CN113542250B - 基于区块链的网络威胁分析方法、装置及系统 - Google Patents
基于区块链的网络威胁分析方法、装置及系统 Download PDFInfo
- Publication number
- CN113542250B CN113542250B CN202110779315.0A CN202110779315A CN113542250B CN 113542250 B CN113542250 B CN 113542250B CN 202110779315 A CN202110779315 A CN 202110779315A CN 113542250 B CN113542250 B CN 113542250B
- Authority
- CN
- China
- Prior art keywords
- threat
- information
- elements
- searching
- blockchain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于区块链的网络威胁分析方法、装置及系统,属于区块链技术领域,可应用于金融领域或其他领域。该方法应用于本地情报节点,本地情报节点与至少一个异地情报节点构成区块链网络,该方法包括:从异地情报节点发起的情报分析交易中提取威胁元素,将威胁元素放入威胁情报图;确定威胁元素为当前元素,根据当前元素从威胁情报库中查找对应的关联威胁元素,将关联威胁元素放入威胁情报图;根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链;广播攻击链至区块链网络中的异地情报节点。本发明可以提高企业网络安全防护效率,减少同类威胁带来的损失。
Description
技术领域
本发明涉及区块链技术领域,具体地,涉及一种基于区块链的网络威胁分析方法、装置及系统。
背景技术
随着互联网技术的高速发展,频繁发生的网络安全事件给企业网络安全和业务安全带来严重威胁。通过网络威胁情报共享能提高企业对网络攻击的反应速度并及时采取相应的防护措施,但目前网络威胁情报多由采用集中式存储,各企业机构系统架构标准不一导致企业间威胁情报信息共享难度大,不仅降低了威胁情报信息利用价值的最大化,难以及时阻断同类威胁的造成的大面积网络攻击,而且集中式存储存在被攻击和被篡改的风险,会给企业带来巨大损失。
发明内容
本发明实施例的主要目的在于提供一种基于区块链的网络威胁分析方法、装置及系统,以提高企业网络安全防护效率,减少同类威胁带来的损失。
为了实现上述目的,本发明实施例提供一种基于区块链的网络威胁分析方法,网络威胁分析方法应用于本地情报节点,本地情报节点与至少一个异地情报节点构成区块链网络,网络威胁分析方法包括:
从异地情报节点发起的情报分析交易中提取威胁元素,将威胁元素放入威胁情报图;
确定威胁元素为当前元素,根据当前元素从威胁情报库中查找对应的关联威胁元素,将关联威胁元素放入威胁情报图;
根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链;
广播攻击链至区块链网络中的异地情报节点。
本发明实施例还提供一种基于区块链的网络威胁分析装置,网络威胁分析装置应用于本地情报节点,本地情报节点与至少一个异地情报节点构成区块链网络,网络威胁分析装置包括:
提取模块,用于从异地情报节点发起的情报分析交易中提取威胁元素,将威胁元素放入威胁情报图;
元素查找模块,用于确定威胁元素为当前元素,根据当前元素从威胁情报库中查找对应的关联威胁元素,将关联威胁元素放入威胁情报图;
攻击链模块,用于根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链;
广播模块,用于广播攻击链至区块链网络中的异地情报节点。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并在处理器上运行的计算机程序,处理器执行计算机程序时实现所述的基于区块链的网络威胁分析方法的步骤。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现所述的基于区块链的网络威胁分析方法的步骤。
本发明实施例还提供一种基于区块链的网络威胁分析系统,包括:
如上所述的应用于本地情报节点的网络威胁分析装置;
异地情报节点,其中,本地情报节点与至少一个异地情报节点构成区块链网络;
客户端,网络威胁分析装置还用于从异地情报节点发起的情报共享交易中提取共享元素,当共享元素满足预先存储的智能合约的触发条件时,向对应的客户端发送告警信息。
本发明实施例的基于区块链的网络威胁分析方法、装置及系统先从异地情报节点发起的情报分析交易中提取威胁元素并放入威胁情报图,再确定威胁元素为当前元素并根据当前元素从威胁情报库中查找对应的关联威胁元素后放入威胁情报图,然后根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链并广播至区块链网络中的异地情报节点,可以通过构建完整攻击链路推测出威胁源,提高企业网络安全防护效率,减少同类威胁带来的损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中基于区块链的网络威胁分析方法的流程图;
