本發明公開了一種基于區塊鏈共識機制的可信威脅情報識別方法及裝置，方法包括以下過程：將情報數據源各節點納入區塊鏈形成情報數據區塊鏈，監測區塊鏈各節點獲取情報數據；根據情報數據的數據分析模式匹配對應的分析策略，進而獲取對應的分析結果；智能合約執行對情報數據的分析結果的處理，并通過區塊鏈網絡廣播到全網節點中，全網達成共識后生成一條全網唯一的可查詢數據；采用共識機制賦予信譽值，根據信譽值判斷情報為可信或威脅情報。本發明通過將智能合約以及策略定向分析相結合，對采集到的區塊鏈數據進行整合分析，確保第一時間發現區塊鏈上的威脅情報事件，并同時具備數據分析結果的精確性優點。

技術領域

本發明屬于計算機網絡安全技術領域，具體涉及一種基于區塊鏈共識機制的可信威脅情報識別方法及裝置。

背景技術

近年來，APT(高級持續性威脅攻擊)事件不斷出現，其顯著特征是持續性，通常長達數年，具體體現在不斷尋求各種攻擊手段，緩慢地滲透到內部網絡后長期蟄伏，不斷地在網絡中提升權限并收集各種信息，直到獲取到重要情報。

網絡威脅情報分析作為一種基于證據的識別分析方法，可以描述現存的或者即將出現的針對資產的威脅或危險，可以通知主體針對相關威脅或危險采取某種響應，且可以主動獲取關于未來安全威脅的信息，預測安全事件，可以從源頭上防御了APT攻擊事件的發生。威脅情報一般包括信譽情報(“壞”的IP地址、URL、域名等)、攻擊情報(攻擊源、攻擊工具、利用的漏洞、該采取的方式等)，外部情報(安全公司及非盈利組織經常發布的安全預報或通告等)。

但目前威脅情報普遍存在信息龐雜，識別精準度不足，對本域系統匹配度不高，可信度不強的缺點。

發明內容

本發明的目的在于克服現有技術中的不足，提供了一種基于區塊鏈共識機制的可信威脅情報識別方法及裝置，解決了現有情報識別技術中的識別精準度不足的技術問題。

為解決上述技術問題，本發明提供了一種基于區塊鏈共識機制的可信威脅情報識別方法，包括以下過程：

將情報數據源各節點納入區塊鏈形成情報數據區塊鏈，監測區塊鏈各節點獲取情報數據；

確定情報數據的數據分析模式；

根據情報數據的數據分析模式匹配對應的分析策略，進而獲取對應的分析結果；

智能合約執行對情報數據的分析結果的處理，并通過區塊鏈網絡廣播到全網節點中，全網達成共識后生成一條全網唯一的可查詢數據；

對全網唯一可查詢數據采用共識機制賦予信譽值，根據信譽值判斷情報為可信或威脅情報。

進一步的，所述確定情報數據的數據分析模式，包括：

對情報數據進行分類；

根據分類結果確定對應的數據分析模式。

進一步的，所述情報數據分類包括：

情報數據分成6大類，分別包括：File、URL、IP、Email、Botnet、DDoSDomain；

每一種大類再根據情報數據數據大小分為4級。

進一步的，數據分析模式包括快速模式、全局模式和用戶自選策略模式。

進一步的，根據分類結果確定對應的數據分析模式，包括：

快速模式覆蓋IP，URL，DDoSDomain三大類的全部四級到一級數據和Botnet,File,Email三大類的一級和二級數據；

全局模式覆蓋六大類所有一級到四級數據；

用戶自選策略模式默認不覆蓋任何數據，允許抽取所有類型所有級別數據任意組合。