【技術實現(xiàn)步驟摘要】
本申請涉及網絡安全,尤其涉及一種資產威脅分析方法、裝置、電子設備及存儲介質。
技術介紹
1、在軟硬件安全平臺中,資產是安全分析和響應的核心要素。隨著網絡技術的發(fā)展,許多場景存在資產多個互聯(lián)網協(xié)議(internet?protocol,ip)地址(即資產多ip)的情況,例如,云資源池場景、主備場景、動態(tài)主機配置協(xié)議(dynamic?host?configurationprotocol,dhcp)場景和多重代理場景等。
2、資產多ip導致在安全分析和安全運營過程中,無法對日志準確識別和關聯(lián)資產多ip的攻擊信息,可能會導致對威脅事件的漏報和響應不及時,影響了安全分析的準確性。
3、因此,亟需一種資產威脅分析方法來解決資產多ip引起的威脅識別和分析的難題,提高對威脅事件的即時響應能力和安全分析的準確性。
技術實現(xiàn)思路
1、本申請實施例提供一種資產威脅分析方法、裝置、電子設備及存儲介質,以提高對威脅事件的即時響應能力和安全分析的準確性。
2、本申請實施例提供的具體技術方案如下:
3、第一方面,提供一種資產威脅分析方法,方法包括:
4、建立各場景的初始識別策略,初始識別策略包括:資產模型中的目標資產屬性,以及相應場景下日志的關鍵元素和目標資產屬性之間的映射關系,其中,目標資產屬性是與相應場景的關鍵元素匹配的資產屬性;
5、分別將獲得的各初始識別策略與相應的各資產信息綁定,獲得各資產識別策略,其中,各資產信息包括:相應的資產標
6、獲取各待處理日志,并基于各資產識別策略,分別確定出各待處理日志對應的資產標識,以及將各待處理日志中具有同一資產標識的各關聯(lián)日志進行歸并;
7、將歸并后的各關聯(lián)日志作為目標事件,并基于目標事件進行安全分析。
8、在一種可能的實施例中,建立各場景的初始識別策略,包括:
9、分別確定各場景的關鍵元素,在資產模型中匹配的目標資產屬性;
10、分別建立各場景下日志的關鍵元素和目標資產屬性的之間映射關系;
11、分別基于各場景對應的目標資產屬性和映射關系,生成各場景的初始識別策略。
12、通過上述方法,通過與場景的關鍵元素匹配的資產模型中的目標資產屬性,以及目標資產屬性和日志的關鍵元素的映射關系,日志中關鍵元素和不同場景的關鍵元素對應,并建立了綁定關系添加到初始識別策略中,能使得后續(xù)通過初速識別策略準確的識別待處理日志中的關鍵元素,實現(xiàn)后續(xù)對待處理日志的精準識別。
13、在一種可能的實施例中,建立各場景的初始識別策略之前,還包括:
14、獲取上報的資產信息;
15、對比上報的資產信息包含的資產屬性和資產模型包含的資產屬性,確定新增資產屬性,并將新增資產屬性添加至資產模型中;
16、若上報的資產信息包含資產屬性值,則將資產信息存儲至資產表。
17、通過上述方法,資產模型擴展支持對外部資產信息的接入,支持對不同場景的多ip提供資產屬性的擴展,解決了各種資產多ip場景的統(tǒng)一化處理。
18、在一種可能的實施例中,基于各資產識別策略,分別確定出各待處理日志對應的資產標識,包括:
19、針對各待處理日志,分別執(zhí)行以下操作:從各資產識別策略中,篩選出資產屬性值與待處理日志中的關鍵屬性值匹配的目標資產識別策略,并將目標資產識別策略中包含的資產標識添加至待處理日志中,作為待處理日志對應的資產標識。
20、通過上述方法,待處理日志中增加了資產標識,每個資產的資產標識是唯一的,資產標識能夠確保不同場景下日志中重復ip或者多ip的唯一性。
21、在一種可能的實施例中,各資產識別策略還包括:策略優(yōu)先級;
22、則從各資產識別策略中,篩選出資產屬性值與待處理日志中的關鍵屬性值匹配的目標資產識別策略,包括:
23、按照各資產識別策略的策略優(yōu)先級,依次比對待處理日志中的關鍵屬性值和各資產識別策略的資產屬性值,確定目標資產識別策略。
24、通過上述方法,能夠快速確定待處理日志匹配的目標資產識別策略,能夠使得更快速處理待處理日志的富化。
25、在一種可能的實施例中,基于各資產識別策略,分別確定出各待處理日志對應的資產標識之前,還包括:
26、將各待處理日志進行格式標準化,獲得標準化后的各待處理日志。
27、通過上述方法,能夠提高數據質量,能夠準確將待處理日志與資產識別策略進行匹配,得到準確的富化結果。
28、第二方面,提供一種資產威脅分析裝置,裝置包括:
29、第一生成模塊,用于建立各場景的初始識別策略,初始識別策略包括:資產模型中的目標資產屬性,以及相應場景下日志的關鍵元素和目標資產屬性之間的映射關系,其中,目標資產屬性是與相應場景的關鍵元素匹配的資產屬性;
30、第二生成模塊,用于分別將獲得的各初始識別策略與相應的各資產信息綁定,獲得各資產識別策略,其中,各資產信息包括:相應的資產標識和資產屬性值;
31、處理模塊,用于獲取各待處理日志,并基于各資產識別策略,分別確定出各待處理日志對應的資產標識,以及將各待處理日志中具有同一資產標識的各關聯(lián)日志進行歸并;
32、分析模塊,用于將歸并后的各關聯(lián)日志作為目標事件,并基于所述目標事件進行安全分析。
33、在一種可能的實施例中,建立各場景的初始識別策略時,第一生成模塊還用于:
34、分別確定各場景的關鍵元素,在資產模型中匹配的目標資產屬性;
35、分別建立各場景下日志的關鍵元素和目標資產屬性的之間映射關系;
36、分別基于各場景對應的目標資產屬性和映射關系,生成各場景的初始識別策略。
37、在一種可能的實施例中,裝置還包括模型擴展模塊,模型擴展模塊用于:
38、獲取上報的資產信息;
39、對比上報的資產信息包含的資產屬性和資產模型包含的資產屬性,確定新增資產屬性,并將新增資產屬性添加至資產模型中;
40、若上報的資產信息包含資產屬性值,則將資產信息存儲至資產表。
41、在一種可能的實施例中,基于各資產識別策略,分別確定出各待處理日志對應的資產標識時,處理模塊還用于:
42、針對各待處理日志,分別執(zhí)行以下操作:從各資產識別策略中,篩選出資產屬性值與待處理日志中的關鍵屬性值匹配的目標資產識別策略,并將目標資產識別策略中包含的資產標識添加至待處理日志中,作為待處理日志對應的資產標識。
43、在一種可能的實施例中,各資產識別策略還包括:策略優(yōu)先級;
44、則從各資產識別策略中,篩選出資產屬性值與待處理日志中的關鍵屬性值匹配的目標資產識別策略時,處理模塊還用于:
45、按照各資產識別策略的策略優(yōu)先級,依次比對待處理日志中的關鍵屬性值和各資產識別策略的資本文檔來自技高網...
【技術保護點】
1.一種資產威脅分析方法,其特征在于,包括:
2.如權利要求1所述的方法,其特征在于,所述建立各場景的初始識別策略,包括:
3.如權利要求1所述的方法,其特征在于,所述建立各場景的初始識別策略之前,還包括:
4.如權利要求1所述的方法,其特征在于,所述基于所述各資產識別策略,分別確定出所述各待處理日志對應的資產標識,包括:
5.如權利要求4所述的方法,其特征在于,所述各資產識別策略還包括:策略優(yōu)先級;
6.如權利要求1所述的方法,其特征在于,所述基于所述各資產識別策略,分別確定出所述各待處理日志對應的資產標識之前,還包括:
7.一種資產威脅分析裝置,其特征在于,包括:
8.一種電子設備,包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序,其特征在于,所述處理器執(zhí)行所述程序時實現(xiàn)權利要求1~6中任一項所述方法的步驟。
9.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于:所述計算機程序被處理器執(zhí)行時實現(xiàn)權利要求1~6中任一項所述方法的步驟。
【技術特征摘要】
1.一種資產威脅分析方法,其特征在于,包括:
2.如權利要求1所述的方法,其特征在于,所述建立各場景的初始識別策略,包括:
3.如權利要求1所述的方法,其特征在于,所述建立各場景的初始識別策略之前,還包括:
4.如權利要求1所述的方法,其特征在于,所述基于所述各資產識別策略,分別確定出所述各待處理日志對應的資產標識,包括:
5.如權利要求4所述的方法,其特征在于,所述各資產識別策略還包括:策略優(yōu)先級;
6.如權利要求1所...
【專利技術屬性】
技術研發(fā)人員:汪坤,趙粵征,肖根勝,李浩,葉建偉,黃俊,葉曉虎,
申請(專利權)人:綠盟科技集團股份有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。