CN113014375B - 网络威胁情报信息的跨组织处理方法、相关装置和介质 - Google Patents
网络威胁情报信息的跨组织处理方法、相关装置和介质 Download PDFInfo
- Publication number
- CN113014375B CN113014375B CN202110240943.1A CN202110240943A CN113014375B CN 113014375 B CN113014375 B CN 113014375B CN 202110240943 A CN202110240943 A CN 202110240943A CN 113014375 B CN113014375 B CN 113014375B
- Authority
- CN
- China
- Prior art keywords
- information
- organization
- cyber
- encrypted
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
- H04L9/0836—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本公开提供了一种网络威胁情报信息的跨组织处理方法、相关装置和介质。该方法包括:接收来自对象组织的加密后网络威胁情报信息,网络威胁情报信息按照统一结构化的数据结构组织,数据结构的节点信息用对象组织的密钥加密;对加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果。本公开实施例使得网络威胁情报信息在跨组织处理过程中的保密性得以提高。
Description
技术领域
本公开涉及安全计算领域,特别涉及一种网络威胁情报信息的跨组织处理方法、相关装置和介质。
背景技术
网络威胁情报信息是组织所受网络威胁的相关信息,不仅包括攻击者所使用的IP和DNS、恶意可执行文件的哈希值、TTP(攻击者的攻击策略、技术和过程),还包括网络威胁的应对措施。网络威胁情报信息的价值在于能帮助组织研判面临的网络威胁,从而便于组织实行威胁防御。
目前,为了实现网络威胁情报信息的价值最大化,安全计算领域涌现出情报共享等众多子领域,这些子领域都涉及到网络威胁情报信息的跨组织处理,即网络威胁情报信息需要在所属组织和其它组织之间传送乃至接受所属组织和其它组织中至少一方的处理。以情报共享这一子领域为例,网络威胁情报信息需要从所属组织传送到本地组织,本地组织接收后方可共享网络威胁情报信息。
然而,网络威胁情报信息通常反映一个组织中信息系统的环境情况,现阶段的跨组织处理过程无法确保网络威胁情报信息的保密性。若网络威胁情报信息在跨组织处理过程中出现不可控范围内的泄漏,则会被攻击者会进一步利用。因而,上述涉及网络威胁情报信息跨组织处理的众多子领域在应用方面并不乐观。
发明内容
本公开的一个目的是提高网络威胁情报信息在跨组织处理过程中的安全性。
根据本公开的一个方面,提供了一种网络威胁情报信息的跨组织处理方法,包括:
接收来自对象组织的加密后网络威胁情报信息,所述网络威胁情报信息按照统一结构化的数据结构组织,所述数据结构的节点信息用所述对象组织的密钥加密;
对所述加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果。
可选地,所述统一结构化的数据结构为树形结构,所述树形结构具有组合逻辑、属性类、属性子类、属性值四个从高到低的层级的节点信息,一个层级的节点信息下面有一个或多个低一层级的节点信息。
可选地,所述对所述加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果,包括:将所述加密后网络威胁情报信息的数据结构与本地组织的加密后网络威胁情报信息的数据结构按照节点信息的级别比较,在同级别的节点信息相同的情况下,才比较下一级别的节点信息,比较后得到密文差异情报信息作为密文处理结果;在对所述加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果之后,所述方法还包括:将所述密文处理结果加扰;将加扰密文处理结果返回所述对象组织,以便所述对象组织用所述对象组织的密钥解密,得到加扰明文处理结果;从所述对象组织接收所述加扰明文处理结果并解扰;用解扰后的明文处理结果更新本地的明文网络威胁情报信息。
可选地,所述对象组织包括多个对象组织,所述对所述加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果,包括:对所述多个对象组织的加密后网络威胁情报信息按照数据结构的节点信息进行聚类,将未聚到任何一类的加密后网络威胁情报信息评估为质量不通过。
可选地,在将未聚到任何一类的加密后网络威胁情报信息评估为质量不通过之后,所述方法还包括:将加密后网络威胁情报信息不通过比率大于预定比率阈值的对象组织评估为不信任信息源,其中,所述加密后网络威胁情报信息不通过比率等于来自所述对象组织的质量不通过的加密后网络威胁情报信息数除以来自所述对象组织的加密后网络威胁情报信息总数。
