一种网络空间威胁情报共享系统及方法与流程

本发明涉及信息共享技术领域，具体涉及一种网络空间威胁情报共享系统及方法。

背景技术：

随着网络威胁的广谱化和持续化，系统的攻击工具和多样的入侵方式使网络威胁成本大幅降低。面对当前严峻的网络攻击形式，传统被动的安全防护方法越来越难以应对。近几年，威胁信息、威胁情报等相关术语迅速在网络安全领域兴起，并逐渐成为业内人士关注的焦点。与传统的风险评估不同，面对攻击手段快速演变，apt大行其道的攻防形势融入威胁情报的安全防护更能够得到令人满意的效果。

目前，主流的威胁情报共享标准主要有taxii、stix、cybox等。业内通常使用taxii来进行数据传输。

指标信息的可信自动化交换(taxii，trustedautomatedexchangeofindicatorinformation)，为威胁情报服务和消息交换制定了标准。同时，该标准可以帮助网络威胁情报在不同的组织和产品/服务间共享，从而达到检测、预防并缓解网络威胁的目的。

在taxii标准中定义了三种共享模型：辐射型(hubandspoke)、订阅型(source/subscriber)、点对点型(peertopeer)。

辐射型：在辐射型共享模型中，一个组织作为中心节点为所有参与节点提供服务。任何参与节点先将信息发送给中心节点，再由中心节点分享给其他参与节点。中心节点在分享信息之前，可能会先进行分析和过滤。在此模型中，信息既可能从参与节点流向中心节点，又可能从中心节点流向参与节点。辐射型共享模型如图1所示。

订阅型：在订阅型共享模型中，一个组织作为唯一的分享节点为所有订阅节点提供信息。在此共享模型中，信息只能从分享节点流向订阅节点。订阅型共享模型如图2所示。

点对点型：在点对点共享模型中，所有组织都作为对等节点，既是信息的生产者也是消费者。在此模式中，信息在对等节点之间双向流动。点对点共享模型如图3所示。

在我国，很多行业具有一定的特殊性，因此要求威胁情报的共享模型有更高的灵活性，直接采用taxii标准中定义的三种共享模型则无法满足当前需求。

技术实现要素：

针对现有技术的不足，本发明旨在提供一种网络空间威胁情报共享系统及方法，可以将各类安全威胁情报进行重新汇总和共享，采用内部来源+外部来源的方式，更大范围地搜集威胁情报，根据实际的安全现状灵活动态地进行共享行为的建立和数据的传输，同时也便于相关部门以集约高效的方式进行安全事件分析、汇总威胁情报、开展威胁情报共享服务和应用、研究专项对策，以及与国家有关部门和信息网络安全行业的威胁情报交换、共享、协作和技术交流合作。

为了实现上述目的，本发明采用如下技术方案：

一种网络空间威胁情报共享系统，包括外部网络和内部网络；所述内部网络包括中心层、汇聚控制层和终端控制层，所述中心层主要由中心节点组成，所述汇聚控制层主要由一级消费者和生产者参与节点组成，所述终端控制层主要由二级消费者和生产者参与节点组成，每个二级消费者生产者参与节点至少隶属于一个一级消费者和生产者参与节点；所述外部网络中包括生产者参与节点；

中心节点用于接收生产者参与节点、一级消费者和生产者参与节点提供的威胁情报，并将所收集到的威胁情报分享给一级消费者和生产者参与节点；

所述生产者参与节点用于提供威胁情报，例如提供威胁情况的厂商等相关提供威胁情报的机构；

所述一级消费者和生产者参与节点用于向中心节点提供威胁情报、接收中心节点所分享的威胁情报，以及与其他的一级消费者和生产者参与节点共享威胁情报；

所述二级消费者和生产者参与节点用于为一级消费者和生产者参与节点提供威胁情报。

利用上述网络空间威胁情报共享系统进行威胁情报共享的方法，具体为：

当中心节点接收到来自外部网络的生产者参与节点提供的威胁情报时，根据威胁情报中关于可能受影响的软件或操作系统的信息，搜索中心节点资产列表中的操作系统或软件内容，向部署了这些可能受影响的操作系统或软件的一级消费者和生产者节点发送该威胁情报；

所述资产列表包括各个系统和软件的名称、部署了这些系统和软件的一级生产者和消费者参与节点以及二级生产者和消费者参与节点；

当汇聚控制层中的一级消费者和生产者参与节点首次发现威胁情报x时，将威胁情报x发送给中心节点，中心节点根据威胁情报x中可能受影响的软件或操作系统的信息，搜索中心节点所存储的资产列表中的操作系统或相关软件，向已部署可能受影响的软件或操作系统的其他一级消费者和生产者参与节点发送威胁情报x；

当终端控制层中的二级消费者和生产者参与节点发现威胁情报y时，将威胁情报y发送给其所隶属的一级消费者和生产者参与节点，该一级消费者和生产者参与节点根据威胁情报y中可能受影响的软件或操作系统的信息，向隶属于它的已部署可能受影响的软件或操作系统的其他二级消费者和生产者参与节点发送该威胁情报y。

进一步地，汇聚控制层中的各个一级消费者和生产者参与节点能够查看到与威胁情报x相关的一级消费者和生产者参与节点，并以信息表的方式存储；当首次发现威胁情报x的一级消费者和生产者参与节点再次发现威胁情报x时，直接根据信息表中的信息，将威胁情报x发送给中心节点以及相关的一级消费者和生产者参与节点。

更进一步地，当首次发现威胁情报x的一级消费者和生产者参与节点再次发现威胁情报x并直接根据信息表中的信息将威胁情报x发送给中心节点以及相关的一级消费者和生产者参与节点之后，中心节点会根据所接收到的威胁情报x中可能受影响的软件或操作系统的信息，搜索其存储的资产列表中的操作系统或软件内容，校验发送威胁情报x的一级消费者和生产者参与节点所发送的相关一级消费者和生产者参与节点是否包含所有已部署可能受影响的软件或系统的一级消费者和生产者参与节点。

更进一步地，信息表中包括有发送威胁情报x的时间戳，各一级消费者和生产者参与节点定期与中心节点进行信息同步，同步的周期由信息表中的时间戳决定。

本发明的有益效果在于：可以将各类安全威胁情报进行重新汇总和共享，采用内部来源+外部来源的方式，更大范围地搜集威胁情报，根据实际的安全现状灵活动态地进行共享行为的建立和数据的传输，同时也便于相关部门以集约高效的方式进行安全事件分析、汇总威胁情报、开展威胁情报共享服务和应用、研究专项对策，以及与国家有关部门和信息网络安全行业的威胁情报交换、共享、协作和技术交流合作。

附图说明

图1为现有的辐射型共享模型的示意图；

图2为现有的订阅型共享模型的示意图；

图3为现有的点对点型共享模型的示意图；

图4为本发明实施例的总体示意图。

具体实施方式

以下将结合附图对本发明作进一步的描述，需要说明的是，以下实施例以本技术方案为前提，给出了详细的实施方式和具体的操作过程，但本发明的保护范围并不限于本实施例。

如图4所示，一种网络空间威胁情报共享系统，包括外部网络和内部网络；所述内部网络包括中心层、汇聚控制层和终端控制层，所述中心层主要由中心节点组成，所述汇聚控制层主要由一级消费者和生产者参与节点组成，所述终端控制层主要由二级消费者和生产者参与节点组成，每个二级消费者生产者参与节点至少隶属于一个一级消费者和生产者参与节点；所述外部网络中包括生产者参与节点；

本实施例中，汇聚控制层中包括有四个一级消费者和生产者参与节点，分别为参与节点1、参与节点2、参与节点3和参与节点4，其中隶属于参与节点1的二级消费者和生产者参与节点有参与节点1-1、参与节点1-2、参与节点1-3、参与节点1-4，隶属于参与节点4的二级消费者和生产者参与节点有参与节点4-1、参与节点4-2、参与节点4-3、参与节点4-4。外部网络中有四个生产者参与节点。

