安全事件响应剧本生成方法、系统、装置和存储介质与流程

本发明涉及网络安全技术领域，尤其是一种安全事件响应剧本生成方法、系统、计算机装置和存储介质。

背景技术：

安全事件响应剧本可以表现为一组用于表示按照什么顺序(flow)、调用什么安全设备(app)、执行什么动作(action)的数据，通过执行安全事件响应剧本，可以实现网络安全事件响应。主流的soar(安全编排、自动化与响应)产品都提供了基于图形的可视化编排能力，允许安全人员将应急响应过程中的各个原子化的动作(action)按照一定的逻辑进行编排，形成安全响应剧本(playbook)，从而在发生安全事件时开展快速的应急响应。现有的剧本编排技术只是完成对动作顺序的编排，缺少对动作的管控和风险识别机制。

技术实现要素：

针对上述至少一个技术问题，本发明的目的在于提供一种安全事件响应剧本生成方法、系统、计算机装置和存储介质。

一方面，本发明实施例包括一种安全事件响应剧本生成方法，包括以下步骤：

确定安全场景；

根据所述安全场景，确定要使用的安全功能实体；

识别所述安全功能实体支持的安全动作；

根据所述安全动作的内容，将所述安全动作标记为读取类或写入类；

将所述安全动作作为生成节点，生成所述安全事件响应剧本。

进一步地，所述安全功能实体支持的安全动作包括所述安全功能实体已执行的安全动作和所述安全功能实体将执行的安全动作。

进一步地，所述根据所述安全动作的内容，将所述安全动作标记为读取类或写入类这一步骤，具体包括：

当所述安全动作用于执行获取信息的操作，将所述安全动作标记为读取类；

当所述安全动作用于执行发送信息的操作，将所述安全动作标记为写入类。

进一步地，安全事件响应剧本生成方法还包括以下步骤：

对所述安全事件响应剧本进行可视化处理；所述可视化处理用于通过产生视觉效果，以区分所述安全事件响应剧本中属于读取类的所述安全动作以及属于写入类的所述安全动作。

进一步地，安全事件响应剧本生成方法还包括以下步骤：

对所述安全事件响应剧本进行权限设置；所述权限设置用于对所述安全事件响应剧本中属于读取类的所述安全动作以及属于写入类的所述安全动作赋予不同的访问权限和/或修改权限。

进一步地，安全事件响应剧本生成方法还包括以下步骤：

对所述安全事件响应剧本中的部分或全部所述安全动作进行审批处理；经过所述审批处理的所述安全动作将被所述安全事件响应剧本执行，未经过所述审批处理的所述安全动作不被所述安全事件响应剧本执行。

进一步地，安全事件响应剧本生成方法还包括以下步骤：

检测对所述安全事件响应剧本的插入动作；所述插入动作用于向所述安全事件响应剧本中的特定位置插入新的安全动作；

将所述新的安全动作识别为读取类或写入类；

根据所述安全事件响应剧本中所述特定位置前和/或后的所述安全动作与所述新的安全动作之间的种类关系，确定所述新的安全动作的危险度。

另一方面，本发明实施例还包括一种安全事件响应剧本生成系统，包括：

第一模块，用于确定安全场景；

第二模块，用于根据所述安全场景，确定要使用的安全功能实体；

第三模块，用于识别所述安全功能实体支持的安全动作；

第四模块，用于根据所述安全动作的内容，将所述安全动作标记为读取类或写入类；

第五模块，用于将所述安全动作作为生成节点，生成所述安全事件响应剧本。

另一方面，本发明实施例还包括一种计算机装置，包括存储器和处理器，所述存储器用于存储至少一个程序，所述处理器用于加载所述至少一个程序以执行安全事件响应剧本生成方法。

另一方面，本发明实施例还包括一种存储介质，其中存储有处理器可执行的指令，所述处理器可执行的指令在由处理器执行时用于执行安全事件响应剧本生成方法。

本发明的有益效果是：实施例中的安全事件响应剧本生成方法，在现有技术的基础上引入了读写分析的分类机制和技术实现，使得生成的安全事件响应剧本中的安全动作被标识为写入类或读取类，通过对安全动作的类别化标识，提高了安全剧本编排的易用性，减少了安全剧本编辑人员编排过程中的误操作，降低了自动化剧本的安全风险；采用读写分离技术机制，允许安全编排系统针对不同的人员、场景进行动作和权限的适配，基于此可以进一步实现访问权限和/或修改权限设置、安全动作执行审批、新插入的安全动作危险度检测等优化技术。

附图说明

图1为实施例中安全事件响应剧本生成方法的流程图；

图2为实施例中安全事件响应剧本生成方法的原理图。

具体实施方式

本实施例中，安全事件响应剧本生成方法的流程如图1所示，包括以下步骤：

s1.确定安全场景；

s2.根据安全场景，确定要使用的安全功能实体；

s3.识别安全功能实体支持的安全动作；

s4.根据安全动作的内容，将安全动作标记为读取类或写入类；

s5.将安全动作作为生成节点，生成安全事件响应剧本。

步骤s1-s5的原理如图2所示。步骤s1中，根据实际使用需要确定安全场景，例如确定安全场景为网络安全封禁场景。根据网络安全封禁场景的要求，网络安全工程师可以提出以下形式的安全策略：

(1)给定一个输入ip地址

(2)通过华为防火墙api接口封禁ip地址

(3)查询华为防火墙api接口确认ip已经被封禁

(4)根据封禁查询结果，发送消息通知到微信

(5)由于ip封禁是高危动作，网络安全工程师希望在封禁动作前增加一个审批。

对上述安全策略(1)-(5)进行解析，该策略涉及一个输入(即ip地址)、两个安全功能实体(即华为防火墙和微信)、一个判断规则，从而执行步骤s2，确定要使用的安全功能实体包括华为防火墙和微信。

本实施例中的安全动作可以是指安全功能实体执行自身功能时所执行的动作，例如华为防火墙这一安全功能实体支持的安全动作包括：查询一个ip是否被封禁、下发指令封禁一个ip地址、查询防火墙运行状态；微信这一安全功能实体支持的安全动作包括：通过微信向单个用户发送消息、通过微信向群组发送消息。本实施例中的安全动作也可以是指用于为安全功能实体提供运行条件的网络设备、it系统或saas服务等跟安全响应优化的系统或过程动作，例如：启动杀毒软件、更新客户端病毒库、查询交换机mac地址表、重启交换机、关闭交换机端口、查询windowsad中用户邮箱信息、冻结一个员工账号、调用saas服务查询某个ip地址的归属地等等。

进一步地，安全动作可以是一个动作名称，也可以是一组动作的集合，例如，安全动作可以是指重启一个服务器这一个动作，也可以是指创建一个员工账号这一组动作，具体包括创建windowsad账号、公司exchange邮箱、更新员工所在部门信息等一系列子动作。

步骤s3中，可以通过查询等方式识别安全功能实体支持的安全动作。本实施例中，上述这些安全动作，可以是安全功能实体已执行的安全动作和安全功能实体将执行的安全动作。

接下来，网络安全工程师对上述安全功能实体支持的安全动作进行梳理，进行读写类型分类识别，识别标准是：如果一个安全动作主要用于执行获取信息的操作，那么将这个安全动作标记为读取类；如果一个安全动作主要用于执行发送信息的操作，那么将这个安全动作标记为写入类。在此标准下，可以将用于查询或通知的安全动作也标记为读取类或写入类。

表1是分类结果的一个示例表格。

表1

在执行步骤s4，将安全动作标记为读取类或写入类时，可以同时或分别采用数据层面或可视化图形层面的方式进行标记。例如，当使用java、python等编程语言进行安全事件响应剧本编排，可以对安全动作包括的能力进行逐项说明，包括：动作名称、动作参数和动作类别等，明确该安全动作属于读取类还是写入类。具体地，通过json文件、xml文件或者文本型标识位来对安全动作进行标记。

当在可视化图形层面的方式进行标记，可以对安全事件响应剧本进行可视化处理，以产生高亮或者背景色块等视觉效果，例如通过方块或者按钮等图形显示安全事件响应剧本中的各安全动作，可以对属于写入类的安全动作进行高亮处理，对属于读取类的安全动作不进行高亮处理等，从而使得网络安全工程师能够方便快捷地识别出哪些安全动作属于读取类的安全动作，哪些安全动作属于写入类的安全动作。

在完成对安全功能实体支持的安全动作的分类之后，以安全动作作为节点，生成安全事件响应剧本。

本实施例中，通过对安全功能实体支持的安全动作进行写入类或读取类的分类，利用了写入类的安全动作与读取类的安全动作具有不同的操作风险的特性，可以在安全事件响应剧本中标记出安全动作对应的操作风险，从而使得网络安全工程师在使用安全事件响应剧本过程中能够据此作出优化。

本实施例中，网络安全工程师在使用安全事件响应剧本过程中，能够根据安全动作的分类作出的优化包括：

s6.对安全事件响应剧本进行权限设置；权限设置用于对安全事件响应剧本中属于读取类的安全动作以及属于写入类的安全动作赋予不同的访问权限和/或修改权限。

执行步骤s6时，可以向不同人员开放不同的访问权限和/或修改权限。例如，向高级剧本编排人员开放写入类安全动作的访问权限和/或修改权限，向普通剧本编排人员开放读取类安全动作的访问权限和/或修改权限，向事件处置人员开放写入类安全动作的访问权限和/或修改权限，向普通观察员开放读取类安全动作的访问权限和/或修改权限。

本实施例中，网络安全工程师在使用安全事件响应剧本过程中，能够根据安全动作的分类作出的优化还包括：

s7.对安全事件响应剧本中的部分或全部安全动作进行审批处理；经过审批处理的安全动作将被安全事件响应剧本执行，未经过审批处理的安全动作不被安全事件响应剧本执行。

执行步骤s7时，由于写入类安全动作相对于读取类安全动作具有更高的操作风险，因此可以将ip封禁等写入类安全动作设置为需要经过审批，只有经过审批处理的ip封禁等安全动作才能被安全事件响应剧本执行，未经过审批处理的安全动作不会被安全事件响应剧本执行。而对大部分读取类安全动作可以默认为经过审批处理，这样可以无需经人工或自动专门进行审批即可被安全事件响应剧本执行。

本实施例中，网络安全工程师在使用安全事件响应剧本过程中，能够根据安全动作的分类作出的优化还包括：

s8.检测对安全事件响应剧本的插入动作；插入动作用于向安全事件响应剧本中的特定位置插入新的安全动作；

s9.将新的安全动作识别为读取类或写入类；

s10.根据安全事件响应剧本中特定位置前和/或后的安全动作与新的安全动作之间的种类关系，确定新的安全动作的危险度。

本实施例中，还可以向网络安全工程师提供在安全事件响应剧本的特定位置插入新的安全动作的功能。当网络安全工程师向安全事件响应剧本的特定位置插入新的安全动作，执行步骤s9，按照与步骤s4相同的原理，识别出新的安全动作识别属于读取类还是写入类，然后再判断安全事件响应剧本中特定位置前和/或后的一个或多个安全动作分别属于读取类还是写入类，根据安全事件响应剧本中特定位置前和/或后的安全动作与新的安全动作之间的种类关系，确定新的安全动作的危险度。例如，当在插入新的安全动作后，如果出现安全事件响应剧本的特定位置的附近出现连续多个写入类的安全动作的情况，那么就进一步根据写入类的安全动作和读取类的安全动作的个数、连续出现个数等信息确定“服务器重启”、“业务中断”、“网络中断”、“数据库临时不可用”等由于插入新的安全动作引起的故障的发生可能性，从而得到新的安全动作的危险度。可以通过向工作人员提醒危险度的方式，使得工作人员留意到其新加入的安全动作是否恰当，避免因新加入安全动作而引发故障。

本实施例中的安全事件响应剧本生成方法，在现有技术的基础上引入了读写分析的分类机制和技术实现，使得生成的安全事件响应剧本中的安全动作被标识为写入类或读取类，通过对安全动作的类别化标识，提高了安全剧本编排的易用性，减少了安全剧本编辑人员编排过程中的误操作，降低了自动化剧本的安全风险；采用读写分离技术机制，允许安全编排系统针对不同的人员、场景进行动作和权限的适配，进一步实现了访问权限和/或修改权限设置、安全动作执行审批、新插入的安全动作危险度检测等优化技术。

本实施例中的安全事件响应剧本生成方法可以用于网络安全事件应急响应中，也可用于运维、风控和工业自动化领域的各类系统交互流程设计与编排中。

本实施例中，可以使用安全事件响应剧本生成系统来执行安全事件响应剧本生成方法。安全事件响应剧本生成系统包括：

第一模块，用于确定安全场景；

第二模块，用于根据安全场景，确定要使用的安全功能实体；

第三模块，用于识别安全功能实体支持的安全动作；

第四模块，用于根据安全动作的内容，将安全动作标记为读取类或写入类；

第五模块，用于将安全动作作为生成节点，生成安全事件响应剧本。

本实施例中，第一模块、第二模块、第三模块、第四模块、第五模块可以是具有相应功能的硬件模块、软件模块或者硬件和软件的结合。运行安全事件响应剧本生成系统可以执行安全事件响应剧本生成方法，从而实现与安全事件响应剧本生成方法实施例相同的技术效果。

本实施例中，一种计算机装置，包括存储器和处理器，所述存储器用于存储至少一个程序，所述处理器用于加载所述至少一个程序以执行本实施例中的安全事件响应剧本生成方法。

本实施例中，一种存储介质，其中存储有处理器可执行的指令，所述处理器可执行的指令在由处理器执行时用于执行本实施例中的安全事件响应剧本生成方法，实现与本实施例中所述的相同的技术效果。

需要说明的是，如无特殊说明，当某一特征被称为“固定”、“连接”在另一个特征，它可以直接固定、连接在另一个特征上，也可以间接地固定、连接在另一个特征上。此外，本公开中所使用的上、下、左、右等描述仅仅是相对于附图中本公开各组成部分的相互位置关系来说的。在本公开中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。此外，除非另有定义，本实施例所使用的所有的技术和科学术语与本技术领域的技术人员通常理解的含义相同。本实施例说明书中所使用的术语只是为了描述具体的实施例，而不是为了限制本发明。本实施例所使用的术语“和/或”包括一个或多个相关的所列项目的任意的组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种元件，但这些元件不应限于这些术语。这些术语仅用来将同一类型的元件彼此区分开。例如，在不脱离本公开范围的情况下，第一元件也可以被称为第二元件，类似地，第二元件也可以被称为第一元件。本实施例所提供的任何以及所有实例或示例性语言(“例如”、“如”等)的使用仅意图更好地说明本发明的实施例，并且除非另外要求，否则不会对本发明的范围施加限制。

应当认识到，本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现，其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向目标终端的编程语言来实现以与计算机系统通信。然而，若需要，该程序可以以汇编或机器语言实现。在任何情况下，该语言可以是编译或解释的语言。此外，为此目的该程序能够在编程的专用集成电路上运行。

此外，可按任何合适的顺序来执行本实施例描述的过程的操作，除非本实施例另外指示或以其他方式明显地与上下文矛盾。本实施例描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行，并且可作为共同地在一个或多个处理器上执行的代码(例如，可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。

进一步，所述方法可以在可操作地连接至合适的任何类型的计算平台中实现，包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现，无论是可移动的还是集成至计算平台，如硬盘、光学读取和/或写入存储介质、ram、rom等，使得其可由可编程计算机读取，当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外，机器可读代码，或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时，本实施例所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时，本发明还包括计算机本身。

计算机程序能够应用于输入数据以执行本实施例所述的功能，从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中，转换的数据表示物理和有形的目标终端，包括显示器上产生的物理和有形目标终端的特定视觉描绘。

以上所述，只是本发明的较佳实施例而已，本发明并不局限于上述实施方式，只要其以相同的手段达到本发明的技术效果，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。在本发明的保护范围内其技术方案和/或实施方式可以有各种不同的修改和变化。