一种基于区块链的威胁情报交换共享系统和方法与流程

本发明涉及计算机网络安全领域，尤其涉及一种基于区块链的威胁情报交换共享系统和方法。

背景技术

威胁情报(threatintelligence)是为了保护网络空间资源免受威胁的侵害，利用安全专家、专业团队的经验、技能生成的关于安全和威胁的相关信息，包含漏洞、威胁、特征、名单、属性、解决建议等内容的知识载体；威胁情报是循证知识，包括环境、机制、指标、意义和可行性建议，现有的或新兴的、对资产的威胁或危害，是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合，可用于主体对威胁或危害做出明确的反应。近年来，攻击者不断改变其方法来挑战安全系统。因此，拥有一套可以提供情报能力通过主动出击和及时响应来管理这些攻击的安全解决方案是至关重要的。对于各单位来说，就不可避免地要从各种各样的来源获取威胁情报。

威胁来自内部和外部，此外管理威胁的组织都承受着巨大的压力。同时，尽管信息的原始数据是可用的，但获取有意义的信息是非常困难且费时的。因此在所有领域的公共或私有组织之间主动共享信息是安全发展的必要条件。但威胁情报的共享同样面临着许多挑战，如难以将原始信息置于围绕攻击者的更广泛的信息环境，比如攻击者的身份、目的和攻击的时间、地点和方法；威胁情报共享的有效性，不应收集已不存在的威胁；威胁情报共享的时效性，不应低于黑客攻击者的行动速度；威胁情报共享信息涉及自动化执行时的真实可靠性；最后，威胁情报共享的保密性和隐私问题使得形势更加复杂。

区块链(blockchain)是指通过基于密码学技术设计的共识机制方式。广义来讲，区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算范式。简单地说，区块链就是一种去中心化的分布式账本数据库。去中心化，即与传统中心化的方式不同，这里是没有中心，或者说人人都是中心；分布式账本数据库，意味着记载方式不只是将账本数据存储在每个节点，而且每个节点会同步共享复制整个账本的数据。同时，区块链还具有去中介化、信息透明等特点。在对等网络中多个节点共同维护一个持续增长，由时间戳和有序记录数据块所构建的链式列表账本的分布式数据库技术。使得参与系统中的任意多个节点，把一段时间系统内全部信息交流的数据，通过密码学算法计算和记录到一个数据块(block)，并且生成该数据块的指纹用于链接(chain)下个数据块和校验，系统所有参与节点来共同认定记录是否为真。由于区块链具有去中心化、去信任、集体维护、可靠数据库等特性，可以有效的保障系统的健壮性和存储内容的安全性与隐私性。

因此，本领域的技术人员致力于开发一种基于区块链的威胁情报交换共享系统和方法，把区块链技术应用于威胁情报共享领域。

技术实现要素：

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是将各种来源的威胁情报收集起来，并通过区块链进行存储与更新，从而提高威胁情报共享的时效性和有效性，以及威胁情报共享的安全性、保密性和隐私性。

为实现上述目的，本发明提供了一种基于区块链的威胁情报交换共享系统和方法。

一种基于区块链的威胁情报交换共享系统包括登陆过滤模块、基于区块链的安全钱包模块、共享社区、专家审核模块与威胁情报声誉数据库。以现有的安全厂商和安全专家个体的威胁情报为原始输入，个体用户后续输入的威胁情报通过专家代表审核有效后存入威胁情报声誉数据库，并更新个体用户与专家代表的声誉，授予奖励。

具体地，基于区块链的威胁情报交换共享系统，包括：

1)登陆过滤模块：获取用户登录的ip、域名、系统日志等，通过威胁情报声誉库中的威胁情报对登录用户进行过滤，避免恶意用户使用威胁情报；

2)基于区块链的安全钱包模块：存储用户交易数据与获得的激励和声誉；

3)共享社区：发布用户输入的威胁情报信息，并为被专家代表审理通过的威胁情报信息提供展示与交易平台；

4)专家代表审核模块：选取专家代表，并对用户提交到共享社区中威胁情报信息进行审核，生成块并更新威胁情报声誉数据库；

5)威胁情报声誉数据库：存储由专家代表审核通过的威胁情报信息，包括威胁情报的钱包地址、日期、文件名、文件hash(文件hash是根据文件的内容的数据通过逻辑运算得到的数值,不同的文件得到的hash值不同，是文件唯一的身份标志，可用于确保文件的唯一性、完整性。)、文件描述、ip、域名等。

进一步地，现有的安全厂商和安全专家个体的威胁情报为本系统原始输入，个体用户后续输入的威胁情报通过专家代表审核有效后存入威胁情报声誉数据库。

进一步地，本系统构建激励体系，自我构建的可交换加密货币作为社区支付手段。

进一步地，专家代表审核模块基于委任权益证明(dpos)共识机制，dpos共识机制决定了选出的代表，如果事务处理不稳定、或使用手中权力作恶，会被排除出系统、由后备代表取代。

进一步地，威胁情报声誉数据库提供查询接口，供登陆过滤模块与共享社区查询。

进一步地，本系统还包括机器学习引擎，对加入威胁情报交换共享系统的用户进行认证，获取用户使用安全钱包期间的操作记录、系统日志等，对恶意行为进行过滤。

进一步地，本系统还包括威胁情报社区信息过滤机制，过滤垃圾信息(spam信息)，净化社区环境。

进一步地，完善威胁情报审核机制，对审核结果有异议的威胁情报提供二次审核判断，确保威胁情报的可靠性。

进一步地，添加对容错算法的支持，防止意外事件导致通信中断，提升系统稳定性。

基于上述区块链的威胁情报交换共享系统进行交换共享的方法包括如下步骤：

步骤101、用户a注册系统账号获得基于区块链的个人安全钱包地址，并获取基本声誉分；

步骤102、用户a通过登陆过滤模块，使用用户私钥登录个人钱包与共享社区；

步骤103、用户a提交新发现的可疑信息的文件、文件名、文件hash、文件描述、ip、域名等，并支付基本提交费用m0；

步骤104、通过委任权益证明(dpos)共识机制选取的专家代表b对提交的可疑文件进行审核判断；

步骤105、如果步骤104专家代表b在规定时间t内判断结果为真，即用户a提交的可疑信息是恶意的，则专家代表b可获取基础发布费用，用户a与专家代表b提升各自的声誉分并获取部分货币，其中用户a提升的声誉分与获得的货币较多。随后，专家代表b生成块，并将恶意信息的特征信息、用户钱包地址、审核时间与审核证明一起写入威胁情报声誉数据库中，更新登录过滤模块与共享社区中的威胁情报信息；

步骤106、如果步骤104专家代表b在规定时间t内判断结果为假，即用户a提交的可疑信息是非恶意的，则专家代表b提供非恶意证明，并获取基础发布费用；

步骤107、如果步骤104专家代表b未在规定时间t内判断结果，则专家代表b损失一定的信誉分，并赔偿用户a部分货币；

步骤108、当步骤105审核通过的威胁情报系统运行达到一定时间或威胁情报达到一定数量，则类似捐赠威胁情报的行为所获取的数字货币与声誉分奖励将自动减免。

进一步地，步骤101中，经过验证的安全专家、网络安全公司、白帽黑客、安全团队提供原始威胁情报获取部分数字货币奖励与更高的声誉分。

第三方(用户c)获取威胁情报详细信息的请求，处理步骤如下：

1.步骤109、第三方(用户c)使用威胁情报声誉数据库查询接口查询威胁情报信息，威胁情报声誉数据库返回给第三方(用户c)所查询的恶意文件的所有文件描述，并基于声誉生成智能合约，智能合约是在区块链上可以自动执行的(由消息驱动的)、以代码形式编写的合同，允许在没有第三方的情况下进行可信交易，这些交易可追踪且不可逆转；本发明的智能合约内容包括合约双方(用户a与用户c)，价格(用户c需要支付的货币数量)，自动触发执行合约的条件(用户c支付货币，支付后可以进行查看与下载)；

步骤110、第三方(用户c)选择合适的交易，确认交易并支付货币，获得恶意文件的详细信息；

步骤111、恶意信息的提供者(用户a)与审核者(代表b)分享第三方(用户c)支付的交易货币，其中提供者(用户a)获得其中大部分交易货币。

本发明的基于区块链的威胁情报交换共享系统和方法，将各种来源的威胁情报收集起来，并通过区块链进行存储与更新，从而提高威胁情报共享的时效性和有效性。本发明的系统以现有的安全厂商和安全专家个体的威胁情报为原始输入，个体用户后续输入的威胁情报通过dpos共识机制选出的专家代表进行审理证明其有效性后存入威胁情报声誉数据库，并更新个体用户与专家代表的声誉，授予奖励。dpos共识机制降低了网络能耗，提升了系统稳定性与纯净度。激励体系决定了早期的贡献者会获得更多的奖励，鼓励需要威胁情报的人员以及安全专家(个人或组织)的参与。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。

附图说明

图1是本发明的一个较佳实施例的组成示意图；

图2是本发明的一个较佳实施例的威胁情报交换共享方法的示意图；

图3是本发明的一个较佳实施例的第三方用户获取威胁情报过程示意图。

具体实施方式

以下参考说明书附图介绍本发明的多个优选实施例，使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现，本发明的保护范围并非仅限于文中提到的实施例。

本发明的一个较佳实施例，由登陆过滤模块、基于区块链的安全钱包、共享社区和基于委任权益证明(dpos)共识机制的专家审核模块与威胁情报声誉数据库组成。系统以现有的安全厂商和安全专家个体的威胁情报为原始输入，个体用户后续输入的威胁情报通过dpos共识机制选出的专家代表进行审理证明其有效性后存入威胁情报声誉数据库，并更新个体用户与专家代表的声誉，授予奖励。

如图1所示本发明的一个较佳实施例包括：

1)登陆过滤模块：获取用户登录的ip、域名、系统日志，通过威胁情报声誉库中的威胁情报对登录用户进行过滤，避免恶意用户使用威胁情报；

2)安全钱包模块：存储用户交易数据与获得的激励和声誉；

3)共享社区：发布用户输入的威胁情报信息，并为被专家代表审理通过的威胁情报信息提供展示与交易平台；

4)专家代表审核模块：委任权益证明(dpos)共识机制选取专家代表，并对用户提交到共享社区中威胁情报信息进行审理评判，生成块并更新威胁情报声誉数据库；

5)威胁情报声誉数据库：存储由专家代表审核通过的威胁情报信息，包括威胁情报的钱包地址、日期、文件名、文件hash、文件描述、ip、域名等。并提供查询接口，为过滤模块与共享社区提供支持。

如图2所示，基于区块链的威胁情报交换共享系统的处理流程与激励机制为：用户a注册系统账号获得个人安全钱包地址，并获取基本声誉分，经过验证的安全专家、网络安全公司、白帽黑客、安全团队提供原始威胁情报并获取部分数字货币奖励与更高的声誉分；用户a通过过滤模块，使用用户私钥登录个人钱包与共享社区，提交新发现的可疑信息的文件、文件名、文件hash、文件描述、ip、域名等，并支付基本提交费用m0；由通过委任权益证明(dpos)共识机制选取专家代表b对提交的可疑文件进行审核判断，如专家代表b在规定时间内判断结果为真，即用户a提交的可疑信息是恶意的，则专家代表b可获取基础发布费用，用户a与专家代表b提升各自的声誉分并获取部分货币，其中用户a提升的声誉分与获得的货币较多，随后，专家代表b生成块，并将恶意信息的特征信息、用户钱包地址、审核时间与审核证明一起写入威胁情报声誉数据库中，更新登录过滤模块与社区中的威胁情报信息；如专家代表b在规定时间内判断结果为假，即用户a提交的可疑信息是非恶意的，则专家代表b提供非恶意证明，并获取基础发布费用；如专家代表b未在规定时间内判断结果，则专家代表b损失一定的信誉分，并赔偿用户a部分货币；当审核通过的威胁情报系统运行达到一定时间或威胁情报达到一定数量，则类似捐赠威胁情报的行为所获取的数字货币与声誉分奖励将自动减免。这是为了使早期的贡献者获得更多的奖励，鼓励需要威胁情报的人员以及安全专家(个人或组织)的参与。

如图3所示，第三方(用户c)获取威胁情报详细信息的方法包括：用户注册系统账号获得个人安全钱包地址，通过威胁情报库数据库查询接口发起请求，威胁情报声誉数据库查询接口接收一个查询请求，并返回给第三方(用户c)所查询的恶意文件的所有文件描述，并基于声誉生成交易价格与智能合约，恶意信息的提供者(用户a)的声誉越高，所生成的交易价格越高；第三方(用户c)选择合适的交易，确认交易并支付货币，获得恶意文件的详细信息；恶意信息的提供者(用户a)与审核者(代表b)分享第三方(用户c)支付的交易货币，其中提供者(用户a)获得其中大部分交易货币。

为了使本发明实施的基于区块链的威胁情报交换共享系统更好地工作，在部署中，除了登陆过滤机制外增添了其他方法对加入威胁情报交换共享系统的用户进行认证，通过部署机器学习引擎获取用户使用安全钱包期间的操作记录、系统日志等，对恶意行为进行过滤，提升威胁情报利用的安全性，提升安全钱包的安全性能、保证交易过程的安全性。建立威胁情报社区信息过滤机制，过滤垃圾信息(spam信息)，净化社区环境。完善威胁情报审核机制，对审核结果有异议的威胁情报提供二次审核判断，确保威胁情报的可靠性。添加对容错算法的支持，防止意外事件导致通信中断，提升系统稳定性。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。