CN108737336A - 基于区块链的威胁行为处理方法及装置、设备及存储介质 - Google Patents
基于区块链的威胁行为处理方法及装置、设备及存储介质 Download PDFInfo
- Publication number
- CN108737336A CN108737336A CN201710253620.XA CN201710253620A CN108737336A CN 108737336 A CN108737336 A CN 108737336A CN 201710253620 A CN201710253620 A CN 201710253620A CN 108737336 A CN108737336 A CN 108737336A
- Authority
- CN
- China
- Prior art keywords
- block
- data flow
- block chain
- threat
- doubtful
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种基于区块链的威胁行为处理方法及装置、设备及存储介质,应用于包括防火墙的电子设备中基于区块链的威胁行为处理方法包括:分析威胁行为的疑似数据流,获取疑似数据流的数据特征;提取区块链中记录的威胁行为特征,其中,区块链在多个防火墙之间共享;基于数据特征和威胁行为特征,形成判断结果;其中,数据特征,用于当确定疑似数据流为威胁行为的数据流时更新区块链。在本实施例中基于区块链记录的威胁行为特征,可以辅助防火墙进一步确定其基于当前的攻击规则无法精确识别的疑似数据流是否为攻击行为的数据流,打破防火墙之间的信息隔阂,提高了单个及防火墙整体的威胁行为的拦截能力,从而提升了安防能力。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于区块链的威胁行为处理方法及装置、设备及存储介质。
背景技术
随着网络的迅速发展,网络攻击行为越来越多,种类也越来越多。例如,级可持续性威胁(Advanced Persistent Treat,APT)攻击,其攻击者利用先进、高效、种类繁多的攻击手段对特定目标进行长期持续性的网络攻击。
APT攻击具有隐蔽性,潜伏性,通常能够绕过传统的如防火墙网络安全设备的检测。
故在现有技术中如何提升防火墙的威胁行为防护能力,是亟待解决的一个问题。
发明内容
有鉴于此,本发明实施例期望提供一种基于区块链的威胁行为处理方法及装置,以解决防火墙的防护能力弱的问题。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例第一方面提供一种基于区块链的威胁行为处理方法,应用于包括防火墙的电子设备中,包括:
分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;
提取区块链中记录的威胁行为特征,其中,所述区块链在多个防火墙之间共享;
基于所述数据特征和所述威胁行为特征,形成判断结果;其中,所述数据特征,用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。
基于上述方案,所述基于所述数据特征和所述威胁行为特征,形成判断结果,包括:
对所述区块链中的威胁行为特征进行训练,获得分类器;
将所述数据特征输入到所述分类器,获得所述疑似数据流为威胁行为的数据流的判定概率;
基于所述判定概率,确定所述疑似数据流是否为威胁行为的数据流。
基于上述方案,所述基于所述判定概率,确定所述疑似数据流是否为威胁行为的数据流,包括:
当所述判定概率大于第一阈值时,确定所述疑似数据流为威胁行为的数据流。
基于上述方案,所述数据特征,用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。
基于上述方案,当确定疑似数据流为威胁行为的数据流时,所述方法还包括:
广播所述数据特征,其中,所述数据特征,用于区块链网络中的记录节点更新所述区块链;
或者,
基于数据特征自行生成所述区块;
将所述区块广播到所述区块链网络中,其中,所述区块,用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后,添加到所述区块链中。
基于上述方案,所述区块包括:区块头和区块体;
所述区块头包括:所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、默克尔(Merkle)根、随机数和时间戳;
所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的;
所述时间戳为所述防火墙发布所述区块时的发布时间戳;
所述Merkle根,用于绑定所述区块头和区块体;
所述区块体包括:威胁行为特征。
本发明实施例第二方面提供一种基于区块链的威胁行为处理装置,应用于包括防火墙的电子设备中,包括:
分析单元,用于分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;
提取单元,用于提取区块链中记录的威胁行为特征,其中,所述区块链在多个防火墙之间共享;
判断单元,用于基于所述数据特征和所述威胁行为特征,形成判断结果;其中,所述数据特征,用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。
基于上述方案,所述判断单元,具体用于对所述区块链中的威胁行为特征进行训练,获得分类器;
将所述数据特征输入到所述分类器,获得所述疑似数据流为威胁行为的数据流的判定概率;
基于所述判定概率确定所述疑似数据流是否为威胁行为的数据流。
