CN112039840B - 一种基于区块链共识机制的可信威胁情报识别方法及装置 - Google Patents

Abstract

本发明公开了一种基于区块链共识机制的可信威胁情报识别方法及装置，方法包括以下过程：将情报数据源各节点纳入区块链形成情报数据区块链，监测区块链各节点获取情报数据；根据情报数据的数据分析模式匹配对应的分析策略，进而获取对应的分析结果；智能合约执行对情报数据的分析结果的处理，并通过区块链网络广播到全网节点中，全网达成共识后生成一条全网唯一的可查询数据；采用共识机制赋予信誉值，根据信誉值判断情报为可信或威胁情报。本发明通过将智能合约以及策略定向分析相结合，对采集到的区块链数据进行整合分析，确保第一时间发现区块链上的威胁情报事件，并同时具备数据分析结果的精确性优点。

Description

一种基于区块链共识机制的可信威胁情报识别方法及装置

技术领域

本发明属于计算机网络安全技术领域，具体涉及一种基于区块链共识机制的可信威胁情报识别方法及装置。

背景技术

近年来，APT(高级持续性威胁攻击)事件不断出现，其显著特征是持续性，通常长达数年，具体体现在不断寻求各种攻击手段，缓慢地渗透到内部网络后长期蛰伏，不断地在网络中提升权限并收集各种信息，直到获取到重要情报。

网络威胁情报分析作为一种基于证据的识别分析方法，可以描述现存的或者即将出现的针对资产的威胁或危险，可以通知主体针对相关威胁或危险采取某种响应，且可以主动获取关于未来安全威胁的信息，预测安全事件，可以从源头上防御了APT攻击事件的发生。威胁情报一般包括信誉情报(“坏”的IP地址、URL、域名等)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)，外部情报(安全公司及非盈利组织经常发布的安全预报或通告等)。

但目前威胁情报普遍存在信息庞杂，识别精准度不足，对本域系统匹配度不高，可信度不强的缺点。

发明内容

本发明的目的在于克服现有技术中的不足，提供了一种基于区块链共识机制的可信威胁情报识别方法及装置，解决了现有情报识别技术中的识别精准度不足的技术问题。

为解决上述技术问题，本发明提供了一种基于区块链共识机制的可信威胁情报识别方法，包括以下过程：

将情报数据源各节点纳入区块链形成情报数据区块链，监测区块链各节点获取情报数据；

确定情报数据的数据分析模式；

根据情报数据的数据分析模式匹配对应的分析策略，进而获取对应的分析结果；

智能合约执行对情报数据的分析结果的处理，并通过区块链网络广播到全网节点中，全网达成共识后生成一条全网唯一的可查询数据；

对全网唯一可查询数据采用共识机制赋予信誉值，根据信誉值判断情报为可信或威胁情报。

进一步的，所述确定情报数据的数据分析模式，包括：

对情报数据进行分类；

根据分类结果确定对应的数据分析模式。

进一步的，所述情报数据分类包括：

情报数据分成6大类，分别包括：File、URL、IP、Email、Botnet、DDoSDomain；

每一种大类再根据情报数据数据大小分为4级。

进一步的，数据分析模式包括快速模式、全局模式和用户自选策略模式。

进一步的，根据分类结果确定对应的数据分析模式，包括：

快速模式覆盖IP，URL，DDoSDomain三大类的全部四级到一级数据和Botnet,File,Email三大类的一级和二级数据；

全局模式覆盖六大类所有一级到四级数据；

用户自选策略模式默认不覆盖任何数据，允许抽取所有类型所有级别数据任意组合。

进一步的，所述根据信誉值判断情报为可信或威胁情报，包括：

根据信誉值与信誉中位值的大小，判断情报为可信或威胁情报。

相应的，本发明还提供了一种基于区块链共识机制的可信威胁情报识别装置，包括情报数据获取模块、分析模式确定模块，分析结果获取模块、智能合约执行模块和情报识别模块，其中：