可选地,所述对象组织包括多个对象组织;所述对所述加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果,包括:对来自所述多个对象组织的加密后网络威胁情报信息按数据结构的节点信息进行聚合,得到聚合后加密网络威胁情报信息;向所述多个对象组织返回所述聚合后加密网络威胁情报信息,以便所述多个对象组织用各自的密钥解密,得到聚合后网络威胁情报信息。
可选地,所述加密包括半同态加密、全同态加密或秘密分享。
可选地,所述加扰包括用随机数加扰,所述解扰包括用所述随机数解扰。
根据本公开的另一个方面,提供了一种网络威胁情报信息的跨组织处理装置,包括:
存储器,用于存储计算机程序指令;
处理器,用于执行所述存储器存储的计算机程序指令,以执行以上任一法。
根据本公开的又一个方面,提供了计算机可读程序介质,其存储有计算机可读指令,当所述计算机可读指令被处理器执行时,使计算机执行以上任一方法。
本公开实施例中,本地组织接收来自对象组织的加密后网络威胁情报信息,所述网络威胁情报信息按照统一结构化的数据结构组织,所述数据结构的节点信息用对象组织的密钥加密,进而本地组织对接收的加密后网络威胁情报信息直接进行节点信息的密文处理即可。该过程中,对象组织向本地组织传送的网络威胁情报信息已加密,因而,网络威胁情报信息在传输路径上不会泄露给第三方,即网络威胁情报信息在跨组织处理过程中具有较高的安全性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。
图1示出了根据本公开一个实施例的网络威胁情报信息的跨组织处理方法所应用的多组织系统的体系架构图;
图2示出了根据本公开一个实施例的网络威胁情报信息的跨组织处理方法流程图;
图3示出了根据本公开一个实施例的树形结构组织的网络威胁情报信息的示例;
图4示出了图3所示网络威胁情报信息对应的加密后网络威胁情报信息的结构示意图;
图5示出了本公开一个实施例中情报共享场景下网络威胁情报信息的跨组织处理方法流程图;
图6示出了本公开一个实施例中情报质量分析场景下网络威胁情报信息的跨组织处理方法流程图;
图7示出了本公开一个实施例中情报来源的信任评估场景下网络威胁情报信息的跨组织处理方法流程图;
图8示出了本公开一个实施例中新情报信息生成场景下网络威胁情报信息的跨组织处理方法流程图;
图9示出了根据本公开一个实施例的网络威胁情报信息的跨组织处理装置的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些示例实施方式使得本公开的描述将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多示例实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的示例实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、步骤等。在其它情况下,不详细示出或描述公知结构、方法、实现或者操作以避免喧宾夺主而使得本公开的各方面变得模糊。
附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
图1示出了本公开一个实施例的网络威胁情报信息的跨组织处理方法所应用的多组织系统的体系架构图。参照图1,该多组织系统包括对象组织110和本地组织120。对象组织110在本公开中是指待处理的网络威胁情报信息所来自的组织。本地组织120在本公开中是指处理网络威胁情报信息的组织。对象组织110和本地组织120各自为一个独立的网络组织,各组织内设置有至少一个工作设备112且至少一个工作设备112能够互相访问,工作设备例如有服务器、主机等。进一步,对象组织110和本地组织120各自还包括安全防护系统111、安全信息与事件管理装置113、安全应急响应装置114以及加密数据库115,其中,安全防护系统包括防火墙和杀毒软件等,设置在工作设备前端或者安装在工作设备上,负责工作设备的安全防护并用于对网络威胁情报信息进行采集;安全信息与事件管理装置113用于管理网络威胁情报信息;安全应急响应装置114用于根据网络威胁情报信息实行安全应急响应;加密数据库115用于存储加密后网络威胁情报信息。
下面结合图2详细介绍根据本公开一个实施例的网络威胁情报信息的跨组织处理方法,其由图1中本地组织120内设置的安全信息与事件管理装置113执行。该方法可以包括:
步骤210,接收来自对象组织110的加密后网络威胁情报信息,网络威胁情报信息按照统一结构化的数据结构组织,数据结构的节点信息用对象组织的密钥加密;
步骤230,对加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果。
下面对上述步骤详细描述。
步骤210中,加密后网络威胁情报信息是指利用对象组织110的密钥通过对象组织110自身持有的密文加密密钥加密的网络威胁情报信息。
