CN112788010B - 一种基于威胁事件的剧本处理方法、装置、介质和设备 - Google Patents
一种基于威胁事件的剧本处理方法、装置、介质和设备 Download PDFInfo
- Publication number
- CN112788010B CN112788010B CN202011614441.2A CN202011614441A CN112788010B CN 112788010 B CN112788010 B CN 112788010B CN 202011614441 A CN202011614441 A CN 202011614441A CN 112788010 B CN112788010 B CN 112788010B
- Authority
- CN
- China
- Prior art keywords
- threat
- threat event
- queue
- scheduling priority
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于威胁事件的剧本处理方法、装置、介质和设备。可以根据各个队列的调度优先级,从队列中获取威胁事件关联剧本并执行,实现按照威胁事件对应的调度优先级,对威胁事件进行处理,解除威胁事件的威胁。通过对每个威胁事件对应的调度优先级的准确判断,可以使得威胁程度较高的威胁事件被优先处理,避免造成较大资产损失。另外,根据威胁事件的威胁因子进行定量分析和判定来实现动态响应,可以完成及时有效的闭环处置,快速运维安全事件,提高SOAR引擎的处置效率和响应速度。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于威胁事件的剧本处理方法、装置、介质和设备。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
安全编排和自动化响应(SOAR)是将复杂的威胁事件响应过程和运维任务转化为一致的,可重复的威胁事件处理工作流(即剧本),通过SOAR引擎调度执行威胁事件关联剧本,完成对威胁事件的闭环响应。
威胁事件的产生和爆发是随机的,并且短时间存在集中爆发的可能性,而威胁事件处理的紧急程度是不同的,如果威胁程度较高的威胁事件被延迟处置,可能对客户资产造成无法挽回的损失。如何调度执行威胁事件关联剧本,及时运维处置关联的威胁事件,是SOAR引擎处理威胁事件中的一个核心问题。
现有的调度执行威胁事件关联剧本的方案包括:
方案一、根据威胁事件产生的时间先后顺序,顺序调度执行对应的威胁事件关联剧本。
方案二、自定义剧本的静态优先级,根据定义的剧本静态优先级,关联相应的威胁事件,并按照静态优先级进行剧本调度,实现对每个剧本对应的威胁事件的处理。
但是上述两个方案至少存在以下问题:
针对方案一,大量的资源占用可能集中在处理威胁程度较低的威胁事件,导致一些威胁程度较高的威胁事件被延时处理,可能造成较大资产损失。
针对方案二,自定义剧本的静态优先级,是由编排人员编排剧本的时候定义的,可能出现定义不准确的情况,且威胁事件的处置是依赖于关联剧本定义的静态优先级决定的,并不是由威胁事件自身的严重程度决定的,这样会导致一些威胁程度较高的威胁事件无法被及时处理,可能造成较大资产损失。
发明内容
本发明实施例提供一种基于威胁事件的剧本处理方法、装置、介质和设备,用于解决威胁程度较高的威胁事件无法被及时处理,会造成较大资产损失的问题。
第一方面,本发明提供了一种基于威胁事件的剧本处理方法,所述方法包括:
按照预先设定的各个队列的调度优先级,确定当前要调度的队列;
从确定出的当前要调度的队列中,获取威胁事件关联剧本;
执行获取的威胁事件关联剧本;
其中,每个队列中的威胁事件关联剧本通过以下方式获得:
针对每个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,所述威胁因子为影响威胁事件的调度优先级的参数;
确定该威胁事件对应的一个剧本,建立剧本与该威胁事件的关联关系,并将该威胁事件关联剧本加入一个队列,该队列的调度优先级,与该威胁事件关联剧本关联的威胁事件的调度优先级相同。
可选的,按照预先设定的各个队列的调度优先级,确定当前要调度的队列,包括:
按照为全部或部分队列配置的加权值,采用加权轮询机制,确定当前要调度的队列,其中,所述加权值根据队列的调度优先级配置。
可选的,按照为全部或部分队列配置的加权值,采用加权轮询机制,确定当前要调度的队列,包括:
按照预先设定的四个队列的调度优先级,确定当前要调度的队列为最高调度优先级的队列;
并在最高调度优先级的队列中的威胁事件关联剧本均被获取之后,针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列。
可选的,针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列的过程中,从确定出的当前要调度的队列中,获取威胁事件关联剧本,包括:
若确定出的当前要调度的队列为空,则按照预先设定的各个队列的调度优先级,从调度优先级低于当前要调度队列的其它队列中获取威胁事件关联剧本,直到获取到威胁事件关联剧本或者调度优先级低于当前要调度队列的其它队列都为空。
可选的,针对一个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,包括:
在确定产生一个威胁事件时,确定针对该威胁事件,每个预先设定的威胁因子对于每个调度优先级的隶属度参数,其中,针对一个威胁事件,一个威胁因子对于每个调度优先级的隶属度参数,根据该威胁因子针对该威胁事件的取值确定;
根据预先确定出的每个威胁因子的权重以及确定出的所述隶属度参数,利用模糊综合评价模型,确定每个威胁事件对应的调度优先级。
可选的,每个威胁因子的权重通过层次分析法确定。
可选的,所述威胁因子包括威胁事件的严重程度因子以及威胁事件威胁对象的资产价值因子,且所述威胁事件的严重程度因子包括威胁事件的威胁等级二级因子、威胁事件的攻击结果二级因子、威胁事件的可信度二级因子和威胁事件是否命中情报信息二级因子。
