史慧洋，劉?鵬，王?鶴

基于區(qū)塊鏈和神經(jīng)網(wǎng)絡(luò)的威脅情報(bào)評(píng)估

史慧洋1，劉?鵬1，王?鶴2

(1. 中國(guó)科學(xué)院大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，北京 101408；2. 西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，西安 710071)

共享威脅情報(bào)便于組織高效的應(yīng)對(duì)威脅和部署防御計(jì)劃．針對(duì)威脅情報(bào)在收集過程中出現(xiàn)的質(zhì)量參差不齊、價(jià)值不高、容易過期等問題，通過評(píng)估情報(bào)廠商和共享平臺(tái)提供的數(shù)據(jù)，基于制定的評(píng)估原則，提出了4個(gè)一級(jí)指標(biāo)和11個(gè)二級(jí)指標(biāo)，建立了威脅情報(bào)評(píng)估體系．所選的評(píng)估指標(biāo)能夠?qū)崿F(xiàn)可計(jì)算化，其中一級(jí)指標(biāo)包括信譽(yù)、時(shí)效性、貢獻(xiàn)度和質(zhì)量，研究的主要貢獻(xiàn)在于，采用以太坊架構(gòu)和智能合約設(shè)計(jì)了一級(jí)指標(biāo)中的信譽(yù)系統(tǒng)，通過評(píng)分的更新實(shí)現(xiàn)了信譽(yù)評(píng)分的動(dòng)態(tài)調(diào)整；區(qū)塊鏈技術(shù)中的匿名和隱私方案保護(hù)了用戶的隱私性，同時(shí)對(duì)于惡意用戶也制定了相應(yīng)的懲罰措施，具體過程是向區(qū)塊鏈節(jié)點(diǎn)發(fā)起評(píng)分撤銷請(qǐng)求，節(jié)點(diǎn)采用共識(shí)算法通過請(qǐng)求后給予不同程度的限制，改善了評(píng)估模型的公正合理性．此外，本研究構(gòu)建了相關(guān)數(shù)據(jù)集，通過層次分析法(AHP)選取了4個(gè)權(quán)重較大的二級(jí)指標(biāo)，并利用神經(jīng)網(wǎng)絡(luò)算法方法驗(yàn)證了評(píng)估模型的有效性和可操作性，精度達(dá)到92.59%，與實(shí)際值的相關(guān)系數(shù)達(dá)到0.9以上．最后將評(píng)估方法效果從實(shí)用性、代表性、動(dòng)態(tài)性和可驗(yàn)證4個(gè)方面對(duì)比，指出所提出的評(píng)價(jià)方法在實(shí)用性和動(dòng)態(tài)性上有明顯優(yōu)勢(shì)，評(píng)估結(jié)果為高．

威脅情報(bào)；評(píng)估；信譽(yù)；區(qū)塊鏈；智能合約；神經(jīng)網(wǎng)絡(luò)

隨著新時(shí)代攻防趨勢(shì)和需求在不斷發(fā)生變化特別是在高級(jí)可持續(xù)威脅(APT)攻擊中，攻擊者通常以組織的形式存在，團(tuán)隊(duì)分工協(xié)作，通過反復(fù)滲透發(fā)動(dòng)持續(xù)攻擊，以前的防御技術(shù)很難檢測(cè)出此類新型攻擊．APT活動(dòng)新趨勢(shì)變成定向勒索威脅，供應(yīng)鏈和遠(yuǎn)程辦公成為攻擊切入點(diǎn)等，因此有必要建立一個(gè)能識(shí)別出新型威脅情報(bào)的評(píng)估體系.

面對(duì)海量且雜亂無章的數(shù)據(jù)，組織管理者很難快速判斷數(shù)據(jù)源的重要程度，如何科學(xué)地評(píng)價(jià)威脅情報(bào)的質(zhì)量對(duì)組織來說非常重要．目前，威脅情報(bào)存在以下問題：提供的數(shù)據(jù)價(jià)值不高、評(píng)價(jià)體系主觀性強(qiáng)、獲取不夠及時(shí)、沒有反饋結(jié)果．影響評(píng)估的因素很多，要構(gòu)建一個(gè)考慮各項(xiàng)指標(biāo)的評(píng)估體系是一個(gè)困難任務(wù)，需要從中選取有代表性的重要因素作為評(píng)估指標(biāo)，且評(píng)價(jià)指標(biāo)要有清晰的定義，方便量化處理，同時(shí)該體系也能客觀公平地反映出威脅情報(bào)的質(zhì)量．

目前，國(guó)內(nèi)外關(guān)于威脅情報(bào)評(píng)估的相關(guān)研究主要分為兩個(gè)部分：評(píng)估指標(biāo)和體系、評(píng)估工具和方法．具體工作如下．

在評(píng)估指標(biāo)和體系的相關(guān)研究中，Schaberreiter等[1]提出基于定量參數(shù)的評(píng)估方法，定義了10個(gè)評(píng)估參數(shù)動(dòng)態(tài)調(diào)整對(duì)源質(zhì)量的信任．Li等[2]提出了基于用戶視角的威脅情報(bào)綜合評(píng)價(jià)體系，采用定量指標(biāo)體系對(duì)威脅情報(bào)服務(wù)進(jìn)行多維度評(píng)價(jià)．Al-Ibrahim等[3]采用基準(zhǔn)方法來定義質(zhì)量指標(biāo)，獲得了參考數(shù)據(jù)集并利用機(jī)器學(xué)習(xí)中的工具進(jìn)行質(zhì)量評(píng)估．

在評(píng)估工具和方法的相關(guān)研究中，Cartagena?等[4]通過PV-OSINT工具來評(píng)估開源威脅情報(bào)共享中存在的隱私風(fēng)險(xiǎn)．周劭文等[5]從威脅情報(bào)數(shù)據(jù)特性、平臺(tái)特性和經(jīng)濟(jì)特性3方面構(gòu)建了統(tǒng)一的威脅情報(bào)評(píng)估指標(biāo)體系．實(shí)現(xiàn)了威脅情報(bào)質(zhì)量的有效測(cè)度.劉漢生等[6]提出一種基于機(jī)器學(xué)習(xí)的多源威脅情報(bào)質(zhì)量評(píng)價(jià)方法，從情報(bào)來源、情報(bào)內(nèi)容、活躍周期、黑名單庫(kù)匹配程度4個(gè)維度提取特征作為評(píng)估依據(jù)．

雖然上述研究已提出了評(píng)估體系和方法衡量威脅情報(bào)的服務(wù)質(zhì)量，但研究存在僅面向特定廠商、缺乏數(shù)據(jù)支持、主觀性強(qiáng)等問題，而且評(píng)估指標(biāo)中也未實(shí)現(xiàn)基于用戶的動(dòng)態(tài)評(píng)估，因此需要設(shè)計(jì)一個(gè)兼具客觀和實(shí)用性的評(píng)估架構(gòu)．

本文綜合考慮威脅情報(bào)的相關(guān)要素和屬性，根據(jù)評(píng)估原則提出4個(gè)一級(jí)指標(biāo)：質(zhì)量、時(shí)效性、信譽(yù)、貢獻(xiàn)度．其中，一級(jí)指標(biāo)信譽(yù)采用動(dòng)態(tài)評(píng)估的方式實(shí)現(xiàn)，基于用戶打分可以實(shí)現(xiàn)評(píng)估結(jié)果的實(shí)時(shí)更新，其他3個(gè)一級(jí)指標(biāo)是基于專家打分的靜態(tài)評(píng)估，質(zhì)量評(píng)估是通過定性和定量相結(jié)合的方法確定，建立了相應(yīng)的評(píng)估體系，評(píng)估指標(biāo)的選取具有代表性，評(píng)估體系能夠客觀高效地評(píng)估威脅情報(bào)提供的服務(wù)．同時(shí)基于以太坊架構(gòu)和智能合約實(shí)現(xiàn)了一級(jí)指標(biāo)信譽(yù)的動(dòng)態(tài)評(píng)分過程，區(qū)塊鏈技術(shù)中的隱匿性實(shí)現(xiàn)了用戶的隱私，可溯性實(shí)現(xiàn)了惡意用戶的跟蹤，共識(shí)算法實(shí)現(xiàn)了系統(tǒng)的可靠性，該方法使評(píng)估模型更加合理有效．最后對(duì)傳統(tǒng)的AHP評(píng)估方法進(jìn)行了改進(jìn)，使用AHP-BP方法先篩選出權(quán)重較大的二級(jí)指標(biāo)，利用神經(jīng)網(wǎng)絡(luò)算法對(duì)數(shù)據(jù)樣本評(píng)估，驗(yàn)證了評(píng)估體系的適用性．

1?建立評(píng)估體系

本文參考360的評(píng)估標(biāo)準(zhǔn)在評(píng)估指標(biāo)中實(shí)現(xiàn)動(dòng)態(tài)評(píng)估——信譽(yù)，并基于區(qū)塊鏈技術(shù)實(shí)現(xiàn)了用戶的隱私保護(hù)．通過實(shí)驗(yàn)驗(yàn)證，證明了評(píng)估體系的合理性．

1.1?評(píng)估原則

構(gòu)建評(píng)估架構(gòu)的基本思想是：動(dòng)態(tài)化、可操作性、代表性和可比性．動(dòng)態(tài)化要求評(píng)估結(jié)果可以動(dòng)態(tài)調(diào)整，使得評(píng)估結(jié)果更加真實(shí)可靠；可操作性即指標(biāo)提取容易，可量化；代表性和可比性是指所選指標(biāo)能夠體現(xiàn)威脅情報(bào)的價(jià)值，且能區(qū)分不同的評(píng)價(jià)對(duì)象．通過分析發(fā)現(xiàn)，有些平臺(tái)關(guān)注高級(jí)摘要報(bào)告，如ThreatQ、OTX，而有些平臺(tái)關(guān)注威脅指標(biāo)(IOC)，為了保證評(píng)估的一致性和適用性，本文選取關(guān)注IOC指標(biāo)的平臺(tái)為對(duì)象進(jìn)行評(píng)估．評(píng)估原則如下．

(1) 質(zhì)量評(píng)分采用定量與定性相結(jié)合的優(yōu)勢(shì)確定，具體方法是通過對(duì)二級(jí)評(píng)估指標(biāo)定性得到質(zhì)量的評(píng)估結(jié)果，然后根據(jù)專家打分定量給出分值，質(zhì)量評(píng)估見表1．

表1?質(zhì)量評(píng)估列表

Tab.1?Quality assessment list

(2) 評(píng)估指標(biāo)信譽(yù)采用動(dòng)態(tài)的方式實(shí)現(xiàn)打分過程，通過用戶對(duì)該情報(bào)的不斷打分動(dòng)態(tài)調(diào)整該項(xiàng)指標(biāo)的值，該方法的主要優(yōu)勢(shì)在威脅情報(bào)每次訪問時(shí)都會(huì)被重新評(píng)估，動(dòng)態(tài)評(píng)估不僅可以提高共享情報(bào)的價(jià)值，也能客觀公平地反映出威脅情報(bào)的質(zhì)量，且區(qū)塊鏈技術(shù)的使用也保護(hù)了用戶的隱私安全．

(3) 時(shí)效性在很大程度上決定了防御的成敗，即對(duì)情報(bào)的生成越快、情報(bào)的價(jià)值越高，因此時(shí)效性的權(quán)重最高．

(4) 所選的評(píng)估指標(biāo)能夠方便地實(shí)現(xiàn)可計(jì)算化，這樣可以及時(shí)有效地獲取或分析出最有價(jià)值的威脅情報(bào)．

1.2?評(píng)估指標(biāo)

本文吸取了以往威脅情報(bào)的評(píng)估經(jīng)驗(yàn)，根據(jù)評(píng)估原則，從數(shù)據(jù)響應(yīng)速度、信譽(yù)和經(jīng)濟(jì)損失出發(fā)提取出4個(gè)一級(jí)評(píng)估指標(biāo)：質(zhì)量、時(shí)效性、信譽(yù)、貢獻(xiàn)度，一級(jí)指標(biāo)下包括11個(gè)二級(jí)評(píng)估指標(biāo)．

情報(bào)的質(zhì)量由正確性、完整性和實(shí)用性3個(gè)二級(jí)指標(biāo)確定；由于時(shí)效性是情報(bào)的重要衡量標(biāo)準(zhǔn)，而網(wǎng)絡(luò)攻擊是實(shí)時(shí)發(fā)生的，因此過時(shí)的情報(bào)已經(jīng)失去意義，只能被看作垃圾告警，若組織無法獲知攻擊的持續(xù)時(shí)長(zhǎng)，警報(bào)最后會(huì)變成白名單，因此本文基于情報(bào)的發(fā)布時(shí)間、持續(xù)時(shí)間和更新頻率來衡量其時(shí)效性；信譽(yù)是基于用戶的角度來衡量，通過用戶打分和分值更新的規(guī)則，提高了威脅情報(bào)的使用價(jià)值，也提高了平臺(tái)的整體信譽(yù)．從歷史信譽(yù)和命中率來評(píng)估情報(bào)的一級(jí)指標(biāo)信譽(yù)，命中率用來衡量獲取到的情報(bào)是否是所需要的情報(bào)，該情報(bào)給用戶提供多少價(jià)值；此外，組織獲取情報(bào)的渠道較多，各平臺(tái)的覆蓋范圍和業(yè)務(wù)不同，導(dǎo)致他們擅長(zhǎng)領(lǐng)域不同，情報(bào)差異性、唯一性和用戶的需求度可以判斷該情報(bào)的貢獻(xiàn)度．

在二級(jí)指標(biāo)中，正確性指捕獲威脅情報(bào)指標(biāo)的屬性與評(píng)估者的預(yù)期是否一致；完整性指情報(bào)的描述信息是否完整可靠；實(shí)用性指該威脅情報(bào)能否指導(dǎo)安全人員做出正確的防御措施．發(fā)布時(shí)間表示與相關(guān)威脅情報(bào)的間隔時(shí)間，如果沒有相同事件，本文根據(jù)相似度進(jìn)行匹配；持續(xù)時(shí)間指情報(bào)產(chǎn)生影響的周期；頻率是指在持續(xù)時(shí)間段內(nèi)情報(bào)發(fā)布的次數(shù)．歷史信譽(yù)是指該威脅情報(bào)在該用戶打分前所產(chǎn)生的評(píng)分；命中率指該情報(bào)和所需的情報(bào)內(nèi)容有多少重疊．差異性是指該情報(bào)與同類情報(bào)比內(nèi)容不重合的程度；唯一性指與其他同類情報(bào)的特征向量距離大于設(shè)定閾值，相比同類型情報(bào)源更有價(jià)值；需求度指人們對(duì)該情報(bào)的搜索占同類情報(bào)的百分比．

1.3?評(píng)估體系

本文結(jié)合情報(bào)的自身特點(diǎn)建立有效的評(píng)估體系．首先從共享平臺(tái)和情報(bào)廠商搜集數(shù)據(jù)，生成原始數(shù)據(jù)集，對(duì)數(shù)據(jù)處理后進(jìn)行IOC抽取，通過專家打分構(gòu)建二級(jí)指標(biāo)的判斷矩陣，采用層次分析法選出對(duì)評(píng)估結(jié)果更重要的二級(jí)指標(biāo)．將這些指標(biāo)作為誤差反向傳播(BP)算法的輸入，通過深度神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)算法，驗(yàn)證了評(píng)估體系的合理性，為威脅情報(bào)的評(píng)估提供了借鑒和參考，威脅情報(bào)評(píng)估體系見圖1．

圖1?威脅情報(bào)評(píng)估體系

2?基于區(qū)塊鏈技術(shù)的信譽(yù)評(píng)分系統(tǒng)設(shè)計(jì)

2.1?傳統(tǒng)信譽(yù)評(píng)價(jià)

傳統(tǒng)信譽(yù)評(píng)價(jià)存在以下3個(gè)問題：用戶隱私信息容易被泄露、三方平臺(tái)容易遭受攻擊、信譽(yù)評(píng)價(jià)缺少激勵(lì)和懲罰機(jī)制，導(dǎo)致評(píng)分結(jié)果失去價(jià)值．

本文采用基于公鏈的以太坊架構(gòu)實(shí)現(xiàn)信譽(yù)評(píng)分系統(tǒng)，當(dāng)用戶使用共享平臺(tái)訪問威脅情報(bào)時(shí)，對(duì)該情報(bào)進(jìn)行打分，平臺(tái)通過訪問控制技術(shù)查看到此用戶訪問過威脅情報(bào)，則該評(píng)分有效，然后計(jì)算有效用戶的平均分，當(dāng)新的打分產(chǎn)生時(shí)，用戶和共享平臺(tái)均授權(quán)后評(píng)分被記錄在區(qū)塊鏈中，如果該用戶想撤回打分，只需要該用戶授權(quán)就能撤回．基于區(qū)塊鏈技術(shù)的信譽(yù)評(píng)分體系包括：信譽(yù)評(píng)分、信譽(yù)計(jì)算和評(píng)分更新. 本文的信譽(yù)評(píng)估優(yōu)勢(shì)在于：

(1)將區(qū)塊鏈技術(shù)用到了威脅情報(bào)服務(wù)領(lǐng)域，保證了系統(tǒng)的健壯性和數(shù)據(jù)安全性；

(2) 以區(qū)塊鏈為載體，數(shù)據(jù)可追溯特點(diǎn)實(shí)現(xiàn)了公平性與可靠性；

(3) 使用以太坊架構(gòu)中的Aztec方案實(shí)現(xiàn)匿名，保護(hù)了用戶隱私；

(4) 基于智能合約技術(shù)設(shè)置激勵(lì)機(jī)制和懲罰機(jī)制，促進(jìn)了評(píng)估模型的正常運(yùn)轉(zhuǎn)．

基于區(qū)塊鏈的信譽(yù)評(píng)分架構(gòu)見圖2．

圖2?基于區(qū)塊鏈的信譽(yù)評(píng)分架構(gòu)

2.2?以太坊架構(gòu)的核心技術(shù)

區(qū)塊鏈節(jié)點(diǎn)通過智能合約的運(yùn)行進(jìn)行評(píng)分操作，利用區(qū)塊鏈技術(shù)中的隱私方案實(shí)現(xiàn)打分過程的匿名性，保護(hù)了用戶的個(gè)人隱私，同時(shí)為了防止用戶或組織對(duì)平臺(tái)的惡意打分，通過區(qū)塊鏈技術(shù)中的可溯性可找到該用戶或組織，對(duì)其做出相應(yīng)的懲罰，而區(qū)塊鏈技術(shù)中的共識(shí)算法保證了區(qū)塊鏈系統(tǒng)的可靠性，區(qū)塊鏈節(jié)點(diǎn)達(dá)成共識(shí)后，按照智能合約的規(guī)則執(zhí)行，本文簡(jiǎn)單闡述這3種核心算法．

2.2.1?匿名性

在區(qū)塊鏈技術(shù)中，以太坊的生態(tài)非常龐大復(fù)雜，匿名和隱私技術(shù)是一個(gè)重要的探索領(lǐng)域．在用戶評(píng)價(jià)過程中，既要保護(hù)用戶的匿名性，又要證明評(píng)分是用戶產(chǎn)生的．該算法通過知識(shí)票據(jù)追溯隱匿狀態(tài)，除了票據(jù)的擁有者，其他人看不到票據(jù)信息．這種匿名共享方案非常適合匿名投票和數(shù)據(jù)管理系統(tǒng)，給以太坊和DeFi帶來重要的改變．

2.2.2?可溯性

以區(qū)塊鏈為基礎(chǔ)的溯源技術(shù)，其優(yōu)勢(shì)在于溯源體系在邏輯上可以按照先后順序安全可靠地記錄事件的發(fā)生順序，并與物理世界的發(fā)生次序一致．其次，區(qū)塊鏈技術(shù)的去中心化和分布式技術(shù)保證了信息的不可篡改性．以太坊依靠智能合約編程語言solidity內(nèi)置的結(jié)構(gòu)體及映射數(shù)據(jù)類型實(shí)現(xiàn)溯源可用性，每個(gè)映射元素為一個(gè)鍵值對(duì)，鍵為ID值，通過ID可以獲得對(duì)應(yīng)的結(jié)構(gòu)體(struct)，struct結(jié)構(gòu)中包括數(shù)據(jù)本身信息和溯源信息，信息上鏈和訪問信息均通過Node.js服務(wù)間接操作完成，溯源信息獲取見圖3．

圖3?溯源信息獲取

2.2.3?共識(shí)機(jī)制

Casper作為ethash未來的出塊技術(shù)，它是一種基于保證金的經(jīng)濟(jì)激勵(lì)共識(shí)協(xié)議，通過Slasher協(xié)議實(shí)現(xiàn)，節(jié)點(diǎn)需要抵押eth才有資格被隨機(jī)選為出塊節(jié)點(diǎn)，抵押越多，被選中的權(quán)重越大，如果節(jié)點(diǎn)出現(xiàn)作惡，則沒收所有的抵押．

2.3?評(píng)分系統(tǒng)設(shè)計(jì)

實(shí)現(xiàn)過程如下：服務(wù)器配置是Intel XEON Silver 4215CPU 3.50GHz RAM 32GB DDR4，系統(tǒng)是ubuntu 16.04，評(píng)分系統(tǒng)中的分值同步、更新、激勵(lì)和懲罰是在以太坊的測(cè)試框架Remix下進(jìn)行，共識(shí)機(jī)制采用ethash的Constantionple版本，先通過執(zhí)行代碼git clone啟動(dòng)本地編譯環(huán)境，然后clone編譯器的代碼倉(cāng)庫(kù)．智能合約中包含以下幾個(gè)重要函數(shù)：Storage.sol定義了分值的存儲(chǔ)，Owner.sol中定義了用戶的操作，Ballot.sol實(shí)現(xiàn)了評(píng)分的過程．基于以太坊和智能合約的評(píng)分系統(tǒng)如圖4所示．

圖4?基于以太坊和智能合約的評(píng)分系統(tǒng)設(shè)計(jì)

2.3.1?評(píng)分產(chǎn)生及更新

有效評(píng)分個(gè)數(shù)為

2.3.2?激勵(lì)機(jī)制

2.3.3?懲罰機(jī)制

利用區(qū)塊鏈的不可篡改性，實(shí)現(xiàn)威脅情報(bào)的可管、可控和可溯源．如果威脅情報(bào)共享平臺(tái)追蹤到惡意用戶時(shí)，可以向區(qū)塊鏈中的geth節(jié)點(diǎn)法發(fā)起評(píng)分撤銷請(qǐng)求，geth節(jié)點(diǎn)采用共識(shí)算法通過請(qǐng)求后撤銷評(píng)分，記錄下該用戶的信息，并根據(jù)惡意行為的嚴(yán)重程度給予不同的限制策略[8]．

評(píng)分系統(tǒng)算法設(shè)計(jì)過程如下：scoreData獲取用戶評(píng)分；Punishment_mechanism函數(shù)執(zhí)行懲罰機(jī)制，撤銷用戶評(píng)分、記錄惡意打分用戶或限制惡意用戶；Data_access用于評(píng)分支付，數(shù)據(jù)訪問價(jià)格與評(píng)分負(fù)相關(guān)，確保用戶賬戶余額大于數(shù)據(jù)訪問價(jià)格的前提下，執(zhí)行支付；lookupData用于獲得情報(bào)的最新評(píng)分，最終返回更新后的評(píng)分分值，評(píng)分系統(tǒng)算法偽代碼如下．

輸入：每個(gè)用戶評(píng)分

輸出：威脅情報(bào)評(píng)分檢查和更新

1. 對(duì)威脅情報(bào)打分并檢查評(píng)分

2. if評(píng)分為惡意評(píng)分

3. then執(zhí)行懲罰機(jī)制，返回評(píng)分失敗信息

4. else then

5. 根據(jù)評(píng)分進(jìn)行支付，返回付款信息

6. if 付款

7. then獲取情報(bào)最新評(píng)分

8. if最新評(píng)分

9. then更新分值，獲取評(píng)分結(jié)果

10. else then

11. 返回獲取最新評(píng)分失敗信息

12. else then

13. 返回付款失敗信息

14. end if

15. return 評(píng)分結(jié)果

3?基于AHP和神經(jīng)網(wǎng)絡(luò)算法的評(píng)估模型

傳統(tǒng)的AHP通過專家打分確定威脅情報(bào)的二級(jí)評(píng)估指標(biāo)分值，計(jì)算出情報(bào)的綜合評(píng)分，改進(jìn)后根據(jù)判斷矩陣去掉不重要的指標(biāo)，選出4個(gè)較為重要的二級(jí)指標(biāo)作為神經(jīng)網(wǎng)絡(luò)的輸入?yún)?shù)，采用非線性的BP網(wǎng)絡(luò)，重新計(jì)算出情報(bào)的綜合評(píng)分，該模型簡(jiǎn)單高效地實(shí)現(xiàn)了威脅情報(bào)的評(píng)估．

3.1?數(shù)據(jù)源

本文從6個(gè)平臺(tái)爬取了15000條情報(bào)，情報(bào)來源既有國(guó)內(nèi)知名情報(bào)廠商，有訪問度較高的情報(bào)共享開源平臺(tái)，同時(shí)也有經(jīng)常受到惡意攻擊，可以解析威脅報(bào)告的在線服務(wù)器，多源威脅情報(bào)使評(píng)估體系更客觀公正，它們分別是GreenSnow、360、blocklist、奇安信、VirusTotal、MISP．

威脅情報(bào)獲取采用分布式爬蟲scrapy框架，從大量的數(shù)據(jù)中選取出可以轉(zhuǎn)換成STIX格式的3400條情報(bào)，然后對(duì)這些數(shù)據(jù)進(jìn)行專家打分和人工標(biāo)注．?dāng)?shù)據(jù)的識(shí)別抽取采用正則匹配加命名實(shí)體識(shí)別相結(jié)合的方法，首先對(duì)原始數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗預(yù)處理之后，然后按照兩個(gè)流程進(jìn)行抽?。皇嵌x正則表達(dá)式，抽取出文中的IOC 匹配數(shù)據(jù)，二是對(duì)標(biāo)注好的數(shù)據(jù)進(jìn)行詞向量生成，構(gòu)建神經(jīng)網(wǎng)絡(luò)模型，之后獲取模型抽取結(jié)果，將兩種結(jié)果進(jìn)行匹配．通常正則匹配的結(jié)果中包含惡意IOC和非惡意的IP等信息．模型輸出的結(jié)果通常均部分原始數(shù)據(jù)上傳到服務(wù)器上，使用MongoDB圖形化工具訪問．開源情報(bào)平臺(tái)通過調(diào)用三方開源接口，對(duì)情報(bào)重要信息補(bǔ)充后標(biāo)準(zhǔn)化處理，然后統(tǒng)一轉(zhuǎn)化成STIX格式．

按照攻擊名稱分類，排名前3名分別是：普通遠(yuǎn)控木馬、Omni Botnet C&C活動(dòng)、Hacked Site惡意下載訪問事件，見圖5．

圖5?攻擊常用手段

3.2?AHP篩選評(píng)估指標(biāo)

對(duì)判斷矩陣進(jìn)行一致性檢驗(yàn)，若其值小于0.1，則符合一致性檢驗(yàn)；若大于0.1，需要重新調(diào)整判斷矩陣權(quán)值．經(jīng)過計(jì)算得到4個(gè)一級(jí)指標(biāo)的權(quán)重，集合為＝(0.1061，0.5903，0.2347，0.0689)，同理得出二級(jí)指標(biāo)：1＝(0.6817，0.2158，0.1025)，2＝(0.2255，0.6738，0.1006)，3＝(0.8333，0.1667)，4＝(0.0701，0.3255，0.6044)，均通過一致性檢驗(yàn)，然后通過模糊綜合評(píng)估計(jì)算出結(jié)果為

3.3?基于AHP-BP算法的實(shí)驗(yàn)設(shè)計(jì)

3.3.1?評(píng)估模型設(shè)計(jì)

威脅情報(bào)評(píng)估是利用所提出的威脅指標(biāo)和評(píng)估方法對(duì)威脅情報(bào)共享服務(wù)的評(píng)價(jià)，以及是否達(dá)到訪問用戶的預(yù)期，目的是促進(jìn)威脅情報(bào)的整體質(zhì)量．威脅情報(bào)的評(píng)估因素很多，每個(gè)因素的影響權(quán)重也不同．影響威脅情報(bào)評(píng)估的輸入和輸出之間具有的非線性關(guān)系，設(shè)威脅情報(bào)的評(píng)估指標(biāo)為{1，2，…，x}，則威脅情報(bào)評(píng)估的數(shù)學(xué)模型為

式中表示評(píng)價(jià)函數(shù)．對(duì)威脅情報(bào)評(píng)估的建模，AHP通過建立層次分析模型，根據(jù)排序得到最優(yōu)解，但判斷矩陣是由專家給出，主觀性較強(qiáng)，無法排除人為因素的誤差，而在深度學(xué)習(xí)領(lǐng)域，BP算法應(yīng)用較為廣泛成熟，且具有良好的非線性學(xué)習(xí)能力，鑒于此，本文采用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行函數(shù)逼近．BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)如圖6所示．

為了減少主觀因素對(duì)實(shí)驗(yàn)結(jié)果的影響，根據(jù)評(píng)估原則選取一級(jí)指標(biāo)，并構(gòu)建判斷矩陣，判斷矩陣中的元素值表示該評(píng)價(jià)指標(biāo)對(duì)威脅情報(bào)結(jié)果的影響程度．利用AHP對(duì)指標(biāo)進(jìn)行篩選，剔除不重要的指標(biāo)，減少神經(jīng)網(wǎng)絡(luò)輸入的維數(shù)，從而加快神經(jīng)網(wǎng)絡(luò)的速度，提高評(píng)價(jià)的精度和效率．文中把AHP篩選后的評(píng)估指標(biāo)作為BP網(wǎng)絡(luò)輸入層的神經(jīng)元個(gè)數(shù)，將威脅情報(bào)評(píng)估值作為模型輸出．

本研究經(jīng)過網(wǎng)格搜索方法不斷地修改參數(shù)，將神經(jīng)網(wǎng)絡(luò)層中設(shè)置隱藏層節(jié)點(diǎn)數(shù)為10，迭代次數(shù)為10000，選用3000條數(shù)據(jù)作為訓(xùn)練樣本，400條數(shù)據(jù)作為測(cè)試樣本，BP算法的損失函數(shù)如圖7所示．

圖7?損失函數(shù)

為了評(píng)價(jià)本模型的優(yōu)劣，本文選擇了AHP、BP、AHP-DecisionTreeClassifier、AHP-BP4種模型進(jìn)行對(duì)比實(shí)驗(yàn)．其中，AHP-BP算法威脅情報(bào)評(píng)估過程步驟如下.

步驟1根據(jù)威脅情報(bào)自身特點(diǎn)和評(píng)估原則的要求，建立評(píng)估指標(biāo)和評(píng)估體系．

步驟2 利用AHP求出威脅情報(bào)的評(píng)估結(jié)果．同時(shí)對(duì)二級(jí)指標(biāo)權(quán)重排序，選取出較為重要的4個(gè)二級(jí)指標(biāo)．

步驟3 把步驟2選出的二級(jí)指標(biāo)作為BP算法的輸入，將威脅情報(bào)評(píng)估結(jié)果作為模型的輸出，隱藏層的神經(jīng)元個(gè)數(shù)通過遞增的方式獲取，從而確定BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)．

步驟4 對(duì)選出的指標(biāo)進(jìn)行數(shù)據(jù)預(yù)處理，消除噪聲等不利因素對(duì)結(jié)果噪聲的影響．

步驟5 初始化BP神經(jīng)網(wǎng)絡(luò)的參數(shù)，選取適當(dāng)數(shù)量的數(shù)據(jù)集樣本，采用BP算法進(jìn)行訓(xùn)練，tanh函數(shù)作為第1層的激活函數(shù)，sigmoid函數(shù)作為第2層的激活函數(shù)，建立威脅情報(bào)評(píng)估的改進(jìn)模型．

步驟6 把AHP得出的評(píng)分與AHP-BP算法得出的評(píng)分比較，評(píng)估改進(jìn)模型的精度．

3.4?實(shí)驗(yàn)結(jié)果分析

通過對(duì)6個(gè)平臺(tái)獲取的情報(bào)數(shù)據(jù)進(jìn)行實(shí)驗(yàn)分析，利用深度學(xué)習(xí)抽取出威脅情報(bào)實(shí)體及其關(guān)系，從而獲得有用信息，運(yùn)用NLP 中的NER 技術(shù)獲取目標(biāo)實(shí)體關(guān)系，最后輸出標(biāo)準(zhǔn)化格式的情報(bào)數(shù)據(jù)，經(jīng)過綜合評(píng)估后得到評(píng)分值．然后對(duì)抽取到的4個(gè)二級(jí)指標(biāo)使用神經(jīng)網(wǎng)絡(luò)算法進(jìn)行訓(xùn)練．為了評(píng)價(jià)對(duì)比不同模型之間的優(yōu)劣，選擇AHP、BP神經(jīng)網(wǎng)絡(luò)、AHP-決策樹和AHP-BP模型進(jìn)行對(duì)比實(shí)驗(yàn)，精度和與實(shí)際值的相關(guān)值作為模型衡量指標(biāo)．通過對(duì)比，可以得出如下結(jié)論.

(1) 組合模型比單一模型的精度高，說明組合模型借鑒多種模型的優(yōu)勢(shì)，從而提高精度．

(2) AHP模型與BP網(wǎng)絡(luò)模型對(duì)比，BP神經(jīng)網(wǎng)絡(luò)的精度更高，因?yàn)锳HP采用線性學(xué)習(xí)方式，神經(jīng)網(wǎng)絡(luò)是非線性學(xué)習(xí)方式，后者更能學(xué)習(xí)到評(píng)價(jià)指標(biāo)和分值之間的非線性關(guān)系，因此，BP神經(jīng)網(wǎng)絡(luò)結(jié)果要優(yōu)于AHP層次分析法．

(3) 從AHP-決策樹與AHP-BP神經(jīng)網(wǎng)絡(luò)模型結(jié)果來看，神經(jīng)網(wǎng)絡(luò)的結(jié)果要優(yōu)于以決策樹為代表的傳統(tǒng)的機(jī)器學(xué)習(xí)方法，在神經(jīng)網(wǎng)絡(luò)興起的今天，選用經(jīng)典BP算法，為威脅情報(bào)的評(píng)估提供了借鑒．同時(shí)，傳統(tǒng)的機(jī)器學(xué)習(xí)方式精度也在不斷提高，決策樹方法的精度也能達(dá)到90%以上，但是決策樹容易忽略屬性間的相關(guān)性，偏向數(shù)據(jù)更多的特征，出現(xiàn)過擬合現(xiàn)象．

(4) 通過對(duì)比發(fā)現(xiàn)AHP-BP的精度最高，根據(jù)本文提出的評(píng)估指標(biāo)采用AHP方法進(jìn)行篩選，結(jié)合BP神經(jīng)網(wǎng)絡(luò)的非線性學(xué)習(xí)能力，充分發(fā)揮了神經(jīng)網(wǎng)絡(luò)的非線性優(yōu)勢(shì)，可更好地?cái)M合模型的結(jié)果，說明本文提出的模型有效．神經(jīng)網(wǎng)絡(luò)模型效果對(duì)比見表2．

表2?神經(jīng)網(wǎng)絡(luò)模型效果對(duì)比

Tab.2?Comparison of neural network model effects

AHP-BP的準(zhǔn)確率92.59%，用時(shí)264ms，查準(zhǔn)率較高．但是BP網(wǎng)絡(luò)和決策樹方法對(duì)初始權(quán)重非常敏感、收斂緩慢甚至不能收斂、同時(shí)該算法也有過擬合和調(diào)參問題，有監(jiān)督學(xué)習(xí)方式需要消耗大量的人工．采用此模型對(duì)測(cè)數(shù)集進(jìn)行計(jì)算，并將結(jié)果與實(shí)際值進(jìn)行比較，相關(guān)系數(shù)0.9014．實(shí)驗(yàn)結(jié)果表明本文提出的改進(jìn)評(píng)估模型合理，AHP-BP算法可以用于威脅情報(bào)的價(jià)值評(píng)估．

4?討?論

本文的研究?jī)?nèi)容是研究威脅情報(bào)的指標(biāo)選擇和綜合評(píng)估體系的適用性，研究對(duì)象是威脅情報(bào)自身的評(píng)估，而不是共享平臺(tái)和廠商的服務(wù)對(duì)比，評(píng)估方法的效果從實(shí)用性、代表性、動(dòng)態(tài)性和可驗(yàn)證4個(gè)方面對(duì)比．實(shí)用性指評(píng)估方法是否可用于實(shí)踐；代表性是指指標(biāo)選取要有所取舍，使評(píng)估值接近真實(shí)值；動(dòng)態(tài)性是指評(píng)估結(jié)果可以動(dòng)態(tài)調(diào)整，通過用戶打分提高威脅情報(bào)共享的整體質(zhì)量；可驗(yàn)證性代表了評(píng)估方法有實(shí)驗(yàn)驗(yàn)證．通過和相關(guān)研究中的各類評(píng)估方法對(duì)比，結(jié)果如表3所示．

由表3可以看出，本文所提出的評(píng)價(jià)方法在實(shí)用性和動(dòng)態(tài)性上有明顯的優(yōu)勢(shì)，在代表性和可驗(yàn)證性指標(biāo)上，本文的評(píng)價(jià)結(jié)果是可以接受的．

表3?評(píng)估方法對(duì)比

Tab.3?Comparison of evaluation method

5?結(jié)?語

本文根據(jù)評(píng)估原則確定了4個(gè)一級(jí)指標(biāo)，設(shè)計(jì)了具有實(shí)用性和可驗(yàn)證的評(píng)估體系，提出了通過區(qū)塊鏈和智能合約實(shí)現(xiàn)評(píng)分更新的過程，評(píng)分過程使用區(qū)塊鏈實(shí)現(xiàn)了匿名性和可溯性，既保護(hù)了用戶的隱私安全，又實(shí)現(xiàn)了惡意用戶的跟蹤，同時(shí)提出了基于AHP-BP的評(píng)估方法，實(shí)驗(yàn)結(jié)果表明該方法的查準(zhǔn)率較高，評(píng)估體系合理．但數(shù)據(jù)模型的局限性導(dǎo)致收集的關(guān)于攻擊的信息不完整，同時(shí)對(duì)多源異構(gòu)的開源威脅情報(bào)缺乏有效的數(shù)據(jù)整合和提取手段．

未來，將抽取威脅情報(bào)實(shí)體，并將實(shí)體間關(guān)系存儲(chǔ)到數(shù)據(jù)庫(kù)，構(gòu)成知識(shí)圖譜，然后結(jié)合威脅情報(bào)與網(wǎng)絡(luò)的監(jiān)控流量數(shù)據(jù)，對(duì)威脅情報(bào)進(jìn)行進(jìn)一步關(guān)聯(lián)和分析操作，推斷出攻擊者的信息和攻擊手段．

［1］ Schaberreiter T，Kupfersberger V，Rantos K，et al. A quantitative evaluation of trust in the quality of cyber threat intelligence sources[C]// Proceedings of the 14th International Conference on Availability，Reliability and Security. New York，USA，2019：1-10.

［2］ Li Q，Jiang Z W，Yang Z M，et al. A quality evaluation method of cyber threat intelligence in user perspec-tive[C]//IEEE International Conference on Trust，Security and Privacy In Computing and Communications. New York，USA，2018：1-10.

［3］ Mohaisen A，Al-Ibrahim O，Kamhoua C，et al. Assessing quality of contribution in information sharing for threat intelligence[C]// 2017 IEEE Symposium on Pravicy-Aware Computing(PAC). Washington，DC，USA，2017：182-183.

［4］ Cartagena A，Rimmer G，Dalsen T V，et al. Privacy violating opensource intelligence threat evaluation framework：A security assessment framework for critical infrastructure owners[C]//2020 10th Annual Computing and Communication Workshop and Conference(CCWC). Las Vegas，USA，2020：1-10.

［5］ 周劭文，徐佳俊. 基于層次分析法的威脅情報(bào)質(zhì)量評(píng)估方法[C]//2018第七屆全國(guó)安全等級(jí)保護(hù)技術(shù)大會(huì). 西安，2018：1-10.

Zhou Shaowen，Xu Jiajun. Threat intelligence quality assessment method based on analytic hierarchy process[C]//the 7th National Security Level Protection Technology Conference. Xi’an，China，2018：1-10(in Chinese).

［6］ 劉漢生，唐洪玉，薄明霞，等. 基于機(jī)器學(xué)習(xí)的多源威脅情報(bào)質(zhì)量評(píng)價(jià)方法[J]. 電信科學(xué)，2020，36(1)：123-130.

Liu Hansheng，Tang Hongyu，Bo Mingxia，et al. Multi-source threat intelligence quality evaluation method based on machine learning[J]. Telecommunications Science，2020，36(1)：123-130(in Chinese).

［7］ Tschorsch F，Scheuermann B. Bitcoin and beyond：A technical survey on decentralized digital currencies[J]. IEEE Communications Surveys and Tutorials，2016，18(3)：2084-2123.

［8］ 李昊軒. 基于區(qū)塊鏈的可修改信譽(yù)評(píng)價(jià)系統(tǒng)的設(shè)計(jì)與分析[D]. 西安：西安電子科技大學(xué)通信工程學(xué)院，2018.

Li Haoxuan. Design and Analysis of Modifiable Reputation Evaluation System Based on Blockchain[D]. Xi’an：School of Communication Engineering，Xidian University，2018(in Chinese).

［9］ Griffioen H，Booij T，Doerr C. Quality evaluation of cyber threat intelligence feeds[C]// International Conference on Applied Cryptography and Network Security(ACNS). Rome，Italy，2020：277-296.

［10］ Bauer S，F(xiàn)ischer D，Sauerwein C，et al. Towards an evaluation framework for threat intelligence sharing platforms[C]// Hawaii international Conference on System Sciences. Hawaii，USA，2020：1-10.

Threat Intelligence Evaluation Based on Blockchain and a Neural Network

Shi Huiyang1，Liu Peng1，Wang He2

(1. School of Computer Science and Technology，University of Chinese Academy of Sciences，Beijing 101408，China；2. School of Cyber Engineering，Xidian University，Xi’an 710071，China)

The sharing of threat intelligence facilitates organizations to respond to threats and deploy defense plans efficiently. Aiming at problems such as uneven quality，low value，and easy to expire information in the process of threat intelligence collection，this paper proposed 4 first-level indicators and 11 second-level indicators，according to principles and data provided by intelligence vendors and threat intelligence sharing platforms. In addition，we establish a threat intelligence evaluation system. The selected evaluation indicators can be easily calculated. Among them，the first-level indicators include reputation，timeliness，contribution，and quality. The main contribution of the research is the design of a reputation system using Ethereum architecture and a smart contract and the achievement of dynamic adjustments of the reputation score through score updates；the anonymity and privacy scheme in blockchain technology protects the privacy of users；the specific process is to initiate a score cancellation request to the node in the blockchain. The node used the consensus algorithm to cancel the score after passing the request，then gave different restriction strategies. In addition，the corresponding punishment measures are formulated to make the evaluation model more just and reasonable. The specific process is to initiate a score cancellation request to the node in the blockchain. The node used the consensus algorithm to cancel the score，then gave different restriction strategies and improved the fairness and rationality of the evaluation model. In addition，this study constructed related data sets，selected the second-level indicators with higher weight by the analytic hierarchy process(AHP)，and verified the effectiveness and operability of the evaluation model by neural network algorithms. The accuracy is 92.59%，and the correlation coefficient with the actual value is above 0.9. Finally，the effectiveness of the evaluation method is ?compared from four aspects：practicality，representativeness，dynamicity，and verifiability，and it is noted ??that the proposed evaluation method has obvious advantages in practicality and dynamicity，and the evaluation result is high.

threat intelligence；evaluation；reputation；blockchain；smart contract；neural network

10.11784/tdxbz202103029

TP302.7

A

0493-2137(2022)05-0527-08

2021-03-13；

2021-05-14.

史慧洋（1988—??），女，博士，工程師，shihuiyang@ucas.ac.cn.

王?鶴，hewang@xidian.edu.cn.

國(guó)家重點(diǎn)研發(fā)計(jì)劃資助項(xiàng)目(2018YFB0804701).

Supported by the National Key Research and Development Program of China(No. 2018YFB0804701).

(責(zé)任編輯：孫立華)