隐私保护体系下网络威胁情报共享的研究现状和方案设计

news/2024/12/25 13:23:49/文章来源:https://www.cnblogs.com/pam-sh/p/18424577

来源:http://netinfo-security.org/article/2024/1671-1122/1671-1122-24-7-1129.shtml

威胁情报

网络威胁情报是关于网络中正在进行的或潜在的恶意活动信息,涵盖但不限于特定的恶意软件样本、恶意IP地址、钓鱼电子邮件信息、黑客组织的入侵行为等内容,对于提前感知预警、防范低于和应急响应等方面有重要的价值。

威胁情报共享

在当前网络风险日益严峻的时代背景下,传统的由单一部门或机构负责网络安全防御的模式已经无法满足显示需求,因此必须加强网络威胁情报共享,以便于多部门、多机构共同承担保护国家网络安全的责任。

然而,网络威胁情报高度敏感、传统的信息交换和共享模式无法充分保证数据安全和用户隐私,且网络安全监管单位、行业用户、研究机构及安全厂商等多方主体缺乏信息共享的积极意愿,很大程度上导致了网络威胁情报的信息孤岛数据烟囱现象,割裂的情报数据的关联性,不利于构建全面的网络安全综合防御体系。

隐私计算技术可以消除共享参与方对数据安全和用户隐私的顾虑,有助于构建网络威胁情报数据共享的新模式。

根据共享者参与方式不同,网络威胁情报共享模型分为点对点分享中心化分享混合式分享

image-20240921110552-s5148igimage-20240921110606-vgjm6za

隐私计算技术

隐私计算技术主要分为:基于密码学的安全多方计算人工智能与隐私保护结合的联邦学习基于硬件的可信执行环境区块链等相关技术

(1)安全多方计算

多个参与方协同计算关于秘密数据的任意函数,而不泄露除函数输出意外的其他秘密信息。

有关技术:OT、SS、DP、HE等

(2)联邦学习

是一种既联合多方又不共享各方原始数据的分布式机器学习框架,在保护各参与方隐私数据的前提下,联各参与方共同训练,得到一个共享的模型。

联邦学习在模型训练的整个过程中,用户的原始数据始终保留在用户本地,服务端与用户之间通过共享加密或不包含隐私信息的中间参数的方式进行模型训练和参数更新,进而在保护用户隐私的前提下构建一个有效的机器学习模型。

根据数据集的不同,分为:横向联邦学习、纵向联邦学习、联邦迁移学习。

  • 横向联邦:适用于参与方数据特征重叠较多而数据样本重叠较少的情况。
  • 纵向联邦:适用于参与方数据特征重叠较少而数据样本重叠较多的情况。
  • 联邦迁移:参与方数据特征和数据样本均有较少重叠的情况。

联邦学习的具体定义:

image-20240921111906-ikjwhrv

(3)可信执行环境(TEE)

是在CPU或GPU中构建一个独立、可信、隔离、安全的机密空间,敏感数据计算在该安全环境内。如Intel的SGX(今日网传Intel被高通收购)。

image-20240921112044-krajw4q

(4)区块链

image-20240921112137-2tbu7bn

单一类型的隐私计算技术均无法高校彻底的解决数据共享存在的隐私安全问题,需要联合多种技术使用。

隐私保护体系下的网络威胁情报共享研究现状

(1)HOMANI等人提出一种利用HyperledgerFabric区块链技术和STIX协
实现网络威胁情报共享的测试框架,利用超级账本允许共享参与方以可信的方式传递高度敏感数据。该框架虽然能够一定程度上解决共享过程中的信任屏
障和数据隐私问题,但局限于欧盟体制下网络威胁情报共享标准,缺乏通用性。

STIX(Structured Threat Information Expression)是用于网络威胁情报交换的语言和格式,由OASIS CTI TC维护。它包括SDO(领域对象)、SCO(可观测对象)和SRO(关系对象),应用于协同分析、情报交换和自动化响应。

(2)ENTES等人将Paillier同态加密技术STIX标准相结合,提出一种安全的共
享方案,为共享参与方的数据转发和聚合过程提供安全保护,并通过实验验证了该方案具有较强的实用性。

(3)BADSHA等人为了防止情报共享过程中隐私信息可能泄露给不信任的参与者,提出一种基于ElGamal同态加密的网络威胁情报共享框架和基于决策树的隐私保护学习算法。

(4)ARHANI等人利用联邦学习技术,提出一种网络威胁情报共享方案,实现在保护用户敏感信息的情况下,多个组织之间共享情报,保持数据隐私性,并通过实验验证了其有效。

(5)NGUYEN等人利用HyperledgerFabric区块链IPFS分布式存储,提出一个网络威胁情报共享激励框架,用于组织之间安全、私密和激励性地交换威胁情报,并提供了用户注册、威胁情报贡献和验证、威胁情报消费等功能。

(6)BANDARA等人利用区块链恶意软件信息共享平台(MISP)联邦学习等技术,设计了一个网络威胁情报共享分析平台LUUNU,该平台可以从各成员组织收集、分析、总结和共享网络威胁信息,包括攻击模式、攻击者身份、攻击恶意软件和攻击策略等。

image-20240921112443-u0d1gf3

威胁情报共享方案设计

方案设计

参与方:关基单位、研究院校、安全厂商、组织个人等。

image-20240921113954-a92kzgr

功能:准入审核、数据安全交互、安全退出等

(1)准入审核

当某组织要加入平台时,需向第三方发送注册请求,可信第三方对该请求进行身份审核认证,注册陈功后,该组织成为平台的情报节点,并接受可信第三方的审计和权限控制。

image-20240921114255-25t43go

(2)数据安全交互

  • 传输安全

情报数据以密文形式在情报节点和可信第三方之间进行安全传输并进行分布式存储。

  • 分析应用

可信第三方与情报节点联合对密态数据进行预处理,对加密的网络威胁情报数据进行深入挖掘和分析,识别潜在的网络安全风险,输出相关情报报告。

image-20240921163258-mykwrke

(3)安全退出

某组织计划退出平台时,需向可信第三方发送七个球,可信第三方进行身份审核认证,然后删除数据。

image-20240921163510-wv4gp8t

算法设计

针对以上平台,下面设计了情报节点身份注册算法、情报数据安全加密传输算法、情报(文中由错别字)数据处理算法。

(1)情报节点身份注册

  • 某组织有意加入平台,需向可信第三方发送注册请求。

  • 可信第三方收到请求后,生成ckks算法的公私钥\((p k T, s k T) \leftarrow G^{C}(\cdot)\),并将公钥\(p k T\)分发给组织机构,进行组织机构的身份认证。

  • 组织机构收到公钥后,生成对称加密密钥对\(s k O \leftarrow G^{A}(\cdot)\);指定哈希函数\(h(\cdot)\leftarrow H(\cdot);\)用ckks的公钥加密堆成加密的密钥对\(C\leftarrow Enc^C(pkT,skO)\)。组织机构将\(C,h,h(\cdot)\)发送给可信第三方。

  • 可信第三方收到后,利用ckks的私钥解密得到对称加密的密钥\(skO^{\prime}\leftarrow Dec^C(skT,C)\);并验证其哈希值\(h'\leftarrow h(skO')\),对比哈希值来判断情报节点是否注册成功。

(2)情报数据安全加密传输

对情报数据进行同态加密,但同态加密的密文数据尺寸太大,传输代价较高,采用密文切换技术。

  • 在情报节点利用AES对称加密对情报M加密\(E_M{}^A{\leftarrow}Enc^A(skO,M)\) ,并将密文发送给可信第三方。
  • 【AES密文转ckks密文】可信第三方收到后,利用ckks加密AES对称密钥\(E_{skO}{}^C\leftarrow Enc^C(pkT,skO)\);进行密文切换\(E_M{}^C\leftarrow Dec^A(E_{skO}{}^C,E_M{}^A)=Enc^C(pkT,M)\)
  • 由于ckks具由同态性:\(f(Enc(pk,m))=Enc(pk,f(m))\)
  • 所以:\(Dec^{A}(E_{skO}^{C},E_{M}^{A})=Dec^{A}(Enc^{C}(pkT,skO),Enc^{A}(skO,M))=\\Enc^{C}(pkT,Dec^{A}(skO,Enc^{A}(skO,M)))=Enc^{C}(pkT,M)=E_{M}^{C}\)
  • 上面是将AES密文转换为ckks密文,密文尺寸不是变得更大了?

(3)情报数据处理

情报节点获得某情报数据x,想利用平台的数据库M对该情报数据进行威胁分类、关联分析等操作,记为f(x)。

image-20240921215827-1d4qh2l

  • 情报节点利用AES加密情报数据x:\(E_x^A{\leftarrow}Enc^A(skO,x)\),并将其发送给可信第三方。
  • 可信第三方收到后,执行密文切换,变为ckks密文:\(E_x^C\leftarrow Dec^A(Enc^C(pkT,skO),E_x^A)\),并将其发送给子服务器。
  • 可信第三方子服务器收到后,进行联邦计算:\(y_i=FL(E_x^C,E_{M_i}^C,f(\cdot))\),并将其发送给主服务器(可信第三方)。
  • 【ckks密文转AES密文】可信第三方收到后,将结果进行聚合:\(y_{0}\leftarrow FL(y_{1},y_{2},\cdots,y_{n})=Enc^{C}(pkT,f(x,M))\);并进行密文切换:\(y^{\prime}\leftarrow Enc^A(skO,y_0)=Enc^A(skO,Enc^C(pkT,f(x,M^{\prime})))=Enc^C(pkT,\\Enc^A(skO,f(x,M^{\prime})))\),再执行一层ckks解密:\(y\leftarrow Dec^C(skT,y^{\prime})=Enc^A(skO,f(x,M))\),这样就将ckks密文转换为AES密文,并将其发送给情报节点。
  • 情报节点收到后,执行AES解密:\(f(x,M)\leftarrow Dec^A(skO,y)\)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/801231.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Logisim-013-◇汉字显示

转码在线工具地址 https://www.23bei.com/tool/54.html#仓库地址 https://gitee.com/gitliang/logisim-to-cpu

spring6.1在java17环境下使用反射

引包 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-aop</artifactId><version>3.3.4</version> </dependency> 反射代码编写简单的反射方法,如下所示 package com.lw.reflect.c…

实景三维+耕地保护:构建耕地资源管理的全闭环新模式

在耕地资源日益珍贵的今天,如何高效、精准地实施耕地保护,成为了我国农业可持续发展与生态文明建设的关键课题。“实景三维+耕地保护”的创新模式,能够为这一挑战提供突破性的解决方案,打造一个从前端监测到后端管理的全闭环耕地保护管理模式。本文将深入分析这一模式的核心…

IDEA 如何设置TAB页显示多行

前言 我们在使用IDEA开发时,经常需要打开多个TAB页,但是,IDEA默认的方式是最多只能打开少量的TAB页,且打开的TAB页只能堆积在一行上显示,如果超出了数量,就会自动隐藏。这样对于我能经常需要在多个不同TAB页之间打开来说,是比较麻烦的,那么有什么办法能改变下设置呢? …

深入剖析RocketMQ消息消费原理

本文参考转载至《RocketMQ技术内幕 第2版》一. 消息消费概述 消息消费以组的模式开展,一个消费组可以包含多个消费者,每个消费组可以订阅多个主题,消费组之间有集群模式和广播模式两种消费模式。集群模式是当前主题下的同一条消息只允许被其中一个消费者消费。广播模式是当前…

dc-8

靶机下载地址:dc-8 找到靶机 nmap -sV 192.168.6.0/24查看端口 疑似有注入点开始尝试 python sqlmap.py -u "http://192.168.6.135/?nid=*" --dbs 查库python sqlmap.py -u "http://192.168.6.135/?nid=*" -D "d7db" --tables 查表python sqlm…

27. 守护进程、进程间通信

1. 僵尸进程与孤儿进程1.1 前言 在unix中,所有的子进程都是由父进程创建的,子进程再创建新的子进程 子进程的结束和父进程的运行是一个异步的过程,即子进程运行完成时,父进程并不知道 当子进程运行完成时,父进程需要调用wait()或waitpid()来获取子进程的运行状态 1.2 僵尸…

BUU XSS COURSE 1

启动靶机有留言板和登录功能,很明显是存储性xss,通过留言功能插入xss代码,获取cookie登录后台 先测试过滤 <script>alert(1);</script> 查看源代码发现script被过滤 <input onfocus="alert(xss);">好像只过滤了script找一个xss平台或者自己用服…

Wireshark开源抓包工具

Wireshark零基础使用教程(超详细) - 元宇宙-Metaverse - 博客园 (cnblogs.com)一、Wireshark是什么 Wireshark是使用最广泛的一款「开源抓包软件」,常用来检测网络问题、攻击溯源、或者分析底层通信机制。 它使用WinPCAP作为接口,直接与网卡进行数据报文交换。 二、Wiresha…

Prompt提示词概念

什么是prompt提示词? 叮!快来看看我和文心一言的奇妙对话~什么是提示工程(prompt engineering)?点击链接 https://yiyan.baidu.com/share/vMZ69XCFTc?utm_invite_code=P0HSh4T14mrU4TwxGbJ%2BSw%3D%3D&utm_name=SGlkZGVuX3N0YXJz&utm_fission_type=common -- 文心…

C#|.net core 基础 - 深拷贝的五大类N种实现方式

C#深拷贝复杂,文中介绍了五大类N种深拷贝方法,包括简单引用类型、手动方式、序列化方式、第三方库方式和扩展视野方式,并对比了性能。建议使用AutoMapper和DeepCloner等成熟库或根据性能需求选择表达式树和Emit。在实际应用中经常会有这样的需求:获取一个与原对象数据相同但…

智能写作新体验:AI写作小助手助力内容创作

在信息时代的浪潮中,内容创作已成为连接世界、传递价值的重要桥梁。然而,传统的写作方式在效率和质量上往往难以满足现代社会的需求。此时,AI写作小助手的诞生,为内容创作带来了全新的体验。本文将深入探讨AI写作小助手如何助力内容创作,开启智能写作的新篇章。AI写作小助…