本發明屬于網絡安全技術領域，特別涉及一種基于情報共享的網絡威脅協同防御系統及方法，通過部署中心服務器和若干安全機構，其中，若干安全機構，基于各自本地威脅情報數據庫訓練入侵檢測模型，并對模型更新參數加密處理后將密文上傳至中心服務器；中心服務器，聚合接收到的密文通過解密獲取全局模型更新參數，并將其廣播給所有安全機構，以更新各安全機構本地入侵檢測模型。本發明基于聯邦學習框架可幫助多個安全機構聯合建立系統防御模型，可適用于多種機器學習模型，可以抵抗多種共謀攻擊場景，適用性強，提升網絡抗攻擊性能。

技術領域

本發明屬于網絡安全技術領域，特別涉及一種基于情報共享的網絡威脅協同防御系統及方法。

背景技術

當前網絡中的各種攻擊層出不窮，對網絡中重要的基礎設施產生了重大威脅。隨著機器學習的發展，研究人員開始意識到網絡基礎設施中存有大量包含關于入侵或攻擊信息的數據，利用這些數據訓練基于機器學習的網絡主動防御系統，可以有效地檢測可能出現的異常行為。然而，由于網絡犯罪率不斷增加以及網絡威脅場景日益復雜，各個機構僅憑自身數據難以構建足夠精確的入侵檢測模型來防御網絡攻擊。越來越多的機構和企業希望通過共享網絡威脅情報來合作開發協同防御系統，從而達到：1)增強網絡態勢感知能力；2)建立更加強大的防御機制；3)減小威脅檢測的時間，提高檢測準確性的目的。目前已有促進情報共享的相關標準TAXII被提出來。然而，現階段網絡威脅情報共享依然面臨著以下挑戰：(1)安全機構間互相不信任而不愿意共享數據；(2)出于隱私保護或商業競爭的考慮，部分機構不愿意與他人共享網絡威脅情報；(3)威脅情報可能暴露機構的信息進而影響機構的聲譽。

目前已有相關研究提出網絡威脅情報共享的隱私保護框架，使用組簽名來隱藏各個機構的身份，但是該方案不能保護機構的數據；也有將網絡威脅情報共享中的隱私問題建模為參與者與攻擊者之間的博弈，但它僅僅能推理出一種共享策略，卻無法提供一種實用的方案來保護共享的網絡威脅情報；或者通過討論協同入侵檢測系統中的報警關聯，來提出許多報警關聯的應用方法，但是并未考慮威脅情報共享中的隱私問題。

發明內容

為此，本發明提供一種基于情報共享的網絡威脅協同防御系統及方法，基于聯邦學習框架可幫助多個安全機構聯合建立系統防御模型，可以抵抗多種共謀攻擊場景，適用性強。

按照本發明所提供的設計方案，一種基于情報共享的網絡威脅協同防御系統，包含：中心服務器和若干安全機構，其中，若干安全機構，基于各自本地威脅情報數據庫訓練入侵檢測模型，并對模型更新參數加密處理后將密文上傳至中心服務器；中心服務器，聚合接收到的密文通過解密獲取全局模型更新參數，并將其廣播給所有安全機構，以更新各安全機構本地入侵檢測模型。

作為本發明基于情報共享的網絡威脅協同防御系統，進一步地，還包含：迭代控制模塊，通過設置入侵檢測模型訓練的循環迭代條件來觸發各安全機構及中心服務器在每輪訓練中反復執行迭代更新過程，以獲取用于確定最終入侵檢測模型的收斂后的模型全局參數。

作為本發明基于情報共享的網絡威脅協同防御系統，進一步地，所述安全機構至少包含2個。

進一步地，基于上述系統，本發明還提供一種基于情報共享的網絡威脅協同防御方法，包含如下內容：

中心服務器初始化入侵檢測模型參數并分發給各安全機構；

通過設置循環條件來迭代執行模型參數更新過程，模型參數更新過程為：各安全機構基于各自的本地威脅情報數據庫訓練入侵檢測模型，并對模型更新參數加密處理后將密文上傳至中心服務器；中心服務器聚合接收到的密文，通過解密獲取全局模型更新參數，并將其廣播給所有安全機構，以各安全機構更新本地入侵檢測模型參數；

滿足循環條件后，獲取用于確定最終入侵檢測模型的收斂后的全局模型參數；

在各安全機構和中心服務器中部署并更新最終入侵檢測模型，以檢測網絡中攻擊行為。