中心节点用于接收生产者参与节点、一级消费者和生产者参与节点提供的威胁情报，并将所收集到的威胁情报分享给一级消费者和生产者参与节点。所述中心节点可以为威胁情报使用单位中的安全责任部门。

所述生产者参与节点用于提供威胁情报，例如提供威胁情况的厂商等相关提供威胁情报的机构。

所述一级消费者和生产者参与节点用于向中心节点提供威胁情报、接收中心节点所分享的威胁情报，以及与其他的一级消费者和生产者参与节点共享威胁情报。

所述二级消费者和生产者参与节点用于为一级消费者和生产者参与节点提供威胁情报。

一级消费者和生产者参与节点、二级消费者和生产者参与节点为威胁情报使用单位的内部部门。

进一步地，所述中心节点中存储有资产列表，所述资产列表包括各个系统和软件的名称、部署了这些系统和软件的一级生产者和消费者参与节点以及二级生产者和消费者参与节点。本实施例中，所述资产列表的格式如表1所示。

表1中心节点资产列表

当中心节点接收到来自外部网络的生产者参与节点提供的威胁情报时，根据威胁情报中关于可能受影响的软件或操作系统的信息，搜索中心节点资产列表中的操作系统或软件内容，向部署了这些可能受影响的操作系统或软件的一级消费者和生产者节点发送该威胁情报。上述共享方式在扩大威胁情报源的同时能够有效地防止内部网络的信息泄露，保证大型专网边界信息交换的安全性。

当汇聚控制层中的一级消费者和生产者参与节点(如图4中的参与节点1)首次发现威胁情报x时，将威胁情报x发送给中心节点，中心节点根据威胁情报x中可能受影响的软件或操作系统的信息，搜索中心节点所存储的资产列表中的操作系统或相关软件，向已部署可能受影响的软件或操作系统的其他一级消费者和生产者参与节点发送威胁情报x，汇聚控制层中的各个一级消费者和生产者参与节点能够查看到与威胁情报x相关的一级消费者和生产者参与节点，并以信息表的方式存储。在本实施例中，所述信息表的格式和内容如表2所示。

表2各一级消费者和生产者参与节点自身存储的信息表

当首次发现威胁情报x的一级消费者和生产者参与节点(参与节点1)再次发现威胁情报x时，可直接根据信息表中的信息，将威胁情报x发送给中心节点以及相关的一级消费者和生产者参与节点。同时，中心节点根据所接收到的威胁情报x中可能受影响的软件或操作系统的信息，搜索其存储的资产列表中的操作系统或相关软件，校验发送威胁情报x的一级消费者和生产者参与节点(参与节点1)所发送的相关一级消费者和生产者参与节点是否包含所有已部署可能受影响的软件或系统的一级消费者和生产者参与节点，以防止因各一级消费者和生产者参与节点的信息系统部署情况发生变动而造成的漏发情况。

进一步地，信息表中包括有发送威胁情报x的时间戳，各一级消费者和生产者参与节点定期与中心节点进行信息同步，同步的周期由信息表中的时间戳决定。通过该方案可以降低中心节点的负载。

上述共享系统和方法能够在很大程度上降低内部网络的中心层的负载，能够及时有效地传输威胁情报，尤其适用于一级消费者和生产者参与节点较多的情况。

进一步地，当终端控制层中的二级消费者和生产者参与节点(如图4中的参与节点1-1)发现威胁情报y时，将威胁情报y发送给其所隶属的一级消费者和生产者参与节点(参与节点1)，该一级消费者和生产者参与节点根据威胁情报y中可能受影响的软件或操作系统的信息，向隶属于它的已部署可能受影响的软件或操作系统的其他二级消费者和生产者参与节点发送该威胁情报y。

对于本领域的技术人员来说，可以根据以上的技术方案和构思，给出各种相应的改变和变形，而所有的这些改变和变形都应该包括在本发明权利要求的保护范围之内。