一种资产变更识别方法、终端设备及存储介质与流程

1.本发明涉及资产识别领域，尤其涉及一种资产变更识别方法、终端设备及存储介质。


背景技术：

2.资产是主机等it设备安全领域的十分重要的组成基石，其中资产变更分析更是重要的组成。正常情况之下，生产环境的资产是不会轻易变动的，不法分子可以通过对主机的资产进行非法操作，达到非法目的效果。比如启动恶意进程、开启端口进行攻击尝试、篡改资产数据、系统重要文件篡改等。有价值的资产变更数据能够提供研判的依据、快速的识别能够更快速的响应，达到早发现，早解决的目的。因此资产识别准确、资产识别快速是重要的主机安全技术能力之一。
3.现有技术点1中处理逻辑由agent加工后上报，云端只负责数据入库，这样会占用agent所在主机性能。agent计算会与正常业务共用资源，导致主机cpu和内存使用率高，增大抢夺业务服务器的可能性。现有技术点2中云端使用暴力搜索方法，进行资产匹配，这样不仅不当的代码会造成严重的是生产事件(比如内存泄漏引发业务生产系统宕机)，而且会降低灵活性(资产变更规则，后续变更需要更新agent，会导致大量agent的更新)。上述两个现有技术点均具有时间复杂度为o(n2)(表示时间复杂度较高)，算法执行浪费时间多；在海量数据场景会无法一次性加载数据到内存，导致算法无法进行等技术缺陷。


技术实现要素：

4.为了解决上述问题，本发明提出了一种资产变更识别方法、终端设备及存储介质。
5.具体方案如下：
6.一种资产变更识别方法，包括以下步骤：
7.s1：采集上次上报的资产数据组成的数组b和本次上报的资产数据组成的数组a；
8.s2：初始化设定数组b中各数据的序号i和数组a中各数据的序号j为0，设定数组b的数据长度为m、数组a的数据长度为n；
9.s3：对数组b和数组a中的数据按照唯一识别属性进行排序；
10.s4：判断是否满足i《m且j《n，如果是，进入s5；否则，进入s6；
11.s5：比较数组b中第i个数据b[i]与数组a中第j个数据a[j]对应的唯一识别属性的大小：
[0012]
如果b[i]＝a[j]，则对b[i]和a[j]的关键属性进行比对，如果比对一致，则将 b[i]或a[j]判定为资产更新，令i和j均自加1，返回s4；
[0013]
如果b[i]＜a[j]，则将b[i]判定为资产删除，令i自加1，返回s4；
[0014]
如果b[i]＞a[j]，则将a[j]判定为资产新增，令j自加1，返回s4；
[0015]
s6：判断是否满足i《m，如果是，判定数组b中第i个至第m-1个数据均为资产删除；否则，进入s7；
[0016]
s7：判断是否满足j《n，如果是，判定数组a中第j个至第n-1个数据均为资产新增，结束；否则，结束。
[0017]
进一步的，资产的类型包括：web站点、web中间件、web应用、web应用框架、端口、账号、数据库、软件应用、第三方组件、进程、系统安装包、jar 包、计划任务、环境变量和内核模块。
[0018]
一种资产变更识别终端设备，包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
[0019]
一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。
[0020]
本发明采用如上技术方案，能够快速实现对资产变更的识别，具有时间效率高、资源占用少的优点。
附图说明
[0021]
图1所示为本发明实施例一的流程图。
[0022]
图2所示为该实施例中四种场景的识别过程示意图。
具体实施方式
[0023]
为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
[0024]
现结合附图和具体实施方式对本发明进一步说明。
[0025]
实施例一：
[0026]
表1所示为15种主机安全资产类型，针对其他类型的it设备，也有对应的资产类型，在此不做详述。
[0027]
表1
[0028][0029]
每类资产有诸多属性，资产的属性人为划分为资产唯一识别属性、资产关键属性和其他属性。资产唯一识别属性为能够唯一区分资产的组合属性；资产关键属性为用来区分资产是否有更新的属性；其他属性为用户的关注度不高，不作为资产变更关注点，供用户展示的属性。
[0030]
资产变更的状态有4种，分别为资产新增、资产删除、资产更新、没有变更。
[0031]
本发明实施例提供了一种资产变更识别方法，如图1所示，所述方法包括以下步骤：
[0032]
s1：采集上次上报的资产数据组成的数组b和本次上报的资产数据组成的数组a；
[0033]
s2：初始化设定数组b中各数据的序号i和数组a中各数据的序号j为0，设定数组b的数据长度为m、数组a的数据长度为n；
[0034]
s3：对数组b和数组a中的数据按照唯一识别属性进行排序；
[0035]
s4：判断是否满足i《m且j《n，如果是，进入s5；否则，进入s6；
[0036]
s5：比较数组b中第i个数据b[i]与数组a中第j个数据a[j]对应的唯一识别属性的大小：
[0037]
如果b[i]＝a[j]，则对b[i]和a[j]的关键属性进行比对，如果比对一致，则将 b[i]或a[j]判定为资产更新，令i和j均自加1，返回s4；
[0038]
如果b[i]＜a[j]，则将b[i]判定为资产删除，令i自加1，返回s4；
[0039]
如果b[i]＞a[j]，则将a[j]判定为资产新增，令j自加1，返回s4；
[0040]
s6：判断是否满足i《m，如果是，判定数组b中第i个至第m-1个数据均为资产删除；否则，进入s7；
[0041]
s7：判断是否满足j《n，如果是，判定数组a中第j个至第n-1个数据均为资产新增，结束；否则，结束。
[0042]
下面通过如图2所示的四个场景来说明上述方法的技术效果。
[0043]
场景1是没有资产变更的场景，暴力算法需要25次比较，本实施例方法需要5次比较；
[0044]
场景2是大量新增资产的场合，暴力算法需要500次比较，本实施例方法需要5次比较；
[0045]
场景3是大量删除资产的场合，暴力算法需要500次比较，本实施例方法需要5次比较；
[0046]
场景4是混合新增资产和删除资产的场合，暴力算法需要36次比较，本实施例方法需要9次比较。
[0047]
下面以场景4为例对本实施例方法的具体实施过程进行说明。
[0048]
第一次比较变更前(数组b)的2和变更后(数组a)的1，b[1]》a[1]，说明变更后的1(a[1])是新增资产；
[0049]
第二次比较变更前的2和变更后的2，b[1]＝a[2]，则可以深入判断是否资产变更；
[0050]
第三次比较变更前的3和变更后的4，b[2]《a[3]，说明变更前的3是删除资产；
[0051]
第四次比较变更前的5和变更后的4，b[3]》a[3]，说明变更后的4是新增资产；
[0052]
第五次比较变更前的5和变更后的6，b[3]《a[4]，说明变更前的5是删除资产；
[0053]
第六次比较变更前的6和变更后的6，b[4]＝a[4]，则可以深入判断是否资产变更；
[0054]
第七次比较变更前的7和变更后的7，b[5]＝a[5]，则可以深入判断是否资产变更；
[0055]
第八次比较变更前的8和变更后的8，b[6]＝a[6]，则可以深入判断是否资产变更。
[0056]
本发明实施例具有以下改进点：
[0057]
(1)相对算法比较次数少，整体速度变快。由于经过了排序，因此比较次数最多i j次。
[0058]
(2)如果有一方数据已经比对结束，另外一方则可以直接判定，无需继续比较。比如上述的场景2和场景3。
[0059]
(3)空间复杂度低，对资源要求低。如果是上报海量数据，可以采用外部排序算法进行排序，或者利用数据进行分页查询，则循环将部分数据加载到内存进行依次比较。其他算法则会有oom的风险。
[0060]
本实施例方法相对于现有的技术点1和技术点2在时间复杂度和空间复杂度方面具有如表2所示的区别。具体的，本实施例方法执行时间相对较快；海量数据场景也能支持(在超大量资产上报场景，通过外部排序，可以不需要将所有的数据一次性加载到内存，也能对资产数据进行分类，其他算法则是必须要将数据都加载到内存，否则功能无法实现)；灵活性提高(资产变更的规则可以通过更新云端的配置解决，不必更新客户端)。
[0061]
表2
[0062] 技术点1技术点2本实施例方法时间复杂度o(m*n)o(m*n)o(mlogm nlogn i j)空间复杂度o(m n)o(m n)o(m n)，支持文件排序
[0063]
本实施例方法可以应用于物联网领域的物理设备信息变化管理、比如共享单出设
备变更管理、监控系统中监控内容变更快速识别、简单的文件防篡改的功能等场景中。
[0064]
实施例二：
[0065]
本发明还提供一种资产变更识别终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
[0066]
进一步地，作为一个可执行方案，所述资产变更识别终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述资产变更识别终端设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，上述资产变更识别终端设备的组成结构仅仅是资产变更识别终端设备的示例，并不构成对资产变更识别终端设备的限定，可以包括比上述更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述资产变更识别终端设备还可以包括输入输出设备、网络接入设备、总线等，本发明实施例对此不做限定。
[0067]
进一步地，作为一个可执行方案，所称处理器可以是中央处理单元(centralprocessing unit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignal processor，dsp)、专用集成电路(application specific integrated circuit， asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述资产变更识别终端设备的控制中心，利用各种接口和线路连接整个资产变更识别终端设备的各个部分。
[0068]
所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述资产变更识别终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据手机的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(smart media card,smc)，安全数字(securedigital,sd)卡，闪存卡(flash card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
[0069]
本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
[0070]
所述资产变更识别终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，random access memory)以及软件分发介质等。
[0071]
尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明
白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。