图2是本发明另一实施例中基于区块链的网络威胁分析方法的流程图;
图3是本发明实施例中基于区块链的网络威胁分析系统的示意图;
图4是本发明实施例中有向无环图的示意图;
图5是本发明实施例中基于区块链的网络威胁分析装置的结构框图;
图6是本发明另一实施例中基于区块链的网络威胁分析装置的结构框图;
图7是本发明实施例中计算机设备的结构框图;
图8是本发明一实施例中威胁情报攻击场景的示意图;
图9是本发明一实施例中基于区块链的网络威胁分析系统的交易流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
鉴于目前网络威胁情报库采用集中式存储导致利用威胁情报信息成本高、威胁情报分析方法效率低,本发明实施例提供一种基于区块链的网络威胁分析方法,以通过区块链的分布式存储、账户匿名性、不可篡改等特性解决企业间威胁情报信息共享难度大、隐私泄露风险高等问题,基于已有威胁情报库采用有向无环图构建完整攻击链输出威胁源,提高企业网络安全防护效率,减少同类威胁带来的损失。以下结合附图对本发明进行详细说明。
图1是本发明实施例中基于区块链的网络威胁分析方法的流程图。图2是本发明另一实施例中基于区块链的网络威胁分析方法的流程图。图3是本发明实施例中基于区块链的网络威胁分析系统的示意图。如图1-图3所示,基于区块链的网络威胁分析方法应用于本地情报节点,本地情报节点与至少一个异地情报节点构成区块链网络,区块链网络中的情报节点2包括本地情报节点和至少一个异地情报节点,本地情报节点为进行网络威胁分析的情报节点。情报节点由不同的企业或组织参与构成,所有情报节点相互连接共同组成区块链网络,主要负责处理来自客户端或异地情报节点的交易请求,包括交易接入、交易执行、共识处理和账本同步等。
如图1所示,网络威胁分析方法包括:
S101:从异地情报节点发起的情报分析交易中提取威胁元素,将威胁元素放入威胁情报图。
其中,情报分析交易包括威胁情报和交易签名等交易所需的信息。
表1
情报类型 | 数据描述 |
一元类威胁情报 | <time,type,value,label> |
二元类威胁情报 | <time,type1,value1,rel,type2,value2,desc> |
表1是本发明实施例中的威胁情报表。如表1所示,威胁情报包括一元类威胁情报(Cti1)和二元类威胁情报(Cti2),其他多元类情报可以由多个二元类或者一元类情报组合构建。一元类威胁情报信息由时间戳time、威胁元素类型type、威胁元素值value和威胁元素标签label共四个元素构建而成,具体描述为<time,type,value,label>,威胁元素类型type可以是IP、电子邮件、域名、恶意代码或攻击者等等,比如<2021-04-18-10:00:00,ip,21.1.4.5,C2>表示在2021-04-18-10:00:00检测到ip地址21.1.4.5为C2服务器(Command&Control Server,通常见于被病毒木马控制后转发攻击者命令的服务器);二元类威胁情报信息由时间戳time、源威胁元素类型type1、源威胁元素值value1、源威胁元素与目标威胁元素之间的关系rel、目标威胁元素类型type2、目标威胁元素值value2和情报描述信息desc共7个元素构建而成,具体描述为<time,type1,value1,rel,ytpe2,value2,desc>,其中time、type和value与一元类威胁情报中对应的元素含义相同,rel表示源威胁元素与目标威胁元素之间的关系,可以是连接、扫描或注入等等,desc表示情报相关描述信息。比如:
<2021-04-18-10:00:00,ip,21.1.3.2,connect,ip,23.2.3.5,connect server>表示:
在2021-04-18-10:00:00,ip地址为21.1.3.2的服务器连接了ip地址为23.2.3.5的服务器。
其中,威胁情报图为有向无环图。有向无环图是有向图的一种,常用作表示事情之间的依赖关系。本发明用<V,E,L,R>描述威胁情报图G,其中V表示情报数据描述中的威胁元素值value的集合;E表示二元威胁情报中源威胁元素与目标威胁元素之间的有向边的集合,即若u,v∈V且互相之间存在二元类威胁情报,则有一条从u到v的有向边,用(u,v)∈E表示;L是节点v∈V的标签label的集合;R是元素间关系rel的集合。S101中的威胁情报图G为经过初始化的威胁情报图,将威胁元素值添加至经过初始化的威胁情报图G的元素值集合V中。
S102:确定威胁元素为当前元素,根据当前元素从威胁情报库中查找对应的关联威胁元素,将关联威胁元素放入威胁情报图。
具体实施时,可以将关联威胁元素value1放入威胁情报图G的元素值集合V。
一实施例中,根据当前元素从威胁情报库中查找对应的关联威胁元素包括:
根据当前元素从威胁情报库中查找对应的二元类威胁情报;从二元类威胁情报中提取对应的关联威胁元素。
具体实施时,可以从威胁情报库中查找以当前元素为目标威胁元素值value2的二元类威胁情报,从该二元类威胁情报中提取源威胁元素值value1为关联威胁元素。
S103:根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链。
