The embodiment of the present invention discloses a block chain-based threat behavior processing method and device, device and storage medium. The block chain-based threat behavior processing method used in electronic devices including firewalls includes: analyzing suspected data stream of threat behavior, obtaining data characteristics of suspected data stream; extracting block chain; Threat behavior characteristics recorded in the document, in which block chains are shared among multiple firewalls; judgment results are formed based on data characteristics and threat behavior characteristics; among them, data features are used to update block chains when suspected data streams are identified as data streams of threat behavior. In this embodiment, the characteristics of threat behavior recorded by block chains can be used to assist the firewall to further determine whether the suspected data stream which cannot be accurately identified based on the current attack rules is the data stream of attack behavior, break the information barrier between firewalls, and improve the interception of threat behavior of individual firewalls and firewalls as a whole. Ability to enhance security capabilities.
【技术实现步骤摘要】
基于区块链的威胁行为处理方法及装置、设备及存储介质
本专利技术涉及信息安全
,尤其涉及一种基于区块链的威胁行为处理方法及装置、设备及存储介质。
技术介绍
随着网络的迅速发展,网络攻击行为越来越多,种类也越来越多。例如,级可持续性威胁(AdvancedPersistentTreat,APT)攻击,其攻击者利用先进、高效、种类繁多的攻击手段对特定目标进行长期持续性的网络攻击。APT攻击具有隐蔽性,潜伏性,通常能够绕过传统的如防火墙网络安全设备的检测。故在现有技术中如何提升防火墙的威胁行为防护能力,是亟待解决的一个问题。
技术实现思路
有鉴于此,本专利技术实施例期望提供一种基于区块链的威胁行为处理方法及装置,以解决防火墙的防护能力弱的问题。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例第一方面提供一种基于区块链的威胁行为处理方法,应用于包括防火墙的电子设备中,包括:分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;提取区块链中记录的威胁行为特征,其中,所述区块链在多个防火墙之间共享;基于所述数据特征和所述威胁行为特征,形成判断结果;其中,所述数据特征,用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。基于上述方案,所述基于所述数据特征和所述威胁行为特征,形成判断结果,包括:对所述区块链中的威胁行为特征进行训练,获得分类器;将所述数据特征输入到所述分类器,获得所述疑似数据流为威胁行为的数据流的判定概率;基于所述判定概率,确定所述疑似数据流是否为威胁行为的数据流。基于上述方案,所述基于所述判定概率,确定所述疑似数据流是否为威胁行为的 ...
【技术保护点】
1.一种基于区块链的威胁行为处理方法,其特征在于,应用于包括防火墙的电子设备中,包括:分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;提取区块链中记录的威胁行为特征,其中,所述区块链在多个防火墙之间共享;基于所述数据特征和所述威胁行为特征,形成判断结果;其中,所述数据特征,用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。
【技术特征摘要】
1.一种基于区块链的威胁行为处理方法,其特征在于,应用于包括防火墙的电子设备中,包括:分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;提取区块链中记录的威胁行为特征,其中,所述区块链在多个防火墙之间共享;基于所述数据特征和所述威胁行为特征,形成判断结果;其中,所述数据特征,用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。2.根据权利要求1所述的方法,其特征在于,所述基于所述数据特征和所述威胁行为特征,形成判断结果,包括:对所述区块链中的威胁行为特征进行训练,获得分类器;将所述数据特征输入到所述分类器,获得所述疑似数据流为威胁行为的数据流的判定概率;基于所述判定概率,确定所述疑似数据流是否为威胁行为的数据流。3.根据权利要求2所述的方法,其特征在于,所述基于所述判定概率,确定所述疑似数据流是否为威胁行为的数据流,包括:当所述判定概率大于第一阈值时,确定所述疑似数据流为威胁行为的数据流。4.根据权利要求3所述的方法,其特征在于,所述数据特征,用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。5.根据权利要求1、2或3所述的方法,其特征在于,当确定疑似数据流为威胁行为的数据流时,所述方法还包括:广播所述数据特征,其中,所述数据特征,用于区块链网络中的记录节点更新所述区块链;或者,基于数据特征自行生成所述区块;将所述区块广播到所述区块链网络中,其中,所述区块,用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后,添加到所述区块链中。6.根据权利要求5所述的方法,其特征在于,所述区块包括:区块头和区块体;所述区块头包括:所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、默克尔Merkle根、随机数和时间戳;所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的;所述时间戳为所述防火墙发布所述区块时的发布时间戳;所述Merkle根,用于绑定所述区块头和区块体;所述区块体包括:威胁行为特征。7.一种基于区块链的威胁行为处理装置,其特征在于,应用于包括防火墙的电子设备中,包括:分析单元,用于分析威胁行为的疑似数据流,获取所述疑似数据流的数据特征;提取单元,用于提取区块链中记录的威胁行...
【专利技术属性】
技术研发人员:程叶霞,杨凯,何申,彭晋,
申请(专利权)人:中国移动通信有限公司研究院,中国移动通信集团公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。