基于区块链的网络安全威胁情报共享模型
发布时间:2021-11-27 07:24
在不断加剧的网络安全攻防对抗过程中,攻防双方存在着天然的不对称性,网络安全威胁情报共享利用是一种有效提高防护方响应能力和效果的手段.然而威胁情报共享利用中的隐私保护需求与构建完整攻击链的需求之间存在矛盾.针对上述矛盾点,提出一种基于区块链的网络安全威胁情报共享模型,利用了区块链技术的账户匿名性和不可篡改性,使用单向加密函数保护情报中的隐私信息,基于加密后的情报构建完整攻击链,借助区块链的回溯能力完成攻击链中攻击源的解密.最后,通过实验验证了该模型的可行性和有效性.
【文章来源】:计算机研究与发展. 2020,57(04)北大核心EICSCD
【文章页数】:11 页
【部分图文】:
基于区块链的网络安全威胁情报共享模型
近年来,网络技术日益翻新,同时带来了日趋复杂的网络攻击方法或手段,如零日漏洞利用、高级可持续性威胁(advanced persistent threat, APT)、社交工程等.由于信息的不对称性,安全防护方在复杂系统安全攻防的“速度之争”中处于天然的劣势(如图1所示,根据Verizon公司2018年的报告,攻击者可以在分钟级别的时间内攻陷87%企业的网络系统,而68%的企业在数月后才会发现企业的网络系统被入侵).面对复杂的攻击形式和严重的攻击后果,依靠个人或单个组织的技术力量仅能获得局部的攻击信息,无法构建完整的攻击链,更无法准确有效地预防攻击者.网络安全威胁情报共享利用作为一种“以空间换时间”的技术方式,可以及时利用其他网络中产生的高效威胁情报提高防护方的应对能力,缩短响应时间,从而形成缓解攻防对抗不对称态势的长效机制[2].信息共享可能会导致隐私信息的泄露,网络安全威胁情报共享也不例外,现实社会中已经发生因隐私信息泄露导致企业经济或名誉损失[3],进而影响企业参与网络安全威胁情报共享积极性的案例.针对网络安全威胁情报共享中的隐私保护问题,文献[4-7]从保护情报共享组织身份信息、保护情报利用成员身份信息和改进STIX(structured threat infor-mation expression)共享标准中隐私泄露等方面进行研究,在隐私保护方面取得了有效的进展.但是严格的隐私保护也阻碍了完整攻击链的推理构建工作.例如某银行IP地址为12.1.2.3的服务器被恶意代码M攻陷成为了C2(command and control)服务器,该银行为了保护隐私信息,发布了泛化的威胁情报:恶意代码M攻击银行服务器,攻陷的服务器承担C2服务器职能,那么分析人员就无法利用12.1.2.3进行攻击链的推理分析,即无法构建完整攻击链,所以需要提出一种既能满足隐私保护需求,又能利用威胁情报进行推理分析并构建完整攻击链的网络安全威胁情报共享模型.
8) Operation表示主体Org,Center,CtiDB,BlockNet间的动作操作,包括情报节点注册(regi-stry)、威胁情报共享(sharing)、情报评估(evaluate)、威胁情报分析(analysis)、交易广播(broadcast)、情报存储(store)、情报提取(get)和智能合约创建(create)等.如图3所示,组织机构Org1与Center间进行情报共享时,不同的主体间会涉及sharing,get,evaluate,store,broadcast等多种动作操作.3 情报节点注册算法(INRA)
本文编号:3521810
【文章来源】:计算机研究与发展. 2020,57(04)北大核心EICSCD
【文章页数】:11 页
【部分图文】:
基于区块链的网络安全威胁情报共享模型
近年来,网络技术日益翻新,同时带来了日趋复杂的网络攻击方法或手段,如零日漏洞利用、高级可持续性威胁(advanced persistent threat, APT)、社交工程等.由于信息的不对称性,安全防护方在复杂系统安全攻防的“速度之争”中处于天然的劣势(如图1所示,根据Verizon公司2018年的报告,攻击者可以在分钟级别的时间内攻陷87%企业的网络系统,而68%的企业在数月后才会发现企业的网络系统被入侵).面对复杂的攻击形式和严重的攻击后果,依靠个人或单个组织的技术力量仅能获得局部的攻击信息,无法构建完整的攻击链,更无法准确有效地预防攻击者.网络安全威胁情报共享利用作为一种“以空间换时间”的技术方式,可以及时利用其他网络中产生的高效威胁情报提高防护方的应对能力,缩短响应时间,从而形成缓解攻防对抗不对称态势的长效机制[2].信息共享可能会导致隐私信息的泄露,网络安全威胁情报共享也不例外,现实社会中已经发生因隐私信息泄露导致企业经济或名誉损失[3],进而影响企业参与网络安全威胁情报共享积极性的案例.针对网络安全威胁情报共享中的隐私保护问题,文献[4-7]从保护情报共享组织身份信息、保护情报利用成员身份信息和改进STIX(structured threat infor-mation expression)共享标准中隐私泄露等方面进行研究,在隐私保护方面取得了有效的进展.但是严格的隐私保护也阻碍了完整攻击链的推理构建工作.例如某银行IP地址为12.1.2.3的服务器被恶意代码M攻陷成为了C2(command and control)服务器,该银行为了保护隐私信息,发布了泛化的威胁情报:恶意代码M攻击银行服务器,攻陷的服务器承担C2服务器职能,那么分析人员就无法利用12.1.2.3进行攻击链的推理分析,即无法构建完整攻击链,所以需要提出一种既能满足隐私保护需求,又能利用威胁情报进行推理分析并构建完整攻击链的网络安全威胁情报共享模型.
8) Operation表示主体Org,Center,CtiDB,BlockNet间的动作操作,包括情报节点注册(regi-stry)、威胁情报共享(sharing)、情报评估(evaluate)、威胁情报分析(analysis)、交易广播(broadcast)、情报存储(store)、情报提取(get)和智能合约创建(create)等.如图3所示,组织机构Org1与Center间进行情报共享时,不同的主体间会涉及sharing,get,evaluate,store,broadcast等多种动作操作.3 情报节点注册算法(INRA)
本文编号:3521810
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3521810.html