第二方面,本发明还提供了一种基于威胁事件的剧本处理装置,所述装置包括:
确定模块,用于按照预先设定的各个队列的调度优先级,确定当前要调度的队列;
获取模块,用于从确定出的当前要调度的队列中,获取威胁事件关联剧本;
执行模块,用于执行获取的威胁事件关联剧本;
其中,每个队列中的威胁事件关联剧本通过以下方式获得:
针对每个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,所述威胁因子为影响威胁事件的调度优先级的参数;
确定该威胁事件对应的一个剧本,建立剧本与该威胁事件的关联关系,并将该威胁事件关联剧本加入一个队列,该队列的调度优先级,与该威胁事件关联剧本关联的威胁事件的调度优先级相同。
可选的,所述确定模块,具体用于按照为全部或部分队列配置的加权值,采用加权轮询机制,确定当前要调度的队列,其中,所述加权值根据队列的调度优先级配置。
可选的,所述确定模块,按照为全部或部分队列配置的加权值,采用加权轮询机制,确定当前要调度的队列,包括:
按照预先设定的四个队列的调度优先级,确定当前要调度的队列为最高调度优先级的队列;
并在最高调度优先级的队列中的威胁事件关联剧本均被获取之后,针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列。
可选的,所述确定模块,针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列的过程中,从确定出的当前要调度的队列中,获取威胁事件关联剧本,包括:
若确定出的当前要调度的队列为空,则按照预先设定的各个队列的调度优先级,从调度优先级低于当前要调度队列的其它队列中获取威胁事件关联剧本,直到获取到威胁事件关联剧本或者调度优先级低于当前要调度队列的其它队列都为空。
可选的,针对一个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,包括:
在确定产生一个威胁事件时,确定针对该威胁事件,每个预先设定的威胁因子对于每个调度优先级的隶属度参数,其中,针对一个威胁事件,一个威胁因子对于每个调度优先级的隶属度参数,根据该威胁因子针对该威胁事件的取值确定;
根据预先确定出的每个威胁因子的权重以及确定出的所述隶属度参数,利用模糊综合评价模型,确定每个威胁事件对应的调度优先级。
可选的,每个威胁因子的权重通过层次分析法确定。
可选的,所述威胁因子包括威胁事件的严重程度因子以及威胁事件威胁对象的资产价值因子,且所述威胁事件的严重程度因子包括威胁事件的威胁等级二级因子、威胁事件的攻击结果二级因子、威胁事件的可信度二级因子和威胁事件是否命中情报信息二级因子。
第三方面,本发明还提供了一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现如上所述的方法。
第四方面,本发明还提供了一种基于威胁事件的剧本处理设备,包括处理器、通信接口、存储器和通信总线,其中,所述处理器,所述通信接口,所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存储的程序时,实现如上所述的方法步骤。
根据本发明实施例提供的方案,可以根据预先设定的威胁因子以及模糊综合评价模型确定每个威胁事件对应的调度优先级,进而可以根据确定出的每个威胁事件对应的调度优先级,将该威胁事件关联的剧本加入相同调度优先级的队列。这样即可以根据各个队列的调度优先级,从队列中获取威胁事件关联剧本并执行,实现按照威胁事件对应的调度优先级,对威胁事件进行处理,解除威胁事件的威胁。通过对每个威胁事件对应的调度优先级的准确判断,可以使得威胁程度较高的威胁事件被优先处理,避免造成较大资产损失。另外,根据威胁事件的威胁因子进行定量分析和判定来实现动态响应,可以完成及时有效的闭环处置,快速运维安全事件,提高SOAR引擎的处置效率和响应速度。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于威胁事件的剧本处理方法的流程示意图;
图2为本发明实施例提供的威胁因子之间的关系示意图;
图3为本发明实施例提供的基于威胁事件的剧本处理方法的流程示意图;
图4为本发明实施例提供的剧本调度流程示意图;
图5为本发明实施例提供的剧本的调度队列分布示意图;
图6为本发明实施例提供的基于威胁事件的剧本处理装置的结构示意图;
图7为本发明实施例提供的基于威胁事件的剧本处理设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本文中提及的“多个或者若干个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
针对现有的调度执行威胁事件关联剧本的方案的不足,本发明实施例提供了一种基于威胁因子的威胁事件关联剧本处理方案,旨在根据威胁事件的威胁因子,对威胁事件的处理优先级进行定量分析和判定,据此实现按照每个威胁事件的处理优先级,对威胁事件进行响应,完成及时有效的闭环处置,提高SOAR引擎的响应速度和处置效率。
模糊综合评价模型可以根据模糊数学中的隶属度理论,将定性评价转化为定量评价,对多种因素影响的对象做一个总体的评价。因此在本发明实施例中,可以选择模糊综合评价模型来确定威胁事件的处理优先级。
另外,对威胁事件的处理需要通过执行威胁事件关联剧本来实现。在本发明实施例提供的方案中,可以建立威胁事件与剧本之间的关联关系,将与每个威胁事件关联的剧本,加入调度优先级与该威胁事件相同的队列。这样,按照调度优先级获取队列中的剧本时,执行该剧本,即可以实现按照威胁事件的调度优先级,对威胁事件的处理。
基于上述说明,本发明实施例提供一种基于威胁事件的剧本处理方法,该方法的步骤流程可以如图1所示,包括:
步骤101、按照预先设定的各个队列的调度优先级,确定当前要调度的队列。
