本發(fā)明提出一種基于區(qū)塊鏈智能合約的網(wǎng)絡威脅情報共享平臺，依托于以太坊底層架構(gòu)，將網(wǎng)絡威脅情報數(shù)據(jù)作為數(shù)據(jù)資產(chǎn)，通過可信任威脅情報處理模塊對網(wǎng)絡威脅情報數(shù)據(jù)處理，利用區(qū)塊鏈系統(tǒng)的分布式數(shù)據(jù)存儲，通過智能合約開發(fā)與設計，實現(xiàn)網(wǎng)絡威脅情報數(shù)據(jù)在數(shù)據(jù)提供者和數(shù)據(jù)購買者在自主對等的數(shù)據(jù)平臺上的情報共享。實現(xiàn)了網(wǎng)絡威脅情報數(shù)據(jù)的統(tǒng)一安全共享網(wǎng)絡空間中威脅情報可信評價，解決了現(xiàn)有技術(shù)中威脅情報共享面臨的多源數(shù)據(jù)集成質(zhì)量低的問題，增加共享平臺用戶的滿意度并降低威脅情報安全應用的誤報率。

技術(shù)領域

本發(fā)明涉及網(wǎng)絡安全領域，更具體地，涉及一種基于智能合約的威脅情報共享下的APT檢測方法。

背景技術(shù)

高級持續(xù)性威脅(APT，Advanced Persistent Thread)，指針對某一特定目標的長時間持續(xù)性攻擊。NIST將APT定義為:具有海量人力，技術(shù)，設備等資源的攻擊者針對特定目標，采用多種不同攻擊手段(包括技術(shù)，物理，欺詐等)努力尋求或主動創(chuàng)造機會，實現(xiàn)其攻擊目的。攻擊目標一般包括在受害組織的IT基礎設施中建立并維護后門，針對特定的關鍵性信息進行深挖、竊取、篡改，或低調(diào)潛伏，在未來執(zhí)行攻擊行為。由統(tǒng)計數(shù)據(jù)不難看出，網(wǎng)絡攻擊越來越泛濫，而我國作為APT攻擊的主要受害國家之一，政府、軍事機關、關鍵基礎設施、高校、研究所等都遭受了不同程度的攻擊。自2006年至2014年被公開披露的APT攻擊事件進行了數(shù)量統(tǒng)計，可以直觀體現(xiàn)每年被發(fā)現(xiàn)的APT攻擊數(shù)量不斷加速增長的趨勢。除了傳統(tǒng)的多方位APT防護之外，威脅情報也從2015年起成為了業(yè)界的一個熱點話題，被認為是APT防御的下一個突破點。不少媒體將2015稱為“威脅情報元年”。所謂威脅情報就是為了還原已發(fā)生的攻擊和預測未發(fā)生的攻擊所需要的一切線索。威脅情報總體上說由兩部分組成：第一部分是威脅信息：攻擊源(攻擊者身份IP，DNS，URL等)，攻擊方式(武器庫)，攻擊對象(指紋信息)，漏洞信息(漏洞庫)；第二部分是防御信息：訪問控制列表，規(guī)則(策略)庫。顯然，威脅情報庫的構(gòu)建不可能由單一組織或機構(gòu)完成，大量安全機構(gòu)聯(lián)合組織了多個不同的威脅情報聯(lián)盟，威脅情報共享標準也應運而生。

傳統(tǒng)的檢測技術(shù)主要在網(wǎng)絡邊界和主機邊界進行檢測，傳統(tǒng)邊界安全設備并不能識別通道上的負載是惡意的還是善意的，IDS、IPS雖然可以識別，但是它們基于的技術(shù)是已知威脅的簽名，檢測不到未知漏洞。傳統(tǒng)的檢測手段對于未知的漏洞利用、木馬程序、攻擊手法，無法進行檢測和定位。同時企業(yè)因為缺少專業(yè)的安全服務團隊，無法對檢測設備的告警信息進行關聯(lián)分析和攻擊確認。

為了躲避傳統(tǒng)檢測設備，高級攻擊更加注重動態(tài)行為和靜態(tài)文件的隱蔽性，例如通過隱蔽通道、加密通道避免網(wǎng)絡行為被檢測。目前被曝光的知名APT事件中，社交攻擊、0day漏洞利用、物理擺渡等方式層出不窮，而傳統(tǒng)的檢測往往只注重邊界防御，系統(tǒng)邊界一旦被繞過，后續(xù)的攻擊步驟實施的難度將大大降低。

發(fā)明內(nèi)容

為了克服現(xiàn)有技術(shù)中存在的缺陷，本發(fā)明提出一種基于區(qū)塊鏈智能合約的網(wǎng)絡威脅情報共享平臺，其特征在于，依托于以太坊底層架構(gòu)，將網(wǎng)絡威脅情報數(shù)據(jù)作為數(shù)據(jù)資產(chǎn)，通過可信任威脅情報處理模塊對網(wǎng)絡威脅情報數(shù)據(jù)處理，利用區(qū)塊鏈系統(tǒng)的分布式數(shù)據(jù)存儲，通過智能合約開發(fā)與設計，實現(xiàn)網(wǎng)絡威脅情報數(shù)據(jù)在數(shù)據(jù)提供者和數(shù)據(jù)購買者在自主對等的數(shù)據(jù)平臺上的情報共享。

可選地，所述可信任威脅情報處理模塊用于篩選可信威脅情報，為用戶提供可信判別接口。

可選地，所述可信任威脅情報處理模塊的判斷方法包括如下步驟：

S1：用戶對某個開源共享的威脅情報持懷疑態(tài)度，需要知道情報的質(zhì)量；

S2：聚合多個威脅情報共享平臺及供應商的數(shù)據(jù)，實時地從多源獲取威脅情報，根據(jù)威脅情報的類型對采集的威脅情報進行分層匯聚；

S3：對分層匯總的威脅情報預處理成以三元組的形式存儲在本地威脅情報；

S4：多源采集富化情報信息，基于時間、內(nèi)容、領域知識維度對威脅情報可信度的影響因素提取特征指標；