[发明专利]基于情报共享的网络威胁协同防御系统及方法

说明书

本发明属于网络安全技术领域，特别涉及一种基于情报共享的网络威胁协同防御系统及方法，通过部署中心服务器和若干安全机构，其中，若干安全机构，基于各自本地威胁情报数据库训练入侵检测模型，并对模型更新参数加密处理后将密文上传至中心服务器；中心服务器，聚合接收到的密文通过解密获取全局模型更新参数，并将其广播给所有安全机构，以更新各安全机构本地入侵检测模型。本发明基于联邦学习框架可帮助多个安全机构联合建立系统防御模型，可适用于多种机器学习模型，可以抵抗多种共谋攻击场景，适用性强，提升网络抗攻击性能。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于情报共享的网络威胁协同防御系统及方法。

背景技术

当前网络中的各种攻击层出不穷，对网络中重要的基础设施产生了重大威胁。随着机器学习的发展，研究人员开始意识到网络基础设施中存有大量包含关于入侵或攻击信息的数据，利用这些数据训练基于机器学习的网络主动防御系统，可以有效地检测可能出现的异常行为。然而，由于网络犯罪率不断增加以及网络威胁场景日益复杂，各个机构仅凭自身数据难以构建足够精确的入侵检测模型来防御网络攻击。越来越多的机构和企业希望通过共享网络威胁情报来合作开发协同防御系统，从而达到：1)增强网络态势感知能力；2)建立更加强大的防御机制；3)减小威胁检测的时间，提高检测准确性的目的。目前已有促进情报共享的相关标准TAXII被提出来。然而，现阶段网络威胁情报共享依然面临着以下挑战：(1)安全机构间互相不信任而不愿意共享数据；(2)出于隐私保护或商业竞争的考虑，部分机构不愿意与他人共享网络威胁情报；(3)威胁情报可能暴露机构的信息进而影响机构的声誉。

目前已有相关研究提出网络威胁情报共享的隐私保护框架，使用组签名来隐藏各个机构的身份，但是该方案不能保护机构的数据；也有将网络威胁情报共享中的隐私问题建模为参与者与攻击者之间的博弈，但它仅仅能推理出一种共享策略，却无法提供一种实用的方案来保护共享的网络威胁情报；或者通过讨论协同入侵检测系统中的报警关联，来提出许多报警关联的应用方法，但是并未考虑威胁情报共享中的隐私问题。

发明内容

为此，本发明提供一种基于情报共享的网络威胁协同防御系统及方法，基于联邦学习框架可帮助多个安全机构联合建立系统防御模型，可以抵抗多种共谋攻击场景，适用性强。

按照本发明所提供的设计方案，一种基于情报共享的网络威胁协同防御系统，包含：中心服务器和若干安全机构，其中，若干安全机构，基于各自本地威胁情报数据库训练入侵检测模型，并对模型更新参数加密处理后将密文上传至中心服务器；中心服务器，聚合接收到的密文通过解密获取全局模型更新参数，并将其广播给所有安全机构，以更新各安全机构本地入侵检测模型。

作为本发明基于情报共享的网络威胁协同防御系统，进一步地，还包含：迭代控制模块，通过设置入侵检测模型训练的循环迭代条件来触发各安全机构及中心服务器在每轮训练中反复执行迭代更新过程，以获取用于确定最终入侵检测模型的收敛后的模型全局参数。

作为本发明基于情报共享的网络威胁协同防御系统，进一步地，所述安全机构至少包含2个。

进一步地，基于上述系统，本发明还提供一种基于情报共享的网络威胁协同防御方法，包含如下内容：

中心服务器初始化入侵检测模型参数并分发给各安全机构；

通过设置循环条件来迭代执行模型参数更新过程，模型参数更新过程为：各安全机构基于各自的本地威胁情报数据库训练入侵检测模型，并对模型更新参数加密处理后将密文上传至中心服务器；中心服务器聚合接收到的密文，通过解密获取全局模型更新参数，并将其广播给所有安全机构，以各安全机构更新本地入侵检测模型参数；

满足循环条件后，获取用于确定最终入侵检测模型的收敛后的全局模型参数；

在各安全机构和中心服务器中部署并更新最终入侵检测模型，以检测网络中攻击行为。