情报数据获取模块，用于将情报数据源各节点纳入区块链形成情报数据区块链，监测区块链各节点获取情报数据；

分析模式确定模块，用于确定情报数据的数据分析模式；

分析结果获取模块，用于根据情报数据的数据分析模式匹配对应的分析策略，进而获取对应的分析结果；

智能合约执行模块，用于智能合约执行对情报数据的分析结果的处理，并通过区块链网络广播到全网节点中，全网达成共识后生成一条全网唯一的可查询数据；

情报识别模块，用于对全网唯一可查询数据采用共识机制赋予信誉值，根据信誉值判断情报为可信或威胁情报。

进一步的，所述分析模式确定模块包括：

分类单元，用于对情报数据进行分类；

分析模式单元，用于根据分类结果确定对应的数据分析模式。

进一步的，所述情报数据分类，包括：

情报数据分成6大类，分别包括：File、URL、IP、Email、Botnet、DDoSDomain；

每一种大类再根据情报数据数据大小分为4级。

进一步的，所述数据分析模式包括快速模式、全局模式和用户自选策略模式。

进一步的，所述分析模式单元中，根据分类结果确定对应的数据分析模式，包括：

快速模式覆盖IP，URL，DDoSDomain三大类的全部四级到一级数据和Botnet,File,Email三大类的一级和二级数据；

全局模式覆盖六大类所有一级到四级数据；

用户自选策略模式默认不覆盖任何数据，允许抽取所有类型所有级别数据任意组合。

进一步的，所述情报识别模块中，根据信誉值判断情报为可信或威胁情报，包括：

根据信誉值与信誉中位值的大小，判断情报为可信或威胁情报。

与现有技术相比，本发明所达到的有益效果是：通过将智能合约以及策略定向分析相结合，对采集到的区块链数据进行整合分析，确保第一时间发现区块链上的威胁情报事件，并同时具备数据分析结果的精确性等优点。

附图说明

图1是本发明方法的流程图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

本发明的发明构思是：区块链技术所具备的点对点传输、分布式存储、可追溯、不可篡改等特性，能够解决目前网络威胁情报中存在的识别精准度不足和可信度不强的问题。区块链系统中各个节点相互平等存在，所有节点共同维护数据共享中产生的情报数据信息，有效地解决了伪造和恶意操作行为，增加了威胁情报的可信度。

本发明涉及的名词解释：

区块链公有链：指任何人都可以读取，发送交易且交易能够获得有效确认的共识区块链，可以随时进入或脱离公有链系统，可以在公有链上读取信息数据，交易数据，完善公有链，所有节点均有参与争取分布式记账权力，奖励获取公有链区块上的矿工会有相应的token。

区块链联盟链：由多个中心控制，系统由几个权威的机构共同分布式记账，这些节点再根据共识机制协调工作。这是部分去中心化的区块链，可以进行查阅和交易，但验证交易的话就需要联盟内部决定。联盟链的一个最显著的特点就是各个节点都对应一个实体机构，任何实体机构节点想要加入联盟链，需要得到联盟的许可，这些机构共同维护系统的稳定发展。

智能合约：智能合约是一套以数字形式定义的承诺，包括合约参与方可以在上面执行这些承诺的协议，旨在提供、验证及执行合约，智能合约是区块链被称之为“去中心化的”重要原因，它允许我们在不需要第三方的情况下，执行可追溯、不可逆转和安全的交易。

DFD建模方法：也称为过程建模和功能建模方法，其核心是数据流，从应用系统的数据流着手以图形方式刻画和表示一个具体业务系统中的数据处理过程和数据流。通过对系统业务流程的层层追踪和分析把要解决的问题清晰地展现及描述出来，为后续的设计、编码及实现系统的各项功能打下基础。

委任权益证明(DPOS)共识机制：又称为股份授权证明，其原理是让每一个持币人进行投票，由此产生一定数量的代表，由这些代表节点验证和记账；而这些代表节点的权利是相等的；节点代表按照既定时间表，轮流产生区块，如果代表没能很好的行使权力(比如产生区块)，他们会被除名。

中位值：将所给的一组数从小到大或从大到小排列，奇数个数的话取中间的数字，偶数个数的话取中间两个数的平均数。

本发明的一种基于区块链共识机制的可信威胁情报识别方法，具体参见如图1所示，包括以下步骤：

步骤1，将情报数据源各节点纳入区块链公有链或联盟链，形成情报数据区块链公有链或联盟链(简称区块链)，通过TCP/IP协议将情报数据源通过高位私用端口进行链接，监测区块链节点的数据变化，如数据变化波动超过10％则产生情报数据，采用分布式记账方式将全部情报数据进行存储和更新。

步骤2，对情报数据进行分类进而确定各类情报数据的数据分析模式。

依据情报数据的TCP/IP包头数据将情报数据分成6大类，分别包括：File、URL、IP、Email、Botnet、DDoSDomain，每一种大类再根据情报数据数据大小(TCP/IP数据包)分为4级，其中0-10KB为一级，10KB-1MB为二级，1MB-1GB为三级，1GB以上为四级，情报数据按照数据大小从一级到四级排序。根据情报数据的分类情况从而确定数据分析模式，数据分析模式包括快速模式、全局模式、用户自选策略模式，其中快速模式覆盖IP，URL，DDoSDomain三大类的全部四级到一级数据和Botnet,File,Email三大类的一级和二级数据，该模式偏重数据分析速度；全局模式覆盖六大类所有一级到四级数据，该模式偏重数据分析的全面性和准确性；用户自选策略模式默认不覆盖任何数据，允许抽取所有类型所有级别数据任意组合，自定义能力较强。

步骤3，根据不同的数据分析模式匹配不同的分析策略，不同的分析策略匹配获取对应的分析结果。

若是快速模式则使用DFD建模方法进行数据分析，全局模式则使用自顶向下的分解的策略进行分析，自选策略模式不匹配任何默认策略，接受外部自定义策略输入。

步骤4，在分析结果到达后，自动调用智能合约，该智能合约为预置合约，情报数据的处理会依据智能合约内容执行，当触发智能合约后，智能合约按照合约内容自动化执行对分析结果的数据处理，经过智能合约处理的数据符合区块链网络广播格式要求，通过区块链网络广播到全网节点中，全网节点会对该事务请求进行共识，全网共识达成后即生成一条全网唯一的可查询数据，包括情报注册时间、情报ID、情报记录区块等信息；

步骤5，对全网唯一可查询数据采用共识机制赋予信誉值，根据信誉值判断情报为可信或威胁情报。

全网唯一可查询数据进入专家审核模块，专家审核模块基于委任权益证明(DPOS)共识机制，对该可查询数据赋予信誉值A，全部可查询数据组成可查询数据序列，序列对应的信誉中位值阈值τ，如信誉值A>τ，则该情报结果可采信，即为可信情报；如信誉值A<τ，则该情报结果不予采信，认定为威胁情报，系统自动过滤该结果。

本发明的优点在于：通过将智能合约以及策略定向分析相结合，对采集到的区块链数据进行整合分析，确保第一时间发现区块链上的威胁情报事件，并同时具备数据分析的真实性、数据来源的可回溯性和数据分析结果的精确性等优点。

实施例

相应的，本发明还提供了一种基于区块链共识机制的可信威胁情报识别装置，包括情报数据获取模块、分析模式确定模块，分析结果获取模块、智能合约执行模块和情报识别模块，其中：

情报数据获取模块，用于将情报数据源各节点纳入区块链形成情报数据区块链，监测区块链各节点获取情报数据；

分析模式确定模块，用于确定情报数据的数据分析模式；

分析结果获取模块，用于根据情报数据的数据分析模式匹配对应的分析策略，进而获取对应的分析结果；

智能合约执行模块，用于智能合约执行对情报数据的分析结果的处理，并通过区块链网络广播到全网节点中，全网达成共识后生成一条全网唯一的可查询数据；

情报识别模块，用于对全网唯一可查询数据采用共识机制赋予信誉值，根据信誉值判断情报为可信或威胁情报。

进一步的，所述分析模式确定模块包括：

分类单元，用于对情报数据进行分类；

分析模式单元，用于根据分类结果确定对应的数据分析模式。

进一步的，所述情报数据分类，包括：

情报数据分成6大类，分别包括：File、URL、IP、Email、Botnet、DDoSDomain；

每一种大类再根据情报数据数据大小分为4级。

进一步的，所述数据分析模式包括快速模式、全局模式和用户自选策略模式。

进一步的，所述分析模式单元中，根据分类结果确定对应的数据分析模式，包括：

快速模式覆盖IP，URL，DDoSDomain三大类的全部四级到一级数据和Botnet,File,Email三大类的一级和二级数据；全局模式覆盖六大类所有一级到四级数据；用户自选策略模式默认不覆盖任何数据，允许抽取所有类型所有级别数据任意组合。

进一步的，所述情报识别模块中，根据信誉值判断情报为可信或威胁情报，包括：

根据信誉值与信誉中位值的大小，判断情报为可信或威胁情报。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

Claims (2)

