基于区块链的威胁行为处理方法及装置、设备及存储介质制造方法及图纸

本发明专利技术实施例公开了一种基于区块链的威胁行为处理方法及装置、设备及存储介质，应用于包括防火墙的电子设备中基于区块链的威胁行为处理方法包括：分析威胁行为的疑似数据流，获取疑似数据流的数据特征；提取区块链中记录的威胁行为特征，其中，区块链在多个防火墙之间共享；基于数据特征和威胁行为特征，形成判断结果；其中，数据特征，用于当确定疑似数据流为威胁行为的数据流时更新区块链。在本实施例中基于区块链记录的威胁行为特征，可以辅助防火墙进一步确定其基于当前的攻击规则无法精确识别的疑似数据流是否为攻击行为的数据流，打破防火墙之间的信息隔阂，提高了单个及防火墙整体的威胁行为的拦截能力，从而提升了安防能力。

Threat handling method and device, device and storage medium based on block chain

The embodiment of the present invention discloses a block chain-based threat behavior processing method and device, device and storage medium. The block chain-based threat behavior processing method used in electronic devices including firewalls includes: analyzing suspected data stream of threat behavior, obtaining data characteristics of suspected data stream; extracting block chain; Threat behavior characteristics recorded in the document, in which block chains are shared among multiple firewalls; judgment results are formed based on data characteristics and threat behavior characteristics; among them, data features are used to update block chains when suspected data streams are identified as data streams of threat behavior. In this embodiment, the characteristics of threat behavior recorded by block chains can be used to assist the firewall to further determine whether the suspected data stream which cannot be accurately identified based on the current attack rules is the data stream of attack behavior, break the information barrier between firewalls, and improve the interception of threat behavior of individual firewalls and firewalls as a whole. Ability to enhance security capabilities.