基于上述方案,所述判断单元,具体用于当所述判定概率大于第一阈值时,确定所述疑似数据流为威胁行为的数据流。
基于上述方案,所述数据特征,用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。
基于上述方案,所述装置还包括:
第一广播单元,用于当确定疑似数据流为威胁行为的数据流时,广播所述数据特征,其中,所述数据特征,用于区块链网络中的记录节点更新所述区块链;
或者,
所述装置还包括:
生成单元,用于当确定疑似数据流为威胁行为的数据流时,基于数据特征自行生成所述区块;
第二广播单元,用于将所述区块广播到所述区块链网络中,其中,所述区块,用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后,添加到所述区块链中。
基于上述方案,所述区块包括:区块头和区块体;
所述区块头包括:所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、Merkle根、随机数和时间戳;
所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的;
所述时间戳为所述防火墙发布所述区块时的发布时间戳;
所述Merkle根,用于绑定所述区块头和区块体;
所述区块体包括:威胁行为特征。
本发明实施例第三方面提供一种电子设备,包括:
存储介质,用于存储计算机程序;
处理模组,与所述存储介质相连,用于通过执行所述计算机程序实现前述任意一项提供基于区块链的威胁行为处理方法。
本发明实施例第四方面提供一种计算机存储介质,所述计算机存储介质中存储有计算机程序,所述计算机程序用于执行任意一项提供基于区块链的威胁行为处理方法。
本发明实施例提供的一种基于区块链的威胁行为处理方法及装置,在对一个数据流无法通过现有的攻击规则确定为安全数据流或威胁行为的数据流时,将基于在多个防火墙之间的共享的区块链中存储的威胁行为特征来判定对应的数据流是否为威胁行为的数据流,从而即便当前判断的防火墙无法直接判断该数据流是否为威胁行为的特征,也可以通过结合区块链内的信息基于其他防火墙之前的威胁拦截结果或拦截能力进行安全防护,从而提升了防火墙的防护能力。
附图说明
图1为本发明实施例提供的第一种基于区块链的威胁行为处理方法的流程示意图;
图2为本发明实施例提供的第二种基于区块链的威胁行为处理方法的流程示意图;
图3为本发明实施例提供的一种区块链中区块的结构示意图;
图4为本发明实施例提供的一种本发明实施例提供的第一种基于区块链的威胁行为处理装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图;
图6为本发明实施例提供的一种防火墙交互系统的结构示意图;
图7为本发明实施例提供的第三种基于区块链的威胁行为处理方法的流程示意图;
图8为本发明实施例提供的一种防火墙的结构示意图。
具体实施方式
以下结合说明书附图及具体实施例对本发明的技术方案做进一步的详细阐述。
研究发现,防火墙设备往往只能发现攻击行为的扩散行为中的一部分数据,不能在防火墙之间相互传递有价值的信息,进而无法发现隐蔽的攻击行为,从而导致防火墙对于自身没有拦截过或防火墙内没有对应针对某一种的威胁行为的拦截代码区(例如,防火墙没有更新)就会漏掉威胁行为从而导致防火墙的安全防护能力差的问题。有鉴于此,本实施例中提供一种基于区块链的威胁行为处理方法,通过区块链来记录威胁行为特征,然后防火墙在进行数据流的过滤时,基于区块链来确定判定一个疑似数据流是否为威胁行为的数据流,从而解决在防火墙未及时更新时能够拦截其不具有拦截能力的威胁行为,或者,更新后的防火墙自身未拦截过的威胁行为进行拦截,从而提升防火墙的安全防护能力。
如图1所示,本实施例提供一种基于区块链的威胁行为处理方法,应用于电子设备中,包括:
步骤S110:分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;
步骤S120:提取区块链中记录的威胁行为特征,其中,所述区块链在多个防火墙之间共享;
步骤S130:基于所述数据特征和所述威胁行为特征,形成判断结果;其中,所述数据特征,用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。
所述疑似数据流为防火墙根据基于攻击规则判定不出是否为威胁行为的数据流。例如,在进入所述步骤S110之前,所述防火墙采用现有的各种攻击规则,提取数据包中的特征;通过特征匹配,放行认为安全的数据包,有一些数据包可能提取的多个特征与少量个拦截特征匹配成功,但是不确定是否一定是攻击行为,这种防火墙基于区块链中威胁行为特征以外的其他特征匹配的方式,不能完全确定是威胁行为特征的数据流,就可以称之为所述疑似数据流。
在本实施例中所述步骤120将提取区块链中记录的威胁行为特征;在步骤S130中将基于提取的数据特征和威胁行为特征,进行进一步的判断,形成判断结果。值得注意的是本实施例中所述步骤S120的执行与所述步骤S110没有必然的先后顺序,例如,所述步骤S120可以早于所述步骤S110,也可以与所述步骤S110同步执行,或在所述步骤S110之后执行。
在本实施例中所述步骤S130中可包括:将所述数据特征与威胁行为特征进行比对,通过相似度的计算确定出是否是威胁行为的特征,具体的实现方式有多种。
在本实施例中所述区块链是存储在区块链网络中的各个记录节点的,是各个记录节点都可以查询和更改的公共信息,这样的若节点A发现了一个威胁行为,就会更新区块链,这样节点B在接收疑似数据流时就可以结合区块链进行后续的判断,从而增强防火墙的防护能力。
所述防火墙可为应用于各种网络节点中的软硬件的结合,这里的网络节点可包括:交换机、路由器或电脑或笔记本等各种终端设备。
在一些实施例中,所述步骤S130,可包括:
对所述区块链中的威胁行为特征进行训练,获得分类器;
将所述数据特征输入到所述分类器,获得所述疑似数据流为威胁行为的数据流的判定概率;
基于所述判定概率确定所述疑似数据流是否为威胁行为的数据流。
在本实施例中所述分类器可为各种类型的分类器,例如,支持向量机(SVM)或神经网络等。利用该区块链中的威胁行为训练SVM或神经网络,则可以得到一个可以识别当前疑似数据流是否为威胁行为的数据流的判定概率,然后基于判定概率,进一步明确当前疑似数据流是否为威胁行为的数据流。例如,当所述判定概率高于概率阈值时,可认为是威胁行为的数据流,否则可认为不是威胁行为的数据流。
在一些实施例中所述分类器可包括:正例分类器和负例分类器,利用正例分类器,计算出当前疑似数据流是非威胁行为的数据流的第一判定概率;利用负例分类器计算出当前疑似数据流不是威胁行为的数据流的第二判定概率;只有在第一判定概率大于正例阈值,第二判定概率小于负例阈值时,才认为是威胁行为的数据流。
当然以上仅是举例,具体实现时不局限于上述任意一个举例。
可选地,所述步骤S130可包括:当所述判定概率大于第一阈值时,确定所述疑似数据流为威胁行为的数据流。这里的判定概率可理解为第一判定概率,这里的第一阈值可为负例阈值。只有当判定概率最够高时,才确定一个疑似数据流为威胁行为的数据流。
可选地,所述数据特征,用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。在本实施例中,所述第一判定概率最够高,则表示该威胁特征的数据特征都已经记录在了所述区块链中,如果再次记录就可能会产生冗余,在本实施例中为了减少冗余,只要在判定概率低于第二阈值时才生成新的区块。所述第二阈值可为0.9、0.95或0.85等,若判定概率大于第二阈值,则可以不生成新的区块。
在一些实施例中若所述判定概率大于所述第二阈值,则基于所述数据特征更新所述防火墙的攻击规则或防火墙自身,这种高判定概率的数据流,可以通过防火墙的更新或攻击规则的更新,直接进行拦截;从而减少区块链内威胁特征行为的识别,降低防火墙的负荷。
在一些实施例中,当确定疑似数据流为威胁行为的数据流时,所述方法还包括:
广播所述数据特征,其中,所述数据特征,用于区块链网络中的记录节点更新所述区块链。如威胁行为的数据特征,是由区块链网络中的专用记录节点进行更新,则所述防火墙所在节点需要广播所述数据特征。在广播所述数据特征时,所述防火墙优选一起广播所述判定概率,方便后续记录节点确定是否生成区块或更新区块链。
在另一些实施例中,如图2所示所述方法还包括:
步骤S140:当确定疑似数据流为威胁行为的数据流时,基于数据特征自行生成所述区块;
步骤S150:将所述区块广播到所述区块链网络中,其中,所述区块,用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后,添加到所述区块链中。
在本实施例中所述防火墙所在的节点即为所述区块链网络的记录节点,防火墙基于区块链确定出一个威胁行为的数据流之后,会将对应的数据特征自动生成区块,将生成的区块广播到区块链网络中,供区块链网络中的验证节点验证,若验证通过,例如,验证通过的比例值达到预设值,则该区块将被正式链接到区块链网络中。
在一些实施例中,所述区块包括:区块头和区块体;
所述区块头包括:所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、Merkle根、随机数和时间戳;
所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的;
所述时间戳为所述防火墙发布所述区块时的发布时间戳;
所述Merkle根,用于绑定所述区块头和区块体;
所述区块体包括:威胁行为特征。
如图3所示,所述威胁行为特征可包括:威胁行为特征1、威胁行为特征2……威胁行为特征n;所述n为正整数。
所述防火墙公钥可为所述防火墙根据防火墙私钥和以前区块链中所有区块的信息,外加所述时间戳进行哈希计算得到的散列值。该防火墙公钥用于其他记录节点和/或验证节点验证该区块的合法性和正确性。
如图4所示,本实施例提供一种基于区块链的威胁行为处理装置,应用于包括防火墙的电子设备中,包括:
分析单元110,用于分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;
提取单元120,用于提取区块链中记录的威胁行为特征,其中,所述区块链在多个防火墙之间共享;
判断单元130,用于基于所述数据特征和所述威胁行为特征,形成判断结果;其中,所述数据特征,用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。
本实施例提供一种威胁行为处理装置,该装置应用于包括防火墙的电子设备中,用于供防火墙进行威胁行为的拦截,实现对数据包或数据流的安全过滤,以提升安全防护能力。
所述分析单元110、提取单元120及判断单元130可对应于电子设备内的处理器或处理电路;所述处理器可包括中央处理器、微处理器、数字信号处理器、应用处理器或可编程阵列等。所述处理电路可包括:专用集成电路。
所述处理器或处理电路,可通过执行计算机程序,实现上述数据特征及威胁行为特征的提取,并形成最终判断结果。
可选地,所述判断单元130,具体用于对所述区块链中的威胁行为特征进行训练,获得分类器;将所述数据特征输入到所述分类器,获得所述疑似数据流为威胁行为的数据流的判定概率;基于所述判定概率确定所述疑似数据流是否为威胁行为的数据流。
在本实施例中所述分类器可为预先训练好的分类器。所述分类器的训练可以在每一次区块链更新之后重新训练或补充训练,从而使得分类器可以基于区块链中的威胁行为特征进行疑似数据流是否为攻击行为(即威胁行为)的数据流的判定。这里的攻击行为可为攻击电子设备的安全防护屏障,如防火墙;所述威胁行为可为威胁电子设备安全的各种行为,例如,病毒、木马的传播等。典型的攻击行为可包括APT攻击等。
可选地,所述判断单元130,具体用于当所述判定概率大于第一阈值时,确定所述疑似数据流为威胁行为的数据流。
在本实施例中通过判定概率与第一阈值的比较,最终确定出疑似数据流是是否为威胁行为的数据流。所述第一阈值可为预先存储在所述电子设备中,也可以是基于模拟或仿真确定出的能够准确识别疑似数据流是否为威胁行为的数据流的概率值。
可选地,所述数据特征,用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。
若判定概率高于第二阈值则不更新该区块链,则该疑似数据流容易被识别为威胁行为的数据流的概率很小,为了减少区块链的数据冗余,在本实施例中仅有在判定概率大于第一阈值且低于第二阈值时,才更新所述区块链。
在一些实施例中,所述装置还包括:
第一广播单元,用于当确定疑似数据流为威胁行为的数据流时,广播所述数据特征,其中,所述数据特征,用于区块链网络中的记录节点更新所述区块链。
这里的第一广播单元可对应于装置的通信接口,该通信接口可与区块链网络中的其他节点进行点对点的信息交互。
在本实施例中第一广播单元在确定出疑似数据流为威胁行为的数据流时,就直接广播对应的数据特征,这样的区块链网络中的各个节点(如记录节点和验证节点、应用节点)都可以接收到所述数据特征。这里的应用节点,可为包括有防火墙的电子设备。该数据特征可供记录节点生成区块,更新区块链。
在另一些实施例中,所述装置还包括:
生成单元,用于当确定疑似数据流为威胁行为的数据流时,基于数据特征自行生成所述区块;
第二广播单元,用于将所述区块广播到所述区块链网络中,其中,所述区块,用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后,添加到所述区块链中。
这里的生成单元,同样可对应于电子设备内的处理器或处理电路。处理器或处理电路可通过数据处理,生成区块。
第二广播单元对应的物理结构与所述第一广播单元类似,不同的是所述第二广播单元直接广播的是已生成的区块。
在一些实施例中,所述区块包括:区块头和区块体;
所述区块头包括:所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、Merkle根、随机数和时间戳;
所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的;
所述时间戳为所述防火墙发布所述区块时的发布时间戳;
所述Merkle根,用于绑定所述区块头和区块体;
所述区块体包括:威胁行为特征。
如图5所示,本发明实施例还提供一种电子设备,包括:
存储介质210,用于存储计算机程序;
处理模组220,与所述存储介质210相连,用于通过执行所述计算机程序实现前述任意一项提供基于区块链的威胁行为处理方法。
所述存储介质210可为各种类型的存储介质,所述存储介质210用于存储所述计算机程序的部分为非瞬间存储介质。这里的非瞬间存储介质可为只读存储介质等。
在本实施例中所述处理模组220可包括:一个或多个处理器,或者,一个或多个处理电路,或者,处理器与处理电路的组合。所述处理模组220可通过如图5中所示的总线230与存储介质相连。
总之,所述处理模组220可通过运行存储在存储介质210中的计算机程序,执行上述基于区块链的威胁行为处理方法。
本发明实施例第四方面提供一种计算机存储介质,所述计算机存储介质中存储有计算机程序,所述计算机程序用于执行任意一项提供基于区块链的威胁行为处理方法。
在本实施例中所述计算机存储介质可为安装到电子设备中,也可为移动存储介质:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质等各种类型的存储介质。在本实施例中所述计算机存储介质上的计算机程序的执行,至少可以执行图1所示的方法。
以下结合上述任意一个实施例提供几个具体示例:
示例一:
本示例提供一种基于区块链的防火墙交互方法和系统,通过对每个防火墙采用区块链进行威胁行为的分析,并基于区块链的生成和广播实现防火墙间的互相交互,进而实现整体的利用防火墙进行威胁行为的分析,发现未知的隐蔽的攻击行为。具体包括一种基于区块链的防火墙交互分析方法和一种基于区块链的防火墙交互分析系统。
如图6所示,本示例提供一种基于区块链的防火墙交互系统包括多个防火墙,各个防火墙之间在逻辑层面上形成了点对点的通信。图中的防火墙包括FW1、FW2、FW3、FW n-1、FW n;FW1可以与FW2、FW3、FW n-1、FW n等n-1个防火墙进行交互,FW2可以与FW1、FW3、FW n-1、FW n等n-1个防火墙进行交互,FW3可以与FW1、FW2、FW n-1、FW n等n-1个防火墙进行交互,FW n-1可以与FW 1、FW2、FW3、FW n等n-1个防火墙进行交互,FW n可以与FW1、FW2、FW3、FW n-1等n-1个防火墙进行交互。
如图3所示,本示例还提供一种记载威胁行为特征的区块链中区块的结构示意图。
该区块包括区块头和区块体。其中,区块头由前一区块的散列值、广播该区块的防火墙公钥、Merkle根、随机数、时间戳构成。区块体由威胁行为特征1、威胁行为特征2、……、威胁行为特征n构成。
具体地,前一区块的散列值,是由前一个区块的所有信息加上前时间戳,通过哈希所产生的值。
广播该区块的防火墙的防火墙公钥,是由该防火墙对应的硬件和软件共同产生的。因为防火墙产生区块时,根据防火墙设备的私钥将以前所有区块的信息,外加时间戳进行哈希计算产生散列值,每个防火墙使用已掌握的公钥来核对广播区块的防火墙公钥的正确性,并利用公钥解析该哈希值来验证区块的合法性。
Merkle根,是由区块体中所有信息构成Merkle树,计算Merkle树根的散列值,它可以将区块头和区块体绑定起来。
随机数,是当前防火墙根据所有的公钥信息以及当前时间戳,通过SHA256哈希算法来产生一个随机数,此随机数要求下一个区块的哈希值要以该数目为开头的一串数字。可以防止攻击者伪造区块链的区块。
时间戳,是发布该区块的防火墙在发布时打的时间标记,从1970年1月1日00:00UTC开始,到该区块产生时间隔的秒数。
威胁行为特征库1、……、威胁行为特征库n,是针对未知的隐蔽的攻击行为的特征。
示例二:
如图7所示,本技术方案所述的基于区块链的防火墙交互分析方法包括以下步骤:
步骤101:传统的基于攻击规则的防火墙数据处理。即防火墙接收流量,进行基于攻击规则的数据处理,对于正常流量进行放行,对于命中攻击规则的流量进行阻断,对于其他疑似流量,则进入步骤102。
步骤102:针对疑似数据流,进入基于区块链进行威胁行为的分析。即接收步骤101的输出,进行基于区块链的威胁行为分析。
步骤103:提取区块链中存储的威胁行为特征,并提取疑似数据流的数据特征。
步骤104:比对威胁行为特征和数据特征,获得判定结果,具体可包括:通过威胁行为特征进行SVM向量机训练,利用训练好的SVM向量机对数据特征进行分类及聚类,从而输出判定结果。
步骤105:依据判定结果,进行基于区块链的威胁行为特征聚合。即接收步骤104的输出,如果判定结果是疑似数据流属于威胁行为的数据流,则进行基于区块链的威胁行为特征聚合,基于所述数据特征生成区块;如果判定结果是不属于威胁行为,则不用进行基于区块链的威胁行为特征聚合。
步骤106:广播生成的区块。即接收步骤105的输出,根据步骤105的结果进行广播。如果步骤105中进行了特征聚合,则将特征聚合之后的威胁行为库区块链广播出去;如果步骤105中没有进行特征聚合,则不需要广播。
步骤107:其他防火墙验证该区块之后,写入威胁行为特征库的区块链中。即接收步骤106的输出,根据区块链中的共识机制,其他防火墙使用已掌握的公钥来核对该广播区块的防火墙公钥的正确性,并利用公钥解析出哈希值来验证区块的合法性。如果验证通过,则写入威胁行为特征库区块链中;如果验证不通过,则不会写入威胁行为特征库区块链中。
示例三:
如图8所示,本技术方案所述的基于区块链的防火墙交互分析系统,包括4大部分分别是:防火墙传统数据处理模块201、基于区块链的威胁行为特征库模块202、基于区块链的威胁行为分析模块203、基于区块链的威胁行为特征库协同模块204。
基于区块链的威胁行为分析模块203包括3个子模块,分别为:基于区块链的威胁行为提取模块2031、基于区块链的威胁行为判定模块2032、基于区块链的威胁行为聚合模块2033。具体如下。
防火墙传统数据处理模块201,用于对数据包流量进行传统的基于攻击规则的数据处理,以确定出疑似数据流,可作为前述的获取单元110的组成部分。
基于区块链的威胁行为特征库模块202,用于对威胁行为进行判定时的比对,以及整个特征库区块链的维护,可为前述的判断单元130的组成部分。
基于区块链的威胁行为提取模块2031,用于提取基于区块链的威胁行为特征,可为前述提取单元120的组成部分。
基于区块链的威胁行为判定模块2032,用于比对并判定基于区块链的威胁行为特征是否属于威胁行为,可为前述判断单元130的组成部分。
基于区块链的威胁行为聚合模块2033,用于对基于区块链的威胁行为特征进行聚合,可为前述生成单元的组成部分。
基于区块链的威胁行为特征库协同模块204,用于对基于区块链的威胁行为特征库进行整体的协调,即其他防火墙验证区块链信息之后,协同更新威胁行为特征库区块链。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (14)
1.一种基于区块链的威胁行为处理方法,其特征在于,应用于包括防火墙的电子设备中,包括:
分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;
提取区块链中记录的威胁行为特征,其中,所述区块链在多个防火墙之间共享;
基于所述数据特征和所述威胁行为特征,形成判断结果;其中,所述数据特征,用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。
2.根据权利要求1所述的方法,其特征在于,
所述基于所述数据特征和所述威胁行为特征,形成判断结果,包括:
对所述区块链中的威胁行为特征进行训练,获得分类器;
将所述数据特征输入到所述分类器,获得所述疑似数据流为威胁行为的数据流的判定概率;
基于所述判定概率,确定所述疑似数据流是否为威胁行为的数据流。
3.根据权利要求2所述的方法,其特征在于,
所述基于所述判定概率,确定所述疑似数据流是否为威胁行为的数据流,包括:
当所述判定概率大于第一阈值时,确定所述疑似数据流为威胁行为的数据流。
4.根据权利要求3所述的方法,其特征在于,
所述数据特征,用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。
5.根据权利要求1、2或3所述的方法,其特征在于,
当确定疑似数据流为威胁行为的数据流时,所述方法还包括:
广播所述数据特征,其中,所述数据特征,用于区块链网络中的记录节点更新所述区块链;
或者,
基于数据特征自行生成所述区块;
将所述区块广播到所述区块链网络中,其中,所述区块,用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后,添加到所述区块链中。
6.根据权利要求5所述的方法,其特征在于,
所述区块包括:区块头和区块体;
所述区块头包括:所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、默克尔Merkle根、随机数和时间戳;
所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的;
所述时间戳为所述防火墙发布所述区块时的发布时间戳;
所述Merkle根,用于绑定所述区块头和区块体;
所述区块体包括:威胁行为特征。
7.一种基于区块链的威胁行为处理装置,其特征在于,应用于包括防火墙的电子设备中,包括:
分析单元,用于分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;
提取单元,用于提取区块链中记录的威胁行为特征,其中,所述区块链在多个防火墙之间共享;
判断单元,用于基于所述数据特征和所述威胁行为特征,形成判断结果;其中,所述数据特征,用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。
8.根据权利要求7所述的装置,其特征在于,
所述判断单元,具体用于对所述区块链中的威胁行为特征进行训练,获得分类器;
将所述数据特征输入到所述分类器,获得所述疑似数据流为威胁行为的数据流的判定概率;
基于所述判定概率确定所述疑似数据流是否为威胁行为的数据流。
9.根据权利要求8所述的装置,其特征在于,
所述判断单元,具体用于当所述判定概率大于第一阈值时,确定所述疑似数据流为威胁行为的数据流。
10.根据权利要求9所述的装置,其特征在于,
所述数据特征,用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。
11.根据权利要求7、8或9所述的装置,其特征在于,
所述装置还包括:
第一广播单元,用于当确定疑似数据流为威胁行为的数据流时,广播所述数据特征,其中,所述数据特征,用于区块链网络中的记录节点更新所述区块链;
或者,
所述装置还包括:
生成单元,用于当确定疑似数据流为威胁行为的数据流时,基于数据特征自行生成所述区块;
第二广播单元,用于将所述区块广播到所述区块链网络中,其中,所述区块,用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后,添加到所述区块链中。
12.根据权利要求11所述的装置,其特征在于,
所述区块包括:区块头和区块体;
所述区块头包括:所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、默克尔Merkle根、随机数和时间戳;
所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的;
所述时间戳为所述防火墙发布所述区块时的发布时间戳;
所述Merkle根,用于绑定所述区块头和区块体;
所述区块体包括:威胁行为特征。
13.一种电子设备,其特征在于,包括:
存储介质,用于存储计算机程序;
处理模组,与所述存储介质相连,用于通过执行所述计算机程序实现权利要求1至6任一项所述基于区块链的威胁行为处理方法。
14.一种计算机存储介质,所述计算机存储介质中存储有计算机程序,所述计算机程序用于执行权利要求1至6任一项所述基于区块链的威胁行为处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710253620.XA CN108737336B (zh) | 2017-04-18 | 2017-04-18 | 基于区块链的威胁行为处理方法及装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710253620.XA CN108737336B (zh) | 2017-04-18 | 2017-04-18 | 基于区块链的威胁行为处理方法及装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108737336A true CN108737336A (zh) | 2018-11-02 |
| CN108737336B CN108737336B (zh) | 2021-01-15 |
Family
ID=63923966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710253620.XA Active CN108737336B (zh) | 2017-04-18 | 2017-04-18 | 基于区块链的威胁行为处理方法及装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108737336B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109685027A (zh) * | 2018-12-28 | 2019-04-26 | 福建工程学院 | 一种基于区块链技术的新增道路识别方法和系统 |
| CN109862037A (zh) * | 2019-03-22 | 2019-06-07 | 泰康保险集团股份有限公司 | 基于区块链的数据设备管理方法、装置、介质及电子设备 |
| CN109918044A (zh) * | 2019-02-26 | 2019-06-21 | 太原理工大学 | 一种基于区块链技术的抽签/排序方法 |
| CN110113328A (zh) * | 2019-04-28 | 2019-08-09 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