1.一种基于区块链共识机制的可信威胁情报识别方法，其特征是，包括以下过程：

将情报数据源各节点纳入区块链形成情报数据区块链，监测区块链各节点获取情报数据；

确定情报数据的数据分析模式，包括：依据情报数据的TCP/IP包头数据将情报数据分成6大类，分别包括：File、URL、IP、Email、Botnet、DDoSDomain，每一种大类再根据情报数据的数据大小分为4级，其中0-10KB为一级，10KB-1MB为二级，1MB-1GB为三级，1GB以上为四级，情报数据按照数据大小从一级到四级排序；根据情报数据的分类情况从而确定数据分析模式，数据分析模式包括快速模式、全局模式、用户自选策略模式，其中快速模式覆盖IP，URL，DDoSDomain三大类的全部四级到一级数据和Botnet,File,Email三大类的一级和二级数据；全局模式覆盖六大类所有一级到四级数据；用户自选策略模式默认不覆盖任何数据，允许抽取所有类型所有级别数据的任意组合；

根据情报数据的数据分析模式匹配对应的分析策略，进而获取对应的分析结果，具体为：若是快速模式则使用DFD建模方法进行数据分析，全局模式则使用自顶向下的分解的策略进行分析，自选策略模式不匹配任何默认策略，接受外部自定义策略输入；

智能合约执行对情报数据的分析结果的处理，并通过区块链网络广播到全网节点中，全网达成共识后生成一条全网唯一的可查询数据，具体为：在分析结果到达后，自动调用智能合约，所述智能合约为预置合约，情报数据的处理依据智能合约内容执行，当触发智能合约后，智能合约按照合约内容自动执行对分析结果的数据处理，经过智能合约处理的数据符合区块链网络广播格式要求，通过区块链网络广播到全网节点中，全网节点对经过智能合约处理的数据进行共识，全网共识达成后即生成一条全网唯一可查询数据，包括情报注册时间、情报ID、情报记录区块等信息；

对全网唯一可查询数据采用共识机制赋予信誉值，根据信誉值判断情报为可信或威胁情报，具体为：基于委任权益证明共识机制，对全网唯一可查询数据赋予信誉值A，全部可查询数据组成可查询数据序列，可查询数据序列对应的信誉中位值的阈值为τ，若信誉值A>τ，则对应情报为可信情报；如信誉值A<τ，则对应情报为威胁情报。

2.一种基于区块链共识机制的可信威胁情报识别装置，其特征是，包括情报数据获取模块、分析模式确定模块，分析结果获取模块、智能合约执行模块和情报识别模块，其中：

情报数据获取模块，用于将情报数据源各节点纳入区块链形成情报数据区块链，监测区块链各节点获取情报数据；

分析模式确定模块，用于确定情报数据的数据分析模式，包括：依据情报数据的TCP/IP包头数据将情报数据分成6大类，分别包括：File、URL、IP、Email、Botnet、DDoSDomain，每一种大类再根据情报数据的数据大小分为4级，其中0-10KB为一级，10KB-1MB为二级，1MB-1GB为三级，1GB以上为四级，情报数据按照数据大小从一级到四级排序；根据情报数据的分类情况从而确定数据分析模式，数据分析模式包括快速模式、全局模式、用户自选策略模式，其中快速模式覆盖IP，URL，DDoSDomain三大类的全部四级到一级数据和Botnet,File,Email三大类的一级和二级数据；全局模式覆盖六大类所有一级到四级数据；用户自选策略模式默认不覆盖任何数据，允许抽取所有类型所有级别数据的任意组合；

分析结果获取模块，用于根据情报数据的数据分析模式匹配对应的分析策略，进而获取对应的分析结果，具体为：若是快速模式则使用DFD建模方法进行数据分析，全局模式则使用自顶向下的分解的策略进行分析，自选策略模式不匹配任何默认策略，接受外部自定义策略输入；

智能合约执行模块，用于智能合约执行对情报数据的分析结果的处理，并通过区块链网络广播到全网节点中，全网达成共识后生成一条全网唯一的可查询数据，具体为：在分析结果到达后，自动调用智能合约，所述智能合约为预置合约，情报数据的处理依据智能合约内容执行，当触发智能合约后，智能合约按照合约内容自动执行对分析结果的数据处理，经过智能合约处理的数据符合区块链网络广播格式要求，通过区块链网络广播到全网节点中，全网节点对经过智能合约处理的数据进行共识，全网共识达成后即生成一条全网唯一可查询数据，包括情报注册时间、情报ID、情报记录区块等信息；

情报识别模块，用于对全网唯一可查询数据采用共识机制赋予信誉值，根据信誉值判断情报为可信或威胁情报，具体为：基于委任权益证明共识机制，对全网唯一可查询数据赋予信誉值A，全部可查询数据组成可查询数据序列，可查询数据序列对应的信誉中位值的阈值为τ，若信誉值A>τ，则对应情报为可信情报；如信誉值A<τ，则对应情报为威胁情报。

Images