基于区块链技术实现开放网络威胁情报共享平台设计报告

December 30, 2019

2116 9 minutes and 37 seconds
沙箱系列
基于区块链技术实现开放网络威胁情报共享平台设计报告

背景

网络安全现状

  • 网络空间攻击愈演愈烈

The static approach of traditional security based on heuristic and signature does not match the dynamic nature of new generation of threats that are known to be evasive, resilient and complex.

  • 安全防御能力越来越脆弱

Today, the constant progress of IT infrastructure connectivity and the unending innovations in digital technologies, make systems more and more complex. As a system gets more complex, it gets less secure.

高级可持续性威胁

  • 潜伏周期性长

高级持续性威胁往往利用还未被发现的0-day漏洞进行攻击,而且其攻击成功后往往并不会直接进行攻击,而是长时间潜伏在被攻击者的网络环境中,等待目标。

  • 反检测能力强

传统安全监测或检测设备由于其防御手段的僵化,导致其弱点往往很清楚的暴露给攻击者,新型的检测设备,由于自身的复杂性也往往造成了后期运维难等现象,无法有效检测此类问题。

网络威胁情报

  • 通过在各自为战的独立安全产品中构建共识知识库,来防范当前攻击和预测未来会发生的攻击

  • 创建一个动态的态势感知体系,帮助安全运维人员能够整体的把握当前网络环境中存在的安全隐患

网络威胁情报

什么是网络威胁情报

  • Knowledge

威胁情报是一种由对已经发生的攻击进行多维度相关信息评估和提取的共识数据形成的知识库

  • Structured

威胁情报将各种非结构化或者半结构化的数据进行整理,总结成一种通识的结构化数据格式

  • Dynamic

威胁情报是一种动态的情报技术,其中的数据随时随底都在发生变化,不仅包含了情报的周遭的相关信息

网络威胁情报内容

  • 传统类型

包含了传统的安全检测设备中的常见的信誉名单的所有种类和类型,不仅如此,威胁情报还能够包含除此之外与之相关的sample、reference、analysis等等内容 MD5/Email/Hash/Domain/URL/IP…

  • 新兴类型

通时威胁情报还能够包含、兼容和拓展传统安全检测设备中的规则内容,通过搜集得到的攻击者的相关信息,进一步丰富和描绘攻击者的全貌,实现惯用手段的攻击链路检测 Payload/IOC/Organization/Behavior…

情报共享形式

  • Peer to Peer Sharing

通常存在于新型安全检测设备中,用于规则的同步于下发,主要手段就是点对点传输

  • Business Sharing

通过商业运作,进行以盈利性为目的或合作性为目的的企业间商业威胁情报销售行为

  • Repository Sharing

将自身的获取的威胁情报开放性的分享到相应的repository或者feed中,供各行各界进行使用

  • Hybrid Sharing

混合以上所有模式,进行的威胁情报共享行为,通常情况下会由针对性的对威胁情报进行分级动作

存在问题

  • 参差性

各大威胁情报的供应商拥有的威胁情报数量差异巨大,开源情报与商业情报质量差异巨大

  • 孤岛性

由于商业的运作,导致各大企业之间的威胁情报信息越来越不公开,慢慢的形成了孤岛效应

  • 时效性

威胁情报的供应商一般只专注于威胁情报的数量,而忽视了威胁情报的时间上的变动性

  • 结构性

各大威胁情报供应商之间对于同一种威胁情报存储的格式并不统一,无法形成有效的跨产品共享

解决方案

主从链设定

  • 主链:交易记录 & 服务商节点地址 & 企业节点地址
  • 从链:交易记录 & 威胁情报内容 & 票选表决内容

核心思想

前提假设

提供威胁情报的人获得代币,使用威胁情报的人付出代币,发布威胁情报查询服务商获得表决权

角色

  • 服务商
  • 企业
  • 提供者

某个加入者(节点)可以同时扮演多个角色

区块链代币

  • Cyber Threat Intelligence Coin 主链代币 (CTIC)
  • Cyber Threat Intelligence Sub Coin 从链代币 (CTISC)

CTIC 和 CTISC 可以互相兑换 拥有一定汇率 这个汇率会根据 两个代币总量变化进行调整

威胁情报

  • Hash
  • Domain
  • URI
  • IP
  • Group
  • Email

查询结果: 1、(恶意 or 非恶意) & details; 2、未知

角色确定

  • 服务商由主链中加入的节点自己进行注册
  • 企业为主链节点中同步 从链节点长度最多者构成(一定百分比)

合约内容

主链的相关合约

  • 某个节点进行相关的威胁情报内容查询,该查询请求需要消耗CTIC代币,该请求会在服务商中进行逐个查询:

    • a) 当某服务商优先返回非未知结果时,该请求附带的CTIC代币转移到相应服务商,完成一笔交易,广播该交易过程;
    • b) 当全部服务商返回未知结果时,报错,该查询无法形成相应的交易过程,CTIC代币归还至CTIC总代币池;

  • 某个节点提供了新的威胁情报内容(target & reference),广播威胁情报给主链中作为服务商的所有节点,在指定时间内,服务商需要对该威胁情报内容进行检验和表决,确认后用户获得一定数量的CTIC代币,广播该交易记录(包含表决内容);

  • 通过PoS算法从企业角色中进行选取,由它负责进行区块打包,计算求得相应区块hash后,该企业角色节点获得一定数量的CTIC代币,广播该交易记录;

从链的相关合约

  • 当主链中确认了相应的威胁情报之后,则该威胁情报可以同步到从链中,该同步过程作为从链的交易记录;

  • 通过PoS算法在从链中选择节点,该节点完成了区块打包的任务,获得相应的CTISC代币;

  • 从链只记录CTISC代币兑换CTIC代币的交易过程,兑换后的CTISC代币返回总CTISC代币池;

代币交易

  • 数字平台之外,人们可以正常交易CTIC代币,但不可以交易CTISC代币
  • CTISC代币可以以一定汇率兑换CTIC代币

总结

  • 避免安全厂家的硬件竞赛

通过网络威胁情报库的构建,传统的网络安全监测和检测设备,不需要再频繁的进行硬件升级而具备更新的检测能力,传统安全厂家也能够将更多的精力聚焦在发现新的未知威胁上面,只需要更新相应的安全检测规则就可以达到更好的检测效果。

  • 能够有效的切断攻击链条

高级可持续性威胁的攻击手段往往时动态发展持续性的过程,在完成了某一个阶段之目标之后可能会进化其攻击手段,传统的安全设备,因为规则和模式的僵化,很难迅速的对其进行反应,网络威胁情报库能够很好的在及时发现其中任一环节攻击时,斩断整个攻击链条

区块链 威胁情报