工控安全自动化编排与响应方法及系统与流程

1.本发明属于工控安全技术领域，具体涉及到一种工控安全自动化编排与响应方法及系统。


背景技术：

2.随着企业信息化的不断发展，公司信息化资产数量日趋增多、系统的关联性和复杂度不 断增强，然而当前信息安全形势日益严峻，信息安全防护工作面临前所未有的困难和挑战。 面临这些挑战，信息安全建设也是在不断发展及演化中。
3.在目前体系化的建设转型过程中，临着以下挑战：缺乏专业的安全攻防、分析、处置人 员，且员工在安全分析研判上的经验难固化；在安全响应、处置时间过长，效率低；缺少规 范化的响应、处置流程，安全运营及处置效率缺乏可量化的指标。亟需建立一套平台实现安 全运营闭环处置，事前可监测预警、事中监控分析、自动化响应处置，事后溯源。


技术实现要素：

4.本发明提供一种工控安全自动化编排与响应方法及系统，以解决上述技术问题。
5.基于上述目的，本发明实施例提供了一种工控安全自动化编排与响应方法，包括：接收 原始数据，并对所述原始数据进行行为分析和攻击识别生成安全事件；获取案例与攻击识别 规则关联关系表，并基于所述关联关系表打上与所述安全事件关联的案例的案例标签；对打 上所述案例标签的所述安全事件进行解析，选择与所述案例标签对应的剧本并生成控制指令； 响应所述控制指令，触发设备执行处置动作，并通过自动化运维大屏对处置执行后得到的指 标进行全局展示。
6.可选的，所述方法还包括：对案例进行管理，包括但不限于创建、删除、编辑、启停、 导入、导出。
7.可选的，所述方法还包括：获取所述安全事件的执行结果，并将先后发生的案例标签相 同的同类安全事件汇聚至同一案例下；对同类安全事件的执行结果进行安全性能度量，并根 据度量结果调整执行策略。
8.可选的，所述获取案例与攻击识别规则关联关系表，并基于所述关联关系表打上与所述 安全事件关联的案例的案例标签，包括：获取案例与攻击识别规则关联关系表；对所述安全 事件进行行为分析、攻击识别以及关联分析，并查找所述关联关系表，与内置安全规则进行 匹配；对所述安全事件打上与匹配的安全规则对应的案例的案例标签。
9.可选的，所述对打上所述案例标签的所述安全事件进行解析，选择与所述案例标签对应 的剧本并生成控制指令，包括：对所述安全事件根据所述案例标签进行情报、流量以及主机 取证并生成剧本；根据所述剧本生成所述控制指令。
10.可选的，所述响应所述控制指令，触发设备执行处置动作，包括：响应所述控制指令， 调用响应设备执行处置动作，完成封禁工作，所述封禁工作包括威胁拦截、可疑访问源封杀、 被攻陷主机隔离、威胁消除或未攻陷主机加固的至少其中之一。
11.基于同一发明构思，本发明实施例还提出了一种工控安全自动化编排与响应系统，包括： 攻击识别模块，用于接收原始数据，并对所述原始数据进行行为分析和攻击识别生成安全事 件；预判引擎模块，用于获取案例与攻击识别规则关联关系表，并基于所述关联关系表打上 与所述安全事件关联的案例的案例标签；自动化编排模块，用于对打上所述案例标签的所述 安全事件进行解析，选择与所述案例标签对应的剧本并生成控制指令；一键处置模块，用于 响应所述控制指令，触发设备执行处置动作，并通过自动化运维大屏对处置执行后得到的指 标进行全局展示。
12.可选的，所述工控安全自动化编排与响应系统还包括：与所述自动化编排模块以及所述 一键处置模块连接的案例管理模块，用于对案例进行管理，包括但不限于创建、删除、编辑、 启停、导入、导出以及处置结果统计。
13.基于同一发明构思，本发明实施例还提出了一种电子设备，包括存储器、处理器及存储 在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现前述的方法。
14.基于同一发明构思，本发明实施例还提出了一种计算机存储介质，存储介质中存储有至 少一可执行指令，所述可执行指令使处理器执行前述的方法。
15.本发明的有益效果是：从上面所述可以看出，本发明实施例提供的一种工控安全自动化 编排与响应方法及系统，方法包括：接收原始数据，并对所述原始数据进行行为分析和攻击 识别生成安全事件；获取案例与攻击识别规则关联关系表，并基于所述关联关系表打上与所 述安全事件关联的案例的案例标签；对打上所述案例标签的所述安全事件进行解析，选择与 所述案例标签对应的剧本并生成控制指令；响应所述控制指令，触发设备执行处置动作，并 通过自动化运维大屏对处置执行后得到的指标进行全局展示，能够通过剧本完成自动化闭环 处置，既可以缩短响应处置时间，又可以将工程师从日常运维中释放出来，节约企业人员成 本。
附图说明
16.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术 描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明实施 例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获 得其他的附图。
17.图1为本发明实施例中的工控安全自动化编排与响应方法的流程示意图；
18.图2为本发明实施例中的工控安全自动化编排与响应系统的结构示意图；
19.图3为本发明实施例中电子设备示意图。
具体实施方式
20.为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图， 对本公开进一步详细说明。
21.需要说明的是，除非另外定义，本发明实施例使用的技术术语或者科学术语应当为本公 开所属领域内具有一般技能的人士所理解的通常意义。本发明实施例中使用的“第一”、“第二
”ꢀ
以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的
组成部分。“包 括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的 元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非 限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、
ꢀ“
下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对 位置关系也可能相应地改变。
22.本发明实施例提供了一种工控安全自动化编排与响应方法。本发明实施例的工控安全自 动化编排与响应方法应用于服务器。如附图1所示，工控安全自动化编排与响应方法包括：
23.步骤s11：接收原始数据，并对所述原始数据进行行为分析和攻击识别生成安全事件。
24.在本发明实施例中，获取各设备的告警日志或事件作为原始数据，设备包括但不限于防 火墙nf、ddos防御ads、主机安全ues、统一威胁探针uts、web应用防火墙waf以及 第三方厂商设备等。然后对获取的原始数据进行行为分析和攻击识别，生成安全事件。
25.步骤s12：获取案例与攻击识别规则关联关系表，并基于所述关联关系表打上与所述安 全事件关联的案例的案例标签。
26.在本发明实施例中，可选的，获取案例与攻击识别规则关联关系表；对所述安全事件进 行行为分析、攻击识别以及关联分析，并查找所述关联关系表，与内置安全规则进行匹配； 对所述安全事件打上与匹配的安全规则对应的案例的案例标签。案例标签用于标示安全事件 所属的案例种类，案例种类包括但不限于入侵、拒绝服务、勒索、钓鱼、盗链、信息泄露等。
27.本发明实施例还对案例进行管理，包括但不限于创建、删除、编辑、启停、导入、导出。 获取所述安全事件的执行结果，并将先后发生的案例标签相同的同类安全事件汇聚至同一案 例下；对同类安全事件的执行结果进行安全性能度量，并根据度量结果调整执行策略。在本 发明实施例中，案例贯穿整个安全事件生命周期管理，帮助用户对一组相关的事件进行流程 化、持续化的调查分析与响应处置跟踪记录。案例管理包括触发条件及响应处置动作，通过 案例的流程处理功能，可以为不同性质的案例指派不同的剧本(playbook)，并监督执行。 只要开启案例，匹配到该案例的事件即可完成自动化响应处置，进而降低平均修复时间(meantime to repair，mttr)。
28.本发明实施例可以通过事件及日志作为触发条件，对于相同类型的运维事件，采用案例 进行管理，针对相同案例，将先后发生的同类型事件汇聚在同一案例下，案例种类包括并不 局限于入侵、拒绝服务、勒索、钓鱼、盗链、信息泄露等，这样有利于对于相同的事件类型 以标签化方式调用相同playbooks进行系列化的响应和执行，同时对相同事件类型的响应执 行进行安全性能度量，以判定执行效率、执行的准确度，以便对执行策略其进行统一调整。
29.每个安全团队都有自己的安全工具集、能力、通用用例和遵从性需求。跨越所有这些元 素的几个常见线程之一是响应安全事件时所遵循的步骤。将安全运维事件响应生命周期定义 为一个连续的、循环的过程，包括安全运维事件摄入和丰富、事件管理、更深入的调查、响 应行动的执行、性能度量，以及采用学到的经验教训以提高未来的操作效率。在事件响应过 程中，安全团队快速地在控制台之间转换以收集额外的上下文并包含事件时，因
此拥有中心 案例管理功能并避免碎片化的文档是至关重要的。案例管理帮助用户对一组相关的事件进行 流程化、持续化的调查分析与响应处置。通过案例的流程处理功能，可以为不同性质的案例 指派不同的案例处理流程(指不同的playbook处理剧本)，并监督执行；借助案例的事件 (artifacts)管理功能，可以不断积累该案例相关的痕迹物证(ioc)和攻击者的技术、战术、 过程等指标信息(ttp)；而通过编排调查与响应功能，可以对案例中的任何事件执行剧本 或者动作，拓线追踪，深挖疑点、丰富案件信息。
30.步骤s13：对打上所述案例标签的所述安全事件进行解析，选择与所述案例标签对应的 剧本并生成控制指令。
31.在本发明实施例中，对所述安全事件根据所述案例标签进行情报、流量以及主机取证等 网络层面的取证，并生成剧本；根据所述剧本生成所述控制指令。在进行网络层面取证的同 时，根据从步骤s12得到的案例事件与案例关系信息，将需要自动化处置的事件推送至自动 化编排与响应(soar)引擎，通过自动化编排与响应(soar)引擎将事件解析后，并选择 相应的剧本，生成控制指令(action)，以便后续实现设备联动处置闭环。
32.本发明实施例还对剧本进行管理。剧本(playbook)记录了安全工程师的工作流程。剧 本偏响应处置方面，可以通过可视化编排方式进行创建及保存，并为案例进行引用，常见的 剧本包括研判取证、全局封堵、主机隔离、工单、邮件预警等。
33.playbook使安全运维工作自动化，与人工相比，具有反映敏捷、判断精准和持续性高等 优势。自动化或人工编排，都是通过剧本来进行表达的。通过剧本之间的串联、并联关系， 构建业务场景所需的工作流。剧本在满足条件情况下被触发，同时调用响应设备执行响应动 作。playbook基于python语言开发，后续可以进行更新。playbook用较少的代码就可以实现 复杂的编排场景。微场景化的通用playbook脚本包括以下几类：全局通用playbook脚本有 block-ip、block-url、ip-isolation等，被感染主机通用威胁清除playbook有kill-process、 delete-file、kill-task、disable-service、clear-register等，受影响主机的通用加固playbook有 disable-service、add-nf-rule等。剧本(playbook)可通过可视化编排自动生成，剧本相当于 案例的处置响应部分，相对于案例少了触发条件部分。
34.对于自动化编排响应的事件，可通过情报及日志取证进行进一步威胁分析研判，取证往 往与逻辑判定功能进行搭配进行使用，以便实现编排的多样性。在取证环节，可利用一系列 调查取证技术手段、主动探索分析手段等如攻击过程溯源、流量取证、行为轨迹分析、安全 事件轨迹溯源、文件轨迹溯源、att&ck攻击图谱，通过回顾分析事件完整过程，利用持续 监控所获取的数据，构建基于生命周期的行为轨迹链或者事件轨迹以及攻击过程中采用的攻 击手段、攻击来源、攻击动机、攻击受损区域，使得威胁或者事件发生根本原因和全部缺口 进行完整的分析闭环。
35.情报取证可选择情报类型(含ip、url、样本、域名、c2、url、apt&comment crew)、 情报对象具体值(ip，url，domain，md5)、执行结果(是否命中)进行匹配。日志取证 可基于原始日志、响应内容、请求内容、源地址、源端口、目的地址、目的端口、载荷、攻 击者、受害者、post请求数据做匹配。
36.步骤s14：响应所述控制指令，触发设备执行处置动作，并通过自动化运维大屏对处置 执行后得到的指标进行全局展示。
37.本发明实施例响应所述控制指令，调用响应设备执行处置动作，完成封禁工作，所述封 禁工作包括威胁拦截、可疑访问源封杀、被攻陷主机隔离、威胁消除或未攻陷主机加固的至 少其中之一。具体通过插件定义并管理响应设备，第三方设备只需要通过插件开发即可接入， 不同插件的定义使响应设备充分解耦，工程人员可以基于标准插件化模板编排不同设备厂商 不同数据类型的数据接入模型，快速集成并实现插件的在线激活及接入，实现数据源的开箱 即用的能力；同时工程人员可以基于标准插件化模板编排不同设备厂商不同管控设备的管控 模型，快速集成并完成管控设备插件的在线激活及接入，实现管控设备的开箱即用能力。对 接入的响应设备可实现灵活的设备管理功能，如：新增、编辑、启用、禁用。借助响应设备 可完成威胁拦截，可疑访问源封杀，被攻陷主机的隔离、威胁消除及未攻陷主机的加固等封 禁工作。
38.针对修补漏洞、终端清理病毒文件可通过工单方式推送至责任人，责任人收到工单后， 再进行相关处置。邮件预警包括重要事件生成通知和自动化响应处置结果通知。
39.对于匹配到案例自动化执行的视角，事件响应详情可从端到端展示事件执行处置状态(执 行成功、正在执行、执行失败)，为运维人员从全局事件呈现事件所处运维阶段及其执行状 态。自动化运维大屏可从全局视角呈现自动化响应处置概况，如自动响应运营效率、案例事 件统计信息、案例事件处置趋势、剧本执行信息等，将运维指标通过可度量可量化方式进行 展示。自动响应运营效率包括自动化响应事件总数量、自动响应平均时长、自动响应平均审 核时长、人工响应平均时长、效率提升百分比等。案例事件统计信息包括事件自动响应状态， 已响应结果成功统计、top案例事件统计、不同严重级别的自动响应情况概览等。案例事件 处置趋势包括不同时间段案例事件处置趋势、最近完成的5个事件处置情况。剧本执行情况 包括最活跃剧本执行统计、执行top5执行动作。
40.综上所述，本发明实施例的工控安全自动化编排与响应方法通过接收原始数据，并对所 述原始数据进行行为分析和攻击识别生成安全事件；获取案例与攻击识别规则关联关系表， 并基于所述关联关系表打上与所述安全事件关联的案例的案例标签；对打上所述案例标签的 所述安全事件进行解析，选择与所述案例标签对应的剧本并生成控制指令；响应所述控制指 令，触发设备执行处置动作，并通过自动化运维大屏对处置执行后得到的指标进行全局展示， 能够通过剧本完成自动化闭环处置，既可以缩短响应处置时间，又可以将工程师从日常运维 中释放出来，节约企业人员成本。
41.上述对本发明特定实施例进行了描述。在一些情况下，在本发明实施例中记载的动作或 步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中 描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式 中，多任务处理和并行处理也是可以的或者可能是有利的。
42.基于同一个构思，本发明实施例还提供了一种工控安全自动化编排与响应系统。应用于 服务器。附图2所示，工控安全自动化编排与响应系统包括：攻击识别模块、预判引擎模块、 自动化编排模块以及一键处置模块。其中，
43.攻击识别模块，用于接收原始数据，并对所述原始数据进行行为分析和攻击识别生成安 全事件；
44.预判引擎模块，用于获取案例与攻击识别规则关联关系表，并基于所述关联关系表打上 与所述安全事件关联的案例的案例标签；
45.自动化编排模块，用于对打上所述案例标签的所述安全事件进行解析，选择与所述案例 标签对应的剧本并生成控制指令；
46.一键处置模块，用于响应所述控制指令，触发设备执行处置动作，并通过自动化运维大 屏对处置执行后得到的指标进行全局展示。
47.工控安全自动化编排与响应系统还包括：与所述自动化编排模块以及所述一键处置模块 连接的案例管理模块，用于对案例进行管理，包括但不限于创建、删除、编辑、启停、导入、 导出以及处置结果统计。
48.继续参见图3，工控安全自动化编排与响应系统包括：数据接入层、管理研判处置层以 及展示层；管理研判处置层包括攻击识别模块、预判引擎模块、研判引擎模块、自动化编排 模块以及一键处置模块；自动化编排模块为在管理研判处置层的自动化编排与响应引擎。数 据接入层用于接入和解析原始数据。攻击识别模块用于对原始数据进行行为分析和攻击识别 生成安全事件，预判引擎模块用于获取案例与攻击识别规则关联关系表，并基于关联关系表 打上与安全事件关联的案例的案例标签；研判引擎模块用于对打上案例标签的安全事件进行 网络层面的取证，并将安全事件传输至自动化编排与响应引擎，自动化编排与响应引擎对安 全事件进行解析，选择与案例标签对应的剧本并生成控制指令，一键处置模块响应控制指令， 触发设备执行处置动作。展示层中设置有自动化运维大屏，通过自动化运维大屏对处置执行 后得到的指标进行全局展示。
49.工控安全自动化编排与响应系统还包括：与研判引擎模块连接的数据接收模块、与数据 接收模块连接的剧本引擎模块以及与剧本引擎模块连接的处置引擎模块，数据接收模块用于 接收研判引擎模块传输的安全事件，剧本引擎模块用于对安全事件进行解析，根据案例标签 以及剧本之间的串联、并联关系，构建业务场景所需的工作流，触发剧本并生成控制指令； 处置引擎模块接收并响应剧本引擎模块发送的控制指令，调用响应设备执行响应动作。
50.为了描述的方便，描述以上系统时以功能分为各种模块分别描述。当然，在实施本发明 实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
51.上述实施例的系统应用于前述实施例中相应的方法，并且具有相应的方法实施例的有益 效果，在此不再赘述。
52.基于同一发明构思，本发明实施例还提供了一种电子设备，该电子设备，包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实 现如上任意一实施例所述的方法。
53.本发明实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有至少一 可执行指令，该计算机可执行指令可执行如上任意一实施例中所述的方法。
54.图3示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包 括：处理器301、存储器302、输入/输出接口303、通信接口304和总线305。其中处理器301、 存储器302、输入/输出接口303和通信接口304通过总线305实现彼此之间在设备内部的通 信连接。
55.处理器301可以采用通用的cpu(central processing unit，中央处理器)、微处理器、应用 专用集成电路(application specific integrated circuit，asic)、或者一个或多个集成电路等方式 实现，用于执行相关程序，以实现本发明方法实施例所提供的技术方
案。
56.存储器302可以采用rom(read only memory，只读存储器)、ram(randomaccessmemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器302 可以存储操作系统和其他应用程序，在通过软件或者固件来实现本发明方法实施例所提供的 技术方案时，相关的程序代码保存在存储器302中，并由处理器301来调用执行。
57.输入/输出接口303用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可 以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备 可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、 振动器、指示灯等。
58.通信接口304用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。 其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移 动网络、wifi、蓝牙等)实现通信。
59.总线305包括一通路，在设备的各个组件(例如处理器301、存储器302、输入/输出接口 303和通信接口304)之间传输信息。
60.需要说明的是，尽管上述设备仅示出了处理器301、存储器302、输入/输出接口303、通 信接口304以及总线305，但是在具体实施过程中，该设备还可以包括实现正常运行所必需 的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本发明 实施例方案所必需的组件，而不必包含图中所示的全部组件。
61.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗 示本技术的范围被限于这些例子；在本技术的思路下，以上实施例或者不同实施例中的技术 特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本技术的不同方面 的许多其它变化，为了简明它们没有在细节中提供。
62.本技术旨在涵盖落入本发明实施例的宽泛范围之内的所有这样的替换、修改和变型。因 此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均 应包含在本技术的保护范围之内。