【技术实现步骤摘要】
基于区块链的威胁行为处理方法及装置、设备及存储介质
本专利技术涉及信息安全
，尤其涉及一种基于区块链的威胁行为处理方法及装置、设备及存储介质。
技术介绍
随着网络的迅速发展，网络攻击行为越来越多，种类也越来越多。例如，级可持续性威胁(AdvancedPersistentTreat，APT)攻击，其攻击者利用先进、高效、种类繁多的攻击手段对特定目标进行长期持续性的网络攻击。APT攻击具有隐蔽性，潜伏性，通常能够绕过传统的如防火墙网络安全设备的检测。故在现有技术中如何提升防火墙的威胁行为防护能力，是亟待解决的一个问题。
技术实现思路
有鉴于此，本专利技术实施例期望提供一种基于区块链的威胁行为处理方法及装置，以解决防火墙的防护能力弱的问题。为达到上述目的，本专利技术的技术方案是这样实现的：本专利技术实施例第一方面提供一种基于区块链的威胁行为处理方法，应用于包括防火墙的电子设备中，包括：分析威胁行为的疑似数据流，获取所述疑似数据流的数据特征；提取区块链中记录的威胁行为特征，其中，所述区块链在多个防火墙之间共享；基于所述数据特征和所述威胁行为特征，形成判断结果；其中，所述数据特征，用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。基于上述方案，所述基于所述数据特征和所述威胁行为特征，形成判断结果，包括：对所述区块链中的威胁行为特征进行训练，获得分类器；将所述数据特征输入到所述分类器，获得所述疑似数据流为威胁行为的数据流的判定概率；基于所述判定概率，确定所述疑似数据流是否为威胁行为的数据流。基于上述方案，所述基于所述判定概率，确定所述疑似数据流是否为威胁行为的数据流，包括：当所述判定概率大于第一阈值时，确定所述疑似数据流为威胁行为的数据流。基于上述方案，所述数据特征，用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。基于上述方案，当确定疑似数据流为威胁行为的数据流时，所述方法还包括：广播所述数据特征，其中，所述数据特征，用于区块链网络中的记录节点更新所述区块链；或者，基于数据特征自行生成所述区块；将所述区块广播到所述区块链网络中，其中，所述区块，用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后，添加到所述区块链中。基于上述方案，所述区块包括：区块头和区块体；所述区块头包括：所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、默克尔(Merkle)根、随机数和时间戳；所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的；所述时间戳为所述防火墙发布所述区块时的发布时间戳；所述Merkle根，用于绑定所述区块头和区块体；所述区块体包括：威胁行为特征。本专利技术实施例第二方面提供一种基于区块链的威胁行为处理装置，应用于包括防火墙的电子设备中，包括：分析单元，用于分析威胁行为的疑似数据流，获取所述疑似数据流的数据特征；提取单元，用于提取区块链中记录的威胁行为特征，其中，所述区块链在多个防火墙之间共享；判断单元，用于基于所述数据特征和所述威胁行为特征，形成判断结果；其中，所述数据特征，用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。基于上述方案，所述判断单元，具体用于对所述区块链中的威胁行为特征进行训练，获得分类器；将所述数据特征输入到所述分类器，获得所述疑似数据流为威胁行为的数据流的判定概率；基于所述判定概率确定所述疑似数据流是否为威胁行为的数据流。基于上述方案，所述判断单元，具体用于当所述判定概率大于第一阈值时，确定所述疑似数据流为威胁行为的数据流。基于上述方案，所述数据特征，用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。基于上述方案，所述装置还包括：第一广播单元，用于当确定疑似数据流为威胁行为的数据流时，广播所述数据特征，其中，所述数据特征，用于区块链网络中的记录节点更新所述区块链；或者，所述装置还包括：生成单元，用于当确定疑似数据流为威胁行为的数据流时，基于数据特征自行生成所述区块；第二广播单元，用于将所述区块广播到所述区块链网络中，其中，所述区块，用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后，添加到所述区块链中。基于上述方案，所述区块包括：区块头和区块体；所述区块头包括：所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、Merkle根、随机数和时间戳；所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的；所述时间戳为所述防火墙发布所述区块时的发布时间戳；所述Merkle根，用于绑定所述区块头和区块体；所述区块体包括：威胁行为特征。本专利技术实施例第三方面提供一种电子设备，包括：存储介质，用于存储计算机程序；处理模组，与所述存储介质相连，用于通过执行所述计算机程序实现前述任意一项提供基于区块链的威胁行为处理方法。本专利技术实施例第四方面提供一种计算机存储介质，所述计算机存储介质中存储有计算机程序，所述计算机程序用于执行任意一项提供基于区块链的威胁行为处理方法。本专利技术实施例提供的一种基于区块链的威胁行为处理方法及装置，在对一个数据流无法通过现有的攻击规则确定为安全数据流或威胁行为的数据流时，将基于在多个防火墙之间的共享的区块链中存储的威胁行为特征来判定对应的数据流是否为威胁行为的数据流，从而即便当前判断的防火墙无法直接判断该数据流是否为威胁行为的特征，也可以通过结合区块链内的信息基于其他防火墙之前的威胁拦截结果或拦截能力进行安全防护，从而提升了防火墙的防护能力。附图说明图1为本专利技术实施例提供的第一种基于区块链的威胁行为处理方法的流程示意图；图2为本专利技术实施例提供的第二种基于区块链的威胁行为处理方法的流程示意图；图3为本专利技术实施例提供的一种区块链中区块的结构示意图；图4为本专利技术实施例提供的一种本专利技术实施例提供的第一种基于区块链的威胁行为处理装置的结构示意图；图5为本专利技术实施例提供的一种电子设备的结构示意图；图6为本专利技术实施例提供的一种防火墙交互系统的结构示意图；图7为本专利技术实施例提供的第三种基于区块链的威胁行为处理方法的流程示意图；图8为本专利技术实施例提供的一种防火墙的结构示意图。具体实施方式以下结合说明书附图及具体实施例对本专利技术的技术方案做进一步的详细阐述。研究发现，防火墙设备往往只能发现攻击行为的扩散行为中的一部分数据，不能在防火墙之间相互传递有价值的信息，进而无法发现隐蔽的攻击行为，从而导致防火墙对于自身没有拦截过或防火墙内没有对应针对某一种的威胁行为的拦截代码区(例如，防火墙没有更新)就会漏掉威胁行为从而导致防火墙的安全防护能力差的问题。有鉴于此，本实施例中提供一种基于区块链的威胁行为处理方法，通过区块链来记录威胁行为特征，然后防火墙在进行数据流的过滤时，基于区块链来确定判定一个疑似数据流是否为威胁行为的数据流，从而解决在防火墙未及时更新时能够拦截其不具有拦截能力的威胁行为，或者，更新后的防火墙自身未拦截过的威胁行为进行拦截，从而提升防火墙的安全防护能力。如图1所示，本实施例提供一种基于区块链的威胁行为处理方法，应用于电子设备中，包括：步骤S110：分析威胁行为的疑似数据流，获取所述疑似数据流的数据特征；步骤S120：提取区块链中记录的威胁行为特征，其中，所述区块链在多个防火墙之间本文档来自技高网...

【技术保护点】
1.一种基于区块链的威胁行为处理方法，其特征在于，应用于包括防火墙的电子设备中，包括：分析威胁行为的疑似数据流，获取所述疑似数据流的数据特征；提取区块链中记录的威胁行为特征，其中，所述区块链在多个防火墙之间共享；基于所述数据特征和所述威胁行为特征，形成判断结果；其中，所述数据特征，用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。

【技术特征摘要】
1.一种基于区块链的威胁行为处理方法，其特征在于，应用于包括防火墙的电子设备中，包括：分析威胁行为的疑似数据流，获取所述疑似数据流的数据特征；提取区块链中记录的威胁行为特征，其中，所述区块链在多个防火墙之间共享；基于所述数据特征和所述威胁行为特征，形成判断结果；其中，所述数据特征，用于当确定疑似数据流为威胁行为的数据流时更新所述区块链。2.根据权利要求1所述的方法，其特征在于，所述基于所述数据特征和所述威胁行为特征，形成判断结果，包括：对所述区块链中的威胁行为特征进行训练，获得分类器；将所述数据特征输入到所述分类器，获得所述疑似数据流为威胁行为的数据流的判定概率；基于所述判定概率，确定所述疑似数据流是否为威胁行为的数据流。3.根据权利要求2所述的方法，其特征在于，所述基于所述判定概率，确定所述疑似数据流是否为威胁行为的数据流，包括：当所述判定概率大于第一阈值时，确定所述疑似数据流为威胁行为的数据流。4.根据权利要求3所述的方法，其特征在于，所述数据特征，用于当判定概率大于所述第一阈值且低于第二阈值时更新所述区块链。5.根据权利要求1、2或3所述的方法，其特征在于，当确定疑似数据流为威胁行为的数据流时，所述方法还包括：广播所述数据特征，其中，所述数据特征，用于区块链网络中的记录节点更新所述区块链；或者，基于数据特征自行生成所述区块；将所述区块广播到所述区块链网络中，其中，所述区块，用于通过所述区块链网络中验证节点的验证且验证结果满足验证条件之后，添加到所述区块链中。6.根据权利要求5所述的方法，其特征在于，所述区块包括：区块头和区块体；所述区块头包括：所述区块链中所述区块的前一个区块的散列值、所述防火墙的防火墙公钥、默克尔Merkle根、随机数和时间戳；所述随机数为所述防火墙根据检测到所述时间戳及防火墙公钥信息进行哈希产生的；所述时间戳为所述防火墙发布所述区块时的发布时间戳；所述Merkle根，用于绑定所述区块头和区块体；所述区块体包括：威胁行为特征。7.一种基于区块链的威胁行为处理装置，其特征在于，应用于包括防火墙的电子设备中，包括：分析单元，用于分析威胁行为的疑似数据流，获取所述疑似数据流的数据特征；提取单元，用于提取区块链中记录的威胁行...

【专利技术属性】
技术研发人员：程叶霞，杨凯，何申，彭晋，
申请(专利权)人：中国移动通信有限公司研究院，中国移动通信集团公司，
类型：发明
国别省市：北京,11