一实施例中,根据关联威胁元素从威胁情报库中查找威胁标签包括:
根据关联威胁元素value1从威胁情报库中查找对应的一元类威胁情报;从一元类威胁情报中提取对应的威胁标签。
具体实施时,可以从威胁情报库中查找以关联威胁元素value1为威胁元素值value的一元类威胁情报。
当未从威胁情报库中查找到对应的二元类威胁情报时,可以从威胁情报库中查找以当前元素为威胁元素值value的一元类威胁情报。
威胁标签为一元类威胁情报的威胁元素标签label。一实施例中,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链包括:
1、当查找到威胁标签时,将威胁标签添加至情报图G的标签集合L,通过关联威胁元素替换当前元素后进行对应迭代处理。
2、当未查找到威胁标签时,对威胁情报图中的元素进行拓扑排序,得到攻击链,推测出威胁源元素值及威胁标签信息,将上述分析结果信息存储在交易缓存模块。
拓扑排序是对威胁情报图(有向无环图)中的顶点进行排序,使得如果存在一条从顶点u到v的路径,那么在排序中u就出现在v之前。图4是本发明实施例中有向无环图的示意图。如图4所示,对有向无环图其进行拓扑排序结果为ABCDE。
S104:广播攻击链至区块链网络中的异地情报节点。
具体实施时,可以通过共识操作模块对包括攻击链、威胁源元素值和威胁标签信息的分析结果信息进行校验并广播,执行共识操作,确保区块链网络中的所有情报节点已达成共识。执行S104之后,还包括:区块链网络中各情报节点的账本同步模块将已达成共识的分析结果信息同步到账本。
图1所示的基于区块链的网络威胁分析方法的执行主体为区块链网络中的情报节点。由图1所示的流程可知,本发明实施例的基于区块链的网络威胁分析方法先从异地情报节点发起的情报分析交易中提取威胁元素并放入威胁情报图,再确定威胁元素为当前元素并根据当前元素从威胁情报库中查找对应的关联威胁元素后放入威胁情报图,然后根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链并广播至区块链网络中的异地情报节点,可以通过构建完整攻击链路推测出威胁源,提高企业网络安全防护效率,减少同类威胁带来的损失。
一实施例中,还包括:
从异地情报节点发起的情报共享交易中提取共享元素;当共享元素满足预先存储的智能合约的触发条件时,触发智能合约执行,向对应的客户端发送告警信息,将执行结果和情报共享交易信息打包后存储在交易缓存模块;否则仅将情报共享交易的信息存储在本地情报节点的交易缓存模块。
基于同一发明构思,本发明实施例还提供了一种基于区块链的网络威胁分析装置,由于该装置解决问题的原理与基于区块链的网络威胁分析方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
图5是本发明实施例中基于区块链的网络威胁分析装置的结构框图。图6是本发明另一实施例中基于区块链的网络威胁分析装置的结构框图。如图5-图6所示,网络威胁分析装置应用于本地情报节点,本地情报节点与至少一个异地情报节点构成区块链网络,网络威胁分析装置包括:
提取模块,用于从异地情报节点发起的情报分析交易中提取威胁元素,将威胁元素放入威胁情报图;
元素查找模块,用于确定威胁元素为当前元素,根据当前元素从威胁情报库中查找对应的关联威胁元素,将关联威胁元素放入威胁情报图;
攻击链模块,用于根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链;
广播模块,用于广播攻击链至区块链网络中的异地情报节点。
在其中一种实施例中,攻击链模块包括:
替换单元,用于当查找到威胁标签时,通过关联威胁元素替换当前元素后进行对应迭代处理;
攻击链单元,用于当未查找到威胁标签时,对威胁情报图中的元素进行拓扑排序,得到攻击链。
在其中一种实施例中,元素查找模块包括:
二元查找单元,用于根据当前元素从威胁情报库中查找对应的二元类威胁情报;
关联威胁元素提取单元,用于从二元类威胁情报中提取对应的关联威胁元素。
在其中一种实施例中,攻击链模块包括:
一元查找单元,用于根据关联威胁元素从威胁情报库中查找对应的一元类威胁情报;
威胁标签提取单元,用于从一元类威胁情报中提取对应的威胁标签。
如图6所示,在实际应用中,基于区块链的网络威胁分析装置应用于情报节点2,包括交易接收模块、共享交易处理模块、分析交易处理模块、交易缓存模块、共识操作模块和账本同步模块。
交易接收模块负责接收异地情报节点发起的情报交易,并根据交易类型转发到相应处理模块,接收到情报共享交易时将情报共享交易转发至共享交易处理模块,接收到情报分析交易时将情报分析交易转发至分析交易模块,接收到智能合约创建交易时调用交易缓存模块进行存储。
共享交易处理模块用于从交易接收模块接收情报共享交易,然后从情报共享交易中提取共享元素,判断共享元素是否满足智能合约触发条件,若满足则触发智能合约执行,向对应的客户端发送告警信息,将执行结果和情报共享交易信息打包后存储在交易缓存模块;若不满足智能合约触发条件,则直接将情报共享信息存储在交易缓存模块。
分析交易处理模块包括提取模块、元素查找模块和攻击链模块。
交易缓存模块用于对交易进行缓存。
共识操作模块包括广播模块,用于对包括攻击链、威胁源元素值和威胁标签信息的分析结果信息进行校验并广播,执行共识操作,确保区块链网络中的所有情报节点已达成共识。
账本同步模块用于将已达成共识的分析结果信息同步到账本。
综上,本发明实施例的基于区块链的网络威胁装置先从异地情报节点发起的情报分析交易中提取威胁元素并放入威胁情报图,再确定威胁元素为当前元素并根据当前元素从威胁情报库中查找对应的关联威胁元素后放入威胁情报图,然后根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链并广播至区块链网络中的异地情报节点,可以通过构建完整攻击链路推测出威胁源,提高企业网络安全防护效率,减少同类威胁带来的损失。
本发明实施例还提供能够实现上述实施例中的基于区块链的网络威胁分析方法中全部步骤的一种计算机设备的具体实施方式。图7是本发明实施例中计算机设备的结构框图,参见图7,所述计算机设备具体包括如下内容:
处理器(processor)701和存储器(memory)702。
所述处理器701用于调用所述存储器702中的计算机程序,所述处理器执行所述计算机程序时实现上述实施例中的基于区块链的网络威胁分析方法中的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
从异地情报节点发起的情报分析交易中提取威胁元素,将威胁元素放入威胁情报图;
确定威胁元素为当前元素,根据当前元素从威胁情报库中查找对应的关联威胁元素,将关联威胁元素放入威胁情报图;
根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链;
广播攻击链至区块链网络中的异地情报节点。
综上,本发明实施例的计算机设备先从异地情报节点发起的情报分析交易中提取威胁元素并放入威胁情报图,再确定威胁元素为当前元素并根据当前元素从威胁情报库中查找对应的关联威胁元素后放入威胁情报图,然后根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链并广播至区块链网络中的异地情报节点,可以通过构建完整攻击链路推测出威胁源,提高企业网络安全防护效率,减少同类威胁带来的损失。
本发明实施例还提供能够实现上述实施例中的基于区块链的网络威胁分析方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的基于区块链的网络威胁分析方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
从异地情报节点发起的情报分析交易中提取威胁元素,将威胁元素放入威胁情报图;
确定威胁元素为当前元素,根据当前元素从威胁情报库中查找对应的关联威胁元素,将关联威胁元素放入威胁情报图;
根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链;
广播攻击链至区块链网络中的异地情报节点。
综上,本发明实施例的计算机可读存储介质先从异地情报节点发起的情报分析交易中提取威胁元素并放入威胁情报图,再确定威胁元素为当前元素并根据当前元素从威胁情报库中查找对应的关联威胁元素后放入威胁情报图,然后根据关联威胁元素从威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链并广播至区块链网络中的异地情报节点,可以通过构建完整攻击链路推测出威胁源,提高企业网络安全防护效率,减少同类威胁带来的损失。
基于同一发明构思,本发明实施例还提供了一种基于区块链的网络威胁分析系统,由于该系统解决问题的原理与基于区块链的网络威胁分析方法相似,因此该系统的实施可以参见方法的实施,重复之处不再赘述。
如图3所示,基于区块链的网络威胁分析系统包括:
如上所述的应用于本地情报节点的网络威胁分析装置;
异地情报节点,其中,本地情报节点与至少一个异地情报节点构成区块链网络;
客户端1,网络威胁分析装置还用于从异地情报节点发起的情报共享交易中提取共享元素,当共享元素满足预先存储的智能合约的触发条件时,向对应的客户端发送告警信息。
其中,客户端为用户与情报节点之间的交互介质,还用于向情报节点发起智能合约创建交易。本发明的基于区块链的网络威胁分析系统中的参与企业机构在被攻击后主动向区块链网络中的其他参与方共享情报信息。
图8是本发明一实施例中威胁情报攻击场景的示意图。图9是本发明一实施例中基于区块链的网络威胁分析系统的交易流程图。如图8所示,攻击者Bob在2021-04-18-10:00:00利用IP为12.6.4.56的服务器攻陷了企业0的IP为16.1.4.29的服务器并投放恶意代码Code0,进而利用IP为16.1.4.29的服务器攻陷了企业1的IP为16.1.4.30的服务器并投放恶意代码Code1,2021-04-18-11:00:00恶意代码Code0传播至企业2的IP为16.1.4.26的服务器,在2021-04-19 01:00:00,Bob收到企业2的IP为16.1.4.26的服务器上线信息后,持续攻陷了企业3的IP为16.1.4.23的服务器并投放恶意代码Code1。企业1在区块链网络上创建智能合约,只要满足条件:IP∈{(16.1.4.29),(16.1.4.30),(16.1.4.26),(16.1.4.23)}且label为C2,则执行智能合约,向对应的客户端发送告警信息。交易条件中的IP和label均为经过哈希处理后的值以避免情报中具体信息的泄露。为方便说明,采用表2描述威胁情报账本(威胁情报库)中已有的威胁情报信息。
表2
如图9所示,情报节点向对应的客户端发送告警信息的流程包括:
1、客户端创建智能合约:情报节点只要满足条件IP∈{(16.1.4.29),(16.1.4.30),(16.1.4.26),(16.1.4.23)}且label为C2即可执行合约,向客户端发送告警信息;将智能合约创建交易发送给企业1的情报节点。
2、企业1的情报节点接收智能合约创建交易并将智能合约广播至区块链中其他企业节点。
3、企业0接收来自异地情报节点(其他企业的情报节点)的情报共享交易<2021-04-18-10:00:00,ip,(16.1.4.29),C2>并广播至区块链网络中其他企业节点。
4、上述情报共享交易满足智能合约触发条件(16.1.4.29)∈{(16.1.4.29),(16.1.4.30),(16.1.4.26),(16.1.4.23)}且label为C2,触发智能合约执行,各情报节点向对应的客户端发送告警信息,同时将交易结果信息(执行结果)广播至区块链网络中其他节点。
如图9所示,情报节点分析网络威胁情报的流程包括:
1、企业3的情报节点接收情报分析交易<2021-04-19-01:00:00,ip,(16.1.4.26),none>,根据已有的威胁情报库(如表2所示)建立威胁情报图G,构建完整攻击链,输出威胁源元素值及威胁标签信息。
例如,首先初始化威胁情报图G,从情报分析交易中取出威胁元素值(16.1.4.26)并添加至图G,在已有威胁情报库中查找以(16.1.4.26)为目标威胁元素值的二元类威胁情报,即<2021-04-18-11:00:00,ip,(12.6.4.29),scan,ip,(16.1.4.26),Code0_Malware_Scan_Server>;将该威胁情报的源威胁元素值(12.6.4.29)加入图G,在已有的威胁情报库中查找威胁元素值为(12.6.4.29)的一元类威胁情报,将该情报标签C2加入图G的标签集合;在已有的威胁情报库中查找以(12.6.4.29)为目标威胁元素值的二元类威胁情报,即<2021-04-18-10:00:00,ip,(12.6.4.56),connect,ip,(16.1.4.29),SrcIp_Connect_TargetIp>,将该威胁情报的源威胁元素值(12.6.4.56)加入图G,在威胁情报库中查找威胁元素值为(12.6.4.56)的一元类威胁情报,查不到则对图G进行拓扑排序,构建完整攻击链:(12.6.4.56)—>(16.1.4.29)—>(16.1.4.26),推测威胁源元素值为(12.6.4.56),威胁标签信息为C2。
2、企业3的情报节点广播包括攻击链、威胁源元素值和威胁标签信息的分析结果信息。
3、各情报节点对接收到的分析结果信息进行校验并广播校验结果,执行共识操作,确保区块链网络中的所有情报节点已达成共识。
4、各情报节点将已达成共识的分析结果信息同步到账本。
综上所述,本发明实施例提供的基于区块链的网络威胁分析系统具有以下有益效果:
(1)区块链的账户匿名性、共识机制和分布式存储等特性保证了威胁情报账本库的一致且不可篡改,解决了集中式存储情报库被攻击和被篡改的风险和企业间利用情报共享信息成本高的问题;
(2)采用区块链智能合约为企业自动执行威胁情报预警响应措施,解决了传统跨机构部门间情报信息共享效率低的问题;
(3)基于有向无环图构建完整攻击链从而推理出威胁源,避免同类信息安全事件重复发生,提高了企业安全防护效率和响应能力。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元,或装置都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
Claims (6)
1.一种基于区块链的网络威胁分析方法,其特征在于,所述网络威胁分析方法应用于本地情报节点,所述本地情报节点与至少一个异地情报节点构成区块链网络,所述网络威胁分析方法包括:
从所述异地情报节点发起的情报分析交易中提取威胁元素,将所述威胁元素放入威胁情报图;
确定所述威胁元素为当前元素,根据所述当前元素从威胁情报库中查找对应的关联威胁元素,将所述关联威胁元素放入威胁情报图;
根据所述关联威胁元素从所述威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链;
广播所述攻击链至所述区块链网络中的异地情报节点;
根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链包括:
当查找到威胁标签时,通过所述关联威胁元素替换所述当前元素后进行对应迭代处理;
当未查找到威胁标签时,对威胁情报图中的元素进行拓扑排序,得到攻击链;
根据所述当前元素从威胁情报库中查找对应的关联威胁元素包括:
根据所述当前元素从威胁情报库中查找对应的二元类威胁情报;
从所述二元类威胁情报中提取对应的关联威胁元素;
根据所述关联威胁元素从所述威胁情报库中查找威胁标签包括:
根据所述关联威胁元素从威胁情报库中查找对应的一元类威胁情报;
从所述一元类威胁情报中提取对应的威胁标签。
2.根据权利要求1所述的基于区块链的网络威胁分析方法,其特征在于,还包括:
从所述异地情报节点发起的情报共享交易中提取共享元素;
当所述共享元素满足预先存储的智能合约的触发条件时,向对应的客户端发送告警信息。
3.一种基于区块链的网络威胁分析装置,其特征在于,所述网络威胁分析装置应用于本地情报节点,所述本地情报节点与至少一个异地情报节点构成区块链网络,所述网络威胁分析装置包括:
提取模块,用于从所述异地情报节点发起的情报分析交易中提取威胁元素,将所述威胁元素放入威胁情报图;
元素查找模块,用于确定所述威胁元素为当前元素,根据所述当前元素从威胁情报库中查找对应的关联威胁元素,将所述关联威胁元素放入威胁情报图;
攻击链模块,用于根据所述关联威胁元素从所述威胁情报库中查找威胁标签,根据威胁标签的查找结果对威胁情报图中的元素进行拓扑排序,得到攻击链;
广播模块,用于广播所述攻击链至所述区块链网络中的异地情报节点;
所述攻击链模块包括:
替换单元,用于当查找到威胁标签时,通过所述关联威胁元素替换所述当前元素后进行对应迭代处理;
攻击链单元,用于当未查找到威胁标签时,对威胁情报图中的元素进行拓扑排序,得到攻击链;
所述元素查找模块包括:
二元查找单元,用于根据所述当前元素从威胁情报库中查找对应的二元类威胁情报;
关联威胁元素提取单元,用于从所述二元类威胁情报中提取对应的关联威胁元素;
所述攻击链模块包括:
一元查找单元,用于根据所述关联威胁元素从威胁情报库中查找对应的一元类威胁情报;
威胁标签提取单元,用于从所述一元类威胁情报中提取对应的威胁标签。
4.一种计算机设备,包括存储器、处理器及存储在存储器上并在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至2任一项所述的基于区块链的网络威胁分析方法的步骤。
5.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至2任一项所述的基于区块链的网络威胁分析方法的步骤。
6.一种基于区块链的网络威胁分析系统,其特征在于,包括:
权利要求3所述的基于区块链的网络威胁分析装置,应用于本地情报节点;
异地情报节点,其中,所述本地情报节点与至少一个异地情报节点构成区块链网络;
客户端,所述网络威胁分析装置还用于从所述异地情报节点发起的情报共享交易中提取共享元素,当所述共享元素满足预先存储的智能合约的触发条件时,向对应的客户端发送告警信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110779315.0A CN113542250B (zh) | 2021-07-09 | 2021-07-09 | 基于区块链的网络威胁分析方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110779315.0A CN113542250B (zh) | 2021-07-09 | 2021-07-09 | 基于区块链的网络威胁分析方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113542250A CN113542250A (zh) | 2021-10-22 |
CN113542250B true CN113542250B (zh) | 2023-05-09 |
Family
ID=78098260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110779315.0A Active CN113542250B (zh) | 2021-07-09 | 2021-07-09 | 基于区块链的网络威胁分析方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113542250B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115622784A (zh) * | 2022-10-22 | 2023-01-17 | 胡蕊昕 | 一种基于大数据情报的网络威胁识别方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112543196A (zh) * | 2020-12-04 | 2021-03-23 | 国网山东省电力公司电力科学研究院 | 一种基于区块链智能合约的网络威胁情报共享平台 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10366229B2 (en) * | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
CN110545280B (zh) * | 2019-09-09 | 2021-12-24 | 北京华赛在线科技有限公司 | 一种基于威胁检测准确度的量化评估方法 |
CN112039840B (zh) * | 2020-07-22 | 2023-07-11 | 中国人民解放军陆军工程大学 | 一种基于区块链共识机制的可信威胁情报识别方法及装置 |
-
2021
- 2021-07-09 CN CN202110779315.0A patent/CN113542250B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112543196A (zh) * | 2020-12-04 | 2021-03-23 | 国网山东省电力公司电力科学研究院 | 一种基于区块链智能合约的网络威胁情报共享平台 |
