(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211015368.6 (22)申请日 2022.08.24 (71)申请人 国家信息中心 地址 100045 北京市西城区三里河路58号 (72)发明人 赵睿斌　禄凯　康霄普　王佳颖　 张灏　方景鑫　赵雅君　 (74)专利代理 机构 合肥方舟知识产权代理事务 所(普通合伙) 34158 专利代理师 朱荣 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/147(2022.01) (54)发明名称 一种基于政务区块链底座的威胁情报共享 方法 (57)摘要 本发明属于网络安全 领域， 涉及威胁情报共 享技术， 用于解决现有的威胁情报共享方法不能 结合用户实际受到的网络攻击的属性对预测与 防御的准确性进行反馈， 导致用户的网络安全性 大大降低的问题， 具体是一种基于政务区块链底 座的威胁情报 共享方法， 通过对用户的所属行业 受到网络攻击的人员数据、 技术数据以及历史数 据进行分析， 通过环境系数的数值大小对用户所 属行业的网络安全进行判定并将标记行业标记 为安全行业或危险行业； 本发明可以对用户所属 行业的整体网络安全环境进行监测分析， 通过对 整体网络安全环境的监测分析结果来对用户未 来可能受到的网络攻击强度进行预测， 从而在整 体网络安全环境较差的情况下及时对用户进行 安全防御。 权利要求书2页 说明书6页 附图2页 CN 115378712 A 2022.11.22 CN 115378712 A 1.一种基于政务区块链 底座的威胁情 报共享方法， 其特 征在于， 包括以下步骤： 步骤一： 通过对用户的所属行业受到网络攻击的人员数据、 技术数据以及历史数据进 行分析得到标记行业的环境系数， 通过环境系数的数值大小对用户所属行业的网络安全进 行判定并将标记行业标记为 安全行业或危险行业； 步骤二： 对所属行业为危险行业的用户进行威胁分析， 通过对用户的员工数据、 资金数 据以及营收数据进行分析得到用户的规模系数， 对规模系数进行阈值计算得到最大规模阈 值与最小规模阈值， 最大规模阈值与最小规模阈值构成规模范围并通过规模范围筛选得到 标记对象； 步骤三： 对用户进行网络攻击安全监控， 通过标记人员的身份信息获取到地址集合与 技术集合， 对用户收到的网络攻击进 行监控并在用户受到网络攻击时进 行属性分析并得到 用户的防御系数， 通过防御系数的数值大小对用户的威胁防御是否有效进行判定 。 2.根据权利要求1所述的一种基于政务 区块链底座的威胁情报共享方法， 其特征在于， 步骤一中标记行业的人员数据为在标记行业内进 行过网络攻击的人员的数量， 标记行业的 技术数据为攻击者在标记行业内进行网络攻击时采用的攻击方式的种类数量， 标记行业的 历史数据为标记行业内的企业所遭受的网络攻击的总次数。 3.根据权利要求2所述的一种基于政务 区块链底座的威胁情报共享方法， 其特征在于， 步骤一中对用户所属行业的网络安全进行判定的过程包括： 通过存储模块获取到环境阈 值， 将标记行业的环境系数与环境阈值进行比较： 若环境系数小于环境阈值， 则判定标记行业为安全行业， 环境分析模块向共享平台发 送安全信号， 共享平台接收到安全信号后将安全信号发送至用户的客户端； 若环境系数大于等于环境阈值， 则判定标记行业为危险行业， 环境分析模块向共享平 台发送危险信号， 共享平台接收到危险信号后将危险信号发送至威胁分析模块。 4.根据权利要求1所述的一种基于政务 区块链底座的威胁情报共享方法， 其特征在于， 步骤二中用户的员工数据为用户的注册员工的总数量， 用户的资金数据为用户的注册资 金， 单位为万元， 用户的营收数据为用户去年的营业 额总值。 5.根据权利要求4所述的一种基于政务 区块链底座的威胁情报共享方法， 其特征在于， 步骤二中标记对象的筛选过程包括： 获取标记行业内所有遭受过网络攻击的公司并标记为 受攻对象i， i＝1， 2， …， n， n为正整数， 将 受攻对象i的规模系数标记为GMi， 将规模系数GMi 位于规模 范围内的受攻对象标记为匹配对象， 获取对匹配对象进 行网络攻击次数最多的L 1 个攻击人员并标记 为标记对象， 获取标记对象的身份信息， 标记对象的身份信息包括： 标记 对象的常用IP地址、 攻击技术、 以及最近L2次攻击的公司名单； 威胁 分析模块将标记对象的 身份信息发送至共享平台， 共享平台接收到标记对象的身份信息后 将标记对象的身份信息 发送至用户的客户端以及安全监控 模块。 6.根据权利要求1所述的一种基于政务 区块链底座的威胁情报共享方法， 其特征在于， 步骤三中在用户受到网络攻击时进 行属性分析的过程包括： 获取攻击人员的IP地址与攻击 技术， 若攻击人员的IP地址与地址集合的子集相同， 则将地址属性判定为符合， 若攻击人员 的攻击技 术与技术集合的子集相同， 则将技 术属性判定为符合； 用户的防御系数的获取过程包括： 获取用户受到的网络攻击的总次数， 获取地址属性 为符合的网络攻击次数以及技术属性为符合的网络攻击次数； 通过对用户受到的网络攻击权　利　要　求　书 1/2 页 2 CN 115378712 A 2的总次数、 地址属性为符合的网络攻击次数以及技术属性为符合的网络攻击次数进行数值 计算得到用户的防御系数。 7.根据权利要求6所述的一种基于政务 区块链底座的威胁情报共享方法， 其特征在于， 步骤三中对用户的威胁防御是否有效进行判定的具体过程包括： 通过存储模块获取到防御 阈值， 将用户的防御系数与防御阈值进 行比较： 若防御系数FY小于等于防御阈值， 则判定用 户的威胁防御无效， 安全监控模块向共享平台发送无效信号， 共享平台接 收到无效信号后 将无效信号 发送至威胁分析模块， 威胁分析模块接收到 分析信号后重新 获取标记对象并将 新的标记对 象的身份信息发送至共享平台； 若防御系 数大于防御阈值， 则判定用户的威胁 防御有效， 安全监控平台向共享平台发送有效信号， 共享平台接 收到有效信号后将有效信 号发送至用户的客户端。权　利　要　求　书 2/2 页 3 CN 115378712 A 3