| CN110933072A (zh) * | 2019-11-27 | 2020-03-27 | 朱培培 | 基于区块链的数据传输方法、装置及电子设备 |
| CN111079136A (zh) * | 2019-11-07 | 2020-04-28 | 北京科技大学 | 一种基于区块链技术的雾计算入侵检测特征共享系统 |
| CN111277413A (zh) * | 2020-03-06 | 2020-06-12 | 电子科技大学 | 一种适用于代理重加密的密码逆向防火墙方法 |
| CN111629027A (zh) * | 2020-04-10 | 2020-09-04 | 云南电网有限责任公司信息中心 | 一种基于区块链的可信文件储存处理的方法 |
| CN111917774A (zh) * | 2020-07-31 | 2020-11-10 | 平安科技(深圳)有限公司 | 用于区块链的防攻击方法、装置、电子设备及介质 |
| CN114095186A (zh) * | 2020-07-30 | 2022-02-25 | 中国移动通信有限公司研究院 | 威胁情报应急响应方法及装置 |
| US11343313B1 (en) | 2021-01-28 | 2022-05-24 | International Business Machines Corporation | Fault tolerant periodic leader rotation for blockchain |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187411A (zh) * | 2015-08-18 | 2015-12-23 | 福建省海峡信息技术有限公司 | 一种分布式异常检测网络数据流的方法 |
| CN106341421A (zh) * | 2016-10-31 | 2017-01-18 | 杭州云象网络技术有限公司 | 一种基于区块链技术的数据交换方法 |
| CN106357405A (zh) * | 2016-09-19 | 2017-01-25 | 弗洛格(武汉)信息科技有限公司 | 一种基于区块链技术一致性算法的数据管理方法及系统 |
| CN106503995A (zh) * | 2016-11-17 | 2017-03-15 | 中国银行股份有限公司 | 一种数据分享方法、源节点、目标节点及系统 |
| CN106534085A (zh) * | 2016-10-25 | 2017-03-22 | 杭州云象网络技术有限公司 | 一种基于区块链技术的隐私保护方法 |
-
2017
- 2017-04-18 CN CN201710253620.XA patent/CN108737336B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187411A (zh) * | 2015-08-18 | 2015-12-23 | 福建省海峡信息技术有限公司 | 一种分布式异常检测网络数据流的方法 |
| CN106357405A (zh) * | 2016-09-19 | 2017-01-25 | 弗洛格(武汉)信息科技有限公司 | 一种基于区块链技术一致性算法的数据管理方法及系统 |
| CN106534085A (zh) * | 2016-10-25 | 2017-03-22 | 杭州云象网络技术有限公司 | 一种基于区块链技术的隐私保护方法 |
| CN106341421A (zh) * | 2016-10-31 | 2017-01-18 | 杭州云象网络技术有限公司 | 一种基于区块链技术的数据交换方法 |
| CN106503995A (zh) * | 2016-11-17 | 2017-03-15 | 中国银行股份有限公司 | 一种数据分享方法、源节点、目标节点及系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109685027A (zh) * | 2018-12-28 | 2019-04-26 | 福建工程学院 | 一种基于区块链技术的新增道路识别方法和系统 |
| CN109918044A (zh) * | 2019-02-26 | 2019-06-21 | 太原理工大学 | 一种基于区块链技术的抽签/排序方法 |
| CN109862037B (zh) * | 2019-03-22 | 2021-08-10 | 泰康保险集团股份有限公司 | 基于区块链的数据设备管理方法、装置、介质及电子设备 |
| CN109862037A (zh) * | 2019-03-22 | 2019-06-07 | 泰康保险集团股份有限公司 | 基于区块链的数据设备管理方法、装置、介质及电子设备 |
| CN110113328A (zh) * | 2019-04-28 | 2019-08-09 | 武汉理工大学 | 一种基于区块链的软件定义机会网络DDoS防御方法 |
| CN111079136A (zh) * | 2019-11-07 | 2020-04-28 | 北京科技大学 | 一种基于区块链技术的雾计算入侵检测特征共享系统 |
| CN111079136B (zh) * | 2019-11-07 | 2022-02-11 | 北京科技大学 | 一种基于区块链技术的雾计算入侵检测特征共享系统 |
| CN110933072A (zh) * | 2019-11-27 | 2020-03-27 | 朱培培 | 基于区块链的数据传输方法、装置及电子设备 |
