本發明涉及網絡安全，尤其涉及一種soar技術通過安全資源池實現的攻擊自動化處置方法。

背景技術：

1、soar（security?orchestration,?automation?and?response，安全編排自動化與響應）是一種通過整合安全工具、自動化流程和標準化工作流，提升安全事件響應效率的技術。目前soar技術需預設防護規則，這些規則需要安全專家提前編寫設計，靈活性不足，無法適應動態安全威脅；soar技術整合的安全設備等硬件適用于安全資源的靜態分配，無法動態應對突發攻擊；在大規模復雜場景下（多個安全資源池的場景），soar技術存在多線路統一管理及協調難度高、多設備適配困難等問題。

技術實現思路

1、有鑒于此，本發明提供了一種soar技術通過安全資源池實現的攻擊自動化處置方法，用于解決現有soar技術需預設防護規則，這些規則需要安全專家提前編寫設計，靈活性不足，無法適應動態安全威脅；soar技術整合的安全設備等硬件適用于安全資源的靜態分配，無法動態應對突發攻擊；在大規模復雜場景下（多個安全資源池的場景），soar技術存在多線路統一管理及協調難度高、多設備適配困難等問題。

2、第一方面，本發明實施例提供了一種soar技術通過安全資源池實現的攻擊自動化處置方法，方法包括：

3、基于安全運營平臺對攻擊事件進行識別，并確定所述攻擊事件的攻擊類別；

4、將所述攻擊類別與通過soar技術編排的預設防護規則進行匹配，并將所述預設防護規則中與所述攻擊類別對應的預設防護策略作為目標防護策略；

5、根據所述目標防護策略對安全資源池內的安全組件進行調用，完成針對所述攻擊事件的自動化處置。

6、可選地，所述基于安全運營平臺對攻擊事件進行識別，并確定所述攻擊事件的攻擊類別的步驟，包括：

7、基于所述安全運營平臺獲取安全資源池和所述安全資源池所在系統的告警信息，將與所述告警信息對應的事件作為所述攻擊事件；

8、獲取所述攻擊事件的特征數據，并基于所述特征數據確定所述攻擊事件的攻擊類別。

9、可選地，所述基于安全運營平臺對攻擊事件進行識別，并確定所述攻擊事件的攻擊類別的步驟，還包括：

10、通過所述安全運營平臺調用攻擊事件識別模型；

11、基于所述安全運營平臺獲取安全資源池的第一運行數據和所述安全資源池所在系統的第二運行數據；

12、將所述第一運行數據和所述第二運行數據分別代入所述攻擊事件識別模型，得到識別結果；

13、當所述識別結果表示存在攻擊事件時，根據所述識別結果確定所述攻擊事件的攻擊類別。

14、可選地，所述方法，還包括：

15、通過第一處置方案預測模型和所述攻擊類別確定針對所述攻擊類別的處置方案；

16、將所述處置方案與所述目標防護策略進行匹配；

17、若所述處置方案與所述目標防護策略不一致，則基于所述處置方案生成用于更新所述預設防護規則的修改建議，并將所述修改建議進行展示。

18、可選地，所述將所述攻擊類別與通過soar技術編排的預設防護規則進行匹配，并將所述預設防護規則中與所述攻擊類別對應的預設防護策略作為目標防護策略的步驟，還包括：

19、將所述攻擊類別與通過soar技術編排的預設防護規則進行匹配，若所述預設防護規則中不存在與所述攻擊類別對應的預設防護規則；

20、則獲取所述攻擊事件的上下文信息；

21、將所述上下文信息輸入第二處置方案預測模型，得到與所述攻擊事件對應的第一目標處置方案；

22、通過soar技術按所述第一目標處置方案生成與所述攻擊事件對應的預設防護規則，得到與所述攻擊類別對應的預設防護規則，并將所述預設防護規則中與所述攻擊類別對應的預設防護策略作為目標防護策略。

23、可選地，所述將所述攻擊類別與通過soar技術編排的預設防護規則進行匹配，并將所述預設防護規則中與所述攻擊類別對應的預設防護策略作為目標防護策略的步驟，還包括：

24、將所述攻擊類別與通過soar技術編排的預設防護規則進行匹配，若所述預設防護規則中不存在與所述攻擊類別對應的預設防護規則；

25、則獲取所述攻擊事件的上下文信息；

26、將所述上下文信息與所述預設防護數據進行匹配，得到與所述攻擊事件對應的第二目標處置方案；

27、通過soar技術按所述第二目標處置方案生成與所述攻擊事件對應的預設防護規則，得到與所述攻擊類別對應的預設防護規則，并將所述預設防護規則中與所述攻擊類別對應的預設防護策略作為目標防護策略。

28、可選地，所述根據所述目標防護策略對安全資源池內的安全組件進行調用，完成針對所述攻擊事件的自動化處置的步驟，包括：

29、根據所述目標防護策略生成控制指令，并將所述控制指令發送至所述安全資源池，以使所述安全資源池響應所述控制指令對安全組件進行調用，完成針對所述攻擊事件的自動化處置。

30、可選地，所述根據所述目標防護策略對安全資源池內的安全組件進行調用，完成針對所述攻擊事件的自動化處置的步驟，還包括：

31、根據所述目標防護策略生成控制指令，并將所述控制指令發送至所述安全運營平臺；

32、基于所述安全運營平臺獲取所述攻擊事件的發生點，并確定與所述發生點對應的安全資源池，并將與所述發生點對應的安全資源池作為目標安全資源池；

33、將所述控制指令通過所述安全運營平臺發送至所述目標安全資源池，以使所述目標安全資源池響應所述控制指令對安全組件進行調用，完成針對所述攻擊事件的自動化處置。

34、可選地，所述根據所述目標防護策略對安全資源池內的安全組件進行調用，完成針對所述攻擊事件的自動化處置的步驟，還包括：

35、通過所述安全運營平臺獲取所述安全資源池內各個安全組件的防護功能參數，并基于所述防護功能參數判斷所述安全資源池內的安全組件是否能夠滿足所述目標防護策略；

36、當所述安全資源池內的安全組件不能滿足所述目標防護策略時，則基于所述目標防護策略對所述安全資源池進行更新，并基于更新后的安全資源池完成針對所述攻擊事件的自動化處置。

37、可選地，所述方法還包括：

38、獲取所述攻擊事件的進程數據；

39、當所述進程數據表征所述攻擊事件結束時，對所述更新后的安全資源池進行恢復，以釋放更新所述安全資源池時所占用的資源。

40、另一方面，本發明實施例提供了一種soar技術通過安全資源池實現的攻擊自動化處置裝置，所述裝置包括：

41、識別模塊，用于基于安全運營平臺對攻擊事件進行識別，并確定所述攻擊事件的攻擊類別；

42、匹配模塊，用于將所述攻擊類別與通過soar技術編排的預設防護規則進行匹配，并將所述預設防護規則中與所述攻擊類別對應的預設防護策略作為目標防護策略；

43、執行模塊，用于根據所述目標防護策略對安全資源池內的安全組件進行調用，完成針對所述攻擊事件的自動化處置。

44、第三方面，本發明實施例還提供了一種電子設備，所述電子設備包括：

45、一個或者多個處理器；

46、存儲裝置，用于存儲一個或者多個程序；

47、當所述一個或者多個程序被所述一個或者多個處理器執行，使得所述一個或者多個處理器實現如本發明任一所述實施例中的soar技術通過安全資源池實現的攻擊自動化處置方法。

48、第四方面，本發明實施例還提供了一種包含計算機可執行指令的存儲介質，所述計算機可執行指令在由計算機處理器執行時用于執行如本發明任一所述實施例中的soar技術通過安全資源池實現的攻擊自動化處置方法。

49、本發明實施例的技術方案，通過基于安全運營平臺對攻擊事件進行識別，并確定所述攻擊事件的攻擊類別；將所述攻擊類別與通過soar技術編排的預設防護規則進行匹配，并將所述預設防護規則中與所述攻擊類別對應的預設防護策略作為目標防護策略；根據所述目標防護策略對安全資源池內的安全組件進行調用，完成針對所述攻擊事件的自動化處置。將soar技術與安全資源池進行結合，通過安全運營平臺對安全資源池內安全組件的動態分配能力以及不同安全資源池之間的安全能力協同的優勢，避免了安全資源池內安全組件固定的局限性，動態更新soar技術編排的預設防護規則能夠針對不同的攻擊事件進行防護，實現自動化的安全事件處置，能夠提高網絡安全事件處置的處置效率。實現安全風險和威脅入侵行為的快速響應和處置。