统一结构化的数据结构是指按照规定好的结构形式组织的数据结构。由于结构形式是规定好的,因此所有按照该数据结构存储的数据的结构具有统一性。在一个实施例中,其可以为树形结构,树形结构具有组合逻辑、属性类、属性子类、属性值四个从高到低的层级的节点信息,一个层级的节点信息下面有一个或多个低一层级的节点信息。数据结构可以看作是属性之间的逻辑运算,例如and(和)与or(或)。属性是对象的某种性质。属性包括属性类名和具体的属性值。本公开又将属性类名分为属性类和属性子类。属性类为属性所述的总体的类。属性子类为属性所述的具体的类。属性类包括若干属性子类。如图3所示,“文件名字”是一个属性类名,其中“文件”是属性类,“名字”是属性子类。aic32ux.sys是其具体的属性值。如果某数据结构表示为(文件名字=aic32ux.sys)和(网络域名=badDNSdomain),其表示当文件名为aic32ux.sys且网络域名为badDNSdomain,易受网络攻击者攻击。
在可选的实施例中,组合逻辑上面还可以有组合逻辑。因此,上面组合逻辑的下面可以只有组合逻辑,上面组合逻辑的下面也可以同时有组合逻辑和属性类。鉴于网络威胁情报信息通常对某一网络安全攻击中的攻击者、攻击工具和攻击目标进行关联性描述,因而,上述包括组合逻辑的多层级节点信息的数据结构能够较全面且贴切地表示网络威胁情报信息。
需要说明的是,在树形结构中,一个节点信息下面的节点信息为该节点信息的分支,与该层级节点信息之间存在直接的限定关系。
图3所示为一个示例性的以树形结构组织的网络威胁情报信息。参照图3,该树形结构的主枝干为组合逻辑a11,组合逻辑a11下面有属性类和属性子类a21、属性类和属性子类a22这两低一层级的节点信息以及组合逻辑a12、组合逻辑a13这两同层级的节点信息。同层级的两节点信息中,组合逻辑a12下面有属性类和属性子类a23以及组合逻辑a13这两个节点信息,组合逻辑a13下面有属性类和属性子类a24以及属性类和属性子类a25这两个节点信息;组合逻辑a14下有属性类和属性子类a26这个节点信息。
上述各属性类和属性子类下面皆有一个对应的属性值,属性类和属性子类与对应的属性值之间通过箭头指示,即,属性类和属性子类a21下面有属性值a31,属性类和属性子类a22下面有属性值a32,属性类和属性子类a23下面有属性值a33,属性类和属性子类a24下面有属性值a34,属性类和属性子类a25下面有属性值a35,属性类和属性子类a26下面有属性值a36。
依据图3中所示树形结构中的节点信息,图3表示的网络威胁情报信息为满足以下四个条件中任一条件则受网络威胁:(1)文件名字为aic32ux.sys,(2)网络域名为badDNSdomain.com,(3)文件消息摘要算法为A3468678331…,并且,注册表路径为HKEY_LOCAL_MACHINE\Microsoft\internet explorer\version或者注册表文档为5.1,(4)文件编译时间为2019-6-21 07:43:23。
图4所示为图3所示网络威胁情报信息对应的加密后网络威胁情报信息,图3所示数据结构的各节点信息皆用对象组织110的密钥加密即可生成图4所示加密后网络威胁情报信息,从而图3中的节点信息aij对应有图4中的节点信息密文bij,其中,i=1,2,3,j=1,2,3,4,5,6,例如组合逻辑a11对应有组合逻辑密文b11,属性类和属性子类a21对应有属性类密文和属性子类密文b21,具体对照图3和图4,这里不对众多节点信息一一赘述。
应当理解的是,相对于节点信息aij来说,节点信息密文bij在树形结构中的位置不因加密而改变;本地组织120接收的对象组织110的加密后网络威胁情报信息,包括节点信息密文以及节点信息密文在树形结构中的位置信息,这样方可构成完整的加密后网络威胁情报信息。
上述加密后网络威胁情报信息可以是对象组织110通过内部设置的安全信息与事件管理装置113对安全防护系统111采集的网络威胁情报信息加密而生成的,生成的加密后网络威胁情报信息存储在对象组织110内设置的加密数据库115中。本地组织120内设置的安全信息与事件管理装置113与对象组织110内设置的安全信息与事件管理装置113通信连接,从而对象组织110内设置的安全信息与事件管理装置113读取同组织的加密数据库以生成加密后网络威胁情报信息,然后向本地组织120内设置的安全信息与事件管理装置113发送加密后网络威胁情报信息。
无论是对象组织110还是本地组织120,组织的加密数据库可以包括四个子数据库:第一子数据库,用于存储组合逻辑;第二子数据库,用于存储属性类;第三子数据库,用于存储属性子类;第四子数据库,用于存储属性值,这样可以直接从某一层级节点信息对应的子数据库提取该层级节点信息。由于组合逻辑、属性类、属性子类和属性值是通过树形结构组织方可形成有唯一意义的网络威胁情报信息,因而上述各子数据库对应存储的节点信息还应存储该节点信息在树形结构中的位置信息,节点信息和对应的位置信息相关联。
一个可选实施例中,所述数据结构的节点信息用对象组织110的密钥加密之前皆通过二进制数编码,从而方便利用已有加密方式进行加密处理,降低编码成本。例如,组合逻辑“或”编码为“1000000”,组合逻辑“和”编码为“1000001”,属性类“文件”编码为“1100000”,属性类“网络”编码为“1100001”。
