原创 申玄公、李昌勋

报告原文电子 2020，9（3）

首尔科技大学计算机科学与工程系

韩国首尔01811*

文章历史

收到：2020年1月3日

修订：2020年3月16日

接受：2020年3月18日

发布：2020年3月21日（本文属于《网络威胁情报特刊新挑战》）

关键词

网络威胁情报 ; 区块链 ; 智能合约

目录

摘要

1.简介

2.相关工作

2.1 背景

2.2 目前最高水平

2.3 安全考虑

3.系统模型

3.1 基于区块链的网络威胁情报系统模型

3.2 威胁模型

4.BLOCIS：基于区块链的开放式网络威胁情报系统

4.1 BLOCIS的体系结构

4.2 CTI数据贡献和共享过程

5.BLOCIS的实施

5.1 环境

5.2 用于CTI数据共享的智能合约

6.实验与结果

6.1 正常和恶意贡献者

6.2 恶意贡献者的可靠性

6.3 恶意贡献成本

7.结论

// 摘要 //

第五代（5G）通信与物联网（IoT）的融合极大地增加了网络的多样性和复杂性。这种变化使攻击者的攻击方式多样化，从而增加了网络威胁的影响和损害。网络威胁情报（CTI）技术是一种基于证明的安全系统，可通过分析和共享与安全相关的数据来主动响应这些高级网络威胁。但是，如果攻击者有意将恶意数据注入到系统中，则通过创建和传播不正确的安全策略会严重损害CTI系统的性能。在本文中，我们提出了一种基于区块链的CTI框架，该框架可以提高对数据源和内容的信心，并可以快速检测和消除不准确的数据以抵御Sybil攻击。该框架通过智能合约验证的程序来收集CTI，并将有关数据元信息的信息存储在区块链网络中。该系统通过确保对数据源的可追溯性来确保CTI数据的有效性和可靠性，并提出了一种系统模型，该模型可以有效地操作和管理符合实际标准的CTI数据。我们提供了仿真结果，以从攻击者的可靠性和成本方面证明了所提出框架的有效性和Sybil抵抗性。

©2020作者。瑞士巴塞尔的MDPI被许可人

1.简介

通信和数据分析技术的飞速发展引起了网络领域的各种范例变化。第五代（5G）通信的商业化和物联网（IoT）的发展已将各种设备连接到网络，并且边缘和云计算技术已启用了诸如智能城市和SCADA网络之类的高级服务。[1]。这些变化极大地增加了整个网络的规模和多样性，创造了各种附加值以及从各种来源收集的大量数据[2]。

但是，构成网络的设备之间的连接性和多样性的增加已经引起了信息安全方面的各种问题[3]。网络的多样性增加了漏洞的类型和数量，这导致了攻击者的攻击媒介的扩展[4]。攻击者可以使用高级攻击媒介来执行更智能，更有针对性的攻击。尤其是，针对特定目的进行长期攻击的高级持续威胁（APT）等威胁的发生率正在不断增加[5]。这些高级威胁会长期不断地收集有关特定目标的信息，并使用针对性的攻击技术来利用各种漏洞来最大化攻击能力。这种攻击更难在其他节点上检测到，并且需要更多的时间来确定是否发生了漏洞[6]。此外，由于网络的多样性，可能会出现许多新漏洞，从而导致使用这些未知漏洞的零日攻击。零时差[7]攻击通常很严重，因为它们可能导致持续的破坏，直到安全补丁可用为止。检测零日攻击也是一项挑战，因为它使用未知的攻击模式[8]。

以防火墙、入侵检测/防御系统（IDS/IPS）、安全信息和事件管理（SIEM）系统为代表的现有安全和事件响应系统不足以应对未知的攻击模式。为了应对和预测使用新的攻击媒介和模式的高级威胁，大量数据对于深度分析（例如机器学习或深度学习）至关重要。但是，由于攻击的类型，技术和受害人非常不同，因此观察到的数据类型也非常不同。尤其是，以可行的形式收集大量与安全相关的数据具有挑战性。从而，需要集成不同的安全系统并以可用形式共享与威胁相关的信息，以提高对网络威胁的理解水平并建立积极有效的对策。

网络威胁情报（CTI）系统是一种威胁分析和信息共享系统，用于增进对网络威胁的了解并主动做出反应。CTI系统通过将与威胁相关的数据重新组织和分析为正式形式，从而增强了对网络威胁的理解。另外，CTI系统的核心是通过共享信息来最大化每个节点的威胁响应能力。这种方法可以对攻击类型和模式，攻击者和攻击组进行概要分析，从而预测潜在威胁并主动做出响应。网络威胁情报（CTI）系统是一种威胁分析和信息共享系统，用于增进对网络威胁的了解并主动做出反应。CTI系统通过将与威胁相关的数据重新组织和分析为形式化的形式，增强了对网络威胁的理解。另外，CTI系统的核心是通过共享信息来最大化每个节点的威胁响应能力。这种方法可以对攻击类型和模式，攻击者和攻击组进行概要分析，从而预测潜在威胁并主动做出响应。网络威胁情报（CTI）系统是一种威胁分析和信息共享系统，用于增进对网络威胁的了解并主动做出反应。CTI系统通过将与威胁相关的数据重新组织和分析为形式化的形式，增强了对网络威胁的理解。

另外，CTI系统的核心是通过共享信息来最大化每个节点的威胁响应能力。这种方法可以对攻击类型和模式，攻击者和攻击组进行概要分析，从而预测潜在威胁并主动做出响应。CTI系统通过将与威胁相关的数据重新组织和分析为形式化的形式，增强了对网络威胁的理解。另外，CTI系统的核心是通过共享信息来最大化每个节点的威胁响应能力。这种方法可以对攻击类型和模式，攻击者和攻击组进行概要分析，从而预测潜在威胁并主动做出响应。CTI系统通过将与威胁相关的数据重新组织和分析为形式化的形式，增强了对网络威胁的理解。另外，CTI系统的核心是通过共享信息来最大化每个节点的威胁响应能力。这种方法可以对攻击类型和模式，攻击者和攻击组进行概要分析，从而预测潜在威胁并主动做出响应。

但是，CTI系统还面临收集分析和共享所需的数据量的挑战。为了收集大量数据，不仅使用内部数据收集器，而且还使用开源情报（OSINT）和各种数据收集通道。但是，从此类来源收集的数据可能不准确或恶意。因为CTI系统形成特定网络节点的信誉信息，所以攻击者可以执行Sybil攻击，该攻击会传播大量恶意数据以隔离特定节点并破坏网络的可用性。因此，抵抗Sybil攻击是CTI系统操作中必须考虑的安全要求。

这项研究提出了一个基于区块链的开放CTI框架，该框架可以通过提供可追溯性，完整性和Sybil抵抗性来验证数据的有效性。提议的框架包括收集和共享与威胁相关的数据的贡献者，使用此类数据的消费者以及提供CTI数据共享服务的供应商。提出的框架允许通过贡献者收集数据，以最大程度地收集与威胁相关的数据，同时提供一种防止恶意贡献者进行Sybil攻击的机制。攻击者可能使用恶意贡献者和数据挖掘者来执行破坏特定节点信誉信息的攻击。提议的框架包括一种机制，用于验证贡献者提供的数据，以防止恶意贡献者连续分发数据。CTI提要执行的数据验证通过评估数据提供者的可靠性而降低了恶意贡献者的数据分发能力。该框架还通过破坏恶意贡献者损失其存款的能力，还增加了恶意数据挖掘者的挖掘成本。该机制允许CTI系统自动阻止恶意数据注入。

本文提出了一种基于区块链的开放CTI框架，用于从各种渠道收集可靠的数据，并提出了一种实现该框架的设计方法。第2节介绍CTI系统的相关工作和安全注意事项，第3节介绍系统模型。第4节详细说明了每个层的提议框架，我们在第5节中提出了我们提议的详细实现。在第6节中，根据建议的安全性考虑提出了所建议框架的仿真结果，第7节总结了本研究。

更多精彩 待续......

参考文献：本文所有参考文献说明见原文。

论文来源：本文是根据知识共享署名（CC BY）许可的条款和条件发布的开放获取文章。

封面来源：报告原文

报告原文获取可私信或者留言，并备注报告名称。

相关阅读：研究池|网络威胁情报共享：调查与研究方向（一）