| CN110933072B (zh) * | 2019-11-27 | 2020-08-04 | 宁波平辅寅保险科技有限公司 | 基于区块链的数据传输方法、装置及电子设备 |
| CN111277413A (zh) * | 2020-03-06 | 2020-06-12 | 电子科技大学 | 一种适用于代理重加密的密码逆向防火墙方法 |
| CN111629027A (zh) * | 2020-04-10 | 2020-09-04 | 云南电网有限责任公司信息中心 | 一种基于区块链的可信文件储存处理的方法 |
| CN111629027B (zh) * | 2020-04-10 | 2023-06-23 | 云南电网有限责任公司信息中心 | 一种基于区块链的可信文件储存处理的方法 |
| CN114095186A (zh) * | 2020-07-30 | 2022-02-25 | 中国移动通信有限公司研究院 | 威胁情报应急响应方法及装置 |
| CN111917774A (zh) * | 2020-07-31 | 2020-11-10 | 平安科技(深圳)有限公司 | 用于区块链的防攻击方法、装置、电子设备及介质 |
| US11343313B1 (en) | 2021-01-28 | 2022-05-24 | International Business Machines Corporation | Fault tolerant periodic leader rotation for blockchain |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108737336B (zh) | 2021-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108737336A (zh) | 基于区块链的威胁行为处理方法及装置、设备及存储介质 | |
| KR102047782B1 (ko) | 보안 이벤트의 연관 분석을 통한 사이버 침해 위협 탐지 방법 및 장치 | |
| KR101880796B1 (ko) | 예측보안 제품을 제공하고 기존의 보안제품을 평가하는 방법과 장치 | |
| Hoque et al. | An implementation of intrusion detection system using genetic algorithm | |
| CN106790186A (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN110380896A (zh) | 基于攻击图的网络安全态势感知模型和方法 | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| Sayegh et al. | SCADA intrusion detection system based on temporal behavior of frequent patterns | |
| CN112671701B (zh) | 基于车载网络异常行为特征驱动的车载终端入侵检测方法 | |
| Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
| Hodo et al. | Anomaly detection for simulated iec-60870-5-104 trafiic | |
| CN107294953A (zh) | 攻击操作检测方法及装置 | |
| CN112769827B (zh) | 一种网络攻击代理端检测及溯源方法与装置 | |
| CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN109347853A (zh) | 基于深度包解析的面向综合电子系统的异常检测方法 | |
| EP3528457A2 (en) | Collaborative internet-of-things anomaly detection | |
| CN113079150A (zh) | 一种电力终端设备入侵检测方法 | |
| Revathy et al. | Development of IDS using mining and machine learning techniques to estimate DoS malware | |
| Ghali | Feature selection for effective anomaly-based intrusion detection | |
| CN112070161B (zh) | 一种网络攻击事件分类方法、装置、终端及存储介质 | |
| CN108494791A (zh) | 一种基于Netflow日志数据的DDOS攻击检测方法及装置 | |
| CN107196969A (zh) | 攻击流量的自动识别及验证方法及系统 | |
| Devi et al. | An integrated intelligent paradigm to detect DDoS attack in mobile ad hoc networks | |
| Rashid et al. | Performance enhancement of intrusion detection system using bagging ensemble technique with feature selection | |
| KR102433581B1 (ko) | 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |