基于区块链和神经网络的威胁情报评估
2022-03-09史慧洋
史慧洋,刘 鹏,王 鹤
基于区块链和神经网络的威胁情报评估
史慧洋1,刘 鹏1,王 鹤2
(1. 中国科学院大学计算机科学与技术学院,北京 101408;2. 西安电子科技大学网络与信息安全学院,西安 710071)
共享威胁情报便于组织高效的应对威胁和部署防御计划.针对威胁情报在收集过程中出现的质量参差不齐、价值不高、容易过期等问题,通过评估情报厂商和共享平台提供的数据,基于制定的评估原则,提出了4个一级指标和11个二级指标,建立了威胁情报评估体系.所选的评估指标能够实现可计算化,其中一级指标包括信誉、时效性、贡献度和质量,研究的主要贡献在于,采用以太坊架构和智能合约设计了一级指标中的信誉系统,通过评分的更新实现了信誉评分的动态调整;区块链技术中的匿名和隐私方案保护了用户的隐私性,同时对于恶意用户也制定了相应的惩罚措施,具体过程是向区块链节点发起评分撤销请求,节点采用共识算法通过请求后给予不同程度的限制,改善了评估模型的公正合理性.此外,本研究构建了相关数据集,通过层次分析法(AHP)选取了4个权重较大的二级指标,并利用神经网络算法方法验证了评估模型的有效性和可操作性,精度达到92.59%,与实际值的相关系数达到0.9以上.最后将评估方法效果从实用性、代表性、动态性和可验证4个方面对比,指出所提出的评价方法在实用性和动态性上有明显优势,评估结果为高.
威胁情报;评估;信誉;区块链;智能合约;神经网络
随着新时代攻防趋势和需求在不断发生变化特别是在高级可持续威胁(APT)攻击中,攻击者通常以组织的形式存在,团队分工协作,通过反复渗透发动持续攻击,以前的防御技术很难检测出此类新型攻击.APT活动新趋势变成定向勒索威胁,供应链和远程办公成为攻击切入点等,因此有必要建立一个能识别出新型威胁情报的评估体系.
面对海量且杂乱无章的数据,组织管理者很难快速判断数据源的重要程度,如何科学地评价威胁情报的质量对组织来说非常重要.目前,威胁情报存在以下问题:提供的数据价值不高、评价体系主观性强、获取不够及时、没有反馈结果.影响评估的因素很多,要构建一个考虑各项指标的评估体系是一个困难任务,需要从中选取有代表性的重要因素作为评估指标,且评价指标要有清晰的定义,方便量化处理,同时该体系也能客观公平地反映出威胁情报的质量.
目前,国内外关于威胁情报评估的相关研究主要分为两个部分:评估指标和体系、评估工具和方法.具体工作如下.
在评估指标和体系的相关研究中,Schaberreiter等[1]提出基于定量参数的评估方法,定义了10个评估参数动态调整对源质量的信任.Li等[2]提出了基于用户视角的威胁情报综合评价体系,采用定量指标体系对威胁情报服务进行多维度评价.Al-Ibrahim等[3]采用基准方法来定义质量指标,获得了参考数据集并利用机器学习中的工具进行质量评估.
在评估工具和方法的相关研究中,Cartagena 等[4]通过PV-OSINT工具来评估开源威胁情报共享中存在的隐私风险.周劭文等[5]从威胁情报数据特性、平台特性和经济特性3方面构建了统一的威胁情报评估指标体系.实现了威胁情报质量的有效测度.刘汉生等[6]提出一种基于机器学习的多源威胁情报质量评价方法,从情报来源、情报内容、活跃周期、黑名单库匹配程度4个维度提取特征作为评估依据.
虽然上述研究已提出了评估体系和方法衡量威胁情报的服务质量,但研究存在仅面向特定厂商、缺乏数据支持、主观性强等问题,而且评估指标中也未实现基于用户的动态评估,因此需要设计一个兼具客观和实用性的评估架构.
