一种基于大数据整合的区块链威胁情报分析方法及系统与流程

本发明涉及区块链技术领域，特别是涉及一种基于大数据整合的区块链威胁情报分析方法及系统。

背景技术：

区块链技术，是一种分布式账本技术，具有去中心化、信息不可篡改等特性，越来越受到各行各业的青睐，目前区块链主要有两种形态：公共区块链和联盟区块链；公共区块链(公链)是指任何人都可以读取、任何人都能发送交易且交易能获得有效确认的、任何人都能参与其中的区块链；联盟链区块链(联盟链)则是指参与到区块链系统中的每个节点都是经过许可的，未经许可的节点是不可以介入到系统中。

随着互联网的快速发展与人们日益增长的安全隐私需求，如今区块链技术已成为众多科技企业追捧的技术。虽然区块链技术的特性可以帮助人们很好的解决隐私、防伪造和溯源问题，但是区块链技术毕竟还是一门新兴的课题以及区块链本身的特性还太过特殊，导致区块链相关的黑客攻击、洗钱等社会化安全问题日益突出，而且很多企业及技术人员都是刚刚开始接触区块链的开发技术，没有一整套完整的区块链风险控制方案，缺乏威胁情报的分析方法。

目前，区块链技术已应用于多个领域，例如银行、金融和外汇等与经济高度挂钩的领域，区块链技术应用于这些与经济高度挂钩的领域，不但需要提前做好风险控制方案，而且一旦出现安全问题，十分需要高效的威胁分析方法挽回损失。

传统的区块链应用的威胁数据分析方案普遍采用使用传统互联网安全服务的威胁数据分析方法，即，在出现了安全问题之后，通过人工排查访问记录，手工分析应用日志等传统方式，这样的方法存在的人力成本高、分析时间过长、错漏排查、无法预防风险等问题。

技术实现要素：

为克服上述现有技术存在的不足，本发明之目的在于提供一种基于大数据整合的区块链威胁情报分析方法及系统，以通过大数据整合区块链数据，提前分析区块链的数据流向，对即将可能发生的威胁事件进行预警，以及在威胁事件发生后的第一时间精确定位。

为达上述目的，本发明提出一种基于大数据整合的区块链威胁情报分析方法，包括如下步骤：

步骤s1，监测区块链公链与联盟链节点，于监测到区块链公链或者联盟链节点有新的同步数据时，自动采集节点新的同步数据，并将采集的数据发送至大数据整合模块；

步骤s2，对采集的数据进行整理分类；

步骤s3，根据选择的模式获取分析策略，根据分析策略分析采集的数据，匹配获取对应的分析结果，把分析结果发送到分析结果集合；

步骤s4，对根据各分析策略获得的分析结果进行综合分析，根据综合分析结果进行威胁预警提醒。

优选地，于步骤s2中，根据区块链的类型对采集的数据进行分类。

优选地，所述大数据整合模块将采集的数据分类完成后储存到nosql数据库中。

优选地，所述分析策略包括但不限于策略所属区块链的类型、数据匹配规则、结果提取规则。

优选地，于步骤s3中，所述分析策略选择的模式包括快速模式及全局模式，所述快速模式为用户自选策略模式，在该模式下只选择该数据所属区块链类型下的特定分析策略进行分析；所述全局模式为默认全选策略模式，在该模式下，只要是经过大数据系统的区块链数据都会根据其区块链类型获取该类型下所有的策略，然后将各种策略的分析结果都发送到结果集，以便用户按需查看。

优选地，于步骤s3中，利用获得的分析策略与对应类型下的数据进行匹配，提取匹配的结果作为分析结果发送到所述分析结果集合。

优选地，于步骤s4中，对分析结果结合预设的分析策略权重确定分析结果的权重，对分析结果根据分析结果的权重进行威胁预警提醒。

为达到上述目的，本发明还提供一种基于大数据整合的区块链威胁情报分析系统，包括：

区块链节点监测采集模块，用于监测区块链公链或者联盟链节点，于监测到区块链公链或者联盟链节点有新的同步数据时，自动采集节点新的同步数据，并将采集的数据发送至大数据整合模块；

大数据整合模块，用于对采集的数据进行整理分类，并于整理分类完成后，发送开始分析信号到大数据分析模块；

大数据分析模块，用于在接收到开始分析信号后，根据选择的模式获取分析策略，根据分析策略分析采集的数据，匹配获取对应的分析结果，把分析结果发送到分析结果集合；

威胁预警提醒模块，用于对根据各分析策略获得的分析结果进行综合分析，根据综合分析结果进行威胁预警提醒。

优选地，所述大数据整合模块对采集的数据根据区块链的类型进行整理分类，分类完成后储存到nosql数据库中。

优选地，所述威胁预警提醒模块对分析结果结合预设的分析策略权重确定分析结果的权重，对分析结果根据分析结果的权重进行威胁预警提醒。

与现有技术相比，本发明一种基于大数据整合的区块链威胁情报分析方法及系统通过将大数据整合以及策略定向分析相结合，对采集到的区块链数据进行整合分析，确保第一时间发现区块链上的威胁情报事件，并同时具备数据分析的真实性、数据来源的可回溯性和数据分析结果的精确性等优点。

附图说明

图1为本发明一种基于大数据整合的区块链威胁情报分析方法的步骤流程图；

图2为本发明一种基于大数据整合的区块链威胁情报分析系统的系统架构图；

图3为本发明具体实施例中基于大数据整合的区块链威胁情报分析流程图

图4为本发明具体实施例中威胁情报提醒结果展示示意图。

具体实施方式

以下通过特定的具体实例并结合附图说明本发明的实施方式，本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用，本说明书中的各项细节亦可基于不同观点与应用，在不背离本发明的精神下进行各种修饰与变更。

在详细说明本发明的技术方案之前，先简要介绍本发明涉及的一些基本概念：

区块链，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次链上网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。

大数据，指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

图1为本发明一种基于大数据整合的区块链威胁情报分析方法的步骤流程图。如图1所示，本发明一种基于大数据整合的区块链威胁情报分析方法，用于在区块链数据监控平台中，对多种区块链公链或者联盟链进行数据整合和分析，包括如下步骤：

步骤s1，监测区块链公链与联盟链节点，于监测到区块链公链或者联盟链节点有新的同步数据时，自动采集节点新的同步数据，并将采集的数据发送至大数据整合模块。

步骤s2，对采集的数据进行整理分类。由于采集到的各个不同的区块链公链或者联盟链数据的数据格式和区块类型不同，因此需对其按区块链的类型进行分类，例如:btc(比特币)的数据分类到btc类别，超级账本的数据分类到超级账本的类别下，每一种区块链的数据都会在自己的分类下，以方便全部和个别类型分析。在本发明具体实施例中，大数据整合模块对采集的数据根据区块链的类型进行整理分类，分类完成后储存到nosql数据库中。

步骤s3，根据确定的模式获取分析策略，根据分析策略分析采集的数据，匹配获取对应的分析结果，把分析结果发送到分析结果集合。在本发明具体实施例中，所述分析策略包括策略所属区块链的类型、数据匹配规则、结果提取规则，例如要分析btc的大额交易数据，则可获取一条分析策略属于btc类型的，包括数据匹配规则以及结果提取规则的分析策略，例如一条属于btc类型的，数据匹配规则为转账金额大于100万元，结果提取规则为提取该转账的发起者、接收者以及具体金额数量的分析策略，大数据分析模块则利用该策略与所有的btc类型下的数据进行匹配，找到所有btc转账符合”金额大于100万元”的转账交易，并获取这些交易的发起者、接收者以及具体金额数量作为分析结果发送到分析结果集合。在本发明具体实施例中，分析策略选择的模式有两种：一种是快速模式(即用户自选策略模式):即只选择该数据所属区块链类型下的特定分析策略进行分析，如需要分析某eth交易记录是否属于黑客攻击的eth恶意交易，用户预先选择eth类型下的黑客恶意攻击策略分析即可；第二种为全局模式(该模式为默认全选策略模式)：即只要是经过大数据系统的区块链数据都会根据其区块链类型获取该类型下所有的策略(包括系统自带和用户自定义)，然后将各种策略的分析结果都发送到结果集，以便用户按需查看，如采集程序采集到一条eth的交易记录，大数据系统默认是将该eth交易与当前系统已有的所有eth类型的策略进行匹配，并将匹配到的结果发送到分析结果集合中。

步骤s4，对根据各分析策略获得的分析结果进行综合分析，根据综合分析结果进行威胁预警提醒。在本发明具体实施例中，对分析结果根据策略权重进行威胁预警提醒，可预先对各分析策略设置有相应的策略权重，然后对分析结果根据分析策略权重进行威胁预警提醒，具体地说，分析结果集合中的分析结果都是包含交易某些重要信息的数据结构(该交易的数字货币价值金额、发起者、接收者、发起时间、匹配到各种策略类型的百分比)，系统默认自带的策略有大额交易(假设权重10)、合约销毁(假设权重50)、疑似洗钱(假设权重60)等，如果分析到该数据记录符合大额交易策略的规则，分析结果则会是一个(包含该记录数字货币价值金额、发起人、接收者、发起时间、类型为大额交易)数据类型，如果分析到该数据记录符合疑似洗钱策略的规则，分析结果则会是一个(包含该记录数字货币价值金额、发起人、接收者、发起时间、可能性为洗钱的百分比数值)数据类型，如果不能完全确定区块交易数据记录的类型，说明该数据记录可能同时符合多种策略的特征，则会匹配计算符合每种策略的百分比，对于所有的分析结果，则根据分析策略权重进行威胁预警提醒。

需说明的是，虽然每一个策略都有一个默认权重，但分析结果的权重并不等于策略默认权重，分析结果的权重则是一个综合计算得出的结果，因为策略默认权重只是其中一个初始因素，但是在实际的分析过程中，考虑到策略类型的可调整性，有可能会被误操作导致某些策略权重过高，而该策略下的某些交易数据可能涉及的金额或者危害性不大，导致最终分析结果都是某策略下的分析结果靠前而影响了其他策略的高危害分析结果靠后不便于第一时间发现，所以在分析结果权重计算时，考虑到了还需要金额以及时间作为计算因素，在同一时间段里遇到了涉及金额特别巨大的交易数据或者交易时间要求特别短、操作记录频繁的交易数据肯定会相应提高权重。

如遇到5分钟内只采集到，涉及价值5000万人民币的正常大额交易以及涉及价值20块的疑似洗钱交易记录，在同一时间段全局分析模式下，肯定是因为5000万的大额交易记录远远高于同时间段的其他交易而且高于大额交易策略的阈值许多，相应的分析结果会是大额交易策略默认权重10的几倍，而此时的20块疑似洗钱交易记录在短时间内只有一笔记录，涉及金额偏少，最终分析结果只会是疑似洗钱默认权重60的一半甚至是1/3，

所以最后可能会导致价值5000万的这笔大额交易权重比价值20块的疑似洗钱交易权重要高，排名更靠前，而不是疑似洗钱策略的默认权重大，分析结果权重就大。

在本发明具体实施例中分析权重越高的分析结果在分析结果集里排的越前面(分析结果类型只是百分比，不能确定类型的数据结果权重会是策略权重值*分析结果的百分比)。同一策略下的结果默认权重一样，但还会根据交易记录的发起时间、记录数字货币价值金额一并综合计算，一般地，时间最近、金额越大的结果会比较靠前。

可见，本发明在特定区块链公链或者联盟链的区块节点同步到新数据时采集到最新的区块链数据，并将采集到的区块链数据整合到大数据分析系统中，根据分析策略第一时间获得真实可靠的安全威胁事件详情，并可以根据一定时间范围内的区块链数据流动情况预测可能即将发生的威胁事件。

图2为本发明一种基于大数据整合的区块链威胁情报分析系统的系统架构图。如图2所示，本发明一种基于大数据整合的区块链威胁情报分析系统，用于在区块链数据监控平台中，对多种区块链公链或者联盟链进行数据整合和分析，该系统包括：

区块链节点监测采集模块201，用于监测区块链公链或者联盟链节点，于监测到区块链公链或者联盟链节点有新的同步数据时，自动采集节点新的同步数据，并将采集的数据发送至大数据整合模块。在本发明具体实施例中，当区块链节点监测采集模块201完成数据采集后，统一发送到大数据整合模块202。

大数据整合模块202，用于对采集的数据进行整理分类，并于整理分类完成后，发送开始分析信号到大数据分析模块203。由于采集到的各个不同的区块链公链或者联盟链数据的数据格式和区块类型不同，因此需对其按区块链的类型进行分类，例如:btc(比特币)的数据分类到btc类别，超级账本的数据分类到超级账本的类别下，每一种区块链的数据都会在自己的分类下，以方便全部和个别类型分析。在本发明具体实施例中，大数据整合模块202对采集的数据根据区块链的类型进行整理分类，分类完成后储存到nosql数据库中。

大数据分析模块203，用于在接收到开始分析信号后，根据确定的模式获取分析策略，根据分析策略分析采集的数据，匹配获取对应的分析结果，把分析结果发送到分析结果集合。在本发明具体实施例中，所述分析策略包括策略所属区块链的类型、数据匹配规则、结果提取规则，例如要分析btc的大额交易数据，则可获取一条分析策略属于btc类型的，包括数据匹配规则以及结果提取规则的分析策略，例如一条属于btc类型的，数据匹配规则为转账金额大于100万元，结果提取规则为提取该转账的发起者、接收者以及具体金额数量的分析策略，大数据分析模块则利用该策略与所有的btc类型下的数据进行匹配，找到所有btc转账符合”金额大于100万元”的转账交易，并获取这些交易的发起者、接收者以及具体金额数量作为分析结果发送到分析结果集合。在本发明具体实施例中，分析策略选择的模式有两种：一种是快速模式(即用户自选策略模式):即只选择该数据所属区块链类型下的特定分析策略进行分析，如需要分析某eth交易记录是否属于黑客攻击的eth恶意交易，用户预先选择eth类型下的黑客恶意攻击策略分析即可；第二种为全局模式(该模式为默认全选策略模式)：即只要是经过大数据系统的区块链数据都会根据其区块链类型获取该类型下所有的策略(包括系统自带和用户自定义)，然后将各种策略的分析结果都发送到结果集，以便用户按需查看，如采集程序采集到一条eth的交易记录，大数据系统默认是将该eth交易与当前系统已有的所有eth类型的策略进行匹配，并将匹配到的结果发送到分析结果集合中。

威胁预警提醒模块204，用于对根据各分析策略获得的分析结果进行综合分析，根据综合分析结果进行威胁预警提醒。在本发明具体实施例中，对分析结果根据策略权重进行威胁预警提醒，可预先对各分析策略设置有相应的策略权重，并对分析结果根据分析策略权重进行威胁预警提醒，具体地说，分析结果集合中的分析结果都是包含交易某些重要信息的数据结构(该交易的数字货币价值金额、发起者、接收者、发起时间、匹配到各种策略类型的百分比)，系统默认自带的策略有大额交易(假设权重10)、合约销毁(假设权重50)、疑似洗钱(假设权重60)等，如果分析到该数据记录符合大额交易策略的规则，分析结果则会是一个(包含该记录数字货币价值金额、发起人、接收者、发起时间、类型为大额交易)数据类型，如果分析到该数据记录符合疑似洗钱策略的规则，分析结果则会是一个(包含该记录数字货币价值金额、发起人、接收者、发起时间、可能性为洗钱的百分比数值)数据类型，如果不能完全确定区块交易数据记录的类型，说明该数据记录可能同时符合多种策略的特征，则会匹配计算符合每种策略的百分比，对于所有的分析结果，根据分析策略权重进行威胁预警提醒。

需说明的是，虽然每一个策略都有一个默认权重，但分析结果的权重并不等于策略默认权重，本发明分析结果的权重是一个综合计算得出的结果，权重越高的分析结果在分析结果集里排的越前面(分析结果类型只是百分比，不能确定类型的数据结果权重会是策略权重值*分析结果的百分比)。同一策略下的结果默认权重一样，但还会根据交易记录的发起时间、记录数字货币价值金额一并综合计算，一般地，时间最近、金额越大的结果会比较靠前。

当区块链数据监控平台接收到来自威胁预警提醒模块204的威胁预警提醒，可以把相关数据结果展示给用户，在本发明具体实施例中，所述区块链数据监控平台可以是新闻网站、政府监管网站、企业数据挖掘平台等所有涉及区块链数据采集的平台。

图3为本发明具体实施例中基于大数据整合的区块链威胁情报分析流程图。如图3所示，该基于大数据整合的区块链威胁情报分析过程如下：

s01、在被监控的区块链公链或者联盟链节点有新的同步数据时，区块链节点采集模块自动采集节点新的同步数据；

s02、当区块链节点采集模块完成数据采集后，统一发送到大数据整合模块；

s03、大数据整合模块对数据进行整理分类，分类完成后储存到nosql数据库中；

s04、当nosql数据库储存数据完成后，大数据整合模块发送开始分析信号到大数据分析模块；

s05、大数据分析模块接收到开始分析信号后，开始获取用户自定义的分析策略或系统默认分析策略；

s06、当分析策略获取完成后，大数据分析模块开始按获得的分析策略分析数据，匹配提取对应的分析结果，把分析结果发送到分析结果集合；

s07、分析结果集合接收到新的分析结果后，威胁预警提醒模块对分析结果集合中的数据根据策略权重进行威胁预警提醒；

s08、区块链数据监控平台接收到来自威胁预警提醒模块的威胁预警提醒，将相关数据结果展示给用户，如图4所示。

综上所述，本发明一种基于大数据整合的区块链威胁情报分析方法及系统通过将大数据整合以及策略定向分析相结合，对采集到的区块链数据进行整合分析，确保第一时间发现区块链上的威胁情报事件，并同时具备数据分析的真实性、数据来源的可回溯性和数据分析结果的精确性等优点。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下，对上述实施例进行修饰与改变。因此，本发明的权利保护范围，应如权利要求书所列。