安全事件处理方法、装置、设备及计算机可读存储介质与流程

本发明涉及安全防控技术领域，特别涉及一种安全事件处理方法、装置、设备及计算机可读存储介质。

背景技术：

随着信息化技术的不断发展，网络和信息越来越庞杂，网络安全也成为重中之重。

为了保障网络装置(例如，终端、路由器等装置)、网络等的安全，相关技术中，通常会通过安全设备对网络装置、网络等进行监测，在监测到异常时，安全设备会获取告警数据进行上报，以对告警数据进行处理。但是，目前对告警数据的处理方式，处理速度慢、导致安全问题扩大化，并且成本高。

技术实现要素：

本发明的主要目的是提供一种安全事件处理方法、装置、设备及计算机可读存储介质，旨在解决现有告警数据处理速度慢、导致安全问题扩大化，并且成本高的技术问题。

为实现上述目的，本发明提出一种安全事件处理方法，所述安全事件处理方法包括以下步骤：

获取预设安全设备上报的告警数据；

对所述告警数据进行分析，以生成安全事件；

根据所述安全事件，确定目标playbook剧本；

基于所述目标playbook，对所述安全事件进行处理。

可选的，所述基于所述目标playbook，对所述安全事件进行处理的步骤包括：

基于预设初始处理方式，确定所述安全事件的风险等级和处理优先级；

基于所述风险等级和所述处理优先级，对所述安全事件进行处理。

可选的，所述基于所述风险等级和所述处理优先级，对所述安全事件进行处理的步骤，包括：

根据所述风险等级，判断是否需要对所述安全事件进行前期处理；

若是，基于所述处理优先级，获取与所述安全事件匹配的目标前期处理策略；

基于所述目标前期处理策略对所述安全事件进行处理。

可选的，所述根据所述风险等级，判断是否需要对所述安全事件进行前期处理的步骤之后，所述安全事件处理方法还包括以下步骤：

若是，判断是否需要对所述安全事件进行溯源处理；

若是，基于所述处理优先级，获取与所述安全事件匹配的目标溯源处理策略；

基于所述目标溯源处理策略，进行溯源分析；

基于溯源分析结果，确定对应的目标访问控制策略；

基于所述目标访问控制策略进行控制。

可选的，所述对所述告警数据进行分析，以生成安全事件的步骤之前，所述安全事件处理方法还包括：

对所述告警数据进行归一化处理；

所述对所述告警数据进行分析，以生成安全事件的步骤，包括：

对归一化处理后的所述告警数据进行分析，以生成安全事件。

可选的，所述基于所述目标playbook，对所述安全事件进行处理的步骤之后，所述安全事件处理方法还包括：

获取所述安全事件的处理过程；

存储所述处理过程。

可选的，所述基于所述目标playbook，对所述安全事件进行处理的步骤包括：

基于所述目标playbook，执行对应的动作，以调用安全防护系统设备对所述安全事件进行处理。

此外，为实现上述目的，本发明还提出一种安全事件处理装置，所述安全事件处理装置包括：

获取模块，用于获取预设安全设备上报的告警数据；

生成模块，用于对所述告警数据进行分析，以生成安全事件；

确定模块，用于根据所述安全事件，确定目标playbook；

处理模块，用于基于所述目标playbook，对所述安全事件进行处理。

此外，为实现上述目的，本发明还提出一种安全事件处理设备，所述安全事件处理设备包括：存储器、处理器及存储在所述存储器上并在所述处理器上运行安全事件处理程序，所述安全事件处理程序被所述处理器执行时实现上述任一项所述的安全事件处理方法的步骤。

此外，为实现上述目的，本发明还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有安全事件处理程序，所述安全事件处理程序被处理器执行时实现上述任一项所述的安全事件处理方法的步骤。

本发明技术方案通过采用一种安全事件处理方法，所述安全事件处理方法包括以下步骤：获取预设安全设备上报的告警数据；对告警数据进行分析，以生成安全事件；根据安全事件，确定目标playbook剧本；基于目标playbook，对安全事件进行处理，也就是说，本发明中，基于playbook编排对安全事件进行处理，从而提升处理速度，避免处理不及时安全问题进一步扩大化的情况，提升安全性，降低运维成本。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。

图1为本发明实施例方案涉及的硬件运行环境的安全事件处理设备结构示意图；

图2为本发明安全事件处理方法第一实施例的流程示意图；

图3为本发明安全事件处理方法第二实施例的流程示意图；

图4为本发明安全事件处理方法第四实施例的流程示意图；

图5-1为本发明安全事件处理设备的一种结构示意图；

图5-2为本发明安全事件处理设备的又一种结构示意图；

图6为本发明安全事件处理装置的模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的安全事件处理设备结构示意图。

安全事件处理设备可以是移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(pda)、平板电脑(pad)等用户设备(userequipment，ue)、手持设备、车载设备、可穿戴设备、计算设备、智能家居设备、安全设备或连接到无线调制解调器的其它处理设备、移动台(mobilestation，ms)、服务器等。

通常，安全事件处理设备包括：至少一个处理器301、存储器302以及存储在所述存储器上并可在所述处理器上运行的安全事件处理程序，所述安全事件处理程序配置为实现如下任一实施例所述的安全事件处理方法的步骤。

处理器301可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器301可以采用dsp(digitalsignalprocessing，数字信号处理)、fpga(field－programmablegatearray，现场可编程门阵列)、pla(programmablelogicarray，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器301也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(centralprocessingunit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器301可以在集成有gpu(graphicsprocessingunit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。处理器301还可以包括ai(artificialintelligence，人工智能)处理器，该ai处理器用于处理有关安全事件处理方法操作，使得安全事件处理方法模型可以自主训练学习，提高效率和准确度。

存储器302可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器302还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中，存储器302中的非暂态的计算机可读存储介质用于存储至少一个指令，该至少一个指令用于被处理器301所执行以实现本申请中方法实施例提供的安全事件处理方法。

在一些实施例中，安全事件处理设备还可选包括有：通信接口303和至少一个外围设备。处理器301、存储器302和通信接口303之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与通信接口303相连。具体地，外围设备包括：射频电路304、显示屏305和电源306中的至少一种。

通信接口303可被用于将i/o(input/output，输入/输出)相关的至少一个外围设备连接到处理器301和存储器302。在一些实施例中，处理器301、存储器302和通信接口303被集成在同一芯片或电路板上；在一些其他实施例中，处理器301、存储器302和通信接口303中的任意一个或两个可以在单独的芯片或电路板上实现，本实施例对此不加以限定。

射频电路304用于接收和发射rf(radiofrequency，射频)信号，也称电磁信号。射频电路304通过电磁信号与通信网络以及其他通信设备进行通信。射频电路304将电信号转换为电磁信号进行发送，或者，将接收到的电磁信号转换为电信号。可选地，射频电路304包括：天线系统、rf收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路304可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于：城域网、各代移动通信网络(2g、3g、4g及5g)、无线局域网和/或wifi(wirelessfidelity，无线保真)网络。在一些实施例中，射频电路304还可以包括nfc(nearfieldcommunication，近距离无线通信)有关的电路，本申请对此不加以限定。

显示屏305用于显示ui(userinterface，用户界面)。该ui可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏305是触摸显示屏时，显示屏305还具有采集在显示屏305的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器301进行处理。此时，显示屏305还可以用于提供虚拟按钮和/或虚拟键盘，也称软按钮和/或软键盘。在一些实施例中，显示屏305可以为一个，电子设备的前面板；在另一些实施例中，显示屏305可以为至少两个，分别设置在电子设备的不同表面或呈折叠设计；在再一些实施例中，显示屏305可以是柔性显示屏，设置在电子设备的弯曲表面上或折叠面上。甚至，显示屏305还可以设置成非矩形的不规则图形，也即异形屏。显示屏305可以采用lcd(liquidcrystaldisplay，液晶显示屏)、oled(organiclight-emittingdiode,有机发光二极管)等材质制备。

电源306用于为电子设备中的各个组件进行供电。电源306可以是交流电、直流电、一次性电池或可充电电池。当电源306包括可充电电池时，该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。本领域技术人员可以理解，图1中示出的结构并不构成对安全事件处理设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，本发明实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有安全事件处理程序，所述安全事件处理程序被处理器执行时实现如下文任一实施例所述的安全事件处理方法的步骤。因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节，请参照本申请方法实施例的描述。确定为示例，程序指令可被部署为在一个计算设备上执行，或者在位于一个地点的多个计算设备上执行，又或者，在分布在多个地点且通过通信网络互连的多个计算设备上执行。

本领域普通技术人员可以理解实现下文任一实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述安全事件处理程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如下述各方法的实施例的流程。其中，上述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

相关技术中，安全设备获取告警数据之后，上报给运维人员进行处理，即人工处理，导致运维成本高；同时，由于人工处理存在处理速度慢、处理不及时、人员能力参差不齐等问题，会导致安全问题进一步扩大、安全防护效果不好；并且，安全设备繁杂多样，操作不统一，运维人员需要学习各种类型安全设备的操作流程，进一步提升了运维成本。

为了解决上述技术问题，基于前述硬件结构，提出本发明安全事件处理方法的实施例。

参照图2，图2为本发明安全事件处理方法的第一实施例的流程示意图，所述安全事件处理方法包括以下步骤：

步骤s11：获取预设安全设备上报的告警数据。

其中，安全设备为对网络装置、网络等的安全进行保障的设备。例如，安全设备可以是防火墙、流量采集器等。

需要说明的是，为了保障终端设备、网络等的安全，会设置一个或多个安全设备对网络装置、网络等的安全进行保护，安全设备会对网络装置、网络的安全进行监控，在监控到异常时，会生成告警数据，并将告警数据进行上报。

本发明实施例中，安全事件处理设备获取各预设安全设备上报的告警数据，以供后续处理。

在一些实施方式中，步骤s11包括：通过预设大数据平台获取预设安全设备上报的告警数据。需要说明的是，本发明实施例中，可以预先设置一个大数据平台，大数据平台中包括数据接入引擎，数据接入引擎用于与各预设安全设备连接，接收各预设安全设备上报的告警数据，从而保障数据的全面性；也就是说，各预设安全设备生成告警数据后，会上报给预设大数据平台中的数据接入引擎，数据接入引擎接收各预设安全设备上报的告警数据。

步骤s12：对告警数据进行分析，以生成安全事件。

本发明实施例中，在接收到告警数据后，可以对告警数据进行分析，从而生成安全事件。

在一些实施方式中，可以基于深度神经网络，预先设计告警分析模型，步骤s12包括：基于告警分析模型，对告警数据进行分析，以生成安全事件。也就是说，将告警数据输入到告警分析模型中，由告警分析模型对告警数据进行分析，从而生成安全事件。

步骤s13：根据安全事件，确定目标playbook。

应当理解的是，playbook为用于配置、控制、管理、自动化动作的运行剧本，通过playbook的详细描述或者动作配置，可执行其中一系列任务或者进行流程控制，让系统数据达到预期的展示结果。

考虑到不同的安全事件，其处理方式不同，因此，本发明实施例中，针对不同的安全事件，配置了不同的playbook。

在一些实施方式中，根据安全事件的类型，配置了不同的playbook，例如针对出现病毒的安全事件，则配置的playbook中可以包括杀毒流程，以进行杀毒；针对出现漏洞的安全事件，则配置的playbook中可以包括补丁代码修复流程，以对漏洞进行修复。

本发明实施例中，在生成安全事件后，基于安全事件，查找匹配的playbook，即目标playbook。

步骤s14：基于目标playbook，对安全事件进行处理。

应当理解的是，playbook中配置有对应的控制流程。

本发明实施例中，在确定目标playbook后，基于目标playbook，对安全事件进行处理，以提升安全性。

在一些实施方式中，步骤s14包括：基于目标playbook，执行对应的动作，以对安全事件进行处理。

需要说明的是，在playbook中，可以配置对应的动作，在执行目标playbook时，执行对应的动作，以对安全事件进行处理。

在一些实施方式中，为了进一步提升安全防控能力，安全事件处理设备可以与安全防护系统设备连接，在playbook中，可以配置安全防护系统设备来对安全事件进行处理。此时，步骤s14包括：基于目标playbook，执行对应的动作，以调用安全防护系统设备对安全事件进行处理。

其中，安全防护系统设备可以是防火墙、dns(domainnamesystem，域名系统)设备、情报收集设备等。

本发明实施例提供的安全事件处理方法，包括以下步骤：获取预设安全设备上报的告警数据；对告警数据进行分析，以生成安全事件；根据安全事件，确定目标playbook剧本；基于目标playbook，对安全事件进行处理，这样，相比相关技术中，由运维人员对告警数据进行处理，处理速度慢、运维人员需要学习各种安全设备、运维成本高的方式，本发明实施例提供的方法中，基于playbook编排对安全事件进行处理，从而提升处理速度，避免处理不及时安全问题进一步扩大化的情况，提升安全性，降低运维成本。

基于第一实施例，提出本发明安全事件处理方法的第二实施例。参见图3所示，图3为本发明安全事件处理方法的第二实施例的流程示意图。本发明实施例中，步骤s11之后，步骤s12之前，安全事件处理方法还包括以下步骤：

步骤s15：对告警数据进行归一化处理。

本发明示例中，为了方便后续处理，提升处理速度，在获取预设安全设备上报的告警数据之后，对告警数据进行归一化处理。

在一些实施方式中，各安全设备可以将告警数据上报至数据接入引擎的消息队列中，然后，采用flink分布式解析框架对告警数据进行归一化处理。应当理解的是，flink核心是用java和scala编写的分布式流数据流引擎。flink以数据并行和流水线方式执行任意流数据程序，flink的流水线运行时系统可以执行批处理和流处理程序；此外，flink的运行时本身也支持迭代算法的执行。

步骤s12包括：对归一化处理后的告警数据进行分析，以生成安全事件。

在一些实施方式中，步骤s15之后，安全事件处理方法还可以包括以下步骤：存储预设安全设备上报的告警数据。

其中，存储位置可以根据实际需要灵活设置。

在一个示例中，大数据平台还可以包括存储引擎，步骤s15包括：通过存储引擎存储预设安全设备上报的告警数据。也就是说，数据接入引擎接收各预设安全设备上报的告警数据后，进行归一化处理，然后存储在存储引擎中。其中，存储引擎可以根据实际需要灵活设置。在一个示例中，存储引擎可以是es(elasticsearch，分布式全文搜索引擎)。应当理解的是，elasticsearch是一个分布式、高扩展、高实时的搜索与数据分析引擎，它能很方便的使大量数据具有搜索、分析和探索的能力，充分利用elasticsearch的水平伸缩性，能使数据在生产环境变得更有价值。通过es引擎，可以存储海量的告警数据。

本发明实施例提供的安全事件处理方法，在获取预设安全设备上报的告警数据之后，对告警数据进行归一化处理，然后对归一化处理后的告警数据进行分析，以生成安全事件，从而提升处理速度。

基于前述实施例，提出本发明安全事件处理方法的第三实施例。本发明实施例中，步骤s14包括：

步骤s141：基于预设初始处理方式，确定安全事件的风险等级和处理优先级。

需要说明的是，在目标playbook中，配置了预设处理方式，预设处理方式包括但不限于：预处理策略、关联分析策略、合并策略等。具体的，可以根据实际需要灵活设置。应当理解的是，关联分析策略为获取关联数据进行分析的策略；合并策略为基于相似度等进行分析以合并处理的策略。

根据安全事件对网络装置或网络的危害程度，划分了多个风险等级，其中，风险等级越高，其危害程度越大。

本发明实施例中，为了了解安全事件，基于预设初始处理方式，确定安全事件的风险等级和处理优先级。应当理解的是，风险等级越高的安全事件，其对应的处理优先级越高，越快处理。

步骤s142：基于风险等级和处理优先级，对安全事件进行处理。

在确定风险等级和处理优先级之后，基于处理优先级，确定安全事件的处理顺序，基于处理顺序和风险等级，对安全事件进行处理。

在一些实施方式中，步骤s142包括：

步骤s1421：根据风险等级，判断是否需要对安全事件进行前期处理。

考虑到一些风险等级比较低的安全事件，其对网络装置或网络的影响较小、或者网络装置和网络自身足够处理该安全事件。因此，为了避免浪费资源，本发明实施例中，可以根据安全事件的风险等级，判断是否需要对安全事件进行前期处理。

在一些实施方式中，可以预先设置第一风险等级阈值，在安全事件的风险等级高于预设第一风险等级阈值时，判定需要对该安全事件进行前期处理。

步骤s1422：若是，基于处理优先级，获取与安全事件匹配的目标前期处理策略。

若需要对该安全事件进行前期处理，基于处理优先级确定处理顺序，在处理顺序到达时，获取与安全事件匹配的目标前期处理策略。

需要说明的是，安全事件的类型不同、安全事件的风险等级不同，其对应的前期处理策略可以不同。本发明实施例中，针对不同的安全事件，在playbook中配置了不同的前期处理策略。例如，针对出现病毒的安全事件，前期处理策略可以是杀毒；针对出现漏洞的安全事件，前期处理策略可以是修复漏洞；针对账号异常的安全事件，前期处理策略可以是禁止登录。

在判定需要对安全事件进行前期处理时，基于安全事件的风险等级和/或类型等，获取匹配的前期处理策略，即目标前期处理策略。

步骤s1423：基于目标前期处理策略对安全事件进行处理。

在获取目标前期处理策略后，基于目标前期处理策略对安全事件进行处理，从而保证网络装置和/或网络的安全。

在一些实施方式中，可以基于目标前期处理策略，调用对应的安全防护系统设备对安全事件进行处理。

本发明实施例提供的安全事件处理方法，基于预设初始处理方式，确定安全事件的风险等级和处理优先级，并根据安全事件的风险等级和处理优先级对安全事件进行处理，从而使得风险等级较高的安全事件先进行处理，保障安全性。

基于第三实施例，提出本发明安全事件处理方法的第四实施例。参见图4所示，图4为本发明安全事件处理方法的第四实施例的流程示意图。本发明实施例中，步骤s1421之后，安全事件处理方法还包括以下步骤：

步骤s1424：若是，判断是否需要对安全事件进行溯源处理。

为了进一步保障网络装置的安全、避免同类安全事件再发生，本发明实施例中，在判定需要对安全事件进行前期处理之后，进一步判断是否需要对安全事件进行溯源处理。

在一些实施方式中，可以基于安全事件的风险等级和/或类型等，判断是否需要对安全事件进行溯源处理。在安全事件的风险等级比较高(例如高于预设第二安全等级阈值时)和/或安全事件的类型为预设类型时，判定需要对安全事件进行溯源处理。其中，预设类型可以根据实际需要灵活设置，例如，可以设置为病毒类安全事件、账号登录异常安全事件等。第二安全等级阈值可以根据实际需要灵活设置，第二安全等级阈值高于或等于第一安全等级阈值。

步骤s1425：若是，基于处理优先级，获取与安全事件匹配的目标溯源处理策略。

不同的安全事件，其溯源分析策略可以不同，因此，可以针对不同的安全事件，配置不同的溯源处理策略。

在判定需要对安全事件进行溯源处理时，基于处理优先级确定处理顺序，在处理顺序到达时，获取与安全实际匹配的溯源处理策略，即目标溯源处理策略。

步骤s1426：基于目标溯源处理策略，进行溯源分析。

基于目标溯源处理策略，进行数据分析、调查等，以进行溯源分析。

需要说明的是，不同的目标溯源处理策略，其溯源分析方式不同。

例如，假设安全事件为病毒类安全事件，则可以进行数据分析、调查等，以确定攻击路径和攻击来源。假设安全事件为账号异常安全事件，则可以进行数据分析、调查等，以确定账号异常原因。

步骤s1427：基于溯源分析结果，确定对应的目标访问控制策略。

本发明实施例中，不同的溯源分析结果，对应的目标访问控制策略不同。基于溯源分析结果，确定对应的访问控制策略，即目标访问控制策略。

例如，假设安全事件为病毒类安全事件，溯源分析结果包括：攻击路径和攻击来源，其对应的目标访问控制策略可以是：封锁该攻击路径，以避免从该攻击路径再次受到病毒攻击。

假设安全事件为账号异常安全事件，若溯源分析结果为：异地登录，则目标访问控制策略可以是向预设联系人发送提醒信息，根据联系人的反馈确定是否继续禁止该账号登录；若联系人同意此次登录，则允许登录，若联系人不同意此次登录，由于前期处理时已经禁止此处登录，因此，继续禁止登录；若溯源分析结果为：登录设备遭到攻击，则目标访问控制策略可以是：对登录设备的安全性进行加固，在加固完成之后，允许登录。

步骤s1428：基于目标访问控制策略进行控制。

在确定目标访问策略之后，基于目标访问控制策略进行控制，从而对安全性进一步加固。

需要说明的是，本发明实施例中的前述步骤s141-s142、步骤s1421-s1428均是通过基于目标playbook，执行对应的动作实现。

本发明实施例提供的安全事件处理方法，根据风险等级，判定需要对安全事件进行前期处理后，先判断是否需要对安全事件进行溯源处理，若是，基于处理优先级，获取与安全事件匹配的目标溯源处理策略；基于目标溯源处理策略，进行溯源分析；基于溯源分析结果，确定对应的目标访问控制策略；基于目标访问控制策略进行控制，从而对安全性进一步加固。

基于前述实施例，提出本发明安全事件处理方法的第五实施例。本发明实施例中为了更好的维护和执行剧本，在一些实施方式中，参见图5-1所示，安全事件处理设备可以包括剧本管理单元，以对playbook进行管理。

剧本管理单元可以包括流程管理引擎51、动作执行引擎52和可视化交互界面53。

其中，流程管理引擎51用于实现对剧本的编辑维护，以及用于和动作的关联。

动作执行引擎52用于导入应用(application)，并按照对应动作任务信息调用不同的应用进行安全事件的处理。其中，应用(application)是指企业和组织安全运营过程中需要用到的各种安全设施通过api(applicationprogramminginterface，应用程序编程接口)或gui(graphicaluserinterface，图形用户界面)暴露出来的功能，经过标准化统一封装后形成的安全能力，并以服务的方式对外呈现出来。应用执行的最小操作单元是动作，即这个应用中所包含的操作指令。通常，一个应用包括多个动作(action)。为了实现应用开发和运行的开放性和一致性，因此基于一个应用集成框架来实现原生动作执行引擎。动作执行引擎52可以与安全防护系统设备54连接，安全防护系统设备可以包括防火墙、dns设备、情报收集设备等。

可视化交互界面53用于接收运维人员或用户的操作。例如，接收用户对playbook的配置操作、对安全防护系统设备的操作等。这样，运维人员可以通过统一的可视化交互界面53对各种类型的安全防护系统设备进行操作，无需运维人员学习各种类型安全设备的操作流程，降低了学习成本和运维成本。

在步骤s14的过程中，流程管理引擎51基于目标playbook获取对应的剧本编排配置信息，并将对应的流程拆解为若干个动作任务，将动作任务发送给动作执行引擎52，动作执行引擎52基于动作任务执行对应的动作，以对安全事件进行处理。

在一些实施方式中，参见图5-2所示，流程管理引擎51包括：剧本编排配置单元511、剧本流程管理中心512和持久化存储单元513；动作执行引擎52包括：动作调度中心521、动作执行器522、动作注册中心523。

其中，剧本流程管理中心512通过rpc(remoteprocedurecall，远程过程调用)通道与动作调度中心521连接，动作调度中心521通过rpc通道与动作执行器522和动作注册中心523连接，动作注册中心523通过rpc通道与动作执行器522连接，动作执行器522与安全防护系统设备54连接。

在步骤s14(基于目标playbook，执行对应的动作，以调用安全防护系统设备54对安全事件进行处理)的过程中，流程管理引擎51接收到安全事件的执行通知后，剧本流程管理中心512从剧本编排配置单元511获取目标playbook的编排配置信息，并将对应的流程拆解为若干个动作任务，将动作任务通过rpc通道发送给动作调度中心521，动作调度中心521接收到任务后，进行任务调度，其中，先将动作任务通过rpc通道注册到动作注册中心523，然后同时调度多个动作执行器522进行执行相应动作，在动作执行过程中，可以调用对应的安全防护系统设备54。动作执行器522执行动作后，通过rpc通道将执行结果反馈给动作注册中心523。动作注册中心523接收到结果后，将结果数据存储到持久化存储单元513中，并通知动作调度中心521动作完成执行，进而影响动作调度中心521的调度进度及分配任务情况。

本发明实施例提供的安全事件处理方法，可以基于soar(securityorchestration,automationandresponse，安全编排自动化与响应)执行。应当理解的是，soar由安全编排与自动化(soa，securityorchestrationandautomation)、安全事件响应平台(sirp,securityincidentresponseplatform)和威胁情报平台(tip,threatintelligenceplatform)三种技术/工具的融合。当然，也可以基于其他系统执行。

基于前述实施例，提出本发明安全事件处理方法的第六实施例。本发明实施例中，步骤s14之后，安全事件处理方法还包括以下步骤：

步骤s16：获取安全事件的处理过程。

步骤s17：存储处理过程。

在获取安全事件的处理过程之后，存储处理过程，以供运维人员或用户查看。

本发明实施例提供的安全事件处理方法，在基于目标playbook，对安全事件进行处理之后，获取该安全实际的处理过程并存储，以供运维人员或用户查看。

本实施例中，在前述安全事件处理方法实施例的基础上，提供一种安全事件处理装置，参照图6，图6为本发明安全事件处理装置的模块示意图，所述安全事件处理装置包括：

获取模块61，用于获取预设安全设备上报的告警数据。

生成模块62，用于对告警数据进行分析，以生成安全事件。

确定模块63，用于根据安全事件，确定目标playbook。

处理模块64，用于基于目标playbook，对安全事件进行处理。

需要说明的是，安全事件处理装置还可选的包括有对应的模块，以实施上述安全事件处理方法的其他步骤。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述仅为本发明的可选实施例，并非因此限制本发明的专利范围，凡是在本发明的发明构思下，利用本发明说明书及附图内容所作的等效结构变换，或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。