电力物联网威胁情报共享方法、共享系统及可读介质与流程

本发明涉及网络空间安全，尤其涉及一种电力物联网威胁情报共享方法、共享系统及可读介质。

背景技术：

1、随着网络攻击的不断发展，威胁情报在入侵检测以及自适应响应中发挥着越来越重要的作用。电力物联网是一个动态的环境，威胁情报需要及时更新以反映最新的威胁和漏洞。通过电力物联网云平台间共享威胁情报，电力系统可以更及时地了解到新的威胁和漏洞，从而更迅速地采取措施进行防御和修复。同时，共享威胁情报促进了不同组织和实体之间的协同防御。当一个组织受到威胁时，及时的共享可以使其他组织采取预防措施，从而减缓威胁蔓延的速度，形成协同的网络安全生态系统。

2、然而，在电力物联网中，不同的电力设备和系统通常由不同的厂商提供，它们可能采用各种不同的通信协议和数据格式。这导致了信息孤岛，使得不同设备产生的威胁情报很难被集成和共享。缺乏标准化的数据格式和通信协议是一个共享的主要障碍。同时，由于缺乏适用于电力物联网威胁情报的标准化框架，不同组织和厂商可能使用不同的安全标准和数据模型，难以统一威胁情报共享的平台。这使得信息在传递和解释时存在误差和不一致性。

3、同时，威胁情报涉及到敏感信息，包括设备配置、网络拓扑和可能的漏洞。因此，隐私和安全问题成为阻碍共享的重要因素。共享信息可能暴露其系统的弱点，若共享的威胁情报遭到窃听，则可能成为潜在的攻击目标。此外，当前的共享机制中缺乏有效的信任建立和验证机制，使得难以确保共享的信息来自可靠的来源，容易受到恶意信息注入的威胁。

技术实现思路

1、本发明的目的在于解决现有技术存在的上述问题而提供一种电力物联网威胁情报共享方法、共享系统及可读介质，根据stix标准设计威胁情报结构化表征格式，将威胁情报信息映射成结构化威胁情报，在电力物联网云平台(或电力物联网智能网关)间建立基于区块链的威胁情报共享平台，根据区块链智能合约更新各威胁情报源的信誉分数，根据信誉分数进行多源威胁情报数据融合。

2、本发明的上述技术目的主要是通过以下技术方案解决的：

3、本发明涉及的第一技术主题的技术方案：电力物联网威胁情报共享方法，其特征在于包括的步骤：

4、收集威胁情报，对威胁情报进行结构化表征；

5、根据电力物联网的结构及其威胁情报的特征构建基于区块链的电力物联网的威胁情报共享模型；

6、基于威胁情报共享模型，提取结构化表征的威胁情报信息，对结构化表征的威胁情报进行共享；

7、本技术方案与现有技术的区别在于：威胁情报共享、威胁情报评分和多源威胁情报融合的方法。具体来说，根据stix标准设计威胁情报结构化表征格式，将威胁情报信息映射成结构化威胁情报，在电力物联网云平台(或电力物联网智能网关)间建立基于区块链的威胁情报共享平台，根据区块链智能合约更新各威胁情报源的信誉分数，根据信誉分数进行多源威胁情报数据融合，提高了系统的自动化程度，同时可以更精准地辨别威胁情报的真实性。

8、作为对上述技术方案的进一步完善和补充，本发明采用如下技术措施：

9、作为优选，所述的对威胁情报进行结构化表征步骤包括：

10、根据用于交换网络威胁情报的语言和序列化格式stix标准设计威胁情报结构化表征格式，并获取stix字段，所述stix字段包括攻击指标、攻击指标属性、威胁行为者以及可观察对象；所述攻击指标包括ip地址、域名、文件哈希值；所述攻击指标属性包括攻击来源地点、攻击类型、发现时间；所述可观察对象包括文件数据、流量数据、注册表项数据；

11、电力物联网云平台收集其入侵检测系统输出的威胁分析日志；

12、使用基于预训练语言模型bert的方法对威胁分析日志段落进行分类，具体来说，将文本段落输入至bert模型中，将[cls]的嵌入向量输入神经网络进行分类，包括描述类、文件数据类、流量数据类、注册表项数据类以及其他类；然后使用基于预训练语言模型bert+神经网络模型bilstm+条件随机场crf的方法(是一种用于命名实体识别(named entityrecognition,ner)的深度学习模型)从属于威胁描述的段落中提取威胁情报实体及其类别，具体来说，将bert提取的词向量输入到bilstm模型输出单词的上下文表示，然后输入crf模型输出单词类别，包括ip地址、域名、文件哈希值、攻击类型和其他；

13、将提取的威胁情报根据其类别映射到对应的stix字段中，若某字段没有相关信息则设置为空，形成结构化威胁情报。

14、作为优选，将提取的威胁情报实体及其类别的非结构化文本转化为结构化信息。

15、作为优选，构建威胁情报共享模型的步骤包括：

16、构建威胁情报共享层、信誉层、执行层；

17、在威胁情报共享层中，采用p2p逻辑连接，实现威胁情报的共享；

18、在信誉层中，通过区块链实现信誉体系搭建；

19、在执行层中，每个区块链的节点都维护区块链账本，通过区块链网络进行威胁情报共享，在区块链中实现用户管理智能合约、威胁情报智能合约和信誉评分智能合约。其中，各个电力物联网云平台均构成对应的一个节点。

20、作为优选，所述用户管理智能合约实现用户的注册和注销，所述威胁情报智能合约实现威胁情报的上传和获取，所述信誉评分智能合约实现威胁情报信誉评分的自动计算。

21、作为优选，进行威胁情报共享的步骤包括：

22、各电力物联网云平台通过用户管理智能合约进行注册；

23、电力物联网云平台共享威胁情报时，上传结构化威胁情报，根据信誉评分智能合约计算并更新其信誉分数，信誉分数根据该威胁情报的完整性、新鲜性和相关性以及云平台安全属性进行评分；

24、电力物联网云平台调用威胁情报智能合约中的共享函数，将威胁情报以及计算得到的信誉分数一起保存到区块链上，以用于威胁情报共享。

25、作为优选，通过缺失字段衡量威胁情报的完整性，缺失字段数量多且重要的威胁情报则完整性低；通过威胁情报共享的时间衡量新鲜度，时间越长则新鲜度越低；通过预先定义特定关键字列表以及相关的相关性值的方式、使用基于警报字段中关键字出现的次数衡量相关性；在注册时根据各电力物联网云平台的安全属性进行赋值的方式确定电力物联网云平台的安全等级。

26、作为优选，电力物联网威胁情报共享方法还包括多源威胁情报融合的步骤：

27、当电力物联网云平台下载威胁情报时，调用威胁情报智能合约中的获取函数来获取可用的威胁情报信息，所述可用的威胁情报信息为步骤s3中的共享的威胁情报；

28、根据结构化的威胁情报格式解析威胁情报信息；

29、根据威胁情报内容和信誉分数进行多源威胁情报融合。

30、作为优选，在进行多源威胁情报融合时，若相同攻击指标的属性值具有不同的值，更新时间戳属性，其他属性则保留信誉值更大的威胁情报所对应的属性值。

31、本发明涉及的第二技术主体的技术方案：一种电力物联网威胁情报共享系统，其特征在于，其执行上述的电力物联网威胁情报共享方法，其包括：威胁情报共享模块和执行模块；

32、威胁情报共享模块：用于收集威胁情报，对威胁情报进行结构化表征；

33、根据威胁分析日志构建基于区块链的电力物联网的威胁情报共享模型；执行模块：基于威胁情报共享模型，提取结构化威胁情报信息，进行威胁情报共享。

34、本技术方案与现有技术的区别在于：威胁情报共享、威胁情报评分和多源威胁情报融合的系统。

35、作为优选，在执行模块中，通过区块链网络进行威胁情报共享，在区块链中实现用户管理智能合约、威胁情报智能合约和信誉评分智能合约，所述用户管理智能合约实现用户的注册和注销，所述威胁情报智能合约实现威胁情报的上传和获取，所述信誉评分智能合约实现威胁情报信誉评分的自动计算。

36、电力物联网威胁情报共享系统还包括信誉模块：用于通过区块链对威胁情报进行信誉体系搭建、对威胁情报进行信誉评分计算，计算信誉评分是通过缺失字段衡量威胁情报的完整性，缺失字段数量多且重要的威胁情报具有更低的完整性；通过信息生成后共享的时间进行衡量新鲜度，时间越长新鲜度越低；通过预先定义特定关键字列表以及相关的相关性值的方式，使用基于警报字段中关键字出现的次数进行衡量相关性；在注册时根据各电力物联网云平台的安全属性进行赋值的方式确定电力物联网云平台的安全等级。

37、本发明涉及的第三技术主体的技术方案：一种可读介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权上述的电力物联网威胁情报共享方法。

38、本发明具有的有益效果：

39、1、提供了一个完整的电力物联网威胁情报结构化表征及分布式共享的方法和系统，实现电力物联网威胁情报的高效共享。

40、2、通过区块链实现威胁情报分布式共享，有利于威胁情报来源溯源和保护数据隐私。

41、3、基于威胁情报信誉分数进行多源威胁情报数据融合，提高了系统的自动化程度，同时可以更精准地辨别威胁情报的真实性。