在不斷加劇的網(wǎng)絡(luò)安全攻防對抗過程中,攻防雙方存在著天然的不對稱性,網(wǎng)絡(luò)安全威脅情報共享利用是一種有效提高防護(hù)方響應(yīng)能力和效果的手段.然而威脅情報共享利用中的隱私保護(hù)需求與構(gòu)建完整攻擊鏈的需求之間存在矛盾.針對上述矛盾點(diǎn),提出一種基于區(qū)塊鏈的網(wǎng)絡(luò)安全威脅情報共享模型,利用了區(qū)塊鏈技術(shù)的賬戶匿名性和不可篡改性,使用單向加密函數(shù)保護(hù)情報中的隱私信息,基于加密后的情報構(gòu)建完整攻擊鏈,借助區(qū)塊鏈的回溯能力完成攻擊鏈中攻擊源的解密.最后,通過實(shí)驗(yàn)驗(yàn)證了該模型的可行性和有效性. 

【文章來源】：計算機(jī)研究與發(fā)展. 2020,57(04)北大核心EICSCD

【文章頁數(shù)】：11 頁

【部分圖文】：

基于區(qū)塊鏈的網(wǎng)絡(luò)安全威脅情報共享模型

近年來,網(wǎng)絡(luò)技術(shù)日益翻新,同時帶來了日趨復(fù)雜的網(wǎng)絡(luò)攻擊方法或手段,如零日漏洞利用、高級可持續(xù)性威脅(advanced persistent threat, APT)、社交工程等.由于信息的不對稱性,安全防護(hù)方在復(fù)雜系統(tǒng)安全攻防的“速度之爭”中處于天然的劣勢(如圖1所示,根據(jù)Verizon公司2018年的報告,攻擊者可以在分鐘級別的時間內(nèi)攻陷87%企業(yè)的網(wǎng)絡(luò)系統(tǒng),而68%的企業(yè)在數(shù)月后才會發(fā)現(xiàn)企業(yè)的網(wǎng)絡(luò)系統(tǒng)被入侵).面對復(fù)雜的攻擊形式和嚴(yán)重的攻擊后果,依靠個人或單個組織的技術(shù)力量僅能獲得局部的攻擊信息,無法構(gòu)建完整的攻擊鏈,更無法準(zhǔn)確有效地預(yù)防攻擊者.網(wǎng)絡(luò)安全威脅情報共享利用作為一種“以空間換時間”的技術(shù)方式,可以及時利用其他網(wǎng)絡(luò)中產(chǎn)生的高效威脅情報提高防護(hù)方的應(yīng)對能力,縮短響應(yīng)時間,從而形成緩解攻防對抗不對稱態(tài)勢的長效機(jī)制[2].信息共享可能會導(dǎo)致隱私信息的泄露,網(wǎng)絡(luò)安全威脅情報共享也不例外,現(xiàn)實(shí)社會中已經(jīng)發(fā)生因隱私信息泄露導(dǎo)致企業(yè)經(jīng)濟(jì)或名譽(yù)損失[3],進(jìn)而影響企業(yè)參與網(wǎng)絡(luò)安全威脅情報共享積極性的案例.針對網(wǎng)絡(luò)安全威脅情報共享中的隱私保護(hù)問題,文獻(xiàn)[4-7]從保護(hù)情報共享組織身份信息、保護(hù)情報利用成員身份信息和改進(jìn)STIX(structured threat infor-mation expression)共享標(biāo)準(zhǔn)中隱私泄露等方面進(jìn)行研究,在隱私保護(hù)方面取得了有效的進(jìn)展.但是嚴(yán)格的隱私保護(hù)也阻礙了完整攻擊鏈的推理構(gòu)建工作.例如某銀行IP地址為12.1.2.3的服務(wù)器被惡意代碼M攻陷成為了C2(command and control)服務(wù)器,該銀行為了保護(hù)隱私信息,發(fā)布了泛化的威脅情報:惡意代碼M攻擊銀行服務(wù)器,攻陷的服務(wù)器承擔(dān)C2服務(wù)器職能,那么分析人員就無法利用12.1.2.3進(jìn)行攻擊鏈的推理分析,即無法構(gòu)建完整攻擊鏈,所以需要提出一種既能滿足隱私保護(hù)需求,又能利用威脅情報進(jìn)行推理分析并構(gòu)建完整攻擊鏈的網(wǎng)絡(luò)安全威脅情報共享模型.

8) Operation表示主體Org,Center,CtiDB,BlockNet間的動作操作,包括情報節(jié)點(diǎn)注冊(regi-stry)、威脅情報共享(sharing)、情報評估(evaluate)、威脅情報分析(analysis)、交易廣播(broadcast)、情報存儲(store)、情報提取(get)和智能合約創(chuàng)建(create)等.如圖3所示,組織機(jī)構(gòu)Org1與Center間進(jìn)行情報共享時,不同的主體間會涉及sharing,get,evaluate,store,broadcast等多種動作操作.3 情報節(jié)點(diǎn)注冊算法(INRA)


本文編號：3521810