一个可选实施例中,数据结构的节点信息用对象组织110的密钥加密,所述加密包括半同态加密、全同态加密或秘密分享。具体地,同态加密具有如下特性:原始数据经全同态加密后被某一方法处理而得到一个输出,若这一输出进行解密,其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。基于同态加密的上述特性,半同态加密是指加密后数据只能做无限次同态加法(additive-only)处理或者只能做无限次同态乘法(multiplicative-only)处理,半同态加密算法例如有paillier和ECC(Elliptic CurvesCryptography,椭圆曲线密码);全同态加密是指加密后数据可以进行无限次数的任意同态操作。秘密分享(Secret Sharing,简称SS)为一种构建MPC(Secure multi-partycomputation,安全多方计算)的基础技术,是指:将原消息拆分成若干伪随机的部分(称为分片),给每个分片持有者一份,接收者在获得所有(或一定数量)分片后即可还原出原消息。相比于全同态加密和秘密分享,半同态加密能够使密文处理过程中包括的密文比对具有较快的效率,因而本公开实施例中优选半同态加密。
步骤230中,对加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果。在不同应用场景下,其有不同实施过程。
图5所示为网络威胁情报信息共享场景下网络威胁情报信息的跨组织处理方法流程图,具体地,网络威胁情报信息共享是对象组织110将自己的网络威胁情报信息共享给本地组织120。
参照图5,本地组织120执行的上述步骤210对应有对象组织110执行步骤211和步骤212。其中,步骤211即对象组织110将网络威胁情报信息X组织成统一结构化的数据结构,然后将数据结构的节点信息用对象组织110的密钥加密,得到加密后网络威胁情报信息X';步骤212即对象组织110发送加密后网络威胁情报信息X',从而本地组织120能够接收来自对象组织110的上述加密后网络威胁情报信息X'。
参照图5,步骤230包括:步骤231,将对象组织110的加密后网络威胁情报信息X'的数据结构与本地组织120的加密后网络威胁情报信息Y'的数据结构按照节点信息的级别比较,得到密文处理结果。其中,比较过程中是在同级别的节点信息相同的情况下才比较下一级别的节点信息,比较后得到密文差异情报信息作为上述密文处理结果(Y'-X');Y表示本地组织120的网络威胁情报信息。示例性地,对于二进制数编码的加密后网络威胁情报信息X'与加密后网络威胁情报信息Y',上述比较是将二者进行减法运算,从而密文处理结果(Y'-X')也是一个二进制数。
参照图5,该应用情境中,跨组织处理方法还包括步骤230之后执行的如下步骤:
步骤240,本地组织120加扰密文处理结果(Y'-X');
步骤250,本地组织120返回加扰密文处理结果;
步骤260,对象组织110用对象组织110的密钥解密加扰密文处理结果,得到加扰明文处理结果;
步骤270,对象组织110发送加扰明文处理结果;
步骤280,本地组织120对加扰明文处理结果进行解扰,得到明文处理结果(Y-X),并将得到的明文处理结果(Y-X)与本地网络威胁情报信息合并从而更新本地的明文网络威胁情报信息。
示例性地,步骤240中是用随机数z加扰密文处理结果(Y'-X'),具体地,在密文处理结果(Y'-X')上加随机数z的密文z',得到加扰密文处理结果(Y'-X'+z')。相应地,步骤280,本地组织120使用随机数z解扰加扰明文处理结果(Y-X+z),即加扰明文处理结果(Y-X+z)减去随机数z,得到明文处理结果(Y-X)。
上述步骤280中将得到的明文处理结果(Y-X)与本地网络威胁情报信息合并,即将上述明文处理结果作为此次新得到的网络威胁情报信息,存储到本地,使得本地的明文网络威胁情报信息得以扩充。
需要说明的是,加扰明文处理结果(Y-X+z)是步骤260中解密加扰密文处理结果(Y'-X'+z')得到的,这里加密优选同态加密,从而加扰密文处理结果(Y'-X'+z')解密后便得到明文处理结果(Y-X+z),具体原理参照上述有关同态加密的描述,这里不再赘述。
具体地,本地组织120接收到来自对象组织110的加密后网络威胁情报信息X'后,可以先提取其中各加密后节点信息关联的位置信息(位置信息没有加密),并依据提取到的位置信息分析属性类是哪一组合逻辑下面的节点信息、属性类下面有哪些属性子类、属性子类下面有哪些属性值;然后,对一个“组合逻辑-属性类-属性子类-属性值”进行从高到低逐层级比较,并求取各层级的差异信息。这里一个“组合逻辑_属性类_属性子类-属性值”是指其中只有一个组合逻辑、一个属性类、一个属性子类和一个属性值而构成的信息。
针对任一个“组合逻辑_属性类_属性子类_属性值”,本地组织120的加密后网络威胁情报信息Y'包括的是“组合逻辑Y'_属性类Y'_属性子类Y'_属性值Y'”,来自对象组织110的加密后网络威胁情报信息X'包括的是“组合逻辑X'_属性类X'_属性子类X'_属性值X'”,从高到低逐层级比较“组合逻辑Y'_属性类Y'_属性子类Y'_属性值Y'”与“组合逻辑X'_属性类X'_属性子类X'_属性值X'”,其中,
(1)若组合逻辑Y'不同于组合逻辑X',则可直接结束比较,“组合逻辑X'_属性类X'_属性子类X'_属性值X'”整个网络威胁情报信息在本地都没有存储,将其作为差异信息。;
