击图，开发一种执行安全评估和评价的方法，帮助区块链网络系统消除攻击的前提条件，从而挫败攻击。

研究内容

抽象区块链系统和网络攻击的共同特征，并使用Bigraph签名来构建自动生成攻击图的元模型。

<1>签名为BC系统定义了与攻击图相关的位置排序和链接排序：例如，位置排序可以指定在物理机器上安装共识算法，并且该机器位于参与块创建、投票和存储的验证节点的安全区域内，而链接排序可以指定共识机器有三个端口，分别对应会员模块、智能合约模块和分布式账本模块。

<2>使用代理建模配置：代理是一个裸Bigraph，也就是说，它没有站点，作为系统配置的启动状态。使用代理建模配置,该配置提供了关于要分析的BC系统的详细信息，包括参与者之间连接的网络拓扑和网络元素的配置。

<3>用反应规则建模攻击模板和攻击者行为：反应规则描述了BC系统的动态行为，特别是从攻击的角度。例如，反应的redex表示具有用户权限的攻击，reactum表示该攻击获得根权限。将攻击概率和漏洞危害程度引入规则中。攻击模板表示一般的或假设的攻击，包括条件，如操作系统版本，这些条件必须保持才能进行攻击。

<4>BRS生成攻击图：利用匹配算法中的Term语言进行Bigraph模式匹配，并进行了Bigraph仿真。匹配过程确定在特定的Bigraph A中存在一个反应规则r的redex，并用reactum替换该redex，得到一个新的Bigraph A。

本次组会将对更改后的开题报告方向进行简要介绍。

题目：面向区块链的网络攻击建模研究

科研背景：

• 网络攻击建模技术可通过对网络安全警报日志进行融合及关联关系分析，生成网络攻击图，发现网络攻击的特点和规律，提高应对各种突发网络攻击事件的能力。
• 启发式过程挖掘算法通过引入频率计算解决了传统过程挖掘算法无法处理噪声数据的问题，在输入日志数量较大时有着优异的挖掘效果，由于网络攻击入侵者的攻击策略与工作流特征十分相似，因此可以将过程挖掘技术应用在攻击

科研问题：

• 现有的网络攻击建模算法，主要基于警报关联或聚类。基于警报关联的网络攻击建模算法依赖人工输入先验数据，当日志规模增大时，难以生成攻击模型。聚类算法则通过聚类规则，自动关联警报并保存在相应的数据结构中，无需人工输入先验数据，但存在生成的网络攻击图完备性不足的问题。
• 启发式过程挖掘方法能够有效挖掘日志中包含的具有规律性的攻击模式。然而，为保证攻击模型的完备性，所建立的网络攻击图复杂度较高，图几乎无法进行人工分析。

研究框架：

• 网络安全日志预处理: 对原始网络安全日志进行数据清洗、格式转换等操作，去除噪声与冗余，对日志数据进行分组和聚合，转换为过程挖掘算法所需数据格式。
• 网络攻击图生成: 使用启发式过程挖掘算法，将日志警报数据融合为入侵者的攻击模式数据，建立网络攻击图。
• 网络攻击图分割: 通过图分割算法，在保留原网络攻击图的攻击步骤信息的同时，将复杂度高的网络攻击图分割成复杂度低，可读性强的网络攻击子图。

基于子图的以太坊异常交易检测

科研背景

• 区块链在金融领域有广泛的应用，但也吸引了越来越多的网络犯罪。最近，网络钓鱼欺诈已成为区块链安全的一个主要威胁，需要制定有效的监管策略。目前，网络科学已被广泛应用于以太坊交易数据的建模中，进一步引入了网络表示学习技术来分析交易模式。
• 图挖掘技术作为一种常用的工具，可以有效地表示账户之间的交互信息，将异常交易检测转化为图的分类任务，完成异常交易识别的任务。然而，现有的方法无法平衡可伸缩性和端到端架构，导致高计算消耗和弱的特征表示。

科研问题

• 现有的交易异常检测方法主要利用图表示学习技术生成账户特征向量，并通过下游的机器学习分类器进一步实现交易异常检测。然而，这些方法并没有实现端到端架构，因此无法学习与任务相关的特性。
• 虽然图卷积网络通常是通过端到端来实现的，但大多数网络的可伸缩性较差。

科研目的

• 将异常交易检测作为一个图的分类任务，利用图卷积神经网络实现端到端的异常交易检测。
• 将交易网络图进行子图采样，提高卷积神经网络的可伸缩性。

整体思路

构建了一个轻量级的以太坊交易网络，并提取了收集到的网络钓鱼账户的交易子图。然后，采用一种基于切比雪夫-GCN的端到端检测模型来精确区分正常账户和异常用户，实现异常交易检测。

本次介绍的是自己对于基于联邦学习的异常流量检测的一些想法。

一、科研背景

随着网络技术的快速发展，各式各样的新型恶意攻击不断出现。网络异常流量检测是抵御恶意攻击、保护网络可用性和隐私安全的重要手段,对于维护网络安全有着至关重要的作用;
利用深度学习进行异常检测引起了广泛的研究，性能较好的深度学习模型的建立需要大量的数据样本。然而单一网络域内面临着数据不足、标注能力不够、且原始流量数据可能泄露域内的敏感信息和用户数据,因此难以训练出性能较好的异常检测模型。

传统的集中式模型训练方法需要用户将数据上传到服务器中，在服务器端实现数据收集、存储、模型训练，无法保证用户的数据隐私。联邦学习作为一种新的、隐私安全的机器学习框架,可以在各方不汇聚隐私数据的基础上共同训练模型。

二、科研问题

1、异常流量数据样本少，传统的集中式学习易造成用户隐私泄露。
2、参与联邦学习的用户数据量不平衡，容易造成较大的隐私预算。

三、科研目的

1、利用联邦学习框架解决网络流量样本少的问题；
2、针对客户端之间的不平衡数据，利用一种基于差分隐私的联邦学习(DP-FL)框架，设计了一种新颖的差分隐私卷积神经网络，采用自适应梯度下降(DPAGD-CNN)方法对新对每个用户的模型参数进行更新，提高隐私保护的性能。

四、研究内容

1、总体框架图

2、用户模型参数更新：

3、全局模型更新

本次组会主要介绍阅读到的一种建筑能耗异常检测的方法

将从以下几个方面展开介绍：

科研背景、科研问题、科研目的、方法、将来的工作、个人思考与总结

科研背景：

（1）全世界的建筑贡献约占总能源消耗的三分之一。研究报告称，由故障和设备使用异常引起的能源消耗异常浪费了高达20%的能源。

（2）实时检测这种异常并识别异常设备可以节省12%以上的能源。

科研问题：

（1）不能实现实时检测异常，不能及时反馈给用户。
（2）只能检测异常不能识别异常设备。

科研目的：

提出一种近实时的异常检测技术，通过使用现成的设备的额定功率来识别异常设备。

方法：

整体步骤：首先，它利用历史能源数据和上下文信息来预测目标日的能源消耗。其次，如果预测的能耗与实际能耗存在显著差异，则标记为异常。最后，通过比较预测的能耗和实际能耗与家用电器的额定能耗之间的差异，来识别异常电器。

将来工作

（1）不同的设备可能存在相同的设备额定功率，因此利用设备额定功率以及设备时间序列功率信号共同来实现异常设备的识别；

（2）Rimor不能区分可操作和不可操作的异常，因此计划使用主动学习方法来区分异常。

个人思考与总结

（1）没有实现复现，继续实现

（2）需要阅读更多的文献