anshul77480/Block-Spark
GitHub: anshul77480/Block-Spark
BlockSpark 是一个结合机器学习异常检测、后量子签名与区块链锚定的企业内部威胁检测和防篡改审计平台。
Stars: 0 | Forks: 0
# BlockSpark — 系统安全手册与平台文档
**文档类别:** 系统架构与运维手册
**项目:** BlockSpark 内部威胁情报平台
**目标活动:** FinSpark'26 · 印度浦那 COEP 科技大学
**状态:** 发布就绪 (POC)
## 1. 执行摘要
BlockSpark 平台是一个企业级安全情报解决方案,旨在缓解金融机构内部的威胁向量。传统的安全日志存储容易受到 root 数据库管理员或特权攻击者的破坏,他们可以直接修改数据库行来掩盖其踪迹。
BlockSpark 建立了一个无信任审计追踪机制。通过结合实时的机器学习行为异常检测、后量子密码学 (PQC) 以及不可篡改的区块链账本锚定,该平台使未经授权的数据库修改变得可立即检测和审计。
## 2. 核心安全工程流水线
系统中生成的每一条日志都会经过一个五阶段的处理流水线,以确保行为得到安全地分析、签名和锚定:
### 2.1 行为分析(机器学习)
- **模型:** 一个在历史基线向量上训练的 Isolation Forest 异常检测模型。
- **特征:** 集成了用户个性化特征(追踪每个用户操作频率、记录量和传输字节数的 z-score)以及周期性时间编码(`hour_sin` / `hour_cos`),以识别偏离标准用户习惯的行为。
- **校准:** 将基于规则的威胁标记(非工作时间、批量导出、日志破坏)与 ML 异常评分以 50/50 的比例混合,生成校准后的风险评分 (0-100)。
### 2.2 后量子密码学签名 (PQC)
- **算法:** 实现了符合 FIPS 204 标准的 **ML-DSA (Crystals-Dilithium)** 格签名方案。
- **执行:** 在数据接入期间,后端会计算事件的 SHA-256 哈希值,使用平台的私钥对其进行签名,并将签名和公钥元数据直接附加到记录中。这可以防止未来量子计算机进行的历史解密攻击。
### 2.3 不可篡改的账本锚定
- **机制:** 规范化 JSON 日志的 SHA-256 哈希值使用 Web3.py 锚定在智能合约 (`AuditLog.sol`) 上。
- **兼容性:** 针对利用 PoA 中间件配置的零 gas 私有链(如 Hyperledger Besu)进行了优化。
### 2.4 实时数据库防篡改检测
- **基准验证:** 应用程序不断将本地数据库记录的 SHA-256 哈希值与锚定在区块链上的不可篡改交易哈希值进行比较。
- **响应:** 任何列修改(例如,更改用户名或减少 SQLite/PostgreSQL 中的记录数)都会触发不匹配,并在仪表盘上显示自动警告提醒块。
## 3. 平台设置与运维指南
### 3.1 开发者沙盒环境
要编译智能合约、初始化虚拟环境、植入正常基线、训练 Isolation Forest 并启动本地服务:
```
# 安装必需的依赖
make install
# 启动完整的 stack(chain + API + frontend)
make run
```
通过以下凭证访问控制台 **`http://localhost:3000`**:
- **用户名:** `admin` | **密码:** `admin123`
- **MFA Token 种子:** `JBSWY3DPEHPK3PXP`(用于 Google Authenticator)
### 3.2 生产子网集成 (Besu 节点)
要部署指向外部 Hyperledger Besu 网络的后端和前端,请在您的 `backend/.env` 文件中配置环境变量:
```
RPC_URL="http://:8545"
CONTRACT_ADDRESS="0x"
CHAIN_PRIVATE_KEY="0x"
CHAIN_ENABLED=true
EXTERNAL_CHAIN=true
SKIP_CHAIN_WAIT=true
```
然后,执行启动目标:
```
make up
```
## 4. 威胁场景演示套件
该平台包含五个预设场景,用于测试安全引擎的检测能力。您可以在终端中触发它们:
* **`make scenario-normal`**
模拟正常的柜员查询和记录查看。预期输出:**低风险 (0-39)**。
* **`make scenario-negligent`**
模拟用户在没有相应工单 ID 的情况下导出记录。预期输出:**中风险 (40-69)**。
* **`make scenario-compromised`**
模拟用户从新设备和不可能的地理位置登录。预期输出:**高风险 (70-100)**。
* **`make scenario-malicious-exfil`**
模拟批量下载敏感财务记录。预期输出:**高风险 (70-100)**。
* **`make scenario-malicious-destroy`**
模拟管理员执行日志删除命令。预期输出:**高风险 (70-100)**。
## 5. 未来展望与生产路线图
* **深度预测性分析与 AI 序列追踪:** 从最初的轻量级 Isolation Forest 模型过渡到完整的 **LSTM 或 Transformer 神经网络**,以映射随时间变化的复杂时间序列行为。这将使系统能够捕获银行网络中隐蔽的横向移动和权限提升模式,而这些模式往往被扁平规则完全忽略。
* **图神经网络 (GNN) 智能分析:** 集成图数据库追踪(如 Neo4j)以构建实时的资产-用户关系模型。当用户试图触及他们无权探查的基础设施资源区域时,引擎将基于图距离路径的变化动态标记异常。
* **企业级后量子密码学迁移:** 不再仅仅将 ML-DSA (Dilithium) 用于事件日志和签名。引入 **ML-KEM (Kyber-768/1024)** 进行完整的密钥封装,以全面保护归档的用户配置文件、数据库备份和中央凭证存储池,抵御未来量子数据采集的威胁(“现在窃取,日后解密”)。
* **服务端水印注入:** 取代客户端的 canvas/CSS 视觉覆盖层,以确保具有一定技术背景的内部威胁无法通过在 DevTools 中删除浏览器 DOM 元素来绕过系统。未来的架构将直接从后端服务器空间,向受保护的文档和图像流中动态注入不可更改的、唯一的元数据标记。
* **自动化 CCTV 与网络摄像头分析:** 将数据可见性控制门连接到边缘 AI 摄像头处理器。如果在操作员的直接安全区域内检测到物理智能手机摄像头镜头或未经授权的旁观者,终端应用程序将自动模糊敏感的屏幕内容或立即触发会话阻断。
* **跨金融机构的联邦学习:** 利用隐私保护的联邦学习,在不同的银行子网络或独立的主权金融实体之间协作训练行为和操作安全模型,在不暴露私人客户银行元数据的情况下优化威胁签名。
* **银行间区块链网络联盟:** 将本地私有账本实例扩展为连接印度主要银行机构的安全联盟区块链网络。这将创建一个防篡改的、共享的受损内部访问模式注册表,以瞬间阻止试图在不同机构边界之间跳跃的威胁向量。
*BlockSpark · 技术运营与系统安全团队 · FinSpark'26*
标签:C2, 内部威胁检测, 区块链, 后量子密码学, 孤立森林, 审计日志, 测试用例, 行为异常分析, 逆向工具, 风险评分