威胁情报的应用方法及设备与流程

1.本发明涉及区块链技术领域，具体涉及威胁情报的应用方法及设备。


背景技术：

2.随着计算机和网络技术的快速发展，各种网络安全事件频繁发生，新漏洞层出不穷，催生出大量新的安全风险，对网络安全和业务安全造成严重威胁。传统网络安全模式，安全防护各自为营，各项信息相对孤立，网络安全防护已落后于攻击技术发展。安全子系统相互独立，容易造成孤岛效应。各个系统缺乏协同，难以协同、高效工作。尤其是涉及跨行业、跨组织、跨地域时，更是如此，问题更加突出。
3.在威胁情报的下发与应用方面，各个系统之间也是相互独立，一方面目前需要较大的人工介入进行威胁情报的应用，另一方面目前无法实现自动化下发与联动应用。
4.因此，威胁情报信息的自动化下发与联动应用亟需解决，以提升网络安全防护的效率及效果，利于整个威胁情报生态的闭环持续有效开展。


技术实现要素：

5.本发明的至少一个实施例提供了一种威胁情报的应用方法及设备，利用区块链技术及其智能合约，实现威胁情报的自动化下发与联动应用，能够提高网络安全防护的效率。
6.根据本发明的一个方面，至少一个实施例提供了一种一种威胁情报的应用方法，应用于第一节点，包括：
7.获取威胁情报信息；
8.运行第一智能合约，自动筛选出第二节点，所述第二节点为需要下发所述威胁情报信息的被运营设备；
9.基于共识机制，将所述第一智能合约输出的自动筛选状态信息以及所述第二节点的信息写入区块链中；
10.运行第二智能合约，将所述威胁情报信息自动下发到所述第二节点，并基于共识机制，将所述第二智能合约输出的下发状态信息写入到区块链中；
11.运行第三智能合约，基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中，其中，所述威胁情报应用状态信息是：所述第二节点在运行第三智能合约执行修复操作后得到的信息。
12.此外，根据本发明的至少一个实施例，所述运行第一智能合约，自动筛选出第二节点，包括：
13.确定被运营设备的设备分类，获取区块链中的威胁情报信息并确定威胁情报信息的第一情报类型；
14.根据预设的不同情报类型与设备分类之间的对应关系，确定所述威胁情报信息对应的第一设备分类及该第一设备分类下的节点，得到所述第二节点，并输出用于表示设备筛选是否成功的自动筛选状态信息。
15.此外，根据本发明的至少一个实施例，所述情报类型包括以下类型中的至少一种：ip类、域名类、url类、事件类、漏洞类和文件md5类；
16.所述设备分类包括设备类型和/或设备级别，其中，所述设备类型是根据所述设备承载的应用类型、协议类型、操作系统类型、运营的数据类别、运行的软件类型以及硬件类型中的至少一种划分得到的，所述设备级别是根据所述设备执行的功能或服务的级别划分得到的。
17.此外，根据本发明的至少一个实施例，所述运行第二智能合约，将所述威胁情报信息自动下发到所述第二节点，包括：
18.在所述区块链中的自动筛选状态信息表示设备筛选成功的情况下，将所述区块链中的威胁情报信息下发到所述第二节点，得到用于表示情报下发是否成功的下发状态信息。
19.此外，根据本发明的至少一个实施例，所述威胁情报应用状态信息用于表示是否成功基于所述威胁情报信息进行了修复。
20.此外，根据本发明的至少一个实施例，在基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中之后，区块链上的区块中的区块体包括如下信息：
21.第一节点获取的待下发的威胁情报信息、所述第一智能合约输出的自动筛选状态信息以及所述第二节点的信息、所述第二智能合约输出的下发状态信息、以及，所述第二节点在运行第三智能合约执行修复操作后得到的威胁情报应用状态信息。
22.根据本发明的一个方面，至少一个实施例提供了一种一种威胁情报的应用方法，应用于第二节点，包括：
23.获取第一节点下发的威胁情报信息；
24.运行第三智能合约，执行所述威胁情报信息对应的修复操作，获得所述第三智能合约输出的威胁情报应用状态信息；
25.基于共识机制，将所述威胁情报应用状态信息写入区块链中。
26.此外，根据本发明的至少一个实施例，所述运行第三智能合约，执行所述威胁情报信息对应的修复操作，包括：
27.根据预设的不同威胁情报/情报类型与修复操作之间的对应关系，确定所述威胁情报信息对应的修复操作并执行，得到用于表示是否成功基于所述威胁情报信息进行了修复操作的威胁情报应用状态信息。
28.此外，根据本发明的至少一个实施例，在基于共识机制，将所述威胁情报应用状态信息写入区块链中之后，区块链的区块中的区块体包括如下信息：
29.第一节点下发的威胁情报信息，以及，所述第二节点在运行第三智能合约执行修复操作后得到的威胁情报应用状态信息。
30.根据本发明的一个方面，至少一个实施例提供了一种一种第一节点，包括：应用层模块和智能合约层模块，其中，所述应用层模块包括威胁情报应用子模块；所述智能合约层模块包括自动筛选子模块、自动下发子模块、和联动应用与修复子模块；
31.所述威胁情报应用子模块，用于获取威胁情报信息；
32.所述自动筛选子模块，用于运行第一智能合约，自动筛选出第二节点，所述第二节点为需要下发所述威胁情报信息的被运营设备；以及，将所述第一智能合约输出的自动筛
选状态信息以及所述第二节点的信息写入区块链中
33.所述自动下发子模块，用于运行第二智能合约，将所述威胁情报信息自动下发到所述第二节点，并基于共识机制，将所述第二智能合约输出的下发状态信息写入到区块链中；
34.所述联动应用与修复子模块，用于运行第三智能合约，基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中，其中，所述威胁情报应用状态信息是：所述第二节点在运行第三智能合约执行修复操作后得到的信息。
35.此外，根据本发明的至少一个实施例，所述自动筛选子模块，还用于确定被运营设备的设备分类，获取区块链中的威胁情报信息并确定威胁情报信息的第一情报类型；根据预设的不同情报类型与设备分类之间的对应关系，确定所述威胁情报信息对应的第一设备分类及该第一设备分类下的节点，得到所述第二节点，并输出用于表示设备筛选是否成功的自动筛选状态信息。
36.此外，根据本发明的至少一个实施例，所述情报类型包括以下类型中的至少一种：ip类、域名类、url类、事件类、漏洞类和文件md5类；
37.所述设备分类包括设备类型和/或设备级别，其中，所述设备类型是根据所述设备承载的应用类型、协议类型、操作系统类型、运营的数据类别、运行的软件类型以及硬件类型中的至少一种划分得到的，所述设备级别是根据所述设备执行的功能或服务的级别划分得到的。
38.此外，根据本发明的至少一个实施例，所述自动下发子模块，还用于在所述区块链中的自动筛选状态信息表示设备筛选成功的情况下，将所述区块链中的威胁情报信息下发到所述第二节点，得到用于表示情报下发是否成功的下发状态信息。
39.此外，根据本发明的至少一个实施例，所述威胁情报应用状态信息用于表示是否成功基于所述威胁情报信息进行了修复。
40.此外，根据本发明的至少一个实施例，在基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中之后，区块链上的区块中的区块体包括如下信息：
41.第一节点获取的待下发的威胁情报信息、所述第一智能合约输出的自动筛选状态信息以及所述第二节点的信息、所述第二智能合约输出的下发状态信息、以及，所述第二节点在运行第三智能合约执行修复操作后得到的威胁情报应用状态信息。
42.根据本发明的一个方面，至少一个实施例提供了一种一种第一节点，其特征在于，包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述程序被所述处理器执行时实现如上所述的威胁情报的应用方法的步骤。
43.根据本发明的一个方面，至少一个实施例提供了一种一种第二节点，其包括：应用层模块和智能合约层模块，其中，所述应用层模块包括威胁情报应用子模块；所述智能合约层模块包括联动应用与修复子模块；
44.所述威胁情报应用子模块，用于获取第一节点下发的威胁情报信息；
45.所述联动应用与修复子模块，用于运行第三智能合约，执行所述威胁情报信息对应的修复操作，获得所述第三智能合约输出的威胁情报应用状态信息；基于共识机制，将所述威胁情报应用状态信息写入区块链中。
46.此外，根据本发明的至少一个实施例，所述联动应用与修复子模块还用于根据预
设的不同威胁情报/情报类型与修复操作之间的对应关系，确定所述威胁情报信息对应的修复操作并执行，得到用于表示是否成功基于所述威胁情报信息进行了修复操作的威胁情报应用状态信息。
47.此外，根据本发明的至少一个实施例，在基于共识机制，将所述威胁情报应用状态信息写入区块链中之后，区块链的区块中的区块体包括如下信息：
48.第一节点下发的威胁情报信息，以及，所述第二节点在运行第三智能合约执行修复操作后得到的威胁情报应用状态信息。
49.根据本发明的另一方面，至少一个实施例提供了一种第二节点，包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序，所述程序被所述处理器执行时实现如上所述的威胁情报的应用方法的步骤。
50.根据本发明的另一方面，至少一个实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有程序，所述程序被处理器执行时，实现如上所述的方法的步骤。
51.从以上所述可以看出，本发明实施例至少具有以下优点：
52.本发明实施例提供的所述的基于区块链的威胁情报应用方法和设备，解决了威胁情报信息相互独立，各个系统缺乏协同，难以协同、高效工作的问题，能够实现威胁情报的自动化下发与联动应用，提高网络安全防护的效率。另外，本发明实施例还可以及时有效地对所获取或者分析出最新的最有价值的威胁情报信息进行联动应用与修复，提升威胁情报应用效果，并且可以追踪威胁情报应用情况。另外，本发明实施例提供的所述的基于区块链的威胁情报应用方法和设备，还可以促进威胁情报生态闭环持续有效开展。
附图说明
53.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
54.图1为本发明实施例的一种应用场景示意图；
55.图2为本发明实施例的基于区块链的威胁情报应用所涉及的各个节点之间的逻辑示意图；
56.图3为本发明实施例提供的运营管理者的节点的区块结构示意图；
57.图4为本发明实施例提供的被运营设备的节点的区块结构示意图；
58.图5为本发明实施例提供的第一节点的结构示意图；
59.图6为本发明实施例提供的第二节点的结构示意图；
60.图7为本发明实施例的威胁情报的应用方法应用于第一节点时的流程图；
61.图8为本发明实施例的威胁情报的应用方法应用于第二节点时的流程图；
62.图9为本发明实施例的威胁情报的应用方法的交互流程图；
63.图10为本发明实施例的威胁情报应用的各种智能合约方法原理示意图；
64.图11为本发明实施例提供的第一节点的另一结构示意图；
65.图12为本发明实施例提供的第二节点的另一结构示意图。
具体实施方式
66.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。
67.本技术的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。说明书以及权利要求中“和/或”表示所连接对象的至少其中之一。
68.以下描述提供示例而并非限定权利要求中阐述的范围、适用性或者配置。可以对所讨论的要素的功能和布置作出改变而不会脱离本公开的精神和范围。各种示例可恰适地省略、替代、或添加各种规程或组件。例如，可以按不同于所描述的次序来执行所描述的方法，并且可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。
69.如背景技术所述的，现有技术中威胁情报信息相互独立，各个系统缺乏协同，难以协同、高效工作，以及现有各系统需要较大的人工介入，无法实现自动化下发与联动应用，进而导致威胁情报应用效果较低，应用情况无法追踪等。为了解决以上问题中的至少一种，本发明实施例提供了一种基于区块链的威胁情报应用方法和相关设备，利用区块链技术构建威胁情报信息以及威胁情报自动化下发与联动应用智能合约的区块链，进而实现运营维护管理员对于不同威胁情报信息对应的应用设备、系统、基础设施等的自动化筛选，然后进行相应的自动化下发，再进行联动应用与修复。
70.在介绍基于区块链的威胁情报的应用方法和设备之前，先说明基于区块链的威胁情报应用方法和设备的应用场景，如图1所示，示出了其中对应的设备/系统组成。其中，组件101对应的区块链为基于区块链的威胁情报共享链，这里，威胁情报提供者可以是各专业威胁情报厂家、防病毒厂家、防高级可持续威胁攻击(advanced persistent threat，apt)厂家、检测类产品厂家、免费情报联盟等角色，威胁情报使用者可以是运营商、金融机构、能源机构、工业互联网机构等角色。
71.组件102和组件103对应的区块链为基于区块链的威胁情报应用链。威胁情报使用者为组件101所述的威胁情报使用者，即可以是运营商、金融机构、能源机构、工业互联网机构等，其对应到组件102、组件103中的角色一般即为运营管理者，通过组件101威胁情报的共享系统可以直接获得最新的威胁情报信息或者通过关联分析获得最新的威胁情报信息，然后通过基于区块链的威胁情报应用系统中的自动筛选子模块中的智能合约，将最新的威胁情报信息进行情报对应所需下发设备或者系统的筛选；再通过基于区块链的威胁情报应用系统中的自动下发子模块，将情报信息下发到所筛选出的设备或系统中；然后再进行对应的联动应用与修复。
72.图2提供了组件102、103对应的基于区块链的威胁情报应用所涉及的各个节点之
间的逻辑示意图，其中，各个节点之间在逻辑层面上形成了点对点的通信。每个节点可以是运营管理者的设备或被运营设备等。
73.接下来介绍本发明实施例的基于区块链的威胁情报应用系统中各个运行节点的区块链及其智能合约。
74.首先，对于运营管理者角色的运行节点而言，其运行的智能合约包括3个，分别为：基于区块链的威胁情报应用的被运营设备自动筛选智能合约(为了便于描述，本文也简称为第一智能合约)、基于区块链的威胁情报应用的自动下发智能合约(为了便于描述，本文也简称为第二智能合约)、基于区块链的威胁情报应用的联动应用与修复智能合约(为了便于描述，本文也简称为第三智能合约)。其区块包括区块头和区块体，具体结构请参考图3。
75.如图3所示，区块头包括前一区块的散列值、merkle根、随机数和时间戳；区块体包括威胁情报信息、被运营设备的自动筛选状态信息以及所述第一智能合约筛选出的被运营设备的信息、被运营设备的下发状态信息和威胁情报应用状态信息。
76.其中，威胁情报信息，是运营维护管理员所获得的最新的全量的威胁情报，可以包括ip地址信息、域名信息、url信息、安全事件信息、漏洞信息等各种类型的信息中的一种或多种。该区块中的威胁情报信息可以是从共享链中获取的，或者是其他链共享到节点上的，或者由运营管理者的第一节点写入到区块中的。
77.被运营设备的自动筛选状态信息，是威胁情报应用对应的被运营设备自动筛选状态相关信息。该信息由所述第一智能合约执行后获得，用于表示设备筛选是否成功，即所述第一智能合约是否成功执行。
78.被运营设备的下发状态信息，是威胁情报应用对应的威胁情报下发至被运营设备状态相关信息。该信息由所述第二智能合约执行后获得，用于表示情报下发是否成功的下发状态信息，即所述第二智能合约是否成功执行。
79.威胁情报应用状态信息，是威胁情报在被运营设备上进行联动应用与修复状态的相关信息。该信息由所述第三智能合约执行后获得，用于表示是否成功基于所述威胁情报信息进行了应用与修复，即所述第三智能合约是否成功执行。
80.其次，对于被运营设备角色的运行节点而言，其运行的智能合约为第三智能合约。其区块包括区块头和区块体，具体结构请参考图4。
81.如图4所示，区块头包括前一区块的散列值、merkle根、随机数、时间戳构成；区块体包括威胁情报信息和威胁情报应用状态信息。
82.其中，威胁情报信息，是运营管理者的节点自动筛选及下发至对应被运营设备的最新的威胁情报的信息，具体可以是ip地址信息、域名信息、url信息、安全事件信息、漏洞信息中的一种或几种类型的威胁情报信息。
83.威胁情报应用状态信息，是威胁情报在被运营设备上进行联动应用与修复状态的相关信息。该信息由第三智能合约执行后获得，用于表示是否成功基于所述威胁情报信息进行了应用与修复，即所述第三智能合约是否成功执行。
84.图5提供了本发明实施例的作为运营管理者的第一节点的结构示意图。如图5所示，所述第一节点包括3大部分，分别为：底层区块链模块201、智能合约层模块202、应用层模块203。其中，
85.底层区块链模块201，用于执行包括共识算法和区块生成等在内的区块链技术，对
威胁情报应用的所有节点进行区块链技术的支撑与实现。有关区块链技术实现的更为具体的细节，请参考现有技术，本文不再赘述。
86.智能合约层模块202，用于实现威胁情报应用的智能合约。该模块包含3个子模块，分别为：运行所述第一智能合约的自动筛选子模块2021、运行所述第二智能合约的自动下发子模块2022、运行所述第三智能合约的联动应用与修复子模块2023，能够实现智能合约的部署、执行、查询等。
87.其中，所述自动筛选子模块2021，用于运行第一智能合约，自动筛选出第二节点，所述第二节点为需要下发所述威胁情报信息的被运营设备；以及，将所述第一智能合约输出的自动筛选状态信息以及所述第二节点的信息写入区块链中。
88.所述自动下发子模块2022，用于运行第二智能合约，将所述威胁情报信息自动下发到所述第二节点，并基于共识机制，将所述第二智能合约输出的下发状态信息写入到区块链中。
89.所述联动应用与修复子模块2023，用于运行第三智能合约，基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中，其中，所述威胁情报应用状态信息是：所述第二节点在运行第三智能合约执行修复操作后得到的信息。
90.应用层模块203，用于对区块链中的威胁情报进行应用。该模块包含一个子模块，即基于区块链的威胁情报应用子模块2031，该模块用于获取威胁情报信息，从而对区块链中的威胁情报信息进行联动应用和修复。
91.具体的，所述自动筛选子模块2021，还用于确定被运营设备的设备分类，获取区块链中的威胁情报信息并确定威胁情报信息的第一情报类型；根据预设的不同情报类型与设备分类之间的对应关系，确定所述威胁情报信息对应的第一设备分类及该第一设备分类下的节点，得到所述第二节点，并输出用于表示设备筛选是否成功的自动筛选状态信息。
92.这里，所述情报类型包括以下类型中的至少一种：ip类、域名类、url类、事件类、漏洞类和文件md5类。所述设备分类包括设备类型和/或设备级别，其中，所述设备类型是根据所述设备承载的应用类型、协议类型、操作系统类型、运营的数据类别、运行的软件类型以及硬件类型中的至少一种划分得到的，所述设备级别可以根据所述设备执行的功能或服务的级别划分得到的。
93.所述自动下发子模块2022，还用于在所述区块链中的自动筛选状态信息表示设备筛选成功的情况下，将所述区块链中的威胁情报信息下发到所述第二节点，得到用于表示情报下发是否成功的下发状态信息。
94.这里，所述威胁情报应用状态信息具有用于表示是否成功基于所述威胁情报信息进行了修复。
95.这里，第一节点共识的所述区块链的区块结构包括：区块头和区块体；其中，所述区块头包括：前一区块的散列值、merkle根、随机数和时间戳。在基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中之后，区块链上的区块中的区块体包括如下信息：第一节点获取的待下发的威胁情报信息、所述第一智能合约输出的自动筛选状态信息以及所述第二节点的信息、所述第二智能合约输出的下发状态信息、以及，所述第二节点在运行第三智能合约执行修复操作后得到的威胁情报应用状态信息。
96.图6提供了本发明实施例的作为威胁情报的被运营设备的第二节点的结构示意
图。如图6所示，所述第二节点包括3大部分，分别为：底层区块链模块301、智能合约层模块302、应用层模块303。其中，
97.底层区块链模块301，用于执行包括共识算法和区块生成等在内的区块链技术，对威胁情报应用的所有节点进行区块链技术的支撑与实现。有关区块链技术实现的更为具体的细节，请参考现有技术，本文不再赘述。
98.智能合约层模块302，用于实现威胁情报应用的智能合约。该模块包含有运行第三智能合约的联动应用与修复子模块3023，能够实现智能合约的部署、执行、查询等。所述联动应用与修复子模块3023，用于运行第三智能合约，执行所述威胁情报信息对应的修复操作，获得所述第三智能合约输出的威胁情报应用状态信息；基于共识机制，将所述威胁情报应用状态信息写入区块链中。
99.应用层模块303，用于对区块链中的威胁情报进行应用。该模块包含一个子模块，即基于区块链的威胁情报应用子模块3031，该模块用于获取第一节点下发的威胁情报信息，从而对区块链中的威胁情报信息进行联动应用和修复。
100.这里，所述联动应用与修复子模块还用于根据预设的不同威胁情报/情报类型与修复操作之间的对应关系，确定所述威胁情报信息对应的修复操作并执行，得到用于表示是否成功基于所述威胁情报信息进行了修复操作的威胁情报应用状态信息。
101.这里，在第二节点处，所述区块链的区块结构包括：区块头和区块体；其中，所述区块头包括：前一区块的散列值、merkle根、随机数和时间戳。在基于共识机制，将所述威胁情报应用状态信息写入区块链中之后，区块链的区块中的区块体包括如下信息：第一节点下发的威胁情报信息，以及，所述第二节点在运行第三智能合约执行修复操作后得到的威胁情报应用状态信息。
102.接下来介绍本发明实施例的基于区块链的威胁情报应用方法。
103.请参照图7，本发明实施例提供的威胁情报的应用方法，在应用于作为运营管理者的第一节点时，包括：
104.步骤71，获取威胁情报信息。
105.步骤72，运行第一智能合约，自动筛选出第二节点，所述第二节点为需要下发所述威胁情报信息的被运营设备。
106.这里，运行基于区块链的威胁情报应用的被运营设备自动筛选的第一智能合约，筛选出所述威胁情报信息所需下发的作为被运营设备的第二节点
107.步骤73，基于共识机制，将所述第一智能合约输出的自动筛选状态信息以及所述第二节点的信息写入区块链中。
108.步骤74，运行第二智能合约，将所述威胁情报信息自动下发到所述第二节点，并基于共识机制，将所述第二智能合约输出的下发状态信息写入到区块链中。
109.这里，运行基于区块链的威胁情报应用的自动下发的第二智能合约，将所述威胁情报信息下发到所述第二节点，并将所述第二智能合约输出的下发状态信息共识到所述区块链中。
110.步骤75，运行第三智能合约，基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中，其中，所述威胁情报应用状态信息是：所述第二节点在运行第三智能合约执行修复操作后得到的信息。
111.通过以上步骤，本发明实施例利用区块链技术及其智能合约，实现威胁情报的自动化下发与联动应用，能够提高网络安全防护的效率。
112.这里，所述运行第一智能合约，自动筛选出第二节点，具体可以包括：
113.确定被运营设备的设备分类，获取区块链中的威胁情报信息并确定威胁情报信息的第一情报类型；
114.根据预设的不同情报类型与设备分类之间的对应关系，确定所述威胁情报信息对应的第一设备分类及该第一设备分类下的节点，得到所述第二节点，并输出用于表示设备筛选是否成功的自动筛选状态信息。
115.具体的，所述情报类型包括以下类型中的至少一种：ip类、域名类、url类、事件类、漏洞类和文件md5类；
116.所述设备分类包括设备类型和/或设备级别，其中，所述设备类型是根据所述设备承载的应用类型、协议类型、操作系统类型、运营的数据类别、运行的软件类型以及硬件类型中的至少一种划分得到的，所述设备级别是根据所述设备执行的功能或服务的级别划分得到的。
117.这里，所述运行第二智能合约，将所述威胁情报信息自动下发到所述第二节点，具体可以包括：在所述区块链中的自动筛选状态信息表示设备筛选成功的情况下，将所述区块链中的威胁情报信息下发到所述第二节点，得到用于表示情报下发是否成功的下发状态信息。
118.这里，所述威胁情报应用状态信息具体用于表示是否成功基于所述威胁情报信息进行了修复。
119.这里，在第一节点侧，所述区块链的区块结构包括：区块头和区块体；其中，所述区块头包括：前一区块的散列值、merkle根、随机数和时间戳。在基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中之后，区块链上的区块中的区块体包括如下信息：第一节点获取的待下发的威胁情报信息、所述第一智能合约输出的自动筛选状态信息以及所述第二节点的信息、所述第二智能合约输出的下发状态信息、以及，所述第二节点在运行第三智能合约执行修复操作后得到的威胁情报应用状态信息。
120.请参照图8，本发明实施例提供的威胁情报的应用方法，在应用于作为被运营设备的第二节点时，包括：
121.步骤81，获取第一节点下发的威胁情报信息；
122.这里，第二节点获取作为运营管理者的第一节点下发的威胁情报信息。
123.步骤82，运行第三智能合约，执行所述威胁情报信息对应的修复操作，获得所述第三智能合约输出的威胁情报应用状态信息。
124.步骤83，基于共识机制，将所述威胁情报应用状态信息写入区块链中。
125.通过以上步骤，本发明实施例利用区块链技术及其智能合约，实现威胁情报的自动化下发与联动应用，提高了网络安全防护的效率。
126.这里，在第二节点侧，所述运行第三智能合约，执行所述威胁情报信息对应的修复操作，具体可以包括：根据预设的不同威胁情报/情报类型与修复操作之间的对应关系，确定所述威胁情报信息对应的修复操作并执行，得到用于表示是否成功基于所述威胁情报信息进行了修复操作的威胁情报应用状态信息。
127.这里，在第二节点侧，所述区块链的区块结构包括：区块头和区块体；其中，所述区块头包括：前一区块的散列值、merkle根、随机数和时间戳。在基于共识机制，将所述威胁情报应用状态信息写入区块链中之后，区块链的区块中的区块体包括如下信息：第一节点下发的威胁情报信息，以及，所述第二节点在运行第三智能合约执行修复操作后得到的威胁情报应用状态信息。
128.图9进一步给出了本发明实施例的基于区块链的威胁情报应用方法的交互流程，如图9所示，该流程包括以下步骤：
129.步骤901：运营管理者获取最新的威胁情报信息，然后输出给步骤902。
130.步骤902：第一智能合约运行，筛选出情报对应所需下发设备或者系统。即接收步骤901的输出，执行智能合约，进行被运营设备自动化筛选。
131.步骤903：反馈被运营设备的自动筛选状态信息，即接收步骤902的输出，进行被运营设备的自动筛选状态信息的反馈。
132.步骤904：把被运营设备的自动筛选状态信息共识到区块链中，即接收步骤903的输出，根据区块链中的共识机制，将被运营设备的自动筛选状态信息写入区块链中。
133.步骤905：第二智能合约运行，将情报信息下发到所筛选出的设备或系统中。即接收步骤904的输出，执行智能合约，将威胁情报信息下发至对应的被运营设备。
134.步骤906：反馈被运营设备的下发状态信息，即接收步骤905的输出，进行被运营设备的下发状态信息的反馈。
135.步骤907：把被运营设备的下发状态信息共识到区块链中，即接收步骤906的输出，根据区块链中的共识机制，将被运营设备的下发状态信息写入区块链中。
136.步骤908：第三智能合约运行，进行对应的联动应用与修复，即接收步骤907的输出，进行对应威胁情报联动应用与修复。
137.步骤909：反馈最新的威胁情报应用状态信息，即接收步骤908的输出，进行最新的威胁情报应用状态信息的反馈。
138.步骤910：把威胁情报应用状态信息共识到区块链中，即接收步骤909的输出，根据区块链中的共识机制，将威胁情报应用状态信息写入区块链中。
139.从以上所述可以看出，本发明实施例至少具有以下优点：
140.1、本发明实施例提供的所述的基于区块链的威胁情报应用方法和设备，解决了威胁情报信息相互独立，各个系统缺乏协同，难以协同、高效工作的局面。
141.2、本发明实施例提供的所述的基于区块链的威胁情报应用方法和设备，解决了现有各系统需要较大的人工介入，无法实现自动化下发与联动应用的问题。
142.3、本发明实施例提供的所述的基于区块链的威胁情报应用方法和设备，可以及时有效地对所获取或者分析出最新的最有价值的威胁情报信息进行联动应用与修复，提升威胁情报应用效果，并且可以追踪威胁情报应用情况。
143.4、本发明实施例提供的所述的基于区块链的威胁情报应用方法和设备，可以促进威胁情报生态闭环持续有效开展。
144.5、本发明实施例提供的所述的基于区块链的威胁情报应用方法和设备，具有一定的商业应用及推广价值。
145.本发明实施例的基于区块链的威胁情报应用的各种智能合约方法原理如图10所
示。具体的，
146.智能合约经各方签署后，以程序代码的形式附着在区块链数据上，经点对点网络传播和节点验证后记入区块链的特定区块中。智能合约封装了预定义的若干状态及转换规则、触发合约执行的情景(如到达特定时间或发生特定事件、特定的威胁情报类型等)、特定情景下的应对行动(特定的动作执行、特定的响应执行)等。区块链可实时监控智能合约的状态，并通过核查数据源、确认满足特定触发条件后激活并执行合约。下面从第一节点侧介绍各个职能合约的原理。
147.第一智能合约，其预置的触发条件为所获取的威胁情报信息，预置响应规则为如果是某种类型的威胁情报信息，则其对应哪些设备。即：条件为威胁情报信息类型或具体的威胁情报信息，响应为该威胁情报信息对应的被运营设备或被运营设备集合。
148.具体地，第一智能合约，其方法逻辑框架流程如下。
149.该第一智能合约的输入为区块链上的数据——威胁情报信息，即区块链上的最新的威胁情报信息。
150.该第一智能合约的内部的逻辑运算和运行操作过程如下：
151.1.首先，在第一智能合约中，对被运营设备进行分类分级，具体的分类分级的标准可以根据其系统或设备所承载的应用类型、协议类型、操作系统类型、运营的数据类别、运行的软件类型、硬件类型等进行划分。此处，不作具体的限定。举例而言，可以设置简单的分类规则，比如直接以最简单的分类分级标准，按照承载的软件类型和硬件类型进行划分；或者复杂一些，在软件硬件类型划分的同时，按照不同的服务或者功能进行级别的划分，分为一二三级别等。举例而言，被运营设备可以划分为操作系统类、协议类、路由器类、交换机类、dns服务器、ids、ips、防火墙等。
152.2.在第一智能合约中，对于新入的情报的类型进行分类，情报类型的分类方法为按照情报所属类型进行直接分类方法，划分为ip类、域名类、url类、事件类、漏洞类、文件md5类等。
153.3.在第一智能合约中，对于不同类型的情报信息，设置不同类型的响应。具体的，根据所获得的情报类型，得到该威胁情报类型对应的被运营设备或被运营设备集合。智能合约根据情报类型，生成该情报类型所影响的设备或系统类型，例如，可分为操作系统类、协议类、路由器类、交换机类、dns服务器、ids、ips、防火墙等，然后将被运营设备根据上述所得到的设备或系统类型进行映射，最终得到对应的被运营设备或被运营设备集合。举例而言，对于恶意url类型情报，其被运营设备集合为网关、ids或ips。对于恶意域名类型情报，其被运营设备为dns服务器。对于恶意ip类型情报，其被运营设备集合为防火墙、ids或ips。对于漏洞类型情报，其被运营设备集合为各种网络设备或者被扫描器检测出的受影响的资产和网元设备等等。以此，通过智能合约自动化筛选出受影响的被运营设备，奠定了将全量的集中式的指令执行转化为特定的分布式的指令执行的前提基础。
154.该第一智能合约的输出结果为被运营设备自动筛选信息的状态，以及自动筛选出的被运营设备或被运营设备集合，输出到区块链上。
155.第二智能合约，其预置的触发条件为所筛选的被运营设备，预置响应条件为进行相应的威胁情报的下发。即：条件为哪个或者哪类被运营设备，响应为威胁情报信息。
156.具体地，第二智能合约方法，其方法逻辑框架流程如下。
157.该第二智能合约的输入为区块链上的数据——所筛选的被运营设备。
158.该第二智能合约的内部的逻辑运算过程如下：在智能合约中，对所筛选的被运营设备，均获取区块链上最新的威胁情报信息。
159.该第二智能合约的输出结果为被运营设备下发的状态，输出到区块链上。
160.第三智能合约，其预置的触发条件为所下发的威胁情报信息，预置响应规则为如果是某种类型的威胁情报信息，则其进行哪些修复操作与联动响应应用。即：条件为威胁情报信息类型或具体的威胁情报信息，响应为该威胁情报信息对应的联动响应应用与修复操作。
161.具体地，第三智能合约，其方法逻辑框架流程如下。
162.该第三智能合约的输入为区块链上的数据——威胁情报信息，即区块链上的最新的威胁情报信息。
163.该第三智能合约的内部的逻辑运算过程如下：
164.1.首先，在智能合约中，对被运营设备进行分类分级，具体的分类分级的标准可以根据其系统或设备所承载的应用类型、协议类型、操作系统类型、运营的数据类别、运行的软件类型、硬件类型等进行划分。举例而言，被运营设备可以划分为操作系统类、协议类、路由器类、交换机类、dns服务器、ids、ips、防火墙等。
165.2.在第三智能合约中，对于新入的情报的类型进行分类，情报类型的分类方法为按照情报所属类型进行直接分类方法，划分为ip类、域名类、url类、事件类、漏洞类、文件md5类等。
166.3.在第三智能合约中，对于不同类型的情报信息，设置不同类型的响应。具体的，设置为该威胁情报信息对应的联动响应应用与修复操作。根据所获得的情报可以响应于网元，安全设备和预警中心等。智能合约可以根据情报生成新的安全策略，然后将这些新的安全策略部署到网元和安全设备中。如有必要，还可以更新软件版本，修改网元和安全设备的配置。这样根据上述步骤2中的情报分类，以情报类型为条件，对应到响应举措，则触发响应动作执行，响应动作的执行最终对应到受影响的设备或系统类型进行实际响应操作，其他不受影响的设备或类型在执行智能合约过程中则不会有相应的实际响应操作。响应操作，具体如下边举例的详细描述。举例而言，对于恶意url类型情报，可以将其应用于网关，然后网关可以通过将恶意url过滤到黑名单来更新其安全策略。它也可以应用于ids或ips，通过更新相应url的防护规则。对于恶意域名类型情报，可以将其应用于dns服务器，dns服务器可以通过将恶意域设置为黑名单来更新配置。对于恶意ip类型情报，可以将其应用于防火墙，防火墙可以通过过滤恶意ip来更新其安全策略。通过更新相应ip的防护规则，该类情报也可以将其应用于ids或ips。对于漏洞类型情报，可以将其应用于各种网络设备，各网元设备可以通过更新软件或硬件来修复漏洞。同时，它可以用于制作检测插件，然后更新到扫描器以检测受影响的资产和网元设备等等。以此，实现威胁情报对应的联动响应应用与修复。
167.该第三智能合约的输出结果为威胁情报应用状态信息，输出到区块链上。
168.请参考图11，本发明实施例提供了第一节点1100的一结构示意图，包括：处理器1101、收发机1102、存储器1103和总线接口，其中：
169.在本发明实施例中，第一节点1100还包括：存储在存储器上1103并可在处理器1101上运行的程序，所述程序被处理器1101执行时实现如下步骤：
170.获取威胁情报信息；
171.运行第一智能合约，自动筛选出第二节点，所述第二节点为需要下发所述威胁情报信息的被运营设备；
172.基于共识机制，将所述第一智能合约输出的自动筛选状态信息以及所述第二节点的信息写入区块链中；
173.运行第二智能合约，将所述威胁情报信息自动下发到所述第二节点，并基于共识机制，将所述第二智能合约输出的下发状态信息写入到区块链中；
174.运行第三智能合约，基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中，其中，所述威胁情报应用状态信息是：所述第二节点在运行第三智能合约执行修复操作后得到的信息。
175.可理解的，本发明实施例中，所述计算机程序被处理器1101执行时可实现上述图7所示的威胁情报的应用方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
176.在图11中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1101代表的一个或多个处理器和存储器1103代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1102可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。
177.处理器1101负责管理总线架构和通常的处理，存储器1103可以存储处理器1101在执行操作时所使用的数据。
178.需要说明的是，该实施例中的终端是与上述图7所示的方法对应的节点，上述各实施例中的实现方式均适用于该节点的实施例中，也能达到相同的技术效果。该终端中，收发机1102与存储器1103，以及收发机1102与处理器1101均可以通过总线接口通讯连接，处理器1101的功能也可以由收发机1102实现，收发机1102的功能也可以由处理器1101实现。在此需要说明的是，本发明实施例提供的上述第一节点，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
179.在本发明的一些实施例中，还提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现以下步骤：
180.获取威胁情报信息；
181.运行第一智能合约，自动筛选出第二节点，所述第二节点为需要下发所述威胁情报信息的被运营设备；
182.基于共识机制，将所述第一智能合约输出的自动筛选状态信息以及所述第二节点的信息写入区块链中；
183.运行第二智能合约，将所述威胁情报信息自动下发到所述第二节点，并基于共识机制，将所述第二智能合约输出的下发状态信息写入到区块链中；
184.运行第三智能合约，基于共识机制将所述第二节点的威胁情报应用状态信息写入区块链中，其中，所述威胁情报应用状态信息是：所述第二节点在运行第三智能合约执行修
复操作后得到的信息。
185.该程序被处理器执行时能实现上述应用于第一节点的威胁情报的应用方法中的所有实现方式，且能达到相同的技术效果，为避免重复，此处不再赘述。
186.请参考图12，本发明实施例提供了第二节点1200的一结构示意图，包括：处理器1201、收发机1202、存储器1203和总线接口，其中：
187.在本发明实施例中，第二节点1200还包括：存储在存储器上1203并可在处理器1201上运行的程序，所述程序被处理器1201执行时实现如下步骤：
188.获取第一节点下发的威胁情报信息；
189.运行第三智能合约，执行所述威胁情报信息对应的修复操作，获得所述第三智能合约输出的威胁情报应用状态信息；
190.基于共识机制，将所述威胁情报应用状态信息写入区块链中。
191.可理解的，本发明实施例中，所述计算机程序被处理器1201执行时可实现上述图8所示的威胁情报的应用方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
192.在图12中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器1201代表的一个或多个处理器和存储器1203代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机1202可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。
193.处理器1201负责管理总线架构和通常的处理，存储器1203可以存储处理器1201在执行操作时所使用的数据。
194.需要说明的是，该实施例中的终端是与上述图8所示的方法对应的节点，上述各实施例中的实现方式均适用于该节点的实施例中，也能达到相同的技术效果。该终端中，收发机1202与存储器1203，以及收发机1202与处理器1201均可以通过总线接口通讯连接，处理器1201的功能也可以由收发机1202实现，收发机1202的功能也可以由处理器1201实现。在此需要说明的是，本发明实施例提供的上述第二节点，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
195.在本发明的一些实施例中，还提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现以下步骤：
196.获取第一节点下发的威胁情报信息；
197.运行第三智能合约，执行所述威胁情报信息对应的修复操作，获得所述第三智能合约输出的威胁情报应用状态信息；
198.基于共识机制，将所述威胁情报应用状态信息写入区块链中。
199.该程序被处理器执行时能实现上述应用于第二节点的威胁情报的应用方法中的所有实现方式，且能达到相同的技术效果，为避免重复，此处不再赘述。
200.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟
以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
201.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
202.在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
203.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
204.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
205.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
206.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。