一种基于资产清单的策略确定方法、装置及介质

技术领域

本发明涉及计算机技术领域，特别是涉及一种基于资产清单的策略确定方法、装置及介质。

背景技术

现有的主机安全软件一般包括文件访问控制和网络防火墙访问控制，需要管理中心进行策略配置，以生成文件访问控制策略和网络防火墙访问控制策略。

在主机环境中会通过在主机上安装代理软件(agent)以便于管理中心向各主机下发控制策略。当前，为了可以覆盖较多的主机，会将所有的控制策略批量下发配置，即将所有的网络端口、可执行程序以及用户等下发控制，导致各个主机中的无效策略，如，本想针对主机1中的端口A下发，结果针对端口B下发的策略也下发至端口A，导致主机1中的端口A中存在无关策略。另外，在每次下发策略匹配过程中浪费较多时间才可以在下发的多个策略到找到实际真正需要的策略。目前的主机环境会对资产信息进行定时清点，但是对于策略却无法修改更新，导致主机安全软件的策略配置的可靠性降低。

因此，如何提高主机安全软件的策略配置的可靠性以及下发对主机有关的资产策略，是本领域技术人员亟需要解决的。

发明内容

本发明的目的是提供一种基于资产清单的策略确定方法、装置及介质，以解决当前下发策略给主机无关策略以及策略匹配过程中浪费较多时间，策略无法修改更新导致策略配置可靠性较低的技术问题。

为解决上述技术问题，本发明提供一种基于资产清单的策略确定方法，应用于云服务器，包括：

接收由各主机代理程序发送的当前资产信息，并根据所述当前资产信息确定对应的目标信息类型，其中，所述目标信息类型包括全量上报类型、新增类型和删除类型；

根据所述目标信息类型确定目标策略的策略信息，其中，所述目标策略为文件访问控制策略或网络访问控制策略；

根据所述目标策略的策略信息遍历各所述主机存储的资产清单以确定目标主机，并将所述目标策略下发至所述目标主机。

一方面，所述根据所述当前资产信息确定对应的目标信息类型，包括：

获取所述当前资产信息的数据格式信息；

根据所述数据格式信息的类型信息确定所述目标信息类型。

另一方面，在所述目标信息类型为所述全量上报类型时，所述根据所述目标信息类型确定目标策略的策略信息，包括：

获取所述当前资产信息的所述数据格式信息的配置信息，其中，所述配置信息为端口、用户和程序的一种或者多种；

根据所述配置信息和所述全量上报类型删除原有的所述配置信息所属的资产信息以进行更新保存；

将所述配置信息所属的控制策略进行全量遍历以确定所述目标策略的策略信息。

另一方面，在所述目标信息类型为所述新增类型或所述删除类型时，所述根据所述目标信息类型确定目标策略的策略信息，包括：

获取所述当前资产信息的所述配置信息对应的端口代理程序；

根据所述端口代理程序查询端口配置信息所属的控制策略是否存在入站目的端口为所述当前资产信息的规则；

如果存在，则将所述控制策略确定为所述网络访问控制策略。

另一方面，所述将所述配置信息所属的控制策略进行全量遍历以确定所述目标策略的策略信息，包括：

在所述配置信息为端口类型时，将所述端口类型所属的所述网络访问控制策略进行遍历以遍历出所有入站目的端口在端口代理程序的规则；

将所述端口代理程序的规则作为所述网络访问控制策略的策略信息；

在所述配置信息为用户和程序类型时，判断所述用户和程序类型分别对应的主机的用户和程序类型是否相同；

若所述用户和程序类型分别对应的主机的用户和程序类型全部相同，则获取所述当前资产信息的所述配置信息对应的账号信息；

根据所述账号信息确定所述文件访问控制策略的变化信息；

更新所述账号信息对应的账号代理程序；

根据所述账号代理程序查询账号配置信息所属的所述文件访问控制策略是否存在应用代理程序；

如果存在，则将所述文件访问控制策略确定为所述目标策略；

如果不存在，则所述文件访问控制策略不为所述目标策略；

若所述用户和程序类型分别对应的主机的用户和程序类型不全部相同，则不做处理；

若所述用户和程序类型分别对应的主机的用户和程序类型均不相同，则不做处理。

另一方面，在所述目标策略为所述文件访问控制策略时，所述根据所述目标策略的策略信息遍历各所述主机存储的资产清单，包括：

根据所述目标策略的策略信息遍历各所述主机对应的账号信息和应用程序信息；

若存在主机内的账号代理程序包含所述账号信息且所述主机内的应用代理程序包含所述应用程序信息，则确定所述文件访问控制策略对所述主机生效，且所述主机为所述目标主机。

另一方面，所述将所述目标策略下发至所述目标主机，包括：

通过数据格式将所述目标策略下发至所述目标主机，其中，所述数据格式的第一个数据表示所述目标信息类型，第二个数据表示配置信息，第三个数据表示控制策略，第四个数据表示所述控制策略的匹配规则。

另一方面，在所述接收由各主机代理程序发送的当前资产信息之后，还包括：

根据资产清单的各配置信息进行分类以确定主机对应的记录范围；

将所述记录范围作为存储规则；

预先根据所述存储规则在数据库内划分对应的存储区域；

根据所述存储规则将所述当前资产信息存储至对应的存储区域内。

为解决上述技术问题，本发明还提供一种基于资产清单的策略确定方法，应用于主机，包括：

获取当前资产信息；

将所述当前资产信息通过主机代理程序发送至云服务器，以便于所述云服务器根据所述当前资产信息确定对应的目标信息类型，根据所述目标信息类型确定目标策略的策略信息，根据所述目标策略的策略信息遍历各所述主机存储的资产清单以确定目标主机，并将所述目标策略下发至所述目标主机，其中，所述目标信息类型包括全量上报类型、新增类型和删除类型；所述目标策略为文件访问控制策略或网络访问控制策略；

接收下发的所述目标策略完成策略匹配。

另一方面，所述获取当前资产信息，包括：

通过内核技术，并基于主机系统的接口获取所述主机系统的当前时间的资产信息和上一个时间的资产信息；

将所述当前时间的资产信息和所述上一个时间的资产信息进行比较以确定所述当前时间的资产信息相对于所述上一个时间的资产信息的修改信息；

将所述修改信息和所述当前时间的资产信息作为所述当前资产信息。

另一方面，在所述接收下发的所述目标策略之后，还包括：

预先建立所述文件访问控制策略和所述网络访问控制策略对应的内存区域；

在接收到所述目标策略时，确定所述目标策略的策略类型，其中，所述策略类型为文件访问控制策略类型和网络访问控制策略类型，所述策略类型与对应的内存区域呈映射关系；

将所述目标策略进行数组形式处理得到处理后的所述目标策略；

根据确定的所述目标策略的策略类型和对应的内存区域之间的映射关系对处理后的所述目标策略进行存储。

为解决上述技术问题，本发明还提供一种基于资产清单的策略确定装置，应用于云服务器，包括：

第一接收模块，用于接收由各主机代理程序发送的当前资产信息，并根据所述当前资产信息确定对应的目标信息类型，其中，所述目标信息类型包括全量上报类型、新增类型和删除类型；

第一确定模块，用于根据所述目标信息类型确定目标策略的策略信息，其中，所述目标策略为文件访问控制策略或网络访问控制策略；

遍历模块，用于根据所述目标策略的策略信息遍历各所述主机存储的资产清单以确定目标主机，并将所述目标策略下发至所述目标主机。

为解决上述技术问题，本发明还提供一种基于资产清单的策略确定装置，应用于主机，包括：

获取模块，用于获取当前资产信息；

发送模块，用于将所述当前资产信息通过主机代理程序发送至云服务器，以便于所述云服务器根据所述当前资产信息确定对应的目标信息类型，根据所述目标信息类型确定目标策略的策略信息，根据所述目标策略的策略信息遍历各所述主机存储的资产清单以确定目标主机，并将所述目标策略下发至所述目标主机，其中，所述目标信息类型包括全量上报类型、新增类型和删除类型；所述目标策略为文件访问控制策略或网络访问控制策略；

第二接收模块，用于接收下发的所述目标策略完成策略匹配。

为解决上述技术问题，本发明还提供一种基于资产清单的策略确定装置，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述所述的基于资产清单的策略确定方法的步骤。

为解决上述技术问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的基于资产清单的策略确定方法的步骤。

本发明实施例提供的一种基于资产清单的策略确定方法，应用于云服务器，包括：接收由各主机代理程序发送的当前资产信息，并根据当前资产信息确定对应的目标信息类型，其中，目标信息类型包括全量上报类型、新增类型和删除类型；根据目标信息类型确定目标策略的策略信息，其中，目标策略为文件访问控制策略或网络访问控制策略；根据目标策略的策略信息遍历各主机存储的资产清单以确定目标主机；将目标策略下发至目标主机。本发明的有益效果在于基于各主机的当前资产信息的目标信息类型以确定目标策略的策略信息，并针对当前资产信息内确定的目标策略下发至主机。同时，根据目标策略的策略信息遍历各主机中存储的资产清单，若主机的资产清单内存在策略信息，其确定为目标主机，并将目标策略下发至该主机，并不是将目标策略下发至所有的主机，保证目标主机内仅存在自己相关的目标策略，避免每次策略匹配浪费的时间。另外，针对当前资产信息确定目标策略的策略信息，以实现策略的定时更新，将目标策略下发至目标主机，减少下发策略的策略内容，在一定程度上提升策略下发速度，减少策略匹配速度。

其次，本发明提供的通过数据格式以确定目标信息类型，使得确定类型的过程较为简单，节省解析时间；基于不同的目标信息类型确定不同的目标策略的策略信息，以便于后续将其目标策略下发至目标主机内，根据当前资产信息的特性确定对应的控制策略，使得下发至主机的控制策略更具有针对性；确定目标主机，无需将所有的控制策略全部下发至所有主机，仅是针对与对应相关的主机进行下发控制策略即可，以节省筛选的时间。数据格式下发策略，简单易懂，提升下发速度。

另外，本发明还提供了一种应用于主机的基于资产清单的策略确定方法、装置及介质，具有如上述基于资产清单的策略确定方法相同的有益效果。

附图说明

为了更清楚地说明本发明实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种应用于云服务器的基于资产清单的策略确定方法的流程图；

图2为本发明实施例提供的一种应用于主机的基于资产清单的策略确定方法的流程图；

图3为本发明实施例提供另一种应用于云服务器的基于资产清单的策略确定方法的流程图；

图4为本发明实施例提供另一种应用于主机的基于资产清单的策略确定方法的流程图；

图5为本发明实施例提供的一种应用于云服务器的基于资产清单的策略确定装置的结构图；

图6为本发明实施例提供的一种应用于主机的基于资产清单的策略确定装置的结构图；

图7为本发明实施例提供的另一种基于资产清单的策略确定装置的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本发明保护范围。

本发明的核心是提供一种基于资产清单的策略确定方法、装置及介质，以解决当前下发策略给主机无关策略以及策略匹配过程中浪费较多时间，策略无法修改更新导致策略配置可靠性较低的技术问题。

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。

需要说明的是，主机安全软件的文件访问控制策略和网络防火墙访问控制策略，进行策略配置的前提是明确主机要保护和要限制的内容，再进行策略配置。文件访问控制基于用户、进程、文件建立的一套文件强制访问控制方法，模型如用户A通过进程B可以操作文件C，进一步可以控制对C文件的读、写、删除、重命名、执行等权限；网络访问控制：通过网络五元组来控制网络访问，五元组就是一个网络数据包的五个基本属性，包括源互联网协议地址(Internet Protocol Address，IP)地址、目的IP地址、源端口号、目的端口号和传输协议。在网络通信中，每个数据包都包含这五个属性，它们一起构成了数据包的唯一标识。源IP地址指发送数据包的计算机的IP地址，用于识别数据包的来源。目的IP地址指接收数据包的计算机的IP地址，用于确定数据包的目的地。源端口号指发送数据包的计算机使用的端口号，用于标识数据包是从哪个应用程序发送的。目的端口号指接收数据包的计算机使用的端口号，用于标识数据包应该交给哪个应用程序进行处理。传输协议指发送数据包时所使用的协议，例如传输控制协议(Transmission Control Protocol，TCP)、用户数据包协议(User Datagram Protocol，UDP)等。

大规模主机环境中往往采用批量配置下发控制策略，为了能够覆盖尽可能多的主机，会将所有出现的网络端口、可执行程序进行控制，以至于每天主机存在大量与自身无关的策略，且每次策略匹配都会浪费大量时间才能找到实际需要的策略内容。本发明提供的基于资产清单的策略确定方法，可以解决上述技术问题。

主机内的agent属于人工智能的范畴，运用于动态环境、具有高度自治能力的实体。传统应用程序接受用户指令被动执行，而agent不仅能对环境变化做出反应，还能在特定情况下采取主动行为。基于运行在主机上的agent后台程序以及主机内的操作系统，同时结合后端云服务。Agent通过系统的接口，获取主机上的资产数据以上传至云服务器。Agent通过执行相应的shell脚本程序或者分析Linux系统下的信息获取主机资产数据。Agent客户端手机硬件信息或者与操作系统有关的内存、中央处理器(Central Processing Unit，CPU)信息等，直接与主机操作系统进行交互，在主机上进行安装部署。云服务器包括多个节点，其节点对应于云主机或者物理主机的服务器，分散部署在不同的物理服务器上。云服务器在物理实体服务器基础上进行划分，其硬件主要是云计算数据中心，包括计算机服务器、通信设备和存储设备，还包括冗余的数据通信连接、环境监控设备、管理系统以及各种安全装置。

图1为本发明实施例提供的一种应用于云服务器的基于资产清单的策略确定方法的流程图，如图1所示，该方法包括：

S11：接收由各主机代理程序发送的当前资产信息，并根据当前资产信息确定对应的目标信息类型；

其中，目标信息类型包括全量上报类型、新增类型和删除类型；

S12：根据目标信息类型确定目标策略的策略信息；

其中，目标策略为文件访问控制策略或网络访问控制策略；

S13：根据目标策略的策略信息遍历各主机存储的资产清单以确定目标主机，并将目标策略下发至目标主机。

具体地，本实施例的资产清点为主机资产清点，主机资产清点的内容主要为端口、进程、账号、数据库、Web服务、Web应用、Web框架、容器等信息资产。部署包含管理中心和agent，一个管理中心管理多个agent，通过管理中心配置策略，下发至agent，控制主机的文件操作和网络访问。本实施例中的云服务器具体为管理中心，也可以是其他控制中心，在此不做限定。

文件访问控制策略的形式为用户A通过程序B可以操作文件C，由于系统文件数量巨大，不适合枚举，所以本发明需要根据当前资产信息下的用户和程序是否存在来确定一条策略是否适合当前主机。

网络访问控制策略的形式为控制入站策略，即某协议的本机IP：端口可以被访问，通过识别端口来确定一条策略是否适合当前主机。

接收由各主机的代理程序发送的当前资产信息，管理中心连接多个主机，靠主机内的代理程序实现资产信息的上传和策略的下发。代理程序(agent)部署时，通过系统接口获取系统的用户，记录为sysuser、可执行程序sysapp、监听的端口信息sysport，传输至管理中心。当前资产信息是主机代理程序发送的实时资产信息，实时资产信息可以通过一定的监控技术实现实时监控，例如核心技术(extended Berkeley Packet Filter，ebpf)；可以定时间隔一定的时间进行上传，也可以是在原始资产信息的基础上只要发生信息的更新(删除或者增加)变化，就要上传，还可以是策略匹配时进行上传资产信息等，在此根据实际情况设定即可。

根据当前资产信息确定对应的目标信息类型。管理中心收到资产上报信息分为三种形式，分别为全量上报，只有在agent安装或者重启时进行、新增、删除，分别对应的目标信息类型包括全量上报类型、新增类型和删除类型。在一些实施例中，管理中心在收到全量资产上报时，即在接收由各主机代理程序发送的当前资产信息之后，还包括：

根据资产清单的各配置信息进行分类以确定主机对应的记录范围；

将记录范围作为存储规则；

预先根据存储规则在数据库内划分对应的存储区域；

根据存储规则将当前资产信息存储至对应的存储区域内。

具体地，将资产信息的各配置信息进行分类，分为账号、程序和端口的类别，以确定主机对应的记录范围agentUser、agentApp、agentPort，同时，将记录范围作为存储规则，在数据库内划分对应的存储区域，并根据存储规则将当前资产信息存储至对应的存储区域，以实现存储在数据库中，方便调用查询。

步骤S12中的根据目标信息类型确定目标策略的策略信息，根据不同的资产信息类型，即目标信息类型，可以确定其策略信息的不同，例如，当为端口全量上报时，需要删除原有的端口资产信息，将其代理程序对应的端口代理程序更新为新上报的内容，同时，将资产信息中有关策略的策略信息配置全部遍历更新。目标策略为文件访问控制策略或网络访问控制策略，这里说明的是，当前策略匹配可以是针对一种策略匹配，也可以是针对两个策略或者多个策略进行匹配下发。本实施例中的策略内容是基于当前实时更新的资产信息确定，以下发和资产信息相关的策略内容。

根据目标策略的策略信息遍历各主机存储的资产清单以确定目标主机。例如，目标策略是针对端口A，由于云环境下存在大量的主机，需要将所有的主机遍历，在各个主机内查找端口A的资产信息，是否相同，如果相同，则针对存有端口A的目标主机进行目标策略的下发，以便于目标主机完成策略的匹配。

本发明实施例提供的一种基于资产清单的策略确定方法，应用于云服务器，包括：接收由各主机代理程序发送的当前资产信息，并根据当前资产信息确定对应的目标信息类型，其中，目标信息类型包括全量上报类型、新增类型和删除类型；根据目标信息类型确定目标策略的策略信息，其中，目标策略为文件访问控制策略或网络访问控制策略；根据目标策略的策略信息遍历各主机存储的资产清单以确定目标主机；将目标策略下发至目标主机。本发明的有益效果在于基于各主机的当前资产信息的目标信息类型以确定目标策略的策略信息，并针对当前资产信息内确定的目标策略下发至主机。同时，根据目标策略的策略信息遍历各主机中存储的资产清单，若主机的资产清单内存在策略信息，其确定为目标主机，并将目标策略下发至该主机，并不是将目标策略下发至所有的主机，保证目标主机内仅存在自己相关的目标策略，避免每次策略匹配浪费的时间。另外，针对当前资产信息确定目标策略的策略信息，以实现策略的定时更新，将目标策略下发至目标主机，减少下发策略的策略内容，在一定程度上提升策略下发速度，减少策略匹配速度。

在上述实施例的基础上，在一些实施例中，根据当前资产信息确定对应的目标信息类型，包括：

获取当前资产信息的数据格式信息；

根据数据格式信息的类型信息确定目标信息类型。

具体地，获取当前资产信息的数据格式信息，其数据格式是保持agent上给管理中心，即云服务器时的数据格式，也可以是全新的数据格式，为了处理方便，沿用agent上给管理中心，即云服务器时的数据格式，如：{"op_type":"all","asset_type":"port","asset":[{"port":"34"},{"port":"35"}]}，其中，op_type包括all、add、delete，all表示全量上报，add表示新增，delete表示删除。asset_type包括port、user、app；asset表示具体上报的信息。

根据数据格式信息的类型信息，也就是op_type以确定目标信息类型，对应全量上报类型、新增类型和删除类型，即all、add、delete。

本发明实施例提供的通过数据格式以确定目标信息类型，使得确定类型的过程较为简单，节省解析时间。

在上述实施例的基础上，在一些实施例中，在目标信息类型为全量上报类型时，根据目标信息类型确定目标策略的策略信息，包括：

获取当前资产信息的数据格式信息的配置信息，其中，配置信息为端口、用户和程序的一种或者多种；

根据配置信息和全量上报类型删除原有的配置信息所属的资产信息以进行更新保存；

将配置信息所属的控制策略进行全量遍历以确定目标策略的策略信息。

具体地，根据目标信息类型的不同，其确定目标策略的策略信息也不同，需要说明的是，本实施例仅是区分目标信息类型，对于该类型下的配置信息，即asset_type，不做区分，可以是port、user和app内的任意一种或者多种。根据上述实施例中的目标策略，其文件访问控制策略是基于user和app确定，网络访问控制策略是基于port确定。根据配置信息和全量上报类型删除原有的配置信息中所有的资产信息进行更新，例如：如果为port全量上报，删除该主机的原有port资产，将agentPort更新为新上报内容。

由于是端口，其对应的控制策略可能为网络访问控制策略，则需要以该策略进行全量遍历，遍历出所有入站的目的端口在agentPort中的规则，下发给agent，其对于该策略作为目标策略，对应的策略信息为端口对应的所有入站目的端口。

在一些实施例中，将配置信息所属的控制策略进行全量遍历以确定目标策略的策略信息，包括：

在配置信息为端口类型时，将端口类型所属的网络访问控制策略进行遍历以遍历出所有入站目的端口在端口代理程序的规则；

将端口代理程序的规则作为网络访问控制策略的策略信息；

在配置信息为用户和程序类型时，判断用户和程序类型分别对应的主机的用户和程序类型是否相同；

若用户和程序类型分别对应的主机的用户和程序类型全部相同，则获取当前资产信息的配置信息对应的账号信息；

根据账号信息确定文件访问控制策略的变化信息；

更新账号信息对应的账号代理程序；

根据账号代理程序查询账号配置信息所属的文件访问控制策略是否存在应用代理程序；

如果存在，则将文件访问控制策略确定为目标策略；

如果不存在，则文件访问控制策略不为目标策略；

若用户和程序类型分别对应的主机的用户和程序类型不全部相同，则不做处理；

若用户和程序类型分别对应的主机的用户和程序类型均不相同，则不做处理。

具体地，当配置信息为端口类型时，其需要对端口配置下的网络访问控制策略进行遍历，遍历出所有入站目的端口在端口代理程序(agentPort)的规则，即作为网络访问控制策略的策略信息，以下发至主机。在配置信息为用户和程序类型时，则需要同时比对账号和程序两个信息，以筛选需要下发的策略，通过端口、账号和程序信息识别有效策略。

具体实施例方式可以是，判断用户和程序类型分别对应的主机的用户和程序类型是否相同，此时出现三种情况，一种情况是全部相同，一种情况是部分相同，即其中一个类型相同，另一个类型不同，最后一种情况是全部不相同。只有在全部相同的情况下，才确定该控制策略对主机生效，其余两种情况则说明该控制策略对主机无效。

比对过程，是根据目标策略的策略信息遍历各主机对应的账号信息和应用程序信息；若存在主机内的账号代理程序包含账号信息且主机内的应用代理程序包含应用程序信息，则说明用户和程序类型分别对应的主机的用户和程序类型全部相同，例如：策略中账号和程序信息分别为p_user和p_app，需要逐个遍历主机账号和程序资产，当一个主机的agentUser中包含p_user并且agentApp中包含p_app，则该策略对该主机生效，下发至agent，进行策略添加；删除策略时需要经过相同比较，当一个主机agentUser中包含p_user并且agentApp中包含p_app，则该策略对该主机生效，下发至agent，进行策略删除。当两个条件不能同时满足时，则该修改(新增/删除)对当前主机无效。

在全部相同的情况下，则确定该控制策略有效，进一步确定该控制策略下其当前资产信息的配置信息对应的账号信息，根据账号信息确定文件访问控制策略是否变化，这里的变化主要两个方面，一种是删除的变化，一种是新增的变化。无论是何种变化信息，均要更新账号信息对应的账号代理程序(agentUser)，再根据账号代理程序查询账号配置信息所属的文件访问控制策略是否存在应用代理程序，具体是查询plat_file_policy中账号为上报账号的策略，得到结果plat_file_policy_tmp，然后判断文件访问控制策略是否存在应用代理程序，即plat_file_policy_tmp程序是否存在agentApp，若存在，则将该控制策略作为目标策略，若不存在，则不作为目标策略。

在另一些实施例中，在目标信息类型为新增类型或删除类型时，根据目标信息类型确定目标策略的策略信息，包括：

获取当前资产信息的配置信息对应的端口代理程序；

根据端口代理程序查询端口配置信息所属的控制策略是否存在入站目的端口为当前资产信息的规则；

如果存在，则将控制策略确定为网络访问控制策略。

具体地，先更新端口代理程序(agentPort)，在所属的控制策略，网络访问控制策略(plat_net_policy)查询是否存在入站目的端口为上报当前资产信息的规则，如果存在，则确定该控制策略为网络访问控制策略，即目标策略。如果不存在，则不做任何处理，也不做下发处理。

需要说明的是，策略的新增和删除与当前实施例中的op_type一致，以此实现根据资产信息的变动更新控制策略。

本发明实施例提供的基于不同的目标信息类型确定不同的目标策略的策略信息，以便于后续将其目标策略下发至目标主机内，根据当前资产信息的特性确定对应的控制策略，使得下发至主机的控制策略更具有针对性。

在一些实施例中，在目标策略为文件访问控制策略时，根据目标策略的策略信息遍历各主机存储的资产清单，包括：

根据目标策略的策略信息遍历各主机对应的账号信息和应用程序信息；

若存在主机内的账号代理程序包含账号信息且主机内的应用代理程序包含应用程序信息，则确定文件访问控制策略对主机生效，且主机为目标主机。

具体实施例和上述同时两个条件满足便进行下发的实施例相同，均是将两个条件同时满足，可以确定目标主机，也就是目标策略对主机生效。账号信息和应用程序信息只与文件访问控制策略的控制策略有关，本实施例仅关注这两个参数即可。在主机内的账号代理程序包含账号信息且主机内的应用代理程序包含应用程序信息时，无论是对于策略的删除和新增，均是实现本实施例的两个条件以此可以进行生效。

本实施例提供的确定目标主机，无需将所有的控制策略全部下发至所有主机，仅是针对与对应相关的主机进行下发控制策略即可，以节省筛选的时间。

在一些实施例中，将目标策略下发至目标主机，包括：

通过数据格式将目标策略下发至目标主机，其中，数据格式的第一个数据表示目标信息类型，第二个数据表示配置信息，第三个数据表示控制策略，第四个数据表示控制策略的匹配规则。

可以理解的是，上述实施例中接收当前资产信息通过数据格式，在下发过程中也可以实现数据格式，其具体格式可以为：{"policy_type":"all","asset_type":"file","rules":[{*},{*}]}；第一个数据表示目标信息类型，policy_type为all时代表策略需要全量更新，add需要添加，delete需要修改；第二个数据表示配置信息asset_type；第三个数据表示控制策略，asset中file代表文件访问控制，net代表网络访问控制，第四个数据表示控制策略的匹配规则，rules。

本实施例提供的数据格式下发策略，简单易懂，提升下发速度。

图2为本发明实施例提供的一种应用于主机的基于资产清单的策略确定方法的流程图，如图2所示，该方法包括：

S21：获取当前资产信息；

S22：将当前资产信息通过主机代理程序发送至云服务器，以便于云服务器根据当前资产信息确定对应的目标信息类型，根据目标信息类型确定目标策略的策略信息，根据目标策略的策略信息遍历各主机存储的资产清单以确定目标主机，并将目标策略下发至目标主机；

其中，目标信息类型包括全量上报类型、新增类型和删除类型；目标策略为文件访问控制策略或网络访问控制策略；

S23：接收下发的目标策略完成策略匹配。

本发明实施例基于各主机的当前资产信息的目标信息类型以确定目标策略的策略信息，并针对当前资产信息内确定的目标策略下发至主机。同时，根据目标策略的策略信息遍历各主机中存储的资产清单，若主机的资产清单内存在策略信息，其确定为目标主机，并将目标策略下发至该主机，并不是将目标策略下发至所有的主机，保证目标主机内仅存在自己相关的目标策略，避免每次策略匹配浪费的时间。另外，针对当前资产信息确定目标策略的策略信息，以实现策略的定时更新，将目标策略下发至目标主机，减少下发策略的策略内容，在一定程度上提升策略下发速度，减少策略匹配速度。

在一些实施例中，获取当前资产信息，包括：

通过内核技术，并基于主机系统的接口获取主机系统的当前时间的资产信息和上一个时间的资产信息；

将当前时间的资产信息和上一个时间的资产信息进行比较以确定当前时间的资产信息相对于上一个时间的资产信息的修改信息；

将修改信息和当前时间的资产信息作为当前资产信息。具体地，通过ebpf技术实时监控端口、程序、账号的变更，基于主机系统的接口获取主机系统的当前时间和上一个时间对应的资产信息，由于该技术监控账号、端口、可执行程序的创建和删除，可以通过当前时间和上一个时间的资产信息进行比较以确定修改信息，这里的修改信息可以是新增的信息和删除的信息，同时将修改信息和当前时间更新后的资产信息作为当前资产信息进行上报至云服务器，即管理中心。

该内核技术可以在Linux内核中运行沙盒程序，而无需更改内核源代码或加载内核模块。它提供了一种通用执行引擎，可以基于系统或程序事件高效安全地执行特定代码，就像在实时编译器和验证引擎的帮助下进行本机编译一样。

如今，内核技术被广泛用于各种场景：在现代数据中心和云原生环境中提供高性能网络和负载平衡，以低成本提取细粒度的安全可观测性数据，帮助应用程序开发人员跟踪应用程序，为性能故障排除、预防性应用程序和容器运行时安全实施提供见解等等。

本发明实施例提供的通过内核技术实时监控资产清单的信息，及时掌握资产变更信息，避免了定时清点的延时。

在一些实施例中，在接收下发的目标策略之后，还包括：

预先建立文件访问控制策略和网络访问控制策略对应的内存区域；

在接收到目标策略时，确定目标策略的策略类型，其中，策略类型为文件访问控制策略类型和网络访问控制策略类型，策略类型与对应的内存区域呈映射关系；

将目标策略进行数组形式处理得到处理后的目标策略；

根据确定的目标策略的策略类型和对应的内存区域之间的映射关系对处理后的目标策略进行存储。

具体地，在内存中预先建立两个控制策略对应的内存区域，在接收到目标策略时，基于目标策略的策略信息确定目标策略的策略类型，可以理解的是，策略类型主要区分于两个控制策略，以便于后续存储到对应的内存区域。再通过以数组形式进行处理，数组是存储同一种数据类型多个元素的集合，既可以存储基本数据类型，也可以存储引用数据类型，在此不做限定。根据目标策略的策略类型和对应的内存区域的映射关系对处理后的目标策略进行存储，分别记录为file_policy和net_policy，不做持久化保存，降低agent的消耗，节省查询流程。

图3为本发明实施例提供另一种应用于云服务器的基于资产清单的策略确定方法的流程图，如图3所示，包括：

S31：接收资产信息；

S32：判断资产信息是否为全量信息，若是，则进入步骤S33，若否，则进入步骤S34；

S33：确定为全量生成策略；

S34：确定为增量生成策略；

S35：根据对应的策略更新资产信息；

S36：将策略下发至目标主机；

S30：云服务器重启，并进入至步骤S33。

1)通过系统接口获取主机全部端口、账号、程序信息。

2)管理中心根据接收到的资产内容是否为全量资产，选择全量下发策略还是增量下发策略。

3)将变化的资产信息记录到管理中心的数据库。

4)管理中心重启时，根据保存至管理中心的资产信息全量生成每个主机的策略。

图4为本发明实施例提供另一种应用于主机的基于资产清单的策略确定方法的流程图，如图4所示，包括：

S41：全量获取资产信息；

S42：监听资产信息变化；

S43：上报资产信息变化内容；

S44：接收云服务器下发的策略；

S45：判断是否为全量策略，若是，则进入步骤S46；若否，则进入步骤S47；

S46：全量更新策略；

S47：增量更新策略。

1)通过系统接口获取主机全部端口、账号、程序信息。

2)通过ebpf程序实时监听端口、账号、程序的新增和删除。

3)上报端口、账号、程序的新增和删除给管理中心(云服务器)，管理中心根据全量策略筛选需要更新的策略下发给agent。

4)Agent根据接收到的策略内容是否为全量策略，选择全量更新策略还是增量更新策略。

具体地，全量更新策略是基于全量资产信息确定，增量更新策略是基于资产信息的删除和新增确定的策略，均包括上述实施例中提到的文件访问控制策略和网络访问控制策略。

对于本发明提供的另一种基于资产清单的策略确定方法的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述基于资产清单的策略确定方法相同的有益效果。

上述详细描述了基于资产清单的策略确定方法对应的各个实施例，在此基础上，本发明还公开与上述方法对应的基于资产清单的策略确定装置，图5为本发明实施例提供的一种应用于云服务器的基于资产清单的策略确定装置的结构图。如图5所示，该装置包括：

第一接收模块11，用于接收由各主机代理程序发送的当前资产信息，并根据当前资产信息确定对应的目标信息类型，其中，目标信息类型包括全量上报类型、新增类型和删除类型；

第一确定模块12，用于根据目标信息类型确定目标策略的策略信息，其中，目标策略为文件访问控制策略或网络访问控制策略；

遍历模块13，用于根据目标策略的策略信息遍历各主机存储的资产清单以确定目标主机，并将目标策略下发至目标主机。

在一些实施例中，第一接收模块11内的根据当前资产信息确定对应的目标信息类型，包括：

第一获取子模块，用于获取当前资产信息的数据格式信息；

第一确定子模块，用于根据数据格式信息的类型信息确定目标信息类型。

在一些实施例中，在目标信息类型为全量上报类型时，第一确定模块12包括：

第二获取子模块，用于获取当前资产信息的数据格式信息的配置信息，其中，配置信息为端口、用户和程序的一种或者多种；

删除模块，用于根据配置信息和全量上报类型删除原有的配置信息所属的资产信息以进行更新保存；

第二确定子模块，用于将配置信息所属的控制策略进行全量遍历以确定目标策略的策略信息。

在一些实施例中，在目标信息类型为新增类型或删除类型时，第一确定模块12包括：

第三获取子模块，用于获取当前资产信息的配置信息对应的端口代理程序；

第一判断子模块，用于根据端口代理程序查询端口配置信息所属的控制策略是否存在入站目的端口为当前资产信息的规则，若是，则触发第三确定子模块；

第三确定子模块，用于将控制策略确定为网络访问控制策略。

在一些实施例中，第二确定子模块包括：

第一遍历子模块，用于在配置信息为端口类型时，将端口类型所属的网络访问控制策略进行遍历以遍历出所有入站目的端口在端口代理程序的规则；

第一作为子模块，用于将端口代理程序的规则作为网络访问控制策略的策略信息；

第二判断子模块，用于在配置信息为用户和程序类型时，判断用户和程序类型分别对应的主机的用户和程序类型是否相同，若用户和程序类型分别对应的主机的用户和程序类型全部相同，则触发第四获取子模块，若用户和程序类型分别对应的主机的用户和程序类型不全部相同，则触发第一处理子模块；若用户和程序类型分别对应的主机的用户和程序类型均不相同，则触发第二处理子模块；

第四获取子模块，用于获取当前资产信息的配置信息对应的账号信息；

第四确定子模块，用于根据账号信息确定文件访问控制策略的变化信息；

第一更新子模块，用于更新账号信息对应的账号代理程序；

第三判断子模块，用于根据账号代理程序查询账号配置信息所属的文件访问控制策略是否存在应用代理程序，若是，则触发第五确定子模块，若否，则触发第六确定子模块；

第五确定子模块，用于将文件访问控制策略确定为目标策略；

第六确定子模块，用于将文件访问控制策略不为目标策略；

第一处理子模块，用于不做处理；

第二处理子模块，用于不做处理。

在一些实施例中，在目标策略为文件访问控制策略时，遍历模块13，包括：

第二遍历子模块，用于根据目标策略的策略信息遍历各主机对应的账号信息和应用程序信息；

第七确定子模块，用于若存在主机内的账号代理程序包含账号信息且主机内的应用代理程序包含应用程序信息，则确定文件访问控制策略对主机生效，且主机为目标主机。

在一些实施例中，遍历模块13中的将目标策略下发至目标主机，包括：

第一下发子模块，用于通过数据格式将目标策略下发至目标主机，其中，数据格式的第一个数据表示目标信息类型，第二个数据表示配置信息，第三个数据表示控制策略，第四个数据表示控制策略的匹配规则。

在一些实施例中，在第一接收模块11之后，还包括：

第八确定子模块，用于根据资产清单的各配置信息进行分类以确定主机对应的记录范围；

第二作为模块，用于将记录范围作为存储规则；

划分模块，用于预先根据存储规则在数据库内划分对应的存储区域；

第一存储子模块，用于根据存储规则将当前资产信息存储至对应的存储区域内。

图6为本发明实施例提供的一种应用于主机的基于资产清单的策略确定装置的结构图。如图6所示，该装置包括：

获取模块14，用于获取当前资产信息；

发送模块15，用于将当前资产信息通过主机代理程序发送至云服务器，以便于云服务器根据当前资产信息确定对应的目标信息类型，根据目标信息类型确定目标策略的策略信息，根据目标策略的策略信息遍历各主机存储的资产清单以确定目标主机，并将目标策略下发至目标主机，其中，目标信息类型包括全量上报类型、新增类型和删除类型；目标策略为文件访问控制策略或网络访问控制策略；

第二接收模块16，用于接收下发的目标策略完成策略匹配。

在一些实施例中，获取模块14，包括：

第五获取子模块，用于通过内核技术，并基于主机系统的接口获取主机系统的当前时间的资产信息和上一个时间的资产信息；

第九确定子模块，用于将当前时间的资产信息和上一个时间的资产信息进行比较以确定当前时间的资产信息相对于上一个时间的资产信息的修改信息；

第三作为模块，用于将修改信息和当前时间的资产信息作为当前资产信息。

在一些实施例中，在第二接收模块16之后，还包括：

建立模块，用于预先建立文件访问控制策略和网络访问控制策略对应的内存区域；

第十确定子模块，用于在接收到目标策略时，确定目标策略的策略类型，其中，策略类型为文件访问控制策略类型和网络访问控制策略类型，策略类型与对应的内存区域呈映射关系；

第三处理子模块，用于将目标策略进行数组形式处理得到处理后的目标策略；

第二存储子模块，用于根据确定的目标策略的策略类型和对应的内存区域之间的映射关系对处理后的目标策略进行存储。

由于装置部分的实施例与上述的实施例相互对应，因此装置部分的实施例请参照上述方法部分的实施例描述，在此不再赘述。

对于本发明提供的一种基于资产清单的策略确定装置的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述基于资产清单的策略确定方法相同的有益效果。

图7为本发明实施例提供的另一种基于资产清单的策略确定装置的结构图，如图7所示，该装置包括：

存储器21，用于存储计算机程序；

处理器22，用于执行计算机程序时实现基于资产清单的策略确定方法的步骤。

本实施例提供的基于资产清单的策略确定装置可以包括但不限于平板电脑、笔记本电脑或者台式电脑等。

其中，处理器22可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器22可以采用数字信号处理器(Digital Signal Processor，DSP)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)、可编程逻辑阵列(Programmable LogicArray，PLA)中的至少一种硬件形式来实现。处理器22也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称CPU；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器22可以集成有图像处理器(Graphics Processing Unit，GPU)，GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器22还可以包括人工智能(Artificial Intelligence，AI)处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器21可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器21还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器21至少用于存储以下计算机程序211，其中，该计算机程序被处理器22加载并执行之后，能够实现前述任一实施例公开的基于资产清单的策略确定方法的相关步骤。另外，存储器21所存储的资源还可以包括操作系统212和数据213等，存储方式可以是短暂存储或者永久存储。其中，操作系统212可以包括Windows、Unix、Linux等。数据213可以包括但不限于基于资产清单的策略确定方法所涉及到的数据等等。

在一些实施例中，基于资产清单的策略确定装置还可包括有显示屏23、输入输出接口24、通信接口25、电源26以及通信总线27。

领域技术人员可以理解，图7中示出的结构并不构成对基于资产清单的策略确定装置的限定，可以包括比图示更多或更少的组件。

处理器22通过调用存储于存储器21中的指令以实现上述任一实施例所提供的基于资产清单的策略确定方法。

对于本发明提供的一种基于资产清单的策略确定装置的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述基于资产清单的策略确定方法相同的有益效果。

进一步的，本发明还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器22执行时实现如上述基于资产清单的策略确定方法的步骤。

可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

对于本发明提供的一种计算机可读存储介质的介绍请参照上述方法实施例，本发明在此不再赘述，其具有上述基于资产清单的策略确定方法相同的有益效果。

以上对本发明所提供的一种应用于云服务器和主机的基于资产清单的策略确定方法、基于资产清单的策略确定装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。