摘要
随着网络科技的不断发展,网络攻击呈泛化、多样化趋势,以高级可持续威胁为代表的新生威胁应运而生。面对这些多阶段、多矢量、可持续的新生威胁,以防火墙、入侵检测系统和入侵防护系统为主的传统防御体系无法达到有效检测,一直处于被动局面。近年来,威胁情报共享成为加强网络安全态势感知和防御能力的一大利器。通过各信息系统的互联互通,使得威胁情报在各组织之间积极流动,从而建立健康高效的威胁情报生态体系。 然而,目前相关威胁情报共享研究仅停留在政府层面,大多数共享方式是直接在一个集中位置与政府进行信息共享,而忽略了同一行业中不同组织之间的协作,或社区中不同行业之间的协作。因此,本文依托扩展的g-SIS模型作为整体架构,将网络威胁情报置于社区共享背景之下,探究社区跨行业的网络安全协同处置。通过威胁情报共享使得社区范围内的安全防御互联互通,能够让社区在早期发现潜在风险并及时预防和处置。 一方面,当前对威胁情报共享的研究大多以体系结构的观点来看问题,忽略了共享操作和过程方面的指导,对于维持态势感知所需的技术也很少受到关注。为此,本文首先提出了一种基于黑板模型的社区协作威胁情报共享机制CTIShare_Bb,该机制可用于识别潜在风险,在早期阶段预防网络攻击并推动社区的应急响应。根据中国国家标准,我们将威胁情报共享分为常规和特定于攻击的威胁情报共享。此外,我们基于黑板模型设计了针对特定攻击的威胁情报共享模块,并描述了共享流程。紧接着,我们将黑板监控机构设计为多智能体系统,以实现共享过程中的众多功能。最后,我们从几个方面描述了社区威胁情报共享场景以展示方案的有效性。 另一方面,中心化的威胁情报共享会带来可靠性弱,效率低下的弊端。共享者之间的信任壁垒、对敏感信息的隐私担忧以及复杂的管理策略也会阻碍有效的威胁情报共享。为此,本文提出了一种基于区块链技术的社区威胁情报共享框架,称为CTIShare_Bc,它不仅可以消除社区成员之间的信任障碍,还可以确保威胁情报共享过程的安全性,有效性,不变性,可追溯和可审计。该框架设计了链上和链下两种存储方式,即对链下存储设备中实际数据的操作以交易的形式记录于链上存储,以便于溯源和审计。与此同时,安全策略的引入可以限制对敏感数据的访问并防止恶意攻击者。本文同样为CTIShare-Bc设计了详细的共享场景,以演示社区威胁情报共享的可行性。 最后,本文分别对CTIShare_Bb和CTIShare_Bc两种机制的性能进行了分析讨论,探究各自核心组件和技术为它们带来的优越性。通过两种机制的对比,本文深入探究中心化与去中心化方法在威胁情报共享方面的区别与联系:以黑板模型为代表的中心化模型能够为早期威胁的关联分析提供先决条件;以区块链为核心的去中心化模型能够在解决信任和隐私问题上提供有力支持。此外,本文选取了近年来具有代表性的网络安全信息共享方法,并从5个方面与本文研究做对比,突出本文研究在访问控制、早期防御、数据规范、缓解信任及隐私问题方面的优势。
NETL