在本实施例中,执行主体可以为SOAR引擎。在本实施例中,可以预先设定至少两个队列来保存威胁事件关联剧本,每个队列对应一个调度优先级。
SOAR引擎在需要处理威胁事件时,可以根据每个队列的调度优先级来确定选择哪个队列,并从中获取威胁事件关联剧本。
在本步骤中,SOAR引擎可以按照预先设定的各个队列的调度优先级,确定当前要调度的队列。
在本实施例中,每个队列中的威胁事件关联剧本通过以下方式获得:
针对每个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,所述威胁因子为影响威胁事件的调度优先级的参数;
确定该威胁事件对应的一个剧本,建立剧本与该威胁事件的关联关系,并将该威胁事件关联剧本加入一个队列,该队列的调度优先级,与该威胁事件关联剧本关联的威胁事件的调度优先级相同。
也就是说,在本实施例中,可以确定每个威胁事件对应的调度优先级,根据每个威胁事件对应的调度优先级,将与该威胁事件关联的一个剧本,加入调度优先级相同的队列。将一个威胁事件关联剧本加入一个调度队列的方式,可以采用任意方式实现,本实施例对此不作限定。
每个威胁事件对应的调度优先级可以根据预先设定的影响威胁事件的调度优先级的参数(威胁因子)以及模糊综合评价模型确定。
步骤102、从确定出的当前要调度的队列中,获取威胁事件关联剧本。
在本步骤中,SOAR引擎可以从确定出的队列中,获取威胁事件关联剧本。从一个队列获取威胁事件关联剧本的方式,可以采用任意方式实现,本实施例对此不作限定。
步骤103、执行获取的威胁事件关联剧本。
在本步骤中,SOAR引擎可以根据关联的威胁事件,执行威胁事件关联剧本,从而实现对该威胁事件关联剧本关联的威胁事件的处理。
需要说明的是,在一种可能的实现方式中,如果调度优先级相同的至少两个威胁事件对应相同的剧本,那么这部分威胁事件可以关联同一个队列中的同一个剧本,即在队列中的一个威胁事件关联剧本,可以同时关联多个威胁事件。执行该威胁事件关联剧本时,可以根据该剧本关联的一批威胁事件,同时针对这一批威胁事件进行处置,以加速威胁事件的处置速度。
执行威胁事件关联剧本的方式与现有的剧本执行方式相同,本实施例在此不再赘述。
在步骤101中,SOAR引擎可以按照预先设定的各个队列的调度优先级,采用任意方式,确定当前要调度的队列。
例如,假设预先设定四个队列来保存威胁事件关联剧本,四个队列对应的调度优先级分别为极高、高、中和低。
那么,可以按照调度优先级从极高、到高、再到中、最后到低的顺序,在调度优先级为极高的队列包括威胁事件关联剧本时,确定当前要调度的队列为调度优先级为极高的队列。
在调度优先级为极高的队列不包括威胁事件关联剧本时,若调度优先级为高的队列包括威胁事件关联剧本,确定当前要调度的队列为调度优先级为高的队列。
在调度优先级为极高和高的两个队列均不包括威胁事件关联剧本时,若调度优先级为中的队列包括威胁事件关联剧本,确定当前要调度的队列为调度优先级为中的队列。
而在调度优先级为极高、高和中的三个队列均不包括威胁事件关联剧本时,若调度优先级为低的队列包括威胁事件关联剧本,确定当前要调度的队列为调度优先级为低的队列。
在一种可能的实现方式中,为了进一步降低威胁程度较高的威胁事件无法被及时处理,可能造成较大资产损失的概率,增加威胁事件关联剧本被处理顺序的合理性,可以按照预先设定的各个队列的调度优先级,为全部或部分队列配置加权值。进而可以按照为全部或部分队列配置的加权值,采用加权轮询机制,确定当前要调度的队列,其中,所述加权值根据队列的调度优先级配置。
例如,以预先设定四个调度队列为例,可以针对最高调度优先级之外的三个调度优先级的队列,按照调度优先级分别配置加权值。使得确保最高调度优先级的队列中的威胁事件关联剧本被优先获取并执行之外,其它三个队列同时存在威胁事件关联剧本被获取并执行的概率。
而按照调度优先级,为最高调度优先级的队列之外的三个队列分别配置加权值,可以保证三个队列中,较高调度优先级的队列中的威胁事件关联剧本被获取并执行的概率较高,可以进一步提高威胁事件关联剧本被获取并执行的顺序的合理性。
即,以预先设定四个调度队列为例,在一种可能的实现方式中,可以按照预先设定的四个队列的调度优先级,确定当前要调度的队列为最高调度优先级的队列;
并在最高调度优先级的队列中的威胁事件关联剧本均被获取之后,针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列。
需要说明的是,采用加权轮询机制,确定当前要调度的队列,可能会存在确定出的队列中不包括威胁事件关联剧本的情况,针对这种情况,为了保证SOAR引擎每次都可以获取到威胁事件关联剧本,可以在确定出的队列中不包括威胁事件关联剧本时,对队列的调度优先级进行降级处理,进一步从调度优先级较低的队列中获取威胁事件关联剧本,直到获取到威胁事件关联剧本或者确认所有调度优先级较低的队列中也都不包括威胁事件关联剧本。
即,在一种可能的实现方式中,针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列的过程中,从确定出的当前要调度的调度队列中,获取威胁事件关联剧本,包括:
若确定出的当前要调度的队列中不包括威胁事件关联剧本,则按照预先设定的各个队列的调度优先级,从调度优先级低于确定出的当前要调度的队列的队列中获取威胁事件关联剧本,直到获取到威胁事件关联剧本或者确认调度优先级低于确定出的当前要调度的队列的每个队列中都不包括威胁事件关联剧本。
需要进一步说明的是,在步骤101中,针对一个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,可以包括:
在确定产生一个威胁事件时,确定针对威胁事件,每个预先设定的威胁因子对于每个调度优先级的隶属度参数,其中,针对一个威胁事件,一个威胁因子对于每个调度优先级的隶属度参数,根据该威胁因子针对该威胁事件的取值确定;
根据预先确定出的每个威胁因子的权重以及确定出的所述隶属度参数,利用模糊综合评价模型,确定每个威胁事件对应的调度优先级。
需要说明的是,由于每个威胁因子的重要程度是不同的,可以对每个威胁因子的重要程度进行量化,用每个威胁因子的权重来表示每个威胁因子的重要程度。每个威胁因子的权重可以通过任意方式确定。在一种可能的实现方式中,每个威胁因子的权重可以通过层次分析法(AHP)确定。
在本实施例中,威胁因子可以根据需要进行设定。在一种可能的实现方式中,威胁因子可以包括威胁事件的严重程度因子以及威胁事件威胁对象的资产价值因子。且威胁事件的严重程度因子可以包括威胁事件的威胁等级二级因子、威胁事件的攻击结果二级因子、威胁事件的可信度二级因子和威胁事件是否命中情报信息二级因子。
在本实施例中,威胁事件的威胁等级二级因子,可以理解为威胁事件本身的危险程度参数。一般的,探测类威胁事件,威胁事件的威胁等级二级因子取值较低,漏洞类威胁事件,威胁事件的威胁等级二级因子取值较高。
威胁事件的攻击结果二级因子,可以理解为根据日志特征获得的是否符合攻击的判定结果参数。如果根据日志特征确定符合攻击判定,则威胁事件的攻击结果二级因子取值可以为成功,如果根据日志特征确定不符合攻击判定,则威胁事件的攻击结果二级因子取值可以为失败,否则,威胁事件的攻击结果二级因子取值可以为未知。
威胁事件的可信度二级因子,可以理解为威胁事件的特征条件参数,如果特征条件越强,与一个威胁事件的关联度越高,则威胁事件的可信度二级因子取值越高。
威胁事件是否命中情报信息二级因子,可以理解为威胁事件是否命中情报中心预先保存的威胁信息参数,例如,一个威胁事件如果命中情报中心预先保存的IP黑名单,说明该威胁事件对应的IP属于恶意IP。威胁事件是否命中情报信息二级因子取值可以为命中和未命中。
威胁事件的严重程度因子,可以理解为由上述四种二级因子确定。
威胁事件威胁对象的资产价值因子,可以理解为威胁事件对应的运维对象在客户资产中的重要程度参数。运维对象在客户资产中的重要程度越高,威胁事件威胁对象的资产价值因子取值越大。
下面通过一个具体的实例对本发明方案进行说明。
在本实施例中,首先需要建立威胁因子集合。可以假设预先设定的威胁因子包括威胁事件的严重程度因子以及威胁事件威胁对象的资产价值因子。且威胁事件的严重程度因子可以包括威胁事件的威胁等级二级因子、威胁事件的攻击结果二级因子、威胁事件的可信度二级因子和威胁事件是否命中情报信息二级因子。
威胁因子之间的关系示意图可以如图2所示。在如图2所示的示意图中,威胁因子集合(可以记为U)中,可以用第一因子集合表示为U=(u1,u2),其中,u1表示威胁事件的严重程度因子(可以简单记为严重程度),u2表示威胁事件威胁对象的资产价值因子(可以简单记为资产价值)。
而u1可以进一步用第二因子集合表示为u1=(u11,u12,u13,u14),其中,u11表示威胁事件的威胁等级二级因子(可以简单记为威胁等级),u12表示威胁事件的攻击结果二级因子(可以简单记为攻击判断结果),u13表示威胁事件的可信度二级因子(可以简单记为可信度),u14表示威胁事件是否命中情报信息二级因子(可以简单记为命中情报)。
由于威胁因子的数量是有限的,在本实施例中,威胁因子集合可以以邻接表的形式,存储在SOAR引擎中,由SOAR引擎对该邻接表进行维护。威胁因子集合对应的邻接表中的信息可以如表1所示:
表1
| 威胁因子ID | 威胁因子名称 | 所属父节点ID | 权重 |
| 0 | 威胁因子集合 | 0 | -- |
| 1 | 严重程度 | 0 | 0.75 |
| 2 | 资产价值 | 0 | 0.25 |
| 3 | 威胁等级 | 1 | 0.56 |
| 4 | 攻击结果 | 1 | 0.12 |
| 5 | 可信度 | 1 | 0.07 |
| 6 | 命中情报 | 1 | 0.25 |
如表1所示,可以理解为威胁因子集合、严重程度和资产价值均无父节点,而威胁等级、攻击结果、可信度和命中情报的父节点(严重程度)标识可以用1表示。各威胁因子的权重计算方法在后续会进行说明。
当然,在本实施例中,还可以对威胁因子进行动态更新,例如对威胁因子进行扩展。以对威胁因子进行扩展为例,可以在表1中添加威胁因子,添加的威胁因子也需要符合树状结构。当然,如果添加了威胁因子,后续也需要进一步确认每个威胁事件对应的该威胁因子对于每个调度优先级的隶属度参数,以确定每个威胁事件对应的调度优先级。
另外,在本实施例中,可以预先设定四个队列来保存威胁事件关联剧本,对应的调度优先级可以分别记为极高(可以记为v1)、高(可以记为v2)、中(可以记为v3)和低(可以记为v4)。
进一步的,在本实施例中,可以但是不限于通过层次分析法确定每个威胁因子的权重。
通过层次分析法确定每个威胁因子的权重,首先需要构造出判定矩阵。一个判定矩阵中元素aij表示第i个因素相对于第j个因素的比较结果,比较结果的衡量方法(衡量标度表)可以如表2所示。
表2
根据表2所示的衡量标度表,首先确定由第二因子集合构造出的判定矩阵。由第二因子集合构造判定矩阵时,假设各第二因子之间的比较结果如表3所示:
表3
| 威胁等级 | 攻击判断结果 | 可信度 | 命中情报 | |
| 威胁等级 | 1 | 5 | 7 | 3 |
| 攻击判断结果 | 1/5 | 1 | 3 | 1/3 |
| 可信度 | 1/7 | 1/3 | 1 | 1/5 |
| 命中情报 | 1/3 | 3 | 5 | 1 |
根据如表3所示的各第二因子之间的比较结果,构造出的判定矩阵可以记为:
在一种可能的实现方式中,可以进一步通过进行一致性校验,来判断两两因素比较的传递中出是否出现逻辑矛盾,保证判定矩阵的一致性。
可以通过判断一致性比例(CR)是否小于设定值(取值为0.1)来进行一致性校验。如果判断出CR小于0.1,可以认为一致性校验通过,判定矩阵一致,否则,可以认为一致性校验未通过,判定矩阵不一致,需要对判定矩阵进行调整。
其中,CR可以表示如下:
上述CR表达式中,CI为一致性指标,且
λmax为判定矩阵的最大特征值,n表示判定矩阵对应的因素个数;
RI表示平均随机一致性指标,且RI取值可以如表4所示。表4中,n仍表示判定矩阵对应的因素个数。
表4
在本实施例中,可以计算得到λmax=4.1170,且n为4,可以得到CI。通过查表4,当n为4,可以得到RI值为0.89,最终得到:
根据判定矩阵A2可以确定各第二因子的权重。在本实施例中,可以采用算术平均法来确定权重。
假设判定矩阵为:
那么采用算术平均法求得的权重为:
因此,针对判定矩阵A2,可以进行归一化得到:
由此得到权重向量为[0.56 0.12 0.07 0.25]T,也就是说威胁等级(u11)所占权重为56%,攻击判断结果(u12)所占权重为12%,可信度(u13)所占权重为7%,情报命中(u14)所占权重为25%。
与确定第二因子集合中每个因子对应的权重类似的,可以确定第一因子集合中每个因子对应的权重。
类似的,可以通过假设各第一因子之间的比较结果,进行判定矩阵构造。构造出的判定矩阵假设如下:
进行一致性校验,可以得到CR=0,由此确定判定矩阵A1是一致的。
对判定矩阵A1进行归一化得到:
由此得到权重向量为[0.75 0.25]T,也就是说严重程度(u1)所占权重为75%,资产价值(u2)所占权重为25%。
确定出各威胁因子的权重后,SOAR引擎即可以针对产生的每一个威胁事件,根据该威胁事件对应的每个威胁因子对于每个调度优先级的隶属度参数,利用模糊综合评价模型,确定该威胁事件对应的调度优先级。
每个威胁因子针对不同威胁事件的不同取值,使得不同威胁事件对应的各威胁因子对于各调度优先级的隶属度参数不同。SOAR引擎可以根据一个威胁事件对应的各威胁因子的取值,来维护该威胁事件对应的各威胁因子对于每个调度优先级的隶属度参数。可以理解为,一个威胁因子的等级越高,针对越高的调度优先级的隶属度参数就越高。
假设一个威胁事件的第二因子集合中每个第二因子对于各调度优先级的隶属度参数如表5所示。
表5
由此根据模糊综合评价模型,得到第二因子集合对应的调度优先级评价矩阵表示如下:
假设资产价值对于调度优先级(v1)的隶属度参数为0.5,对于调度优先级(v2)的隶属度参数为0.4,对于调度优先级(v3)的隶属度参数为0.1,对于调度优先级(v4)的隶属度参数为0,那么可以根据模糊综合评价模型,得到该威胁事件对应的模糊综合评价矩阵(即第一因子集合对应的调度优先级评价矩阵)为:
进一步的,根据第一因子集合对应的权重向量和调度优先级评价矩阵,最终得到的模糊综合评价矩阵可以表示为:
由上述模糊向量可以看出,该威胁事件对应极高的调度优先级的隶属度参数最大,因此该威胁事件对应的调度优先级为极高。
在确定出一个威胁事件的调度优先级之后,即可以将该威胁事件对应的威胁事件关联剧本加入对应的队列,使得SOAR引擎可以按照调度优先级,从队列中获取威胁事件关联剧本并执行。
进一步的,本发明实施例提供一种基于威胁事件的剧本处理方法,该方法的步骤流程可以如图3所示。其中,SOAR引擎可以从缓冲队列中获取产生的威胁事件。针对每个威胁事件,根据预先设定的六个威胁因子,利用两级模糊综合评价模型(当然,不限于利用两级模糊综合评价模型)来确定威胁事件对应的调度优先级,将与该威胁事件建立了关联关系的一个剧本加入一个调度队列(在图3中,调度优先级为极高的调度队列可以简单记为调度队列V1,调度优先级为高的调度队列可以简单记为调度队列V2,调度优先级为中的调度队列可以简单记为调度队列V3,调度优先级为低的调度队列可以简单记为调度队列V4),该调度队列的调度优先级与该威胁事件对应的调度优先级相同,并可以将威胁事件存入数据库。
另外,SOAR引擎可以按照四个调度队列的调度优先级,从调度队列中获取威胁事件关联剧本,并根据关联的威胁事件,执行获取的威胁事件关联剧本,实现对该剧本关联的威胁事件的处理。
SOAR引擎对威胁事件关联剧本的调度流程示意图可以如图4所示。如图4所示,威胁事件关联剧本的处理可以为并发执行,例如,并发度可以为20,也就是说同时可以存在20个威胁事件关联剧本对应的进程(可以简单记为剧本进程1~20),分别对每个威胁事件关联剧本进行处理。在威胁事件关联剧本的处理过程中,可以不断轮询是否有空余资源,可以进行其他威胁事件关联剧本的处理。
这样一旦轮询获知有空余资源,即可以获取一个新的威胁事件关联剧本,实现对其它威胁事件的处理。
在本实施例中,SOAR引擎可以按照根据调度优先级为全部或部分调度队列配置的加权值,采用加权轮询机制,确定当前对应的调度队列,进而从中获取一个威胁事件关联剧本。
假设在本实施例中,调度优先级为极高的调度队列(调度队列V1)总是确保威胁事件关联剧本被优先获取,且为调度优先级为高、中和低的三个调度队列(调度队列V2~V4),配置的加权值分别为0.6、0.3和0.1。
那么在本实施例中,优先获取完调度优先级为极高的调度队列中的威胁事件关联剧本之后,调度优先级为高的调度队列中的威胁事件关联剧本被获取的概率为60%,调度优先级为中的调度队列中的威胁事件关联剧本被获取的概率为30%,调度优先级为低的调度队列中的威胁事件关联剧本被获取的概率为10%。
而在获取调度优先级为高、中和低的各调度队列中的威胁事件关联剧本的过程中,如果随机确定出的调度优先级为高的调度队列中没有威胁事件关联剧本,则可以降级到调度优先级为中的调度队列中获取威胁事件关联剧本,如果调度优先级为中的调度队列中也没有威胁事件关联剧本,则可以继续降级到调度优先级为低的调度队列中获取威胁事件关联剧本,从而可以通过不断的降级调度,尽量确保每次都可以获取到威胁事件关联剧本,使得每一次的获取都不是无效的。而如果降级到调度优先级为低的调度队列中获取威胁事件关联剧本时,发现调度优先级为低的调度队列中也没有威胁事件关联剧本,则可以认为当前没有威胁事件需要处理,可以继续返回轮询是否有空余资源可以执行威胁事件关联剧本。
采用加权轮询机制,从调度优先级为高、中和低的调度队列中获取威胁事件关联剧本时,多次获取的威胁事件关联剧本的调度队列分布示意图如图5所示,从图5可以看出,调度优先级为高的调度队列(调度队列V2)中的威胁事件关联剧本被获取的概率较高,调度优先级为中的调度队列(调度队列V3)中的威胁事件关联剧本被获取的概率次之,而调度优先级为低的调度队列(调度队列V4)中的威胁事件关联剧本也存在被获取的概率。
根据本发明实施例提供的方案,相对于按照剧本的静态优先级进行威胁事件处理,可以根据实际发生的威胁事件的各个威胁因子(支持扩展),进行多级模糊综合评价,构建出多级模糊综合评价矩阵,从而实现对威胁事件的调度优先级的定量分析,使得SOAR引擎具有评价和分析能力,可以分出轻重缓急,优先对调度优先级较高(可以理解为威胁程度较高)的威胁事件进行处理。而相对于按照威胁事件产生的时间顺序,对威胁事件进行处理,可以将更多的资源用于处理紧急且重大的威胁事件,避免威胁程度较高的威胁事件被延时处理,减少资产损失。且可以通过加权轮询机制,兼顾威胁程度较低的威胁事件的处理。
本发明实施例提供的方案中,可以通过对威胁事件的各个威胁因子进行定量分析和判断来确定调度优先级,并可以采用加权轮询机制来从各个调度队列中获取威胁事件剧本。这种动态调度机制使得SOAR引擎具有分析和判断能力,能够根据威胁事件的严重程度来进行动态响应,能够合理有效地利用资源,及时处置威胁程度较高的威胁事件,避免威胁程度较低的威胁事件处理占用引擎资源,导致威胁程度较高的威胁事件被延时处置。另外,在大幅度降低人工参与度的同时,还可以大大提高了SOAR引擎处理威胁事件的效率、响应速度和资源利用率,使得运维效率得到总体上的提升。
与提供的方法对应的,进一步提供以下的装置。
本发明实施例提供一种基于威胁事件的剧本处理装置,该装置的结构可以如图6所示,包括:
确定模块11用于按照预先设定的各个队列的调度优先级,确定当前要调度的队列;
获取模块12用于从确定出的当前要调度的队列中,获取威胁事件关联剧本;
执行模块13用于执行获取的威胁事件关联剧本;
其中,每个队列中的威胁事件关联剧本通过以下方式获得:
针对每个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,所述威胁因子为影响威胁事件的调度优先级的参数;
确定该威胁事件对应的一个剧本,建立剧本与该威胁事件的关联关系,并将该威胁事件关联剧本加入一个队列,该队列的调度优先级,与该威胁事件关联剧本关联的威胁事件的调度优先级相同。
可选的,所述确定模块11具体用于按照为全部或部分队列配置的加权值,采用加权轮询机制,确定当前要调度的队列,其中,所述加权值根据队列的调度优先级配置。
可选的,所述确定模块11按照为全部或部分队列配置的加权值,采用加权轮询机制,确定当前要调度的队列,包括:
按照预先设定的四个队列的调度优先级,确定当前要调度的队列为最高调度优先级的队列;
并在最高调度优先级的队列中的威胁事件关联剧本均被获取之后,针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列。
可选的,所述确定模块11针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列的过程中,从确定出的当前要调度的队列中,获取威胁事件关联剧本,包括:
若确定出的当前要调度的队列为空,则按照预先设定的各个队列的调度优先级,从调度优先级低于当前要调度队列的其它队列中获取威胁事件关联剧本,直到获取到威胁事件关联剧本或者调度优先级低于当前要调度队列的其它队列都为空。
可选的,针对一个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,包括:
在确定产生一个威胁事件时,确定针对该威胁事件,每个预先设定的威胁因子对于每个调度优先级的隶属度参数,其中,针对一个威胁事件,一个威胁因子对于每个调度优先级的隶属度参数,根据该威胁因子针对该威胁事件的取值确定;
根据预先确定出的每个威胁因子的权重以及确定出的所述隶属度参数,利用模糊综合评价模型,确定每个威胁事件对应的调度优先级。
可选的,每个威胁因子的权重通过层次分析法确定。
可选的,所述威胁因子包括威胁事件的严重程度因子以及威胁事件威胁对象的资产价值因子,且所述威胁事件的严重程度因子包括威胁事件的威胁等级二级因子、威胁事件的攻击结果二级因子、威胁事件的可信度二级因子和威胁事件是否命中情报信息二级因子。
本发明上述实施例提供的各装置的各功能单元的功能,可以通过上述对应的各方法的步骤来实现,因此,本发明实施例提供的各装置中的各个功能单元的具体工作过程和有益效果,在此不复赘述。
基于同一发明构思,本发明实施例提供以下的设备和介质。
本发明实施例提供一种基于威胁事件的剧本处理设备,该设备的结构可以如图7所示,包括处理器21、通信接口22、存储器23和通信总线24,其中,所述处理器21,所述通信接口22,所述存储器23通过所述通信总线24完成相互间的通信;
所述存储器23,用于存放计算机程序;
所述处理器21,用于执行所述存储器上所存储的程序时,实现本发明上述方法实施例所述的步骤。
可选的,所述处理器21具体可以包括中央处理器(CPU)、特定应用集成电路(ASIC,Application Specific Integrated Circuit),可以是一个或多个用于控制程序执行的集成电路,可以是使用现场可编程门阵列(FPGA,Field Programmable Gate Array)开发的硬件电路,可以是基带处理器。
可选的,所述处理器21可以包括至少一个处理核心。
可选的,所述存储器23可以包括只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)和磁盘存储器。存储器23用于存储至少一个处理器21运行时所需的数据。存储器23的数量可以为一个或多个。
本发明实施例还提供一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,当可执行程序被处理器执行时,实现本发明上述方法实施例提供的方法。
在具体的实施过程中,计算机存储介质可以包括:通用串行总线闪存盘(USB,Universal Serial Bus Flash Drive)、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的存储介质。
在本发明实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性或其它的形式。
在本发明实施例中的各功能单元可以集成在一个处理单元中,或者各个单元也可以均是独立的物理模块。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备,例如可以是个人计算机,服务器,或者网络设备等,或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus Flash Drive)、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于威胁事件的剧本处理方法,其特征在于,所述方法包括:
按照预先设定的各个队列的调度优先级,确定当前要调度的队列;
从确定出的当前要调度的队列中,获取威胁事件关联剧本;
执行获取的威胁事件关联剧本;
其中,每个队列中的威胁事件关联剧本通过以下方式获得:
针对每个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,所述威胁因子为影响威胁事件的调度优先级的参数;
确定该威胁事件对应的一个剧本,建立剧本与该威胁事件的关联关系,并将该威胁事件关联剧本加入一个队列,该队列的调度优先级,与该威胁事件关联剧本关联的威胁事件的调度优先级相同。
2.如权利要求1所述的方法,其特征在于,按照预先设定的各个队列的调度优先级,确定当前要调度的队列,包括:
按照为全部或部分队列配置的加权值,采用加权轮询机制,确定当前要调度的队列,其中,所述加权值根据队列的调度优先级配置。
3.如权利要求2所述的方法,其特征在于,按照为全部或部分队列配置的加权值,采用加权轮询机制,确定当前要调度的队列,包括:
按照预先设定的四个队列的调度优先级,确定当前要调度的队列为最高调度优先级的队列;
并在最高调度优先级的队列中的威胁事件关联剧本均被获取之后,针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列。
4.如权利要求3所述的方法,其特征在于,针对最高调度优先级之外的三个队列,按照配置的加权值,采用加权轮询机制,确定当前要调度的队列的过程中,从确定出的当前要调度的队列中,获取威胁事件关联剧本,包括:
若确定出的当前要调度的队列为空,则按照预先设定的各个队列的调度优先级,从调度优先级低于当前要调度队列的其它队列中获取威胁事件关联剧本,直到获取到威胁事件关联剧本或者调度优先级低于当前要调度队列的其它队列都为空。
5.如权利要求1所述的方法,其特征在于,针对一个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,包括:
在确定产生一个威胁事件时,确定针对该威胁事件,每个预先设定的威胁因子对于每个调度优先级的隶属度参数,其中,针对一个威胁事件,一个威胁因子对于每个调度优先级的隶属度参数,根据该威胁因子针对该威胁事件的取值确定;
根据预先确定出的每个威胁因子的权重以及确定出的所述隶属度参数,利用模糊综合评价模型,确定每个威胁事件对应的调度优先级。
6.如权利要求5所述的方法,其特征在于,每个威胁因子的权重通过层次分析法确定。
7.如权利要求1所述的方法,其特征在于,所述威胁因子包括威胁事件的严重程度因子以及威胁事件威胁对象的资产价值因子,且所述威胁事件的严重程度因子包括威胁事件的威胁等级二级因子、威胁事件的攻击结果二级因子、威胁事件的可信度二级因子和威胁事件是否命中情报信息二级因子。
8.一种基于威胁事件的剧本处理装置,其特征在于,所述装置包括:
确定模块,用于按照预先设定的各个队列的调度优先级,确定当前要调度的队列;
获取模块,用于从确定出的当前要调度的队列中,获取威胁事件关联剧本;
执行模块,用于执行获取的威胁事件关联剧本;
其中,每个队列中的威胁事件关联剧本通过以下方式获得:
针对每个威胁事件,根据预先设定的威胁因子以及模糊综合评价模型确定该威胁事件对应的调度优先级,所述威胁因子为影响威胁事件的调度优先级的参数;
确定该威胁事件对应的一个剧本,建立剧本与该威胁事件的关联关系,并将该威胁事件关联剧本加入一个队列,该队列的调度优先级,与该威胁事件关联剧本关联的威胁事件的调度优先级相同。
9.一种非易失性计算机存储介质,其特征在于,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现权利要求1~7任一所述的方法。
10.一种基于威胁事件的剧本处理设备,其特征在于,所述设备包括处理器、通信接口、存储器和通信总线,其中,所述处理器,所述通信接口,所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存储的程序时,实现权利要求1~7任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011614441.2A CN112788010B (zh) | 2020-12-30 | 2020-12-30 | 一种基于威胁事件的剧本处理方法、装置、介质和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011614441.2A CN112788010B (zh) | 2020-12-30 | 2020-12-30 | 一种基于威胁事件的剧本处理方法、装置、介质和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112788010A CN112788010A (zh) | 2021-05-11 |
| CN112788010B true CN112788010B (zh) | 2022-07-22 |
Family
ID=75754018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011614441.2A Active CN112788010B (zh) | 2020-12-30 | 2020-12-30 | 一种基于威胁事件的剧本处理方法、装置、介质和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112788010B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259371B (zh) * | 2021-06-03 | 2022-04-19 | 上海雾帜智能科技有限公司 | 基于soar***的网络攻击事件阻止方法及*** |
| CN114338145B (zh) * | 2021-12-27 | 2023-09-26 | 绿盟科技集团股份有限公司 | 一种安全防护方法、装置及电子设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10873596B1 (en) * | 2016-07-31 | 2020-12-22 | Swimlane, Inc. | Cybersecurity alert, assessment, and remediation engine |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9286193B2 (en) * | 2011-04-12 | 2016-03-15 | Accenture Global Services Limited | Prioritization and assignment manager for an integrated testing platform |
| US11824870B2 (en) * | 2018-12-19 | 2023-11-21 | Abnormal Security Corporation | Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time |
-
2020
- 2020-12-30 CN CN202011614441.2A patent/CN112788010B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10873596B1 (en) * | 2016-07-31 | 2020-12-22 | Swimlane, Inc. | Cybersecurity alert, assessment, and remediation engine |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112788010A (zh) | 2021-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112788010B (zh) | 一种基于威胁事件的剧本处理方法、装置、介质和设备 | |
| CN108573337B (zh) | 作业分配 | |
| Abdel-Basset et al. | Federated threat-hunting approach for microservice-based industrial cyber-physical system | |
| CN112685170B (zh) | 备份策略的动态优化 | |
| CN108762907B (zh) | 基于多个客户端的任务处理方法及*** | |
| CN112749221A (zh) | 数据任务调度方法、装置、存储介质及调度工具 | |
| US9471383B2 (en) | Task allocation in a computing environment | |
| CN114048857A (zh) | 算力分配方法、装置及算力服务器 | |
| CN116263701A (zh) | 算力网络任务调度方法、装置、计算机设备及存储介质 | |
| CN111930476B (zh) | 一种任务调度方法、装置及电子设备 | |
| CN106874215B (zh) | 一种基于Spark算子的序列化存储优化方法 | |
| CN114116853B (zh) | 基于时序关联分析的数据安全分析方法及装置 | |
| CN111211938B (zh) | 生物信息软件监控***及方法 | |
| CN111985651A (zh) | 业务***运维方法和装置 | |
| CN110825493A (zh) | 一种虚拟机调优的方法及装置 | |
| CN116187895B (zh) | 一种智能仓储货流规划方法、***及电子设备 | |
| CN115484143B (zh) | 告警处理方法、装置、电子设备及存储介质 | |
| CN116366310B (zh) | 一种基于信息安全的云服务方法及装置 | |
| EP4398152A1 (en) | Analytics platform optimisation | |
| CN115037625B (zh) | 网络切片处理方法、装置、电子设备及可读存储介质 | |
| CN115801693B (zh) | 低阻塞低延时的数据通信方法、***及可读存储介质 | |
| CN117453376B (zh) | 高通量计算的控制方法、装置、设备及存储介质 | |
| US11544068B2 (en) | Systems and methods for generating a pipeline of stages for a process | |
| CN115934300A (zh) | 一种云计算平台巡检任务调度方法及*** | |
| CN118229063A (zh) | 资产风险评估方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |