[发明专利]一种基于区块链智能合约的网络威胁情报共享平台

说明书

本发明提出一种基于区块链智能合约的网络威胁情报共享平台，依托于以太坊底层架构，将网络威胁情报数据作为数据资产，通过可信任威胁情报处理模块对网络威胁情报数据处理，利用区块链系统的分布式数据存储，通过智能合约开发与设计，实现网络威胁情报数据在数据提供者和数据购买者在自主对等的数据平台上的情报共享。实现了网络威胁情报数据的统一安全共享网络空间中威胁情报可信评价，解决了现有技术中威胁情报共享面临的多源数据集成质量低的问题，增加共享平台用户的满意度并降低威胁情报安全应用的误报率。

技术领域

本发明涉及网络安全领域，更具体地，涉及一种基于智能合约的威胁情报共享下的APT检测方法。

背景技术

高级持续性威胁(APT，Advanced Persistent Thread)，指针对某一特定目标的长时间持续性攻击。NIST将APT定义为:具有海量人力，技术，设备等资源的攻击者针对特定目标，采用多种不同攻击手段(包括技术，物理，欺诈等)努力寻求或主动创造机会，实现其攻击目的。攻击目标一般包括在受害组织的IT基础设施中建立并维护后门，针对特定的关键性信息进行深挖、窃取、篡改，或低调潜伏，在未来执行攻击行为。由统计数据不难看出，网络攻击越来越泛滥，而我国作为APT攻击的主要受害国家之一，政府、军事机关、关键基础设施、高校、研究所等都遭受了不同程度的攻击。自2006年至2014年被公开披露的APT攻击事件进行了数量统计，可以直观体现每年被发现的APT攻击数量不断加速增长的趋势。除了传统的多方位APT防护之外，威胁情报也从2015年起成为了业界的一个热点话题，被认为是APT防御的下一个突破点。不少媒体将2015称为“威胁情报元年”。所谓威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。威胁情报总体上说由两部分组成：第一部分是威胁信息：攻击源(攻击者身份IP，DNS，URL等)，攻击方式(武器库)，攻击对象(指纹信息)，漏洞信息(漏洞库)；第二部分是防御信息：访问控制列表，规则(策略)库。显然，威胁情报库的构建不可能由单一组织或机构完成，大量安全机构联合组织了多个不同的威胁情报联盟，威胁情报共享标准也应运而生。

传统的检测技术主要在网络边界和主机边界进行检测，传统边界安全设备并不能识别通道上的负载是恶意的还是善意的，IDS、IPS虽然可以识别，但是它们基于的技术是已知威胁的签名，检测不到未知漏洞。传统的检测手段对于未知的漏洞利用、木马程序、攻击手法，无法进行检测和定位。同时企业因为缺少专业的安全服务团队，无法对检测设备的告警信息进行关联分析和攻击确认。

为了躲避传统检测设备，高级攻击更加注重动态行为和静态文件的隐蔽性，例如通过隐蔽通道、加密通道避免网络行为被检测。目前被曝光的知名APT事件中，社交攻击、0day漏洞利用、物理摆渡等方式层出不穷，而传统的检测往往只注重边界防御，系统边界一旦被绕过，后续的攻击步骤实施的难度将大大降低。

发明内容

为了克服现有技术中存在的缺陷，本发明提出一种基于区块链智能合约的网络威胁情报共享平台，其特征在于，依托于以太坊底层架构，将网络威胁情报数据作为数据资产，通过可信任威胁情报处理模块对网络威胁情报数据处理，利用区块链系统的分布式数据存储，通过智能合约开发与设计，实现网络威胁情报数据在数据提供者和数据购买者在自主对等的数据平台上的情报共享。

可选地，所述可信任威胁情报处理模块用于筛选可信威胁情报，为用户提供可信判别接口。

可选地，所述可信任威胁情报处理模块的判断方法包括如下步骤：

S1：用户对某个开源共享的威胁情报持怀疑态度，需要知道情报的质量；

S2：聚合多个威胁情报共享平台及供应商的数据，实时地从多源获取威胁情报，根据威胁情报的类型对采集的威胁情报进行分层汇聚；

S3：对分层汇总的威胁情报预处理成以三元组的形式存储在本地威胁情报；

S4：多源采集富化情报信息，基于时间、内容、领域知识维度对威胁情报可信度的影响因素提取特征指标；