(2)若组合逻辑Y'与组合逻辑X'相同而属性类Y'不同于属性类X',则可直接结束比较,此时“属性类X'_属性子类X'_属性值X'”在本地都没有存储,将其作为差异信息;
(3)组合逻辑Y'与组合逻辑X'相同、属性类Y'与属性类X'相同,而属性子类Y'不同于属性子类X',则直接结束比较,此时“属性子类X'_属性值X'”在本地都没有存储,将其作为差异信息;
(4)组合逻辑Y'与组合逻辑X'相同、属性类Y'与属性类X'相同、属性子类Y'与属性子类X'相同,属性值Y'不同于属性值X',则此时“属性值X'”在本地都没有存储,将其作为差异信息。
(5)若“组合逻辑Y'_属性类Y'_属性子类Y'_属性值Y'”与“组合逻辑X'_属性类X'_属性子类X'_属性值X'”完全相同,则无差异信息。
从以上分析可见,多层级节点信息嵌套在树形结构中,由于同级别的节点信息相同的情况下才比较下一级别的节点信息,因而很多情况下可以省略很多比较步骤,因而能够提高密文比较速度。
该情报共享的应用场景中,步骤212、步骤250以及步骤270涉及到信息传输,其中,步骤212传输的信息为加密后网络威胁情报X',这样网络威胁情报X因加密而本地组织120不知道对象组织110的密钥,保证了对象组织的网络威胁情报X'不会被本地组织知道,实现保密性;步骤250传输的是加扰密文处理结果,对象组织110虽然有密钥,能解开密文处理结果,但不知道加扰随机数,还是不能知道该处理结果,即不知道本地组织120和对象组织110的网络威胁情报的差异。即使对象组织110不知道本地组织120真正的网络威胁情况是什么,但让其知道了本地组织120和对象组织110的网络威胁情报的差异,也是非常危险的,因为这时其实际上知道了对方的网络与自己相比在什么地方薄弱,因此要采用加扰的方式。在步骤280中,本地组织120将对象组织110返回的明文处理结果解扰,得到明文处理结果,即对象组织110的网络威胁情报比自己多哪些情报,但也没有知道对象组织110全部的网络威胁情报,因为它不知道其比自己少了哪些网络威胁情报。因此,整个过程中,对象组织110无法知道本地组织120的全部网络威胁情报,本地组织120无法知道对象组织110的全部网络威胁情报,具有信息安全性。
图6所示为另一个实施例中情报质量分析场景下网络威胁情报信息的跨组织处理方法流程图。具体地,情报质量分析是本地组织120对来自对象组织110的网络威胁情报信息进行质量分析,确定来自对象组织110的网络威胁情报信息是否可信。其中,对象组织110的数目为多个。
参照图6,步骤211和步骤212同上述情报共享场景,此处不再赘述。
参照图6,步骤230包括:
步骤232,对多个对象组织110的加密后网络威胁情报信息按照数据结构的节点信息进行聚类;
步骤233,将未聚到任何一类的加密后网络威胁情报信息评估为质量不通过,即得到上述密文处理结果。
需要说明的是,多个对象组织110的加密后网络威胁情报信息是多个信息,而且数量越大越有利于精确地确定出质量不通过的网络威胁情报信息。
上述对多个对象组织110的加密后网络威胁情报信息按照数据结构的节点信息进行聚类,生成至少一个类,其中,同一类中的信息彼此相似,不同类中的信息彼此相异。在大量加密后网络威胁情报信息聚类生成大量类的情况下,无法聚到任何一类的加密后网络威胁情报信息是和任一类都不具有共性,这表示该网络威胁情报信息和其它组织收集的网络威胁情报信息出入大,很可能是错的,因而被评估为质量不通过。本地组织120可以将质量不通过的网络威胁情报信息上报平台服务器等。
上述质量分析应用场景中,只有步骤212涉及到信息传输,由上述情报共享应用场景的分析可知:步骤212由于发送加密后网络威胁情报信息,因而网络威胁情报信息因加密而不会泄露给第三方;此外,本地组织120获取到的仅是来自对象组织110的加密后网络威胁情报信息,因而对象组织110的网络威胁情报信息也不会泄露给本地组织120,即本地组织120并不能获知质量分析这一处理任务不要求的对象组织110的情报信息,这样对象组织120的网络威胁情报信息得到较好的保密。
图7所示为又一个实施例中情报来源的信任评估场景下网络威胁情报信息的跨组织处理方法流程图。具体地,情报来源的信任评估场景,是本地组织120将对象组织110作为情报来源而评估对象组织110的可信度,其中,对象组织110的数目为多个。
参照图7,步骤211和步骤212同样同上述情报共享场景,此处不再赘述。
参照图7,步骤230不仅包括图6所示的步骤232和步骤233,还在步骤233之后包括:
步骤234,将加密后网络威胁情报信息不通过比率大于预定比率阈值的对象组织评估为不信任信息源,其中,加密后网络威胁情报信息不通过比率等于来自对象组织110的质量不通过的加密后网络威胁情报信息数除以来自对象组织110的加密后网络威胁情报信息总数,评估得到的不信任信息源即为上述密文处理结果。应当理解的是,该场景中涉及到多个对象组织110,上述加密后网络威胁情报信息不通过比率和对象组织110是一一对应的关系。确定某一对象组织110的加密后网络威胁情报信息不通过比率,只能利用该对象组织110的质量不通过的加密后网络威胁情报信息数以及来自该对象组织110的加密后网络威胁情报信息总数。
相对于质量分析这一应用场景,上述情报来源的信任评估场景中只增加了步骤234,由于本地组织110无法通过步骤234获知对象组织110的网络威胁情报信息,因而对象组织110的网络威胁情报信息不仅不会泄露给第三方而且也不会泄露该本地组织120,即,对象组织110的网络威胁情报信息具有较好的保密性。
图8所示为又一个实施例中新情报信息生成应用场景下网络威胁情报信息的跨组织处理方法流程图,具体地,新情报信息生成是本地组织120对来自对象组织110的网络威胁情报信息进行分析而产生新情报,其中,对象组织110的数目为多个。
参照图8,步骤211和步骤212同样同上述情报共享场景,此处不再赘述。
参照图8,步骤230包括步骤235,本地组织120对来自多个对象组织110的加密后网络威胁情报信息按数据结构的节点信息进行聚合,得到聚合后加密网络威胁情报信息,聚合后加密网络威胁情报信息即上述密文处理结果。
参照图8,该应用场景中,跨组织处理方法还包括步骤235之后执行的如下步骤:
步骤290,本地组织120向多个对象组织110返回聚合后加密网络威胁情报信息;
步骤2X0,多个对象组织110用各自的密钥解密,得到聚合后网络威胁情报信息。
具体地,本地组织120对来自多个对象组织110的加密后网络威胁情报信息按数据结构的节点信息进行聚合,可以是对多个对象组织110的加密后网络威胁情报信息按数据结构的节点信息进行统计分析,提取出多个对象组织110的加密后网络威胁情报信息所具有的共同信息,即生成了聚合后加密网络威胁情报信息。
上述新情报信息生成应用场景中,步骤212和步骤290涉及到信息传输,其中,步骤212同上所述不会泄露对象组织110的网络威胁情报信息;步骤290传输的信息是聚合后加密网络威胁情报信息,聚合后加密网络威胁情报信息在该传输过程中因加密而不会泄露给第三方。并且,该场景中本地组织120只负责聚合处理,本地组织120处理的是来自对象组织110的加密后网络威胁情报信息,本地组织120生成的是聚合后加密网络威胁情报信息,因而本地组织120在不得知秘钥的情况下无法获知对象组织110的网络威胁情报信息以及聚合后网络威胁情报信息,也就是说,对象组织110的网络威胁情报信息以及聚合后网络威胁情报信息只对对象组织110是公开的,这两信息得到较好保密。
本公开实施例提供的网络威胁情报信息的跨组织处理方法可以由图9的计算机设备800实现,该计算机设备800仅作为网络威胁情报信息的跨组织处理装置的一个示例,不应对本公开实施例的功能和使用范围带来任何限制。下面参照图9来描述根据计算机设备800。
如图9所示,计算机设备800的组件可以包括但不限于:至少一个处理器810、至少一个存储器820、连接不同系统组件(包括存储器820和处理器810)的总线830。
其中,所述存储器820存储有程序代码,所述程序代码可以被所述处理器810执行,使得所述处理器810执行本说明书上述示例性方法的描述部分中描述的本公开各种示例性实施方式的步骤。例如,所述处理器810可以执行如图2中所示的各个步骤。
存储器820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)8201和/或高速缓存存储器8202,还可以进一步包括只读存储单元(ROM)8203。
存储器820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204,这样的程序模块8205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
计算机设备800也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该计算机设备800交互的设备通信,和/或与使得该计算机设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,计算机设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图9所示,网络适配器860通过总线830与计算机设备800的其它模块通信。应当明白,尽管图中未示出,可以结合计算机设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读程序介质,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行上述方法实施例部分描述的方法。
可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机可读指令,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。计算机可读指令可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的场景中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (7)
1.一种网络威胁情报信息的跨组织处理方法,其特征在于,包括:
接收来自对象组织的加密后网络威胁情报信息,所述网络威胁情报信息按照统一结构化的数据结构组织,所述数据结构的节点信息用所述对象组织的密钥加密;
对所述加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果;
其中,所述统一结构化的数据结构为树形结构,所述树形结构具有组合逻辑、属性类、属性子类、属性值四个从高到低的层级的节点信息,一个层级的节点信息下面有一个或多个低一层级的节点信息;
对所述加密后网络威胁情报信息的数据结构的节点信息进行密文处理,得到密文处理结果,包括:
将所述加密后网络威胁情报信息的数据结构与本地组织的加密后网络威胁情报信息的数据结构按照节点信息的级别比较,在同级别的节点信息相同的情况下,才比较下一级别的节点信息,比较后得到密文差异情报信息作为密文处理结果;
或者,所述对象组织包括多个对象组织的情况下,对所述多个对象组织的加密后网络威胁情报信息按照数据结构的节点信息进行聚类,将未聚到任何一类的加密后网络威胁情报信息评估为质量不通过;
或者,所述对象组织包括多个对象组织的情况下,对来自所述多个对象组织的加密后网络威胁情报信息按数据结构的节点信息进行聚合,得到聚合后加密网络威胁情报信息;向所述多个对象组织返回所述聚合后加密网络威胁情报信息,以便所述多个对象组织用各自的密钥解密,得到聚合后网络威胁情报信息。
2.根据权利要求1所述的方法,其中,在比较后得到密文差异情报信息作为密文处理结果之后,所述方法还包括:
将所述密文处理结果加扰;
将加扰密文处理结果返回所述对象组织,以便所述对象组织用所述对象组织的密钥解密,得到加扰明文处理结果;
从所述对象组织接收所述加扰明文处理结果并解扰;
用解扰后的明文处理结果更新本地的明文网络威胁情报信息。
3.根据权利要求1所述的方法,其特征在于,在将未聚到任何一类的加密后网络威胁情报信息评估为质量不通过之后,所述方法还包括:
将加密后网络威胁情报信息不通过比率大于预定比率阈值的对象组织评估为不信任信息源,其中,所述加密后网络威胁情报信息不通过比率等于来自所述对象组织的质量不通过的加密后网络威胁情报信息数除以来自所述对象组织的加密后网络威胁情报信息总数。
4.根据权利要求1-3中任一个所述的方法,其特征在于,所述加密包括半同态加密、全同态加密或秘密分享。
5.根据权利要求2所述的方法,其特征在于,所述加扰包括用随机数加扰,所述解扰包括用所述随机数解扰。
6.一种网络威胁情报信息的跨组织处理装置,包括:
存储器,用于存储计算机程序指令;
处理器,用于执行所述存储器存储的计算机程序指令,以执行权利要求1-5中任一个所述的方法。
7.一种计算机可读程序介质,其特征在于,其存储有计算机可读指令,当所述计算机可读指令被处理器执行时,使计算机执行权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110240943.1A CN113014375B (zh) | 2021-03-04 | 2021-03-04 | 网络威胁情报信息的跨组织处理方法、相关装置和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110240943.1A CN113014375B (zh) | 2021-03-04 | 2021-03-04 | 网络威胁情报信息的跨组织处理方法、相关装置和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113014375A CN113014375A (zh) | 2021-06-22 |
| CN113014375B true CN113014375B (zh) | 2022-11-22 |
Family
ID=76405473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110240943.1A Active CN113014375B (zh) | 2021-03-04 | 2021-03-04 | 网络威胁情报信息的跨组织处理方法、相关装置和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113014375B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8813228B2 (en) * | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
| CN106060018B (zh) * | 2016-05-19 | 2019-11-15 | 中国电子科技网络信息安全有限公司 | 一种网络威胁情报共享模型 |
| US20180159876A1 (en) * | 2016-12-05 | 2018-06-07 | International Business Machines Corporation | Consolidating structured and unstructured security and threat intelligence with knowledge graphs |
| CN110198303A (zh) * | 2019-04-26 | 2019-09-03 | 北京奇安信科技有限公司 | 威胁情报的生成方法及装置、存储介质、电子装置 |
| CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
-
2021
- 2021-03-04 CN CN202110240943.1A patent/CN113014375B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113014375A (zh) | 2021-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Awan et al. | Secure framework enhancing AES algorithm in cloud computing | |
| Hoang et al. | Hardware-supported ORAM in effect: Practical oblivious search and update on very large dataset | |
| Bugiel et al. | Twin clouds: An architecture for secure cloud computing | |
| JP6880017B2 (ja) | 信頼できないコンピュータ上でプライベートプログラムを実行するためのシステム及びプロセス | |
| US20080069341A1 (en) | Methods and systems for strong encryption | |
| CN110276198B (zh) | 一种基于概率预测的嵌入式可变粒度控制流验证方法及系统 | |
| US11070357B2 (en) | Techniques for privacy-preserving data processing across multiple computing nodes | |
| CN112287379A (zh) | 业务数据使用方法、装置、设备、存储介质和程序产品 | |
| US20080165954A1 (en) | System for encrypting and decrypting data using derivative equations and factors | |
| CN113438210B (zh) | 一种数据传输处理方法、装置和电子设备 | |
| US10673627B2 (en) | Encryption device, search device, computer readable medium, encryption method, and search method | |
| Junghanns et al. | Engineering of secure multi-cloud storage | |
| CN114020705A (zh) | 一种文件处理方法、装置和存储介质 | |
| Bahrami et al. | CloudPDB: A light-weight data privacy schema for cloud-based databases | |
| US8862893B2 (en) | Techniques for performing symmetric cryptography | |
| CN113014375B (zh) | 网络威胁情报信息的跨组织处理方法、相关装置和介质 | |
| CN116248253A (zh) | 一种基于国产密码机对数据库表密钥进行派生的方法及系统 | |
| US6823070B1 (en) | Method for key escrow in a communication system and apparatus therefor | |
| EP3704617B1 (en) | Privacy-preserving log analysis | |
| CN114765529A (zh) | 分布式数据的同态加密存储方法及装置、电子设备及计算机可读介质 | |
| Xu et al. | Strong leakage-resilient encryption: enhancing data confidentiality by hiding partial ciphertext | |
| Heinl et al. | AntiPatterns regarding the application of cryptographic primitives by the example of ransomware | |
| Li | Research on Key Security Detection Method of Cross Domain Information Sharing Based on PKG Trust Gateway | |
| CN117349858A (zh) | 一种数据加解密系统和数据加解密方法 | |
| Liu et al. | Confidential State Verification for the Delegated Cloud Jobs with Confidential Audit Log |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |