(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112543196A(43)申请公布日2021.03.23(21)申请号202011403320.3(51)Int.Cl.(22)申请日2020.12.04H04L29/06(2006.01)H04L29/08(2006.01)(71)申请人国网山东省电力公司电力科学研究H04L29/12(2006.01)院地址250002山东省济南市市中区望岳路2000号申请人国家电网有限公司(72)发明人刘冬兰张昊王睿刘新马雷王勇常英贤陈剑飞于灏苏冰赵勇吕国栋王晓峰井俊双姚洪磊王文婷刘鑫赵洋赵晓红(74)专利代理机构北京智绘未来专利代理事务所(普通合伙)11689代理人肖继军张红莲权利要求书3页说明书9页附图4页(54)发明名称一种基于区块链智能合约的网络威胁情报共享平台(57)摘要本发明提出一种基于区块链智能合约的网络威胁情报共享平台，依托于以太坊底层架构，将网络威胁情报数据作为数据资产，通过可信任威胁情报处理模块对网络威胁情报数据处理，利用区块链系统的分布式数据存储，通过智能合约开发与设计，实现网络威胁情报数据在数据提供者和数据购买者在自主对等的数据平台上的情报共享。实现了网络威胁情报数据的统一安全共享网络空间中威胁情报可信评价，解决了现有技术中威胁情报共享面临的多源数据集成质量低的问题，增加共享平台用户的满意度并降低威胁情报安全应用的误报率。CN112543196ACN112543196A权利要求书1/3页1.一种基于区块链智能合约的网络威胁情报共享平台，其特征在于，依托于以太坊底层架构，将网络威胁情报数据作为数据资产，通过可信任威胁情报处理模块对网络威胁情报数据处理，利用区块链系统的分布式数据存储，通过智能合约开发与设计，实现网络威胁情报数据在数据提供者和数据购买者在自主对等的数据平台上的情报共享。2.如权利要求1所述的平台，其特征在于，所述可信任威胁情报处理模块用于筛选可信威胁情报，为用户提供可信判别接口。3.如权利要求1所述的平台，其特征在于，所述可信任威胁情报处理模块的判断方法包括如下步骤：S1：用户对某个开源共享的威胁情报持怀疑态度，需要知道情报的质量；S2：聚合多个威胁情报共享平台及供应商的数据，实时地从多源获取威胁情报，根据威胁情报的类型对采集的威胁情报进行分层汇聚；S3：对分层汇总的威胁情报预处理成以三元组的形式存储在本地威胁情报；S4：多源采集富化情报信息，基于时间、内容、领域知识维度对威胁情报可信度的影响因素提取特征指标；S5：以多维可信特征作为原始威胁情报的描述，对威胁情报进行预判断，初步筛选出可信的威胁情报；S6：基于DBN的威胁情报可信判别方法来进一步鉴别威胁情报是否可信，并将结果以可交互的接口方式反馈给用户。4.如权利要求2所述的平台，其特征在于，所述步骤S5具体包括：对于两个不同源的威胁情报vt和vi，计算其相似度S(vt,vi)：S(vt,vi)＝θ1×Stime+θ2×Ssorce+(1‑θ1‑θ2)×Sdesc其中θ1与θ2是在机器学习中设置的参数，Stime表示威胁情报发布时间的距离，Ssorce表示威胁情报源间距离，Sdesc表示威胁情报词语间距离；用和来表示威胁情报验证的结果，前者表示支持，后者表示反对，根据实验得到的最优参数K，当S(vt,vi)≥K，则验证结果为反之，则验证结果为假设目标威胁情报，可采集到所有可验证的情报源数为m个，其中验证后支持的情报源个数为持支持态度情报源的比率且如果则多源验证后的态度Aatti为可信，即Aati‑1，反之为不可信，即Aatti‑0。5.如权利要求2所述的平台，其特征在于，所述威胁情报发布时间的距离Stime表示为：Stime表示威胁情报发布时间的距离，t表示时间，t(vi)表示威胁情报vi发布时间，t(vt)表示威胁情报vt的发布时间。6.如权利要求2所述的平台，其特征在于，威胁情报源间距离Ssorce表示为：ssource(vt，vi)‑|Au(vt)‑Au(vi)|其中Au(vt)表示威胁情报vt的权威度，Au(vi)表示威胁情报vi的权威度。2CN112543196A权利要求书2/3页7.如权利要求3所述的平台，其特征在于，所述权威度Au计算方法如下：其中Au表示不同开源情报源的权威度，S表示情报源，r表示情报发布的时间。8.如权利要求2所述的平台，其特征在于，所述威胁情报词语间距离Sdesc表示为：其中Xt和Xi分别是某对网站威胁情报vt和vi描述内容的向量空间，当两个威胁信息描述一致时Sdesc距离为1。9.如权利要求2所述的平台，其特征在于，所述步骤S6包括：S61:DNS流量获取与初步处理：通过交换机配置镜像端口方式，直接将所有途径交换机的网络流量旁路复制至本