本文综合考虑威胁情报的相关要素和属性,根据评估原则提出4个一级指标:质量、时效性、信誉、贡献度.其中,一级指标信誉采用动态评估的方式实现,基于用户打分可以实现评估结果的实时更新,其他3个一级指标是基于专家打分的静态评估,质量评估是通过定性和定量相结合的方法确定,建立了相应的评估体系,评估指标的选取具有代表性,评估体系能够客观高效地评估威胁情报提供的服务.同时基于以太坊架构和智能合约实现了一级指标信誉的动态评分过程,区块链技术中的隐匿性实现了用户的隐私,可溯性实现了恶意用户的跟踪,共识算法实现了系统的可靠性,该方法使评估模型更加合理有效.最后对传统的AHP评估方法进行了改进,使用AHP-BP方法先筛选出权重较大的二级指标,利用神经网络算法对数据样本评估,验证了评估体系的适用性.
1 建立评估体系
本文参考360的评估标准在评估指标中实现动态评估——信誉,并基于区块链技术实现了用户的隐私保护.通过实验验证,证明了评估体系的合理性.
1.1 评估原则
构建评估架构的基本思想是:动态化、可操作性、代表性和可比性.动态化要求评估结果可以动态调整,使得评估结果更加真实可靠;可操作性即指标提取容易,可量化;代表性和可比性是指所选指标能够体现威胁情报的价值,且能区分不同的评价对象.通过分析发现,有些平台关注高级摘要报告,如ThreatQ、OTX,而有些平台关注威胁指标(IOC),为了保证评估的一致性和适用性,本文选取关注IOC指标的平台为对象进行评估.评估原则如下.
(1) 质量评分采用定量与定性相结合的优势确定,具体方法是通过对二级评估指标定性得到质量的评估结果,然后根据专家打分定量给出分值,质量评估见表1.
表1 质量评估列表
Tab.1 Quality assessment list
(2) 评估指标信誉采用动态的方式实现打分过程,通过用户对该情报的不断打分动态调整该项指标的值,该方法的主要优势在威胁情报每次访问时都会被重新评估,动态评估不仅可以提高共享情报的价值,也能客观公平地反映出威胁情报的质量,且区块链技术的使用也保护了用户的隐私安全.
(3) 时效性在很大程度上决定了防御的成败,即对情报的生成越快、情报的价值越高,因此时效性的权重最高.
(4) 所选的评估指标能够方便地实现可计算化,这样可以及时有效地获取或分析出最有价值的威胁情报.
1.2 评估指标
本文吸取了以往威胁情报的评估经验,根据评估原则,从数据响应速度、信誉和经济损失出发提取出4个一级评估指标:质量、时效性、信誉、贡献度,一级指标下包括11个二级评估指标.
情报的质量由正确性、完整性和实用性3个二级指标确定;由于时效性是情报的重要衡量标准,而网络攻击是实时发生的,因此过时的情报已经失去意义,只能被看作垃圾告警,若组织无法获知攻击的持续时长,警报最后会变成白名单,因此本文基于情报的发布时间、持续时间和更新频率来衡量其时效性;信誉是基于用户的角度来衡量,通过用户打分和分值更新的规则,提高了威胁情报的使用价值,也提高了平台的整体信誉.从历史信誉和命中率来评估情报的一级指标信誉,命中率用来衡量获取到的情报是否是所需要的情报,该情报给用户提供多少价值;此外,组织获取情报的渠道较多,各平台的覆盖范围和业务不同,导致他们擅长领域不同,情报差异性、唯一性和用户的需求度可以判断该情报的贡献度.
在二级指标中,正确性指捕获威胁情报指标的属性与评估者的预期是否一致;完整性指情报的描述信息是否完整可靠;实用性指该威胁情报能否指导安全人员做出正确的防御措施.发布时间表示与相关威胁情报的间隔时间,如果没有相同事件,本文根据相似度进行匹配;持续时间指情报产生影响的周期;频率是指在持续时间段内情报发布的次数.历史信誉是指该威胁情报在该用户打分前所产生的评分;命中率指该情报和所需的情报内容有多少重叠.差异性是指该情报与同类情报比内容不重合的程度;唯一性指与其他同类情报的特征向量距离大于设定阈值,相比同类型情报源更有价值;需求度指人们对该情报的搜索占同类情报的百分比.
1.3 评估体系
本文结合情报的自身特点建立有效的评估体系.首先从共享平台和情报厂商搜集数据,生成原始数据集,对数据处理后进行IOC抽取,通过专家打分构建二级指标的判断矩阵,采用层次分析法选出对评估结果更重要的二级指标.将这些指标作为误差反向传播(BP)算法的输入,通过深度神经网络学习算法,验证了评估体系的合理性,为威胁情报的评估提供了借鉴和参考,威胁情报评估体系见图1.
图1 威胁情报评估体系
2 基于区块链技术的信誉评分系统设计
2.1 传统信誉评价
传统信誉评价存在以下3个问题:用户隐私信息容易被泄露、三方平台容易遭受攻击、信誉评价缺少激励和惩罚机制,导致评分结果失去价值.
本文采用基于公链的以太坊架构实现信誉评分系统,当用户使用共享平台访问威胁情报时,对该情报进行打分,平台通过访问控制技术查看到此用户访问过威胁情报,则该评分有效,然后计算有效用户的平均分,当新的打分产生时,用户和共享平台均授权后评分被记录在区块链中,如果该用户想撤回打分,只需要该用户授权就能撤回.基于区块链技术的信誉评分体系包括:信誉评分、信誉计算和评分更新. 本文的信誉评估优势在于:
(1)将区块链技术用到了威胁情报服务领域,保证了系统的健壮性和数据安全性;
(2) 以区块链为载体,数据可追溯特点实现了公平性与可靠性;
(3) 使用以太坊架构中的Aztec方案实现匿名,保护了用户隐私;
(4) 基于智能合约技术设置激励机制和惩罚机制,促进了评估模型的正常运转.
基于区块链的信誉评分架构见图2.
图2 基于区块链的信誉评分架构
2.2 以太坊架构的核心技术
区块链节点通过智能合约的运行进行评分操作,利用区块链技术中的隐私方案实现打分过程的匿名性,保护了用户的个人隐私,同时为了防止用户或组织对平台的恶意打分,通过区块链技术中的可溯性可找到该用户或组织,对其做出相应的惩罚,而区块链技术中的共识算法保证了区块链系统的可靠性,区块链节点达成共识后,按照智能合约的规则执行,本文简单阐述这3种核心算法.
2.2.1 匿名性
在区块链技术中,以太坊的生态非常庞大复杂,匿名和隐私技术是一个重要的探索领域.在用户评价过程中,既要保护用户的匿名性,又要证明评分是用户产生的.该算法通过知识票据追溯隐匿状态,除了票据的拥有者,其他人看不到票据信息.这种匿名共享方案非常适合匿名投票和数据管理系统,给以太坊和DeFi带来重要的改变.
2.2.2 可溯性
以区块链为基础的溯源技术,其优势在于溯源体系在逻辑上可以按照先后顺序安全可靠地记录事件的发生顺序,并与物理世界的发生次序一致.其次,区块链技术的去中心化和分布式技术保证了信息的不可篡改性.以太坊依靠智能合约编程语言solidity内置的结构体及映射数据类型实现溯源可用性,每个映射元素为一个键值对,键为ID值,通过ID可以获得对应的结构体(struct),struct结构中包括数据本身信息和溯源信息,信息上链和访问信息均通过Node.js服务间接操作完成,溯源信息获取见图3.
图3 溯源信息获取
2.2.3 共识机制
Casper作为ethash未来的出块技术,它是一种基于保证金的经济激励共识协议,通过Slasher协议实现,节点需要抵押eth才有资格被随机选为出块节点,抵押越多,被选中的权重越大,如果节点出现作恶,则没收所有的抵押.
2.3 评分系统设计
实现过程如下:服务器配置是Intel XEON Silver 4215CPU 3.50GHz RAM 32GB DDR4,系统是ubuntu 16.04,评分系统中的分值同步、更新、激励和惩罚是在以太坊的测试框架Remix下进行,共识机制采用ethash的Constantionple版本,先通过执行代码git clone启动本地编译环境,然后clone编译器的代码仓库.智能合约中包含以下几个重要函数:Storage.sol定义了分值的存储,Owner.sol中定义了用户的操作,Ballot.sol实现了评分的过程.基于以太坊和智能合约的评分系统如图4所示.
图4 基于以太坊和智能合约的评分系统设计
2.3.1 评分产生及更新
有效评分个数为
2.3.2 激励机制
2.3.3 惩罚机制
利用区块链的不可篡改性,实现威胁情报的可管、可控和可溯源.如果威胁情报共享平台追踪到恶意用户时,可以向区块链中的geth节点法发起评分撤销请求,geth节点采用共识算法通过请求后撤销评分,记录下该用户的信息,并根据恶意行为的严重程度给予不同的限制策略[8].
评分系统算法设计过程如下:scoreData获取用户评分;Punishment_mechanism函数执行惩罚机制,撤销用户评分、记录恶意打分用户或限制恶意用户;Data_access用于评分支付,数据访问价格与评分负相关,确保用户账户余额大于数据访问价格的前提下,执行支付;lookupData用于获得情报的最新评分,最终返回更新后的评分分值,评分系统算法伪代码如下.
输入:每个用户评分
输出:威胁情报评分检查和更新
1. 对威胁情报打分并检查评分
2. if评分为恶意评分
3. then执行惩罚机制,返回评分失败信息
4. else then
5. 根据评分进行支付,返回付款信息
6. if 付款
7. then获取情报最新评分
8. if最新评分
9. then更新分值,获取评分结果
10. else then
11. 返回获取最新评分失败信息
12. else then
13. 返回付款失败信息
14. end if
15. return 评分结果
3 基于AHP和神经网络算法的评估模型
传统的AHP通过专家打分确定威胁情报的二级评估指标分值,计算出情报的综合评分,改进后根据判断矩阵去掉不重要的指标,选出4个较为重要的二级指标作为神经网络的输入参数,采用非线性的BP网络,重新计算出情报的综合评分,该模型简单高效地实现了威胁情报的评估.
3.1 数据源
本文从6个平台爬取了15000条情报,情报来源既有国内知名情报厂商,有访问度较高的情报共享开源平台,同时也有经常受到恶意攻击,可以解析威胁报告的在线服务器,多源威胁情报使评估体系更客观公正,它们分别是GreenSnow、360、blocklist、奇安信、VirusTotal、MISP.
威胁情报获取采用分布式爬虫scrapy框架,从大量的数据中选取出可以转换成STIX格式的3400条情报,然后对这些数据进行专家打分和人工标注.数据的识别抽取采用正则匹配加命名实体识别相结合的方法,首先对原始数据进行数据清洗预处理之后,然后按照两个流程进行抽取.一是定义正则表达式,抽取出文中的IOC 匹配数据,二是对标注好的数据进行词向量生成,构建神经网络模型,之后获取模型抽取结果,将两种结果进行匹配.通常正则匹配的结果中包含恶意IOC和非恶意的IP等信息.模型输出的结果通常均部分原始数据上传到服务器上,使用MongoDB图形化工具访问.开源情报平台通过调用三方开源接口,对情报重要信息补充后标准化处理,然后统一转化成STIX格式.
按照攻击名称分类,排名前3名分别是:普通远控木马、Omni Botnet C&C活动、Hacked Site恶意下载访问事件,见图5.
图5 攻击常用手段
3.2 AHP筛选评估指标
对判断矩阵进行一致性检验,若其值小于0.1,则符合一致性检验;若大于0.1,需要重新调整判断矩阵权值.经过计算得到4个一级指标的权重,集合为=(0.1061,0.5903,0.2347,0.0689),同理得出二级指标:1=(0.6817,0.2158,0.1025),2=(0.2255,0.6738,0.1006),3=(0.8333,0.1667),4=(0.0701,0.3255,0.6044),均通过一致性检验,然后通过模糊综合评估计算出结果为
3.3 基于AHP-BP算法的实验设计
3.3.1 评估模型设计
威胁情报评估是利用所提出的威胁指标和评估方法对威胁情报共享服务的评价,以及是否达到访问用户的预期,目的是促进威胁情报的整体质量.威胁情报的评估因素很多,每个因素的影响权重也不同.影响威胁情报评估的输入和输出之间具有的非线性关系,设威胁情报的评估指标为{1,2,…,x},则威胁情报评估的数学模型为
式中表示评价函数.对威胁情报评估的建模,AHP通过建立层次分析模型,根据排序得到最优解,但判断矩阵是由专家给出,主观性较强,无法排除人为因素的误差,而在深度学习领域,BP算法应用较为广泛成熟,且具有良好的非线性学习能力,鉴于此,本文采用BP神经网络进行函数逼近.BP神经网络结构如图6所示.
为了减少主观因素对实验结果的影响,根据评估原则选取一级指标,并构建判断矩阵,判断矩阵中的元素值表示该评价指标对威胁情报结果的影响程度.利用AHP对指标进行筛选,剔除不重要的指标,减少神经网络输入的维数,从而加快神经网络的速度,提高评价的精度和效率.文中把AHP筛选后的评估指标作为BP网络输入层的神经元个数,将威胁情报评估值作为模型输出.
本研究经过网格搜索方法不断地修改参数,将神经网络层中设置隐藏层节点数为10,迭代次数为10000,选用3000条数据作为训练样本,400条数据作为测试样本,BP算法的损失函数如图7所示.
图7 损失函数
为了评价本模型的优劣,本文选择了AHP、BP、AHP-DecisionTreeClassifier、AHP-BP4种模型进行对比实验.其中,AHP-BP算法威胁情报评估过程步骤如下.
步骤1根据威胁情报自身特点和评估原则的要求,建立评估指标和评估体系.
步骤2 利用AHP求出威胁情报的评估结果.同时对二级指标权重排序,选取出较为重要的4个二级指标.
步骤3 把步骤2选出的二级指标作为BP算法的输入,将威胁情报评估结果作为模型的输出,隐藏层的神经元个数通过递增的方式获取,从而确定BP神经网络的网络拓扑结构.
步骤4 对选出的指标进行数据预处理,消除噪声等不利因素对结果噪声的影响.
步骤5 初始化BP神经网络的参数,选取适当数量的数据集样本,采用BP算法进行训练,tanh函数作为第1层的激活函数,sigmoid函数作为第2层的激活函数,建立威胁情报评估的改进模型.
步骤6 把AHP得出的评分与AHP-BP算法得出的评分比较,评估改进模型的精度.
3.4 实验结果分析
通过对6个平台获取的情报数据进行实验分析,利用深度学习抽取出威胁情报实体及其关系,从而获得有用信息,运用NLP 中的NER 技术获取目标实体关系,最后输出标准化格式的情报数据,经过综合评估后得到评分值.然后对抽取到的4个二级指标使用神经网络算法进行训练.为了评价对比不同模型之间的优劣,选择AHP、BP神经网络、AHP-决策树和AHP-BP模型进行对比实验,精度和与实际值的相关值作为模型衡量指标.通过对比,可以得出如下结论.
(1) 组合模型比单一模型的精度高,说明组合模型借鉴多种模型的优势,从而提高精度.
(2) AHP模型与BP网络模型对比,BP神经网络的精度更高,因为AHP采用线性学习方式,神经网络是非线性学习方式,后者更能学习到评价指标和分值之间的非线性关系,因此,BP神经网络结果要优于AHP层次分析法.
(3) 从AHP-决策树与AHP-BP神经网络模型结果来看,神经网络的结果要优于以决策树为代表的传统的机器学习方法,在神经网络兴起的今天,选用经典BP算法,为威胁情报的评估提供了借鉴.同时,传统的机器学习方式精度也在不断提高,决策树方法的精度也能达到90%以上,但是决策树容易忽略属性间的相关性,偏向数据更多的特征,出现过拟合现象.
(4) 通过对比发现AHP-BP的精度最高,根据本文提出的评估指标采用AHP方法进行筛选,结合BP神经网络的非线性学习能力,充分发挥了神经网络的非线性优势,可更好地拟合模型的结果,说明本文提出的模型有效.神经网络模型效果对比见表2.
表2 神经网络模型效果对比
Tab.2 Comparison of neural network model effects
AHP-BP的准确率92.59%,用时264ms,查准率较高.但是BP网络和决策树方法对初始权重非常敏感、收敛缓慢甚至不能收敛、同时该算法也有过拟合和调参问题,有监督学习方式需要消耗大量的人工.采用此模型对测数集进行计算,并将结果与实际值进行比较,相关系数0.9014.实验结果表明本文提出的改进评估模型合理,AHP-BP算法可以用于威胁情报的价值评估.
4 讨 论
本文的研究内容是研究威胁情报的指标选择和综合评估体系的适用性,研究对象是威胁情报自身的评估,而不是共享平台和厂商的服务对比,评估方法的效果从实用性、代表性、动态性和可验证4个方面对比.实用性指评估方法是否可用于实践;代表性是指指标选取要有所取舍,使评估值接近真实值;动态性是指评估结果可以动态调整,通过用户打分提高威胁情报共享的整体质量;可验证性代表了评估方法有实验验证.通过和相关研究中的各类评估方法对比,结果如表3所示.
由表3可以看出,本文所提出的评价方法在实用性和动态性上有明显的优势,在代表性和可验证性指标上,本文的评价结果是可以接受的.
表3 评估方法对比
Tab.3 Comparison of evaluation method
5 结 语
本文根据评估原则确定了4个一级指标,设计了具有实用性和可验证的评估体系,提出了通过区块链和智能合约实现评分更新的过程,评分过程使用区块链实现了匿名性和可溯性,既保护了用户的隐私安全,又实现了恶意用户的跟踪,同时提出了基于AHP-BP的评估方法,实验结果表明该方法的查准率较高,评估体系合理.但数据模型的局限性导致收集的关于攻击的信息不完整,同时对多源异构的开源威胁情报缺乏有效的数据整合和提取手段.
未来,将抽取威胁情报实体,并将实体间关系存储到数据库,构成知识图谱,然后结合威胁情报与网络的监控流量数据,对威胁情报进行进一步关联和分析操作,推断出攻击者的信息和攻击手段.
[1] Schaberreiter T,Kupfersberger V,Rantos K,et al. A quantitative evaluation of trust in the quality of cyber threat intelligence sources[C]// Proceedings of the 14th International Conference on Availability,Reliability and Security. New York,USA,2019:1-10.
[2] Li Q,Jiang Z W,Yang Z M,et al. A quality evaluation method of cyber threat intelligence in user perspec-tive[C]//IEEE International Conference on Trust,Security and Privacy In Computing and Communications. New York,USA,2018:1-10.
[3] Mohaisen A,Al-Ibrahim O,Kamhoua C,et al. Assessing quality of contribution in information sharing for threat intelligence[C]// 2017 IEEE Symposium on Pravicy-Aware Computing(PAC). Washington,DC,USA,2017:182-183.
[4] Cartagena A,Rimmer G,Dalsen T V,et al. Privacy violating opensource intelligence threat evaluation framework:A security assessment framework for critical infrastructure owners[C]//2020 10th Annual Computing and Communication Workshop and Conference(CCWC). Las Vegas,USA,2020:1-10.
[5] 周劭文,徐佳俊. 基于层次分析法的威胁情报质量评估方法[C]//2018第七届全国安全等级保护技术大会. 西安,2018:1-10.
Zhou Shaowen,Xu Jiajun. Threat intelligence quality assessment method based on analytic hierarchy process[C]//the 7th National Security Level Protection Technology Conference. Xi’an,China,2018:1-10(in Chinese).
[6] 刘汉生,唐洪玉,薄明霞,等. 基于机器学习的多源威胁情报质量评价方法[J]. 电信科学,2020,36(1):123-130.
Liu Hansheng,Tang Hongyu,Bo Mingxia,et al. Multi-source threat intelligence quality evaluation method based on machine learning[J]. Telecommunications Science,2020,36(1):123-130(in Chinese).
[7] Tschorsch F,Scheuermann B. Bitcoin and beyond:A technical survey on decentralized digital currencies[J]. IEEE Communications Surveys and Tutorials,2016,18(3):2084-2123.
[8] 李昊轩. 基于区块链的可修改信誉评价系统的设计与分析[D]. 西安:西安电子科技大学通信工程学院,2018.
Li Haoxuan. Design and Analysis of Modifiable Reputation Evaluation System Based on Blockchain[D]. Xi’an:School of Communication Engineering,Xidian University,2018(in Chinese).
[9] Griffioen H,Booij T,Doerr C. Quality evaluation of cyber threat intelligence feeds[C]// International Conference on Applied Cryptography and Network Security(ACNS). Rome,Italy,2020:277-296.
[10] Bauer S,Fischer D,Sauerwein C,et al. Towards an evaluation framework for threat intelligence sharing platforms[C]// Hawaii international Conference on System Sciences. Hawaii,USA,2020:1-10.
Threat Intelligence Evaluation Based on Blockchain and a Neural Network
Shi Huiyang1,Liu Peng1,Wang He2
(1. School of Computer Science and Technology,University of Chinese Academy of Sciences,Beijing 101408,China;2. School of Cyber Engineering,Xidian University,Xi’an 710071,China)
The sharing of threat intelligence facilitates organizations to respond to threats and deploy defense plans efficiently. Aiming at problems such as uneven quality,low value,and easy to expire information in the process of threat intelligence collection,this paper proposed 4 first-level indicators and 11 second-level indicators,according to principles and data provided by intelligence vendors and threat intelligence sharing platforms. In addition,we establish a threat intelligence evaluation system. The selected evaluation indicators can be easily calculated. Among them,the first-level indicators include reputation,timeliness,contribution,and quality. The main contribution of the research is the design of a reputation system using Ethereum architecture and a smart contract and the achievement of dynamic adjustments of the reputation score through score updates;the anonymity and privacy scheme in blockchain technology protects the privacy of users;the specific process is to initiate a score cancellation request to the node in the blockchain. The node used the consensus algorithm to cancel the score after passing the request,then gave different restriction strategies. In addition,the corresponding punishment measures are formulated to make the evaluation model more just and reasonable. The specific process is to initiate a score cancellation request to the node in the blockchain. The node used the consensus algorithm to cancel the score,then gave different restriction strategies and improved the fairness and rationality of the evaluation model. In addition,this study constructed related data sets,selected the second-level indicators with higher weight by the analytic hierarchy process(AHP),and verified the effectiveness and operability of the evaluation model by neural network algorithms. The accuracy is 92.59%,and the correlation coefficient with the actual value is above 0.9. Finally,the effectiveness of the evaluation method is compared from four aspects:practicality,representativeness,dynamicity,and verifiability,and it is noted that the proposed evaluation method has obvious advantages in practicality and dynamicity,and the evaluation result is high.
threat intelligence;evaluation;reputation;blockchain;smart contract;neural network
10.11784/tdxbz202103029
TP302.7
A
0493-2137(2022)05-0527-08
2021-03-13;
2021-05-14.
史慧洋(1988— ),女,博士,工程师,shihuiyang@ucas.ac.cn.
王 鹤,hewang@xidian.edu.cn.
国家重点研发计划资助项目(2018YFB0804701).
Supported by the National Key Research and Development Program of China(No. 2018YFB0804701).
(责任编辑:孙立华)