Also Published As
Publication number | Publication date |
---|---|
CN113542250A (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9973519B2 (en) | Protecting a server computer by detecting the identity of a browser on a client computer | |
Jiang et al. | Catching synchronized behaviors in large networks: A graph mining approach | |
US11296863B2 (en) | Blockchain enterprise data management | |
US20190207751A1 (en) | Blockchain enterprise data management | |
AU2017254815A1 (en) | Anomaly detection to identify coordinated group attacks in computer networks | |
CN106503557B (zh) | 基于动态变换的sql注入攻击防御系统及防御方法 | |
Wang et al. | Survey of security supervision on blockchain from the perspective of technology | |
CN110505228B (zh) | 基于边缘云架构的大数据处理方法、系统、介质及装置 | |
Li et al. | Retracted: Design of multimedia blockchain privacy protection system based on distributed trusted communication | |
CN113542250B (zh) | 基于区块链的网络威胁分析方法、装置及系统 | |
Mishra et al. | Intelligent phishing detection system using similarity matching algorithms | |
Boggs et al. | Discovery of emergent malicious campaigns in cellular networks | |
Haque et al. | A meta data mining framework for botnet analysis | |
Mondek et al. | Security analytics in the big data era | |
AT&T | ||
Lei et al. | Self-recovery Service Securing Edge Server in IoT Network against Ransomware Attack. | |
Zhu et al. | Attacker Traceability on Ethereum through Graph Analysis | |
CN114861076A (zh) | 信息处理方法、装置、计算机设备和存储介质 | |
CN103078771A (zh) | 基于p2p的僵尸网络分布式协作检测系统和方法 | |
Liu et al. | Analysis of influencing factors and countermeasures of computer network security | |
Liu et al. | Big data security and international settlement system of electronic economy based on blockchain | |
CN112581129A (zh) | 区块链交易数据治理方法及装置、计算机设备及存储介质 | |
Yu et al. | Research on reliability of Internet of Things RFID based on improved random hash protocol and cooperative game in low-carbon supply chain environment | |
US20240070287A1 (en) | Faster web application scans of web page data based on deduplication | |
Jansen | Comparing cloud security directions between the Academia and the Industry |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |