CN117520609A - 设备标识的确定方法、装置、电子设备及存储介质 - Google Patents
设备标识的确定方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117520609A CN117520609A CN202311499886.4A CN202311499886A CN117520609A CN 117520609 A CN117520609 A CN 117520609A CN 202311499886 A CN202311499886 A CN 202311499886A CN 117520609 A CN117520609 A CN 117520609A
- Authority
- CN
- China
- Prior art keywords
- target
- query
- equipment
- query condition
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000002955 isolation Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 6
- 238000007726 management method Methods 0.000 description 29
- 230000008569 process Effects 0.000 description 22
- 238000004458 analytical method Methods 0.000 description 21
- 238000012098 association analyses Methods 0.000 description 18
- 238000001514 detection method Methods 0.000 description 14
- 238000013507 mapping Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 12
- 230000006399 behavior Effects 0.000 description 8
- 239000000523 sample Substances 0.000 description 8
- 230000008859 change Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 4
- 230000002265 prevention Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000007405 data analysis Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 235000019580 granularity Nutrition 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 238000012502 risk assessment Methods 0.000 description 3
- 230000001502 supplementing effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000010219 correlation analysis Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000003032 molecular docking Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种设备标识的确定方法、装置、电子设备及存储介质。其中,该方法包括:获取目标设备的设备数据以及预先设置的N个查询条件,其中,每个查询条件对应一个优先级以及至少一个待查询字段;根据每个查询条件对应的优先级,依次通过每个查询条件从设备数据中查询该查询条件对应的每个待查询字段所对应的字段信息,得到查询结果;根据每个查询条件对应的查询结果,从N个查询条件中确定X个目标查询条件;按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识。本申请解决了现有技术中使用某一固定字段作为设备标识导致的设备定位准确性差的技术问题。
Description
技术领域
本申请涉及大数据技术领域以及网络安全技术领域,具体而言,涉及一种设备标识的确定方法、装置、电子设备及存储介质。
背景技术
在现有技术中,通常是通过某一个固定字段来关联识别设备的设备标识,例如,以设备的IP地址或者MAC地址作为设备标识。
但是,在复杂的网络环境中,如果仅使用某一个固定字段作为设备标识,则可能会由于设备上传数据中缺失该固定字段的字段信息导致无法定位设备的问题,还有可能由于固定字段对应的字段信息在不同设备的上传数据中可能相同从而导致不同的设备对应了相同的设备标识,从而导致设备无法准确定位的问题,例如,以设备的IP地址作为设备标识,但是,不同局域网中的两个不同的设备可能设置的IP相同,从而导致同一个设备标识表征了两个不同的设备。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供了一种设备标识的确定方法、装置、电子设备及存储介质,以至少解决现有技术中使用某一固定字段作为设备标识导致的设备定位准确性差的技术问题。
根据本申请的一个方面,提供了一种设备标识的确定方法,包括:获取目标设备的设备数据以及预先设置的N个查询条件,其中,N为大于1的整数,每个查询条件对应一个优先级以及至少一个待查询字段;根据每个查询条件对应的优先级,依次通过每个查询条件从设备数据中查询该查询条件对应的每个待查询字段所对应的字段信息,得到查询结果;根据每个查询条件对应的查询结果,从N个查询条件中确定X个目标查询条件,其中,X为小于或等于N的正整数,每个目标查询条件的查询结果表征从设备数据中查询到该目标查询条件对应的每个待查询字段所对应的字段信息;按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识。
可选地,设备标识的确定方法还包括:将依据每个目标查询条件查询到的字段信息作为该目标查询条件对应的索引值;按照每个目标查询条件对应的优先级,依次通过每个目标查询条件对应的索引值从数据库中确定是否存在与该索引值相关联的全局唯一标识,其中,数据库中存储有K个全局唯一标识,每个全局唯一标识与至少一个设备属性信息相对应,K为大于1的整数;在通过X个目标查询条件中的第一查询条件对应的索引值最先从数据库中查询到相关联的全局唯一标识的情况下,将与第一查询条件对应的索引值相关联的全局唯一标识作为目标设备的设备标识。
可选地,设备标识的确定方法还包括:在按照每个目标查询条件对应的优先级,依次通过每个目标查询条件对应的索引值从数据库中确定是否存在与该索引值相关联的全局唯一标识之后,在从数据库中未查询到与任意一个目标查询条件对应的索引值相关联的全局唯一标识的情况下,在数据库中生成一个目标全局唯一标识,其中,目标全局唯一标识与数据库中已存在的全局唯一标识不同;将目标全局唯一标识作为目标设备的设备标识,并且生成目标全局唯一标识与依据X个目标查询条件查询到的所有字段信息之间的对应关系。
可选地,设备标识的确定方法还包括:在将与第一查询条件对应的索引值相关联的全局唯一标识作为目标设备的设备标识之后,检测X个目标查询条件中是否存在优先级低于第一查询条件的目标查询条件;在X个目标查询条件中存在优先级低于第一查询条件的目标查询条件的情况下,通过依据优先级低于第一查询条件的目标查询条件查询到的字段信息对目标设备的设备标识所对应的至少一个设备属性信息进行更新;在X个目标查询条件中不存在优先级低于第一查询条件的目标查询条件的情况下,确定目标设备的设备标识所对应的至少一个设备属性信息不需要更新。
可选地,设备标识的确定方法还包括:在依据X个目标查询条件中的任意一个目标查询条件对应的索引值从数据库中查询到与该索引值相关联的H个全局唯一标识的情况下,确定与该索引值相关联的H个全局唯一标识均用于表征目标设备,其中,H为小于或等于K的正整数。
可选地,设备标识的确定方法还包括:在按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识之后,依据目标设备的设备标识从数据库中确定目标设备上传至数据库的其他数据,其中,其他数据为目标设备上传至数据库中的除设备数据之外的至少一种数据;根据目标设备的设备数据和其他数据分析目标设备的设备状态。
可选地,设备标识的确定方法还包括:在根据目标设备的设备数据和其他数据分析目标设备的设备状态之后,在目标设备处于异常状态的情况下,从依据X个目标查询条件查询到的字段信息中确定目标设备的网络通讯地址;通过网络通讯地址执行针对目标设备的安全操作,其中,安全操作至少包括对目标设备进行关机操作、文件隔离操作以及主机隔离操作。
根据本申请的另一方面,还提供了一种设备标识的确定装置,其中,包括:获取单元,用于获取目标设备的设备数据以及预先设置的N个查询条件,其中,N为大于1的整数,每个查询条件对应一个优先级以及至少一个待查询字段;查询单元,用于根据每个查询条件对应的优先级,依次通过每个查询条件从设备数据中查询该查询条件对应的每个待查询字段所对应的字段信息,得到查询结果;第一确定单元,用于根据每个查询条件对应的查询结果,从N个查询条件中确定X个目标查询条件,其中,X为小于或等于N的正整数,每个目标查询条件的查询结果表征从设备数据中查询到该目标查询条件对应的每个待查询字段所对应的字段信息;第二确定单元,用于按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识。
根据本申请的另一方面,还提供了一种计算机可读存储介质,其中,计算机可读存储介质中存储有计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行上述任意一项的设备标识的确定方法。
根据本申请的另一方面,还提供了一种电子设备,其中,电子设备包括一个或多个处理器和存储器,存储器用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述任意一项的设备标识的确定方法。
在本申请中,采用按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识的方式,首先获取目标设备的设备数据以及预先设置的N个查询条件,其中,N为大于1的整数,每个查询条件对应一个优先级以及至少一个待查询字段。然后根据每个查询条件对应的优先级,依次通过每个查询条件从设备数据中查询该查询条件对应的每个待查询字段所对应的字段信息,得到查询结果,随后根据每个查询条件对应的查询结果,从N个查询条件中确定X个目标查询条件,其中,X为小于或等于N的正整数,每个目标查询条件的查询结果表征从设备数据中查询到该目标查询条件对应的每个待查询字段所对应的字段信息。最后,按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识。
由上述内容可知,本申请的技术方案不再通过某一个固定字段作为设备标识,而是通过预设多个查询条件,每个查询条件均对应有至少一个字段,利用查询条件的优先级逐个匹配,并根据目标查询条件查询到的字段信息确定目标设备的设备标识,从而提高了设备标识确定过程的灵活性,即便有某个查询条件对应的字段信息未查询得到,也可以利用优先级次之的其他查询条件确定设备标识,避免了由于设备上传数据中缺失该固定字段的字段信息导致无法定位设备的问题。此外,每个查询条件均对应有至少一个字段,从而实现了多维度定位设备标识的目的,提高了设备标识定位的准确性。由此可见,通过本申请的技术方案,解决了现有技术中使用某一固定字段作为设备标识导致的设备定位准确性差的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种可选的设备标识的管理方法的示意图;
图2是根据本申请实施例的一种可选的设备标识的确定方法的流程图;
图3是根据本申请实施例的一种可选的安全运营平台与下级设备的交互示意图;
图4是根据本申请实施例的一种可选的SN号和局域网络的映射关系示意图;
图5是根据本申请实施例的一种可选的设备标识匹配过程示意图;
图6是根据本申请实施例的一种可选的设备标识确定过程的示意图;
图7是根据本申请实施例的一种可选的设备标识管理方法的流程图;
图8是根据本申请实施例的一种可选的设备标识的确定装置的示意图;
图9是根据本申请实施例的一种电子设备的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
在网络安全领域,安全运营平台可以收集各类网络安全设备上传的数据,结合用户的配置业务信息,进行统一的管理和检索,并通过关联分析引擎进行流量和安全事件分析,呈现内网的威胁风险态势,进行风险预警和处置,协助网络安全管理人员进行网络安全的维护。这些数据包括不限于安全设备、网络设备、中间件、操作系统、数据库、应用层等所有日志,以及各设备搜集的资产信息、协议报文、流量数据、弱点报告等。
其中,设备资产管理是基于数据分析结果进行安全管理的核心,一方面,设备资产的操作系统信息、端口服务信息、网络应用信息等各种信息可以作为关联分析的重要依据,使安全运营平台在实时监控的过程中发现网络安全的薄弱环节和潜在的威胁漏洞;另一方面,设备资产也是针对网络威胁风险结果进行分析和呈现的基本单位之一,根据数据收集分析结果建立数据资产的风险模型,可以协助管理员进行事件分析、风险分析、审计分析、调查取证、预警管理、应急响应处理等,实现IT资源合规性管理,提升企业和组织的安全运营、威胁管理和应急响应能力。
随着网络安全管理粒度的细化、网络安全分析维度的全面化,设备资产的定义也随之扩展,由原本的实体资产设备的概念升级为所有对组织有价值的信息或资源,除硬件设备外还可以包括虚拟机、软件应用程序(如数据库、操作系统、应用程序服务器等)、网络协议(如TCP/IP、HTTP、DNS等)以及其他数字设备资产(如电子邮件、文档等)。现有的网络安全产品在管理设备资产的过程中大多依据IP、mac地址或其他固定字段作为判定两条数据是否属于同一设备资产的依据,而由于网络部署的复杂性,安全运营平台可能需要监管和维护不同分支机构内网的设备资产,不同内网中IP地址可能有冲突,设备资产的IP也会因为网络配置而改变。此外,设备资产的端口号、服务、协议、应用等字段信息往往是不断变化的,因此也不能单独用于资产的匹配。
另外,安全运营平台对接的下级设备源多种多样,因此接收到设备资产信息、威胁日志、漏洞信息、流量信息中包含的字段完整性不同,域名、mac地址、主机名等可以用于资产区分和关联的重要信息并不一定存在于原始数据中,因此统一依据下级设备上传的各类信息进行管理和维护,确保属于同一设备资产的各类数据能够准确关联十分重要。
为了解决上述问题,根据本申请实施例,提供了一种设备标识的确定方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
为了更清楚地描述本申请的技术方案,以下结合图1对本申请实施例中可能涉及到的定义术语进行简要说明:
资产标识相关字段(匹配字段):下级设备上送的资产信息和用于关联分析的数据源(漏洞信息、威胁日志、系统日志、流量信息、UEBA数据等)中包含用于确定一个资产可能用到的原始字段,包括:源设备的标识、资产在下级设备上使用的标识、IP地址、mac地址、安全域、主机名等,根据安全运营人员的需求,后续可以增加可能使用到的其他字段如端口协议等等。
字段映射:资产标识相关字段可以由资产信息和关联分析数据源中的原始字段映射得到。在本申请中,可以通过建立“源设备标识”到子网的多对一映射关系,用子网标识代替源设备标识作为确立资产标识的字段之一。
资产匹配:为资产标识相关字段设置不同的优先级,每级一个或多个字段,按照优先级从高到低逐级匹配,查询出数据库中对应的一个资产(也可能不存在)。
资产入库:资产匹配的结果如果存在,根据资产ID更新数据库中对应的资产信息,如果不存在,在数据库中新增资产,并为其分配新的资产ID。
资产的存储和对应关系:在本申请中,资产详细信息存储在资产信息表,表中记录资产的全局标识;每级匹配字段存储在一张匹配字段表中;匹配字段表与资产信息表之间的数据是多对一的关系。
需要说明的是,可选地,安全运营平台可以内置多种安全分析的工具,包括但不限于传统的规则关联、基于行为的关联,以及面向大数据的安全分析工具。通过将事件、流量等信息与资产名称、价值、类型、区域信息、业务信息、以及操作系统、浏览器、CPU内存运行状态、安装应用等进行关联,可以得到更准确全面的网络安全分析结果,发现潜伏的威胁攻击行为。
可选地,与安全运营平台相对应的下级设备上传的关联分析数据源中也会包含部分或全部用于确定设备资产标识的字段,根据这些字段可以从数据库中查询到下级设备对应的设备资产标识,具体包括:首先经过字段映射得到资产匹配过程中使用到的字段,再按照预设的查询条件以及查询条件对应的优先级顺序匹配到数据库中的资产信息结果,将匹配到的资产信息(主要是设备标识)补充到关联分析的数据中。之后安全运营平台通过关联分析引擎,可针对某一资产结合各个下级平台上传的各维度数据进行综合分析,判断其失陷状态,进一步对跨网络的复杂攻击事件进行准确的检测预警,对网络维度的全局的风险事件进行监测。
图2是根据本申请实施例的一种可选的设备标识的确定方法的流程图,如图2所示,该方法包括如下步骤:
步骤S201,获取目标设备的设备数据以及预先设置的N个查询条件。
在步骤S201中,N为大于1的整数,每个查询条件对应一个优先级以及至少一个待查询字段。
在一种可选的实施例中,一种安全运营平台可以作为本申请实施例中的设备标识的确定方法的执行主体,其中,安全运营平台可以是一种软件系统,也可以是一种软硬件相结合的嵌入式系统。
可选地,如图3所示,目标设备可以是安全运营平台相关联的任意一个网络设备,例如,安全漏洞扫描设备、终端安全管理设备、边界安全检测设备、防火墙设备以及其他相对于安全运营平台的下级设备。此外,目标设备的设备数据可以是目标设备上传至安全运营平台的任意一种数据,例如,安全漏洞扫描设备上传至安全运营平台的安全漏洞信息,终端安全管理设备上传至安全运营平台的资产信息,边界安全检测设备上传至安全运营平台的威胁日志、流量信息、资产信息,防火墙设备上传至安全运营平台的威胁日志、资产信息,其他下级设备上传至安全运营平台的系统日志、认证信息等等。
可选地,安全运营平台可以依据自身业务需求选取设备资产的网络ID、设备资产的IP、设备资产的SN号(也称为序列号)、设备资产的原ID,设备资产的mac地址作为用于确定设备资产标识的待查询字段,并根据这些待查询字段预先生成N个查询条件,并且为每个查询条件设置对应的优先级。如表1所示:
表1
需要说明的是,在本申请实施例中,网络ID可以由SN号映射得到,如图4所示,可以在安全网络平台中预先配置如下映射关系:
SN1对应的设备资产和SN2对应的设备资产均属于局域网络1,SN3对应的设备资产和SN4对应的设备资产均属于局域网络2。
步骤S202,根据每个查询条件对应的优先级,依次通过每个查询条件从设备数据中查询该查询条件对应的每个待查询字段所对应的字段信息,得到查询结果。
可选地,在查询过程中,一个查询条件查询成功表征该查询条件中的所有待查询字段均匹配成功,换言之,从目标设备上传至安全运营设备的设备数据中查询到该查询条件中所有待查询字段所对应的字段信息。与之相对应的,一个查询条件查询失败表征该查询条件中的至少一个待查询字段未从设备数据中匹配到对应的字段信息。
步骤S203,根据每个查询条件对应的查询结果,从N个查询条件中确定X个目标查询条件。
在步骤S203中,X为小于或等于N的正整数,每个目标查询条件的查询结果表征从设备数据中查询到该目标查询条件对应的每个待查询字段所对应的字段信息。
可选地,以表1为例,假设查询条件Condition1中的所有待查询字段均能够从设备数据中匹配到对应的字段信息,则查询条件Condition2中的所有待查询字段也均能够从设备数据中匹配到对应的字段信息,但是查询条件Condition3中的某个待查询字段(例如IP)未能够从设备数据中匹配到对应的字段信息。在此情况下,安全运营平台可以确定查询条件Condition1和查询条件Condition2作为目标查询条件。
步骤S204,按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识。
可选地,在确定查询条件Condition1和查询条件Condition2作为目标查询条件之后,安全运营平台按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识。例如,查询条件Condition1的优先级高于查询条件Condition2,依据查询条件Condition1对应查询到的SN号和原ID来从数据库中确定目标设备的设备标识。
基于上述步骤S201至步骤S204的内容可知,本申请的技术方案不再通过某一个固定字段作为设备标识,而是通过预设多个查询条件,每个查询条件均对应有至少一个字段,利用查询条件的优先级逐个匹配,并根据目标查询条件查询到的字段信息确定目标设备的设备标识,从而提高了设备标识确定过程的灵活性,即便有某个查询条件对应的字段信息未查询得到,也可以利用优先级次之的其他查询条件确定设备标识,避免了由于设备上传数据中缺失该固定字段的字段信息导致无法定位设备的问题。此外,每个查询条件均对应有至少一个字段,从而实现了多维度定位设备标识的目的,提高了设备标识定位的准确性。由此可见,通过本申请的技术方案,解决了现有技术中使用某一固定字段作为设备标识导致的设备定位准确性差的技术问题。
在一种可选的实施例中,安全运营平台将依据每个目标查询条件查询到的字段信息作为该目标查询条件对应的索引值,并按照每个目标查询条件对应的优先级,依次通过每个目标查询条件对应的索引值从数据库中确定是否存在与该索引值相关联的全局唯一标识,其中,数据库中存储有K个全局唯一标识,每个全局唯一标识与至少一个设备属性信息相对应,K为大于1的整数。在通过X个目标查询条件中的第一查询条件对应的索引值最先从数据库中查询到相关联的全局唯一标识的情况下,安全运营平台将与第一查询条件对应的索引值相关联的全局唯一标识作为目标设备的设备标识。
可选地,图5是根据本申请实施例的一种可选的设备标识匹配过程示意图,如图5所示,安全运营平台维护有一个资产信息表用于存储设备资产的详细信息,其中,资产信息表中还记录每个设备资产的全局唯一标识(例如资产1、资产2、资产3、资产4)。此外,安全运营平台还将每个查询条件对应的待查询字段存储在一张匹配字段表中,并且匹配字段表与资产信息表之间的数据是多对一的关系。
可选地,在从数据库中未查询到与任意一个目标查询条件对应的索引值相关联的全局唯一标识的情况下,安全运营平台将在数据库中生成一个目标全局唯一标识,其中,目标全局唯一标识与数据库中已存在的全局唯一标识不同。随后,安全运营平台将目标全局唯一标识作为目标设备的设备标识,并且生成目标全局唯一标识与依据X个目标查询条件查询到的所有字段信息之间的对应关系。
可选地,如图5所示,假设开始时数据库的资产信息表中没有存储任何数据,当目标设备1和目标设备2分别发送数据1和数据2至安全运营平台后,安全运营平台按照查询条件的优先级,依次按照查询条件Condition1:<sn号+原ID>、查询条件Condition2:<mac地址>、查询条件Condition3:<网络ID+IP>来从设备数据中查询字段信息,并且根据查询结果匹配数据库中对应的设备资产,但是由于没有匹配到数据库中对应的资产,因此在资产信息表中新增资产1的基本数据和资产2的基本数据,并增加数据1和数据2中的SN号和原ID、网络ID和IP到资产1和资产2的对应关系,换言之,新增的设备标识(资产1)为发送数据1的目标设备1的设备标识,新增的设备标识(资产2)为发送数据2的目标设备2的设备标识。
可选地,如图5所示,当数据3和数据4被上传至安全运营平台之后,安全运营平台将数据3和数据4按照查询条件的优先级从高到低匹配,因为缺少原ID、mac地址字段,因此查询条件Condition3作为唯一的目标查询条件,根据查询条件Condition3中的待查询字段<网络ID+IP>所对应的字段信息将数据3、数据4分别匹配到资产1、资产2,即将设备标识“资产1”作为发送数据3的目标设备的设备标识,将设备标识“资产2”作为发送数据4的目标设备的设备标识。
可选地,如图5所示,将数据5和数据6依次按照<sn号+原ID>、<mac地址>、<网络ID+IP>匹配,由于匹配不到数据库中对应的资产,因此新增资产3和资产4,并增加<sn号+原ID>、<mac地址>、<网络ID+IP>与资产3和资产4的对应关系。
可选地,如图5所示,当数据7和数据8被上传至安全运营平台之后,安全运营平台按照查询条件的优先级从高到低匹配,因为缺少原ID字段,因此在最先根据查询条件Condition2查询到mac地址的情况下,将查询条件Condition2作为第一查询条件,并根据查询条件Condition2中的待查询字段<mac地址>所对应的字段信息将数据7、数据8分别匹配到资产3、资产4(即在通过X个目标查询条件中的第一查询条件对应的索引值最先从数据库中查询到相关联的全局唯一标识的情况下,将与第一查询条件对应的索引值相关联的全局唯一标识作为发送数据7、数据8的目标设备的设备标识)。
在一种可选的实施例中,在将与第一查询条件对应的索引值相关联的全局唯一标识作为目标设备的设备标识之后,安全运营平台还可以检测X个目标查询条件中是否存在优先级低于第一查询条件的目标查询条件,在X个目标查询条件中存在优先级低于第一查询条件的目标查询条件的情况下,通过依据优先级低于第一查询条件的目标查询条件查询到的字段信息对目标设备的设备标识所对应的至少一个设备属性信息进行更新。在X个目标查询条件中不存在优先级低于第一查询条件的目标查询条件的情况下,确定目标设备的设备标识所对应的至少一个设备属性信息不需要更新。
可选地,以图5中的示例为例,安全运营平台可以根据高优先级字段的匹配结果更新低优先级字段和资产的对应关系,例如,如果数据7携带了与数据5不同的IP信息,则说明资产3的IP地址发生了变动,可以修改资产信息表中资产3对应的<网络ID+IP>的设备属性信息。
在一种可选的实施例中,在依据X个目标查询条件中的任意一个目标查询条件对应的索引值从数据库中查询到与该索引值相关联的H个全局唯一标识的情况下,确定与该索引值相关联的H个全局唯一标识均用于表征目标设备,其中,H为小于或等于K的正整数。
可选地,根据本申请的技术方案,还可以识别资产合并场景,例如,一个设备资产具有多个网卡,每个网卡有不同的mac地址信息,在将该设备整体作为一个资产时,可以维护多个mac地址与同一个设备资产的对应关系。例如,数据9和数据10分别对应不同的MAC地址,但是数据9和数据10均对应相同的SN号和原ID,因此,即便之前将数据9和数据10依据MAC地址分别维护成了两个全局唯一标识,安全运营平台也可以确定数据9和数据10对应的是同一个设备资产。
在一种可选的实施例中,在按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识之后,安全运营平台还可以依据目标设备的设备标识从数据库中确定目标设备上传至数据库的其他数据,其中,其他数据为目标设备上传至数据库中的除设备数据之外的至少一种数据。随后,安全运营平台根据目标设备的设备数据和其他数据分析目标设备的设备状态。
可选地,安全运营平台可以内置多种安全分析的工具,包括但不限于传统的规则关联、基于行为的关联,以及面向大数据的安全分析工具。通过将事件、流量等信息与资产名称、价值、类型、区域信息、业务信息、以及操作系统、浏览器、CPU内存运行状态、安装应用等进行关联,可以得到更准确全面的网络安全分析结果,发现潜伏的威胁攻击行为。
可选地,与安全运营平台相对应的下级设备上传的关联分析数据源中也会包含部分或全部用于确定设备资产标识的字段,根据这些字段可以从数据库中查询到下级设备对应的设备资产标识,具体包括:首先经过字段映射得到资产匹配过程中使用到的字段,再按照预设的查询条件以及查询条件对应的优先级顺序匹配到数据库中的资产信息结果,将匹配到的资产信息(主要是设备标识)补充到关联分析的数据中。之后安全运营平台通过关联分析引擎,可针对某一资产结合各个下级平台上传的各维度数据进行综合分析,判断其失陷状态,进一步对跨网络的复杂攻击事件进行准确的检测预警,对网络维度的全局的风险事件进行监测。
举例说明,安全运营平台通过一个防火墙设备上传的日志信息(假设为日志信息Y-1)中所包括的mac地址确定该防火墙的设备标识为“资产6”,同时,安全运营平台通过一个防火墙设备上传的安全漏洞扫描信息(假设为安全漏洞扫描信息Y-2)中所包括的网络ID和IP确定该防火墙的设备标识也为“资产6”,在此基础上,安全运营平台可以结合安全漏洞扫描信息Y-2和日志信息Y-1综合确定“资产6”对应的防火墙的设备状态。
在一种可选的实施例中,在根据目标设备的设备数据和其他数据分析目标设备的设备状态之后,在目标设备处于异常状态的情况下,安全运营平台从依据X个目标查询条件查询到的字段信息中确定目标设备的网络通讯地址,并且通过网络通讯地址执行针对目标设备的安全操作,其中,安全操作至少包括对目标设备进行关机操作、文件隔离操作以及主机隔离操作。
可选地,安全运营平台还可以通过事件响应机制,在检测到风险事件后,向对接的下级网络安全设备下发策略或任务进行处置和防御,形成网络安全管理的闭环。其中,安全运营平台对接的目标设备可以是以下多种设备中任意至少一个设备:
防火墙设备、入侵检测和防御系统、虚拟化网络安全产品设备、云防火墙产品设备、主机安全管理系统以及其它安全管理设备。
可选地,目标设备可以将自身的设备数据上传到安全运营平台,然后安全运营平台根据目标设备上传的设备数据在数据库中生成并维护一个资产数据表,其中,资产数据表至少包括每个目标设备对应的IP、原ID等信息。
可选地,安全运营平台可以通过预设脚本或者预设策略针对全局可能发生的风险事件进行自动化处置,在进行基于设备标识的关联分析检测后,如果检测结果表征某个目标设备处于异常状态,则安全运营平台可以通过设备标识关联的设备属性信息确定目标设备所在网络中当前的IP地址或者目标设备上的原ID,然后向目标设备下发流量转发、IP阻断策略、访问控制、文件隔离、系统重启、主机隔离、病毒查杀、结束进程等安全操作。
在一种可选的实施例中,图6是根据本申请实施例的一种可选的设备标识确定过程的示意图,如图6所示,在一种场景下,防火墙、威胁探针、端点安全管理设备、漏扫设备及其它下级安全设备部署在各个内网中,通过执行设备资产发现、收集端点安全信息、进行攻击检测、流量分析、漏洞评估、入侵防御等功能,将收集和分析的结果上送到安全运营平台。
可选地,网络中的设备资产可能因为配置原因发生IP变动,例如,资产1(10.0.0.2)和资产2(10.0.0.3)的IP地址发生交换。NGFW、威胁探针上传到安全运营平台的威胁日志、流量信息中包含不同时期10.0.0.2和10.0.0.3的数据。端点安全管理设备收集准确全面的资产信息,包括IP、mac地址以及其它端点安全数据,并在端点安全设备上维护相对于该设备的唯一标识,将这些数据上传到安全运营平台。漏扫设备上传某一时刻资产1和资产2的漏洞扫描结果。则安全运营设备可以根据端点安全设备上传的资产信息,将IP变化场景中的威胁、漏洞、流量等信息关联到正确的资产上进行网络风险分析。
可选地,如图6所示,资产2和资产4部署在不同的网络中,假设资产2和资产4在各自的网络中均被分配到10.0.0.3的IP地址,则部署在两个网络中的威胁探针记录的威胁日志中,各自上报10.0.0.3的威胁日志到安全运营平台,其中,威胁事件可以通过两台威胁探针的sn映射到不同网络,并通过网络ID+IP自动匹配到两个不同的资产,从而避免将两台不同设备的威胁事件混淆。
可选地,如图6所示,资产3(10.0.0.5)和资产4(10.0.0.6)在两个不同的内网,如果有资产3到资产4的流量,则需要经过NAT转换,网络2中的安全设备记录10.0.0.5到某公网IP的流量,网络3中的安全设备记录另一公网IP的流量到10.0.0.6的流量,安全运营平台同时维护公网IP和私网IP到资产3和资产4的对应关系,则两条流量信息均能关联到正确的资产。
基于上述分析可知,现有技术仅从相对单一的数据源中分析漏洞信息,没有针对复杂的网络部署场景提出解决方案。在相对完备网络安全管理方案中,安全运营、数据分析、态势感知平台的数据来源更为丰富,具体原因如下:
(1)资产的数据复杂:会接收各类下级安全设备上传的字段不同的资产信息;
(2)安全事件的类型复杂:除了漏洞信息外,还有其它不同格式、类型、字段差异的各类安全事件和流量、日志数据,这些数据中个能隐藏着针对整个内部网络的更为宏观层面的威胁攻击行为和网络部署漏洞;
(3)可以执行响应动作的设备部署更加复杂:响应设备可能部署在不同网络中,执行的策略类型更为复杂,包括网络中的IP阻断、文件隔离删除、软件卸载等等,需要准确找到对应的设备针对正确的设备或资产执行响应动作。
在上述复杂网络部署中,如何将各设备收集的针对同一资产的不同类型的信息重新关联到对应的资产上将是难点(即怎样确定两条数据描述的是同一台资产),因为资产在不同的来源设备上会有不同的标识字段,如IP、mac地址、用户名、主机名称、或资产在各个设备上独立生成的标识。现有的方案大都采用已有字段直接关联的方式:如IP地址(也可能是mac地址或其它字段)相同就是同一台资产,基于IP进行关联分析与处理。但这些用于关联的字段往往不固定、或者在某些数据源中不完整、不能准确区分资产,比如IP地址在不同内网中可能是冲突的,下级设备可能部署在不同网络中,其事件日志中记录的相同IP不一定就是同一资产,或者IP地址可能因为自动或手动的网络配置发生变更。另外,mac地址等信息并不会在所有的下级设备的资产、事件日志、流量日志中都存在。这些问题均会极大地限制关联分析的准确性与全面性。
而在本申请中,不再仅是通过某一个固定字段作为设备标识,而是通过预设多个查询条件,每个查询条件均对应有至少一个字段,利用查询条件的优先级逐个匹配,并根据目标查询条件查询到的字段信息确定目标设备的设备标识,从而提高了设备标识确定过程的灵活性,即便有某个查询条件对应的字段信息未查询得到,也可以利用优先级次之的其他查询条件确定设备标识,避免了由于设备上传数据中缺失该固定字段的字段信息导致无法定位设备的问题。此外,每个查询条件均对应有至少一个字段,从而实现了多维度定位设备标识的目的,提高了设备标识定位的准确性。由此可见,通过本申请的技术方案,解决了现有技术中使用某一固定字段作为设备标识导致的设备定位准确性差的技术问题。
在一种可选的实施例中,图7是根据本申请实施例的一种可选的设备标识管理方法的流程图,如图7所示,对于新的设备资产数据,安全运营平台首先通过查询条件中的字段映射配置来实现字段映射,然后利用查询条件中的匹配字段优先级配置,根据匹配字段优先级查询数据库里是否有同一资产,同时利用设备优先级的配置,根据设备优先级融合或者覆盖同一资产的信息,并且最终通过对资产信息表的更新或新增操作,新增或者修改匹配字段到设备资产的对应关系。
需要说明的是,字段到设备资产的映射关系可以根据业务需求进行扩展,在原有的优先级基础上增加新的字段,并在数据库中添加新的对应关系表,以适应资产概念的扩展,如增加协议、端口等项,将对外提供的服务程序作为资产。
由上述内容可知,通过本申请的技术方案,可以至少实现以下技术效果:
(1)在复杂的网络部署环境中准确区分和匹配设备资产,追踪设备资产信息的变更。
(2)具有扩展性,通过字段优先级配置和数据库中存储的关联关系表的增加,可以适应业务要求区分不同粒度和维度的设备资产。
(3)能够对不同设备平台上传的资产信息按照统一的规则进行管理和展示。
(4)通过本申请的技术方案,可以尽可能地按照真实结果关联各个平台的数据,关联分析引擎的数据来源更丰富、分析的结果更准确。
(5)通过本申请的技术方案,能够根据全局唯一标识查询设备资产在安全运营平台上的标识,可以向安全运营平台下发更为准确的策略和处置命令。
实施例2
本实施例提供了一种可选的设备标识的确定装置,该设备标识的确定装置中的各个实施单元/模块对应于实施例1中各个实施步骤。
图8是根据本申请实施例的一种可选的设备标识的确定装置的示意图,如图8所示,包括:获取单元801、查询单元802、第一确定单元803以及第二确定单元804。
其中,获取单元801,用于获取目标设备的设备数据以及预先设置的N个查询条件,其中,N为大于1的整数,每个查询条件对应一个优先级以及至少一个待查询字段;查询单元802,用于根据每个查询条件对应的优先级,依次通过每个查询条件从设备数据中查询该查询条件对应的每个待查询字段所对应的字段信息,得到查询结果;第一确定单元803,用于根据每个查询条件对应的查询结果,从N个查询条件中确定X个目标查询条件,其中,X为小于或等于N的正整数,每个目标查询条件的查询结果表征从设备数据中查询到该目标查询条件对应的每个待查询字段所对应的字段信息;第二确定单元804,用于按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识。
在一种可选的实施例中,如图3所示,目标设备可以是安全运营平台相关联的任意一个网络设备,例如,安全漏洞扫描设备、终端安全管理设备、边界安全检测设备、防火墙设备以及其他相对于安全运营平台的下级设备。此外,目标设备的设备数据可以是目标设备上传至安全运营平台的任意一种数据,例如,安全漏洞扫描设备上传至安全运营平台的安全漏洞信息,终端安全管理设备上传至安全运营平台的资产信息,边界安全检测设备上传至安全运营平台的威胁日志、流量信息、资产信息,防火墙设备上传至安全运营平台的威胁日志、资产信息,其他下级设备上传至安全运营平台的系统日志、认证信息等等。
可选地,安全运营平台可以依据自身业务需求选取设备资产的网络ID、设备资产的IP、设备资产的SN号(也称为序列号)、设备资产的原ID,设备资产的mac地址作为用于确定设备资产标识的待查询字段,并根据这些待查询字段预先生成N个查询条件,并且为每个查询条件设置对应的优先级。如表1所示:
表1
需要说明的是,在本申请实施例中,网络ID可以由SN号映射得到,如图4所示,可以在安全网络平台中预先配置如下映射关系:
SN1对应的设备资产和SN2对应的设备资产均属于局域网络1,SN3对应的设备资产和SN4对应的设备资产均属于局域网络2。
可选地,在查询过程中,一个查询条件查询成功表征该查询条件中的所有待查询字段均匹配成功,换言之,从目标设备上传至安全运营设备的设备数据中查询到该查询条件中所有待查询字段所对应的字段信息。与之相对应的,一个查询条件查询失败表征该查询条件中的至少一个待查询字段未从设备数据中匹配到对应的字段信息。
可选地,以表1为例,假设查询条件Condition1中的所有待查询字段均能够从设备数据中匹配到对应的字段信息,则查询条件Condition2中的所有待查询字段也均能够从设备数据中匹配到对应的字段信息,但是查询条件Condition3中的某个待查询字段(例如IP)未能够从设备数据中匹配到对应的字段信息。在此情况下,安全运营平台可以确定查询条件Condition1和查询条件Condition2作为目标查询条件。
可选地,在确定查询条件Condition1和查询条件Condition2作为目标查询条件之后,安全运营平台按照每个目标查询条件对应的优先级,通过根据每个目标查询条件查询到的字段信息从数据库中确定目标设备的设备标识。例如,查询条件Condition1的优先级高于查询条件Condition2,依据查询条件Condition1对应查询到的SN号和原ID来从数据库中确定目标设备的设备标识。
由上述内容可知,本申请的技术方案不再通过某一个固定字段作为设备标识,而是通过预设多个查询条件,每个查询条件均对应有至少一个字段,利用查询条件的优先级逐个匹配,并根据目标查询条件查询到的字段信息确定目标设备的设备标识,从而提高了设备标识确定过程的灵活性,即便有某个查询条件对应的字段信息未查询得到,也可以利用优先级次之的其他查询条件确定设备标识,避免了由于设备上传数据中缺失该固定字段的字段信息导致无法定位设备的问题。此外,每个查询条件均对应有至少一个字段,从而实现了多维度定位设备标识的目的,提高了设备标识定位的准确性。由此可见,通过本申请的技术方案,解决了现有技术中使用某一固定字段作为设备标识导致的设备定位准确性差的技术问题。
可选地,第二确定单元804,包括:第一处理子单元、第一确定子单元以及第二处理子单元。其中,第一处理子单元,用于将依据每个目标查询条件查询到的字段信息作为该目标查询条件对应的索引值;第一确定子单元,用于按照每个目标查询条件对应的优先级,依次通过每个目标查询条件对应的索引值从数据库中确定是否存在与该索引值相关联的全局唯一标识,其中,数据库中存储有K个全局唯一标识,每个全局唯一标识与至少一个设备属性信息相对应,K为大于1的整数;第二处理子单元,用于在通过X个目标查询条件中的第一查询条件对应的索引值最先从数据库中查询到相关联的全局唯一标识的情况下,将与第一查询条件对应的索引值相关联的全局唯一标识作为目标设备的设备标识。
可选地,设备标识的确定装置还包括:第一生成单元和第二生成单元。其中,第一生成单元,用于在从数据库中未查询到与任意一个目标查询条件对应的索引值相关联的全局唯一标识的情况下,在数据库中生成一个目标全局唯一标识,其中,目标全局唯一标识与数据库中已存在的全局唯一标识不同;第二生成单元,用于将目标全局唯一标识作为目标设备的设备标识,并且生成目标全局唯一标识与依据X个目标查询条件查询到的所有字段信息之间的对应关系。
可选地,图5是根据本申请实施例的一种可选的设备标识匹配过程示意图,如图5所示,安全运营平台维护有一个资产信息表用于存储设备资产的详细信息,其中,资产信息表中还记录每个设备资产的全局唯一标识(例如资产1、资产2、资产3、资产4)。此外,安全运营平台还将每个查询条件对应的待查询字段存储在一张匹配字段表中,并且匹配字段表与资产信息表之间的数据是多对一的关系。
可选地,在从数据库中未查询到与任意一个目标查询条件对应的索引值相关联的全局唯一标识的情况下,安全运营平台将在数据库中生成一个目标全局唯一标识,其中,目标全局唯一标识与数据库中已存在的全局唯一标识不同。随后,安全运营平台将目标全局唯一标识作为目标设备的设备标识,并且生成目标全局唯一标识与依据X个目标查询条件查询到的所有字段信息之间的对应关系。
可选地,如图5所示,假设开始时数据库的资产信息表中没有存储任何数据,当目标设备1和目标设备2分别发送数据1和数据2至安全运营平台后,安全运营平台按照查询条件的优先级,依次按照查询条件Condition1:<sn号+原ID>、查询条件Condition2:<mac地址>、查询条件Condition3:<网络ID+IP>来从设备数据中查询字段信息,并且根据查询结果匹配数据库中对应的设备资产,但是由于没有匹配到数据库中对应的资产,因此在资产信息表中新增资产1的基本数据和资产2的基本数据,并增加数据1和数据2中的SN号和原ID、网络ID和IP到资产1和资产2的对应关系,换言之,新增的设备标识(资产1)为发送数据1的目标设备1的设备标识,新增的设备标识(资产2)为发送数据2的目标设备2的设备标识。
可选地,如图5所示,当数据3和数据4被上传至安全运营平台之后,安全运营平台将数据3和数据4按照查询条件的优先级从高到低匹配,因为缺少原ID、mac地址字段,因此查询条件Condition3作为唯一的目标查询条件,根据查询条件Condition3中的待查询字段<网络ID+IP>所对应的字段信息将数据3、数据4分别匹配到资产1、资产2,即将设备标识“资产1”作为发送数据3的目标设备的设备标识,将设备标识“资产2”作为发送数据4的目标设备的设备标识。
可选地,如图5所示,将数据5和数据6依次按照<sn号+原ID>、<mac地址>、<网络ID+IP>匹配,由于匹配不到数据库中对应的资产,因此新增资产3和资产4,并增加<sn号+原ID>、<mac地址>、<网络ID+IP>与资产3和资产4的对应关系。
可选地,如图5所示,当数据7和数据8被上传至安全运营平台之后,安全运营平台按照查询条件的优先级从高到低匹配,因为缺少原ID字段,因此在最先根据查询条件Condition2查询到mac地址的情况下,将查询条件Condition2作为第一查询条件,并根据查询条件Condition2中的待查询字段<mac地址>所对应的字段信息将数据7、数据8分别匹配到资产3、资产4(即在通过X个目标查询条件中的第一查询条件对应的索引值最先从数据库中查询到相关联的全局唯一标识的情况下,将与第一查询条件对应的索引值相关联的全局唯一标识作为发送数据7、数据8的目标设备的设备标识)。
可选地,设备标识的确定装置还包括:检测单元、第一处理单元和第二处理单元。其中,检测单元,用于检测X个目标查询条件中是否存在优先级低于第一查询条件的目标查询条件;第一处理单元,用于在X个目标查询条件中存在优先级低于第一查询条件的目标查询条件的情况下,通过依据优先级低于第一查询条件的目标查询条件查询到的字段信息对目标设备的设备标识所对应的至少一个设备属性信息进行更新;第二处理单元,用于在X个目标查询条件中不存在优先级低于第一查询条件的目标查询条件的情况下,确定目标设备的设备标识所对应的至少一个设备属性信息不需要更新。
可选地,以图5中的示例为例,安全运营平台可以根据高优先级字段的匹配结果更新低优先级字段和资产的对应关系,例如,如果数据7携带了与数据5不同的IP信息,则说明资产3的IP地址发生了变动,可以修改资产信息表中资产3对应的<网络ID+IP>的设备属性信息。
可选地,设备标识的确定装置还包括:第三确定单元,用于在依据X个目标查询条件中的任意一个目标查询条件对应的索引值从数据库中查询到与该索引值相关联的H个全局唯一标识的情况下,确定与该索引值相关联的H个全局唯一标识均用于表征目标设备,其中,H为小于或等于K的正整数。
可选地,根据本申请的技术方案,还可以识别资产合并场景,例如,一个设备资产具有多个网卡,每个网卡有不同的mac地址信息,在将该设备整体作为一个资产时,可以维护多个mac地址与同一个设备资产的对应关系。例如,数据9和数据10分别对应不同的MAC地址,但是数据9和数据10均对应相同的SN号和原ID,因此,即便之前将数据9和数据10依据MAC地址分别维护成了两个全局唯一标识,安全运营平台也可以确定数据9和数据10对应的是同一个设备资产。
可选地,设备标识的确定装置还包括:第四确定单元和分析单元。其中,第四确定单元,用于依据目标设备的设备标识从数据库中确定目标设备上传至数据库的其他数据,其中,其他数据为目标设备上传至数据库中的除设备数据之外的至少一种数据;分析单元,用于根据目标设备的设备数据和其他数据分析目标设备的设备状态。
可选地,安全运营平台可以内置多种安全分析的工具,包括但不限于传统的规则关联、基于行为的关联,以及面向大数据的安全分析工具。通过将事件、流量等信息与资产名称、价值、类型、区域信息、业务信息、以及操作系统、浏览器、CPU内存运行状态、安装应用等进行关联,可以得到更准确全面的网络安全分析结果,发现潜伏的威胁攻击行为。
可选地,与安全运营平台相对应的下级设备上传的关联分析数据源中也会包含部分或全部用于确定设备资产标识的字段,根据这些字段可以从数据库中查询到下级设备对应的设备资产标识,具体包括:首先经过字段映射得到资产匹配过程中使用到的字段,再按照预设的查询条件以及查询条件对应的优先级顺序匹配到数据库中的资产信息结果,将匹配到的资产信息(主要是设备标识)补充到关联分析的数据中。之后安全运营平台通过关联分析引擎,可针对某一资产结合各个下级平台上传的各维度数据进行综合分析,判断其失陷状态,进一步对跨网络的复杂攻击事件进行准确的检测预警,对网络维度的全局的风险事件进行监测。
举例说明,安全运营平台通过一个防火墙设备上传的日志信息(假设为日志信息Y-1)中所包括的mac地址确定该防火墙的设备标识为“资产6”,同时,安全运营平台通过一个防火墙设备上传的安全漏洞扫描信息(假设为安全漏洞扫描信息Y-2)中所包括的网络ID和IP确定该防火墙的设备标识也为“资产6”,在此基础上,安全运营平台可以结合安全漏洞扫描信息Y-2和日志信息Y-1综合确定“资产6”对应的防火墙的设备状态。
可选地,设备标识的确定装置还包括:第五确定单元和执行单元。其中,第五确定单元,用于在目标设备处于异常状态的情况下,从依据X个目标查询条件查询到的字段信息中确定目标设备的网络通讯地址;执行单元,用于通过网络通讯地址执行针对目标设备的安全操作,其中,安全操作至少包括对目标设备进行关机操作、文件隔离操作以及主机隔离操作。
可选地,安全运营平台还可以通过事件响应机制,在检测到风险事件后,向对接的下级网络安全设备下发策略或任务进行处置和防御,形成网络安全管理的闭环。其中,安全运营平台对接的目标设备可以是以下多种设备中任意至少一个设备:
防火墙设备、入侵检测和防御系统、虚拟化网络安全产品设备、云防火墙产品设备、主机安全管理系统以及其它安全管理设备。
可选地,目标设备可以将自身的设备数据上传到安全运营平台,然后安全运营平台根据目标设备上传的设备数据在数据库中生成并维护一个资产数据表,其中,资产数据表至少包括每个目标设备对应的IP、原ID等信息。
可选地,安全运营平台可以通过预设脚本或者预设策略针对全局可能发生的风险事件进行自动化处置,在进行基于设备标识的关联分析检测后,如果检测结果表征某个目标设备处于异常状态,则安全运营平台可以通过设备标识关联的设备属性信息确定目标设备所在网络中当前的IP地址或者目标设备上的原ID,然后向目标设备下发流量转发、IP阻断策略、访问控制、文件隔离、系统重启、主机隔离、病毒查杀、结束进程等安全操作。
在一种可选的实施例中,图6是根据本申请实施例的一种可选的设备标识确定过程的示意图,如图6所示,在一种场景下,防火墙、威胁探针、端点安全管理设备、漏扫设备及其它下级安全设备部署在各个内网中,通过执行设备资产发现、收集端点安全信息、进行攻击检测、流量分析、漏洞评估、入侵防御等功能,将收集和分析的结果上送到安全运营平台。
可选地,网络中的设备资产可能因为配置原因发生IP变动,例如,资产1(10.0.0.2)和资产2(10.0.0.3)的IP地址发生交换。NGFW、威胁探针上传到安全运营平台的威胁日志、流量信息中包含不同时期10.0.0.2和10.0.0.3的数据。端点安全管理设备收集准确全面的资产信息,包括IP、mac地址以及其它端点安全数据,并在端点安全设备上维护相对于该设备的唯一标识,将这些数据上传到安全运营平台。漏扫设备上传某一时刻资产1和资产2的漏洞扫描结果。则安全运营设备可以根据端点安全设备上传的资产信息,将IP变化场景中的威胁、漏洞、流量等信息关联到正确的资产上进行网络风险分析。
可选地,如图6所示,资产2和资产4部署在不同的网络中,假设资产2和资产4在各自的网络中均被分配到10.0.0.3的IP地址,则部署在两个网络中的威胁探针记录的威胁日志中,各自上报10.0.0.3的威胁日志到安全运营平台,其中,威胁事件可以通过两台威胁探针的sn映射到不同网络,并通过网络ID+IP自动匹配到两个不同的资产,从而避免将两台不同设备的威胁事件混淆。
可选地,如图6所示,资产3(10.0.0.5)和资产4(10.0.0.6)在两个不同的内网,如果有资产3到资产4的流量,则需要经过NAT转换,网络2中的安全设备记录10.0.0.5到某公网IP的流量,网络3中的安全设备记录另一公网IP的流量到10.0.0.6的流量,安全运营平台同时维护公网IP和私网IP到资产3和资产4的对应关系,则两条流量信息均能关联到正确的资产。
基于上述分析可知,现有技术仅从相对单一的数据源中分析漏洞信息,没有针对复杂的网络部署场景提出解决方案。在相对完备网络安全管理方案中,安全运营、数据分析、态势感知平台的数据来源更为丰富,具体原因如下:
(1)资产的数据复杂:会接收各类下级安全设备上传的字段不同的资产信息;
(2)安全事件的类型复杂:除了漏洞信息外,还有其它不同格式、类型、字段差异的各类安全事件和流量、日志数据,这些数据中个能隐藏着针对整个内部网络的更为宏观层面的威胁攻击行为和网络部署漏洞;
(3)可以执行响应动作的设备部署更加复杂:响应设备可能部署在不同网络中,执行的策略类型更为复杂,包括网络中的IP阻断、文件隔离删除、软件卸载等等,需要准确找到对应的设备针对正确的设备或资产执行响应动作。
在上述复杂网络部署中,如何将各设备收集的针对同一资产的不同类型的信息重新关联到对应的资产上将是难点(即怎样确定两条数据描述的是同一台资产),因为资产在不同的来源设备上会有不同的标识字段,如IP、mac地址、用户名、主机名称、或资产在各个设备上独立生成的标识。现有的方案大都采用已有字段直接关联的方式:如IP地址(也可能是mac地址或其它字段)相同就是同一台资产,基于IP进行关联分析与处理。但这些用于关联的字段往往不固定、或者在某些数据源中不完整、不能准确区分资产,比如IP地址在不同内网中可能是冲突的,下级设备可能部署在不同网络中,其事件日志中记录的相同IP不一定就是同一资产,或者IP地址可能因为自动或手动的网络配置发生变更。另外,mac地址等信息并不会在所有的下级设备的资产、事件日志、流量日志中都存在。这些问题均会极大地限制关联分析的准确性与全面性。
而在本申请中,不再仅是通过某一个固定字段作为设备标识,而是通过预设多个查询条件,每个查询条件均对应有至少一个字段,利用查询条件的优先级逐个匹配,并根据目标查询条件查询到的字段信息确定目标设备的设备标识,从而提高了设备标识确定过程的灵活性,即便有某个查询条件对应的字段信息未查询得到,也可以利用优先级次之的其他查询条件确定设备标识,避免了由于设备上传数据中缺失该固定字段的字段信息导致无法定位设备的问题。此外,每个查询条件均对应有至少一个字段,从而实现了多维度定位设备标识的目的,提高了设备标识定位的准确性。由此可见,通过本申请的技术方案,解决了现有技术中使用某一固定字段作为设备标识导致的设备定位准确性差的技术问题。
在一种可选的实施例中,图7是根据本申请实施例的一种可选的设备标识管理方法的流程图,如图7所示,对于新的设备资产数据,安全运营平台首先通过查询条件中的字段映射配置来实现字段映射,然后利用查询条件中的匹配字段优先级配置,根据匹配字段优先级查询数据库里是否有同一资产,同时利用设备优先级的配置,根据设备优先级融合或者覆盖同一资产的信息,并且最终通过对资产信息表的更新或新增操作,新增或者修改匹配字段到设备资产的对应关系。
需要说明的是,字段到设备资产的映射关系可以根据业务需求进行扩展,在原有的优先级基础上增加新的字段,并在数据库中添加新的对应关系表,以适应资产概念的扩展,如增加协议、端口等项,将对外提供的服务程序作为资产。
由上述内容可知,通过本申请的技术方案,可以至少实现以下技术效果:
(1)在复杂的网络部署环境中准确区分和匹配设备资产,追踪设备资产信息的变更。
(2)具有扩展性,通过字段优先级配置和数据库中存储的关联关系表的增加,可以适应业务要求区分不同粒度和维度的设备资产。
(3)能够对不同设备平台上传的资产信息按照统一的规则进行管理和展示。
(4)通过本申请的技术方案,可以尽可能地按照真实结果关联各个平台的数据,关联分析引擎的数据来源更丰富、分析的结果更准确。
(5)通过本申请的技术方案,能够根据全局唯一标识查询设备资产在安全运营平台上的标识,可以向安全运营平台下发更为准确的策略和处置命令。
实施例3
根据本申请实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在计算机程序运行时控制计算机可读存储介质所在设备执行上述实施例1中的设备标识的确定方法。
实施例4
根据本申请实施例的另一方面,还提供了一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述实施例1中的设备标识的确定方法。
图9是根据本申请实施例的一种电子设备的示意图,如图9所示,本申请实施例提供了一种电子设备,电子设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现上述实施例1中的设备标识的确定方法。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种设备标识的确定方法,其特征在于,包括:
获取目标设备的设备数据以及预先设置的N个查询条件,其中,N为大于1的整数,每个查询条件对应一个优先级以及至少一个待查询字段;
根据所述每个查询条件对应的优先级,依次通过所述每个查询条件从所述设备数据中查询该查询条件对应的每个待查询字段所对应的字段信息,得到查询结果;
根据所述每个查询条件对应的查询结果,从所述N个查询条件中确定X个目标查询条件,其中,X为小于或等于N的正整数,每个目标查询条件的查询结果表征从所述设备数据中查询到该目标查询条件对应的每个待查询字段所对应的字段信息;
按照所述每个目标查询条件对应的优先级,通过根据所述每个目标查询条件查询到的字段信息从数据库中确定所述目标设备的设备标识。
2.根据权利要求1所述的方法,其特征在于,按照所述每个目标查询条件对应的优先级,通过根据所述每个目标查询条件查询到的字段信息从数据库中确定所述目标设备的设备标识,包括:
将依据所述每个目标查询条件查询到的字段信息作为该目标查询条件对应的索引值;
按照所述每个目标查询条件对应的优先级,依次通过所述每个目标查询条件对应的索引值从所述数据库中确定是否存在与该索引值相关联的全局唯一标识,其中,所述数据库中存储有K个全局唯一标识,每个全局唯一标识与至少一个设备属性信息相对应,K为大于1的整数;
在通过所述X个目标查询条件中的第一查询条件对应的索引值最先从所述数据库中查询到相关联的全局唯一标识的情况下,将与所述第一查询条件对应的索引值相关联的全局唯一标识作为所述目标设备的设备标识。
3.根据权利要求2所述的方法,其特征在于,在按照所述每个目标查询条件对应的优先级,依次通过所述每个目标查询条件对应的索引值从所述数据库中确定是否存在与该索引值相关联的全局唯一标识之后,所述方法还包括:
在从所述数据库中未查询到与任意一个目标查询条件对应的索引值相关联的全局唯一标识的情况下,在所述数据库中生成一个目标全局唯一标识,其中,所述目标全局唯一标识与所述数据库中已存在的全局唯一标识不同;
将所述目标全局唯一标识作为所述目标设备的设备标识,并且生成所述目标全局唯一标识与依据所述X个目标查询条件查询到的所有字段信息之间的对应关系。
4.根据权利要求2所述的方法,其特征在于,在将与所述第一查询条件对应的索引值相关联的全局唯一标识作为所述目标设备的设备标识之后,所述方法还包括:
检测所述X个目标查询条件中是否存在优先级低于所述第一查询条件的目标查询条件;
在所述X个目标查询条件中存在优先级低于所述第一查询条件的目标查询条件的情况下,通过依据所述优先级低于所述第一查询条件的目标查询条件查询到的字段信息对所述目标设备的设备标识所对应的至少一个设备属性信息进行更新;
在所述X个目标查询条件中不存在优先级低于所述第一查询条件的目标查询条件的情况下,确定所述目标设备的设备标识所对应的至少一个设备属性信息不需要更新。
5.根据权利要求2所述的方法,其特征在于,在按照所述每个目标查询条件对应的优先级,依次通过所述每个目标查询条件对应的索引值从所述数据库中确定是否存在与该索引值相关联的全局唯一标识的过程中,所述方法还包括:
在依据所述X个目标查询条件中的任意一个目标查询条件对应的索引值从所述数据库中查询到与该索引值相关联的H个全局唯一标识的情况下,确定与该索引值相关联的H个全局唯一标识均用于表征所述目标设备,其中,H为小于或等于K的正整数。
6.根据权利要求1所述的方法,其特征在于,在按照所述每个目标查询条件对应的优先级,通过根据所述每个目标查询条件查询到的字段信息从数据库中确定所述目标设备的设备标识之后,所述方法还包括:
依据所述目标设备的设备标识从所述数据库中确定所述目标设备上传至所述数据库的其他数据,其中,所述其他数据为所述目标设备上传至所述数据库中的除所述设备数据之外的至少一种数据;
根据所述目标设备的设备数据和所述其他数据分析所述目标设备的设备状态。
7.根据权利要求6所述的方法,其特征在于,在根据所述目标设备的设备数据和所述其他数据分析所述目标设备的设备状态之后,所述方法还包括:
在所述目标设备处于异常状态的情况下,从依据所述X个目标查询条件查询到的字段信息中确定所述目标设备的网络通讯地址;
通过所述网络通讯地址执行针对所述目标设备的安全操作,其中,所述安全操作至少包括对所述目标设备进行关机操作、文件隔离操作以及主机隔离操作。
8.一种设备标识的确定装置,其特征在于,包括:
获取单元,用于获取目标设备的设备数据以及预先设置的N个查询条件,其中,N为大于1的整数,每个查询条件对应一个优先级以及至少一个待查询字段;
查询单元,用于根据所述每个查询条件对应的优先级,依次通过所述每个查询条件从所述设备数据中查询该查询条件对应的每个待查询字段所对应的字段信息,得到查询结果;
第一确定单元,用于根据所述每个查询条件对应的查询结果,从所述N个查询条件中确定X个目标查询条件,其中,X为小于或等于N的正整数,每个目标查询条件的查询结果表征从所述设备数据中查询到该目标查询条件对应的每个待查询字段所对应的字段信息;
第二确定单元,用于按照所述每个目标查询条件对应的优先级,通过根据所述每个目标查询条件查询到的字段信息从数据库中确定所述目标设备的设备标识。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任意一项所述的设备标识的确定方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的设备标识的确定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311499886.4A CN117520609A (zh) | 2023-11-10 | 2023-11-10 | 设备标识的确定方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311499886.4A CN117520609A (zh) | 2023-11-10 | 2023-11-10 | 设备标识的确定方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117520609A true CN117520609A (zh) | 2024-02-06 |
Family
ID=89750795
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311499886.4A Pending CN117520609A (zh) | 2023-11-10 | 2023-11-10 | 设备标识的确定方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117520609A (zh) |
-
2023
- 2023-11-10 CN CN202311499886.4A patent/CN117520609A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11765198B2 (en) | Selecting actions responsive to computing environment incidents based on severity rating | |
CN111600856B (zh) | 数据中心运维的安全系统 | |
US8302196B2 (en) | Combining assessment models and client targeting to identify network security vulnerabilities | |
CN112637159A (zh) | 一种基于主动探测技术的网络资产扫描方法、装置及设备 | |
US20070005738A1 (en) | Automated remote scanning of a network for managed and unmanaged devices | |
CN103563302A (zh) | 网络资产信息管理 | |
CN111510463B (zh) | 异常行为识别系统 | |
CN112636985B (zh) | 基于自动化发现算法的网络资产探测装置 | |
CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
CN114124516A (zh) | 态势感知预测方法、装置及系统 | |
CN111159702B (zh) | 一种进程名单生成方法和装置 | |
CN115361235B (zh) | 一种网络安全检测的方法、设备、装置、电子设备及介质 | |
CN117520609A (zh) | 设备标识的确定方法、装置、电子设备及存储介质 | |
CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
CN114205169A (zh) | 网络安全防御方法、装置及系统 | |
Mokhov et al. | Automating MAC spoofer evidence gathering and encoding for investigations | |
Mokhov et al. | Toward automated MAC spoofer investigations | |
CN117272320A (zh) | 风险资产的分析方法及系统、计算设备和存储介质 | |
CN111859363A (zh) | 用于识别应用未授权访问的方法、装置以及电子设备 | |
CN117938698A (zh) | 一种网络资产可视化与实时攻防系统 | |
Teng et al. | Cooperative intrusion detection model based on state transition analysis | |
CN117792733A (zh) | 一种网络威胁的检测方法及相关装置 | |
CN115842716A (zh) | 故障服务器的确定方法、装置、设备以及存储介质 | |
CN117692243A (zh) | 攻击链路还原方法、装置、计算机设备和存储介质 | |
CN117336215A (zh) | 一种网络数据的审计方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |