本技術(shù)涉及網(wǎng)絡(luò)安全，尤其涉及一種資產(chǎn)威脅分析方法、裝置、電子設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、在軟硬件安全平臺中，資產(chǎn)是安全分析和響應(yīng)的核心要素。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，許多場景存在資產(chǎn)多個互聯(lián)網(wǎng)協(xié)議(internet?protocol，ip)地址(即資產(chǎn)多ip)的情況，例如，云資源池場景、主備場景、動態(tài)主機配置協(xié)議(dynamic?host?configurationprotocol，dhcp)場景和多重代理場景等。

2、資產(chǎn)多ip導(dǎo)致在安全分析和安全運營過程中，無法對日志準確識別和關(guān)聯(lián)資產(chǎn)多ip的攻擊信息，可能會導(dǎo)致對威脅事件的漏報和響應(yīng)不及時，影響了安全分析的準確性。

3、因此，亟需一種資產(chǎn)威脅分析方法來解決資產(chǎn)多ip引起的威脅識別和分析的難題，提高對威脅事件的即時響應(yīng)能力和安全分析的準確性。

技術(shù)實現(xiàn)思路

1、本技術(shù)實施例提供一種資產(chǎn)威脅分析方法、裝置、電子設(shè)備及存儲介質(zhì)，以提高對威脅事件的即時響應(yīng)能力和安全分析的準確性。

2、本技術(shù)實施例提供的具體技術(shù)方案如下：

3、第一方面，提供一種資產(chǎn)威脅分析方法，方法包括：

4、建立各場景的初始識別策略，初始識別策略包括：資產(chǎn)模型中的目標資產(chǎn)屬性，以及相應(yīng)場景下日志的關(guān)鍵元素和目標資產(chǎn)屬性之間的映射關(guān)系，其中，目標資產(chǎn)屬性是與相應(yīng)場景的關(guān)鍵元素匹配的資產(chǎn)屬性；

5、分別將獲得的各初始識別策略與相應(yīng)的各資產(chǎn)信息綁定，獲得各資產(chǎn)識別策略，其中，各資產(chǎn)信息包括：相應(yīng)的資產(chǎn)標識和資產(chǎn)屬性值；

6、獲取各待處理日志，并基于各資產(chǎn)識別策略，分別確定出各待處理日志對應(yīng)的資產(chǎn)標識，以及將各待處理日志中具有同一資產(chǎn)標識的各關(guān)聯(lián)日志進行歸并；

7、將歸并后的各關(guān)聯(lián)日志作為目標事件，并基于目標事件進行安全分析。

8、在一種可能的實施例中，建立各場景的初始識別策略，包括：

9、分別確定各場景的關(guān)鍵元素，在資產(chǎn)模型中匹配的目標資產(chǎn)屬性；

10、分別建立各場景下日志的關(guān)鍵元素和目標資產(chǎn)屬性的之間映射關(guān)系；

11、分別基于各場景對應(yīng)的目標資產(chǎn)屬性和映射關(guān)系，生成各場景的初始識別策略。

12、通過上述方法，通過與場景的關(guān)鍵元素匹配的資產(chǎn)模型中的目標資產(chǎn)屬性，以及目標資產(chǎn)屬性和日志的關(guān)鍵元素的映射關(guān)系，日志中關(guān)鍵元素和不同場景的關(guān)鍵元素對應(yīng)，并建立了綁定關(guān)系添加到初始識別策略中，能使得后續(xù)通過初速識別策略準確的識別待處理日志中的關(guān)鍵元素，實現(xiàn)后續(xù)對待處理日志的精準識別。

13、在一種可能的實施例中，建立各場景的初始識別策略之前，還包括：

14、獲取上報的資產(chǎn)信息；

15、對比上報的資產(chǎn)信息包含的資產(chǎn)屬性和資產(chǎn)模型包含的資產(chǎn)屬性，確定新增資產(chǎn)屬性，并將新增資產(chǎn)屬性添加至資產(chǎn)模型中；

16、若上報的資產(chǎn)信息包含資產(chǎn)屬性值，則將資產(chǎn)信息存儲至資產(chǎn)表。

17、通過上述方法，資產(chǎn)模型擴展支持對外部資產(chǎn)信息的接入，支持對不同場景的多ip提供資產(chǎn)屬性的擴展，解決了各種資產(chǎn)多ip場景的統(tǒng)一化處理。

18、在一種可能的實施例中，基于各資產(chǎn)識別策略，分別確定出各待處理日志對應(yīng)的資產(chǎn)標識，包括：

19、針對各待處理日志，分別執(zhí)行以下操作：從各資產(chǎn)識別策略中，篩選出資產(chǎn)屬性值與待處理日志中的關(guān)鍵屬性值匹配的目標資產(chǎn)識別策略，并將目標資產(chǎn)識別策略中包含的資產(chǎn)標識添加至待處理日志中，作為待處理日志對應(yīng)的資產(chǎn)標識。

20、通過上述方法，待處理日志中增加了資產(chǎn)標識，每個資產(chǎn)的資產(chǎn)標識是唯一的，資產(chǎn)標識能夠確保不同場景下日志中重復(fù)ip或者多ip的唯一性。

21、在一種可能的實施例中，各資產(chǎn)識別策略還包括：策略優(yōu)先級；

22、則從各資產(chǎn)識別策略中，篩選出資產(chǎn)屬性值與待處理日志中的關(guān)鍵屬性值匹配的目標資產(chǎn)識別策略，包括：

23、按照各資產(chǎn)識別策略的策略優(yōu)先級，依次比對待處理日志中的關(guān)鍵屬性值和各資產(chǎn)識別策略的資產(chǎn)屬性值，確定目標資產(chǎn)識別策略。

24、通過上述方法，能夠快速確定待處理日志匹配的目標資產(chǎn)識別策略，能夠使得更快速處理待處理日志的富化。

25、在一種可能的實施例中，基于各資產(chǎn)識別策略，分別確定出各待處理日志對應(yīng)的資產(chǎn)標識之前，還包括：

26、將各待處理日志進行格式標準化，獲得標準化后的各待處理日志。

27、通過上述方法，能夠提高數(shù)據(jù)質(zhì)量，能夠準確將待處理日志與資產(chǎn)識別策略進行匹配，得到準確的富化結(jié)果。

28、第二方面，提供一種資產(chǎn)威脅分析裝置，裝置包括：

29、第一生成模塊，用于建立各場景的初始識別策略，初始識別策略包括：資產(chǎn)模型中的目標資產(chǎn)屬性，以及相應(yīng)場景下日志的關(guān)鍵元素和目標資產(chǎn)屬性之間的映射關(guān)系，其中，目標資產(chǎn)屬性是與相應(yīng)場景的關(guān)鍵元素匹配的資產(chǎn)屬性；

30、第二生成模塊，用于分別將獲得的各初始識別策略與相應(yīng)的各資產(chǎn)信息綁定，獲得各資產(chǎn)識別策略，其中，各資產(chǎn)信息包括：相應(yīng)的資產(chǎn)標識和資產(chǎn)屬性值；

31、處理模塊，用于獲取各待處理日志，并基于各資產(chǎn)識別策略，分別確定出各待處理日志對應(yīng)的資產(chǎn)標識，以及將各待處理日志中具有同一資產(chǎn)標識的各關(guān)聯(lián)日志進行歸并；

32、分析模塊，用于將歸并后的各關(guān)聯(lián)日志作為目標事件，并基于所述目標事件進行安全分析。

33、在一種可能的實施例中，建立各場景的初始識別策略時，第一生成模塊還用于：

34、分別確定各場景的關(guān)鍵元素，在資產(chǎn)模型中匹配的目標資產(chǎn)屬性；

35、分別建立各場景下日志的關(guān)鍵元素和目標資產(chǎn)屬性的之間映射關(guān)系；

36、分別基于各場景對應(yīng)的目標資產(chǎn)屬性和映射關(guān)系，生成各場景的初始識別策略。

37、在一種可能的實施例中，裝置還包括模型擴展模塊，模型擴展模塊用于：

38、獲取上報的資產(chǎn)信息；

39、對比上報的資產(chǎn)信息包含的資產(chǎn)屬性和資產(chǎn)模型包含的資產(chǎn)屬性，確定新增資產(chǎn)屬性，并將新增資產(chǎn)屬性添加至資產(chǎn)模型中；

40、若上報的資產(chǎn)信息包含資產(chǎn)屬性值，則將資產(chǎn)信息存儲至資產(chǎn)表。

41、在一種可能的實施例中，基于各資產(chǎn)識別策略，分別確定出各待處理日志對應(yīng)的資產(chǎn)標識時，處理模塊還用于：

42、針對各待處理日志，分別執(zhí)行以下操作：從各資產(chǎn)識別策略中，篩選出資產(chǎn)屬性值與待處理日志中的關(guān)鍵屬性值匹配的目標資產(chǎn)識別策略，并將目標資產(chǎn)識別策略中包含的資產(chǎn)標識添加至待處理日志中，作為待處理日志對應(yīng)的資產(chǎn)標識。

43、在一種可能的實施例中，各資產(chǎn)識別策略還包括：策略優(yōu)先級；

44、則從各資產(chǎn)識別策略中，篩選出資產(chǎn)屬性值與待處理日志中的關(guān)鍵屬性值匹配的目標資產(chǎn)識別策略時，處理模塊還用于：

45、按照各資產(chǎn)識別策略的策略優(yōu)先級，依次比對待處理日志中的關(guān)鍵屬性值和各資產(chǎn)識別策略的資產(chǎn)屬性值，確定目標資產(chǎn)識別策略。

46、在一種可能的實施例中，基于各資產(chǎn)識別策略，分別確定出各待處理日志對應(yīng)的資產(chǎn)標識之前，處理模塊還用于：

47、將各待處理日志進行格式標準化，獲得標準化后的各待處理日志。

48、第三方面，本技術(shù)提供一種電子設(shè)備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，所述處理器執(zhí)行所述程序時實現(xiàn)上述第一方面中任一項所述方法的步驟。

49、第四方面，本技術(shù)提供一種計算機可讀存儲介質(zhì)，其上存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)上述第一方面中任一項所述方法的步驟。

50、第五方面，本技術(shù)提供了一種計算機程序產(chǎn)品，所述計算機程序產(chǎn)品包括：計算機程序代碼，當所述計算機程序代碼在計算機上運行時，使得計算機執(zhí)行第一方面中任一項所述的方法。

51、本技術(shù)實施例中，建立各場景的初始識別策略，初始識別策略包括：資產(chǎn)模型中的目標資產(chǎn)屬性，以及相應(yīng)場景下日志的關(guān)鍵元素和目標資產(chǎn)屬性之間的映射關(guān)系，其中，目標資產(chǎn)屬性是與相應(yīng)場景的關(guān)鍵元素匹配的資產(chǎn)屬性，再分別將獲得的各初始識別策略與相應(yīng)的各資產(chǎn)信息綁定，獲得各資產(chǎn)識別策略，其中，各資產(chǎn)信息包括：相應(yīng)的資產(chǎn)標識和資產(chǎn)屬性值，然后獲取各待處理日志，并基于各資產(chǎn)識別策略，分別確定出各待處理日志對應(yīng)的資產(chǎn)標識，以及將各待處理日志中具有同一資產(chǎn)標識的各關(guān)聯(lián)日志進行歸并，最后將歸并后的各關(guān)聯(lián)日志作為目標事件，并基于目標事件進行安全分析。這樣，依據(jù)資產(chǎn)識別策略中的唯一資產(chǎn)標識，對不同場景的待處理日志進行富化，即得到待處理日志對應(yīng)的資產(chǎn)標識，實現(xiàn)不同資產(chǎn)多ip場景的統(tǒng)一處理，并且將具有同一資產(chǎn)標識的各關(guān)聯(lián)日志進行歸并，得到完整的目標事件，完成對一個資產(chǎn)多ip的關(guān)聯(lián)分析，能夠解決資產(chǎn)多ip引起的威脅識別和分析的難題，從而提高了對威脅事件的即時響應(yīng)能力和安全分析的準確性。