安全事件处理方法及装置与流程

1.本发明实施例涉及网络安全技术领域，特别是涉及一种安全事件处理方法，一种安全事件处理装置，一种电子设备以及一种计算机可读存储介质。


背景技术：

2.随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证，目前在信息网络中，经常会遇到各式各样的威胁场景，通过这些威胁场景进行分析确定存在安全事件，例如病毒入侵、网络攻击以及远程连接等等，为了维护网络安全，在确定存在安全事件后，会针对安全事件相应进行处理，例如阻止、允许、告警、响应以及恢复等等。
3.然而，针对安全事件需要事先编排对应的固定化处理流程，从而可以基于固定化处理流程对安全事件进行处理，但是安全事件的种类很多，并且不同的企业可能对安全事件的处理方式也存在差异，导致降低了安全事件的处理效率。


技术实现要素：

4.本发明实施例的目的在于提供一种安全事件处理方法，一种安全事件处理装置，一种电子设备以及一种计算机可读存储介质，以提高对安全事件的处理效率。具体技术方案如下：
5.在本发明实施的第一方面，首先提供了一种安全事件处理方法，包括：
6.提供安全编排平台，所述安全编排平台包括安全组件，所述安全组件具有对应的安全事件和无服务器函数，所述无服务器函数为在云端服务器运行的函数；
7.响应对所述安全编排平台中所述安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及所述目标无服务器函数的执行顺序，形成安全剧本，以处理所述目标安全事件。
8.可选地，在响应对所述安全编排平台中所述安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及所述目标无服务器函数的执行顺序，形成安全剧本，以处理所述目标安全事件之后，所述方法还包括：
9.接收监测系统的发送的安全事件；
10.确定所述安全事件对应的目标安全剧本，所述目标安全剧本包括无服务器函数和所述无服务器函数的执行顺序；
11.按照所述执行顺序依次触发所述目标安全剧本的所述无服务器函数，处理所述安全事件。
12.可选地，所述安全组件为可编辑的组件，所述可编辑的内容至少包括类别、名称、配置参数以及组件描述。
13.可选地，所述按照所述执行顺序依次触发所述目标安全剧本的所述无服务器函数，处理所述安全事件，包括：
14.按照所述执行顺序依次确定所述目标安全剧本中的当前无服务器函数；
15.向所述当前无服务器函数对应的云端服务器发送工作信号，以使所述云端服务器依据所述工作信号对所述安全事件进行处理。
16.可选地，所述编排操作至少包括选择、编辑、保存、提交、撤销、重做、复制、粘贴、设置。
17.可选地，还包括：响应新的安全组件的添加操作，在所述安全编排平台中添加新的安全组件。
18.在本发明实施的第二方面，还提供了一种安全事件处理装置，包括：
19.安全编排平台提供模块，用于提供安全编排平台，所述安全编排平台包括安全组件，所述安全组件具有对应的安全事件和无服务器函数，所述无服务器函数为在云端服务器运行的函数；
20.安全剧本编排模块，用于响应对所述安全编排平台中所述安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及所述目标无服务器函数的执行顺序，形成安全剧本，以处理所述目标安全事件。
21.可选地，所述装置还包括：安全事件处理模块，用于接收监测系统的发送的安全事件；确定所述安全事件对应的目标安全剧本，所述目标安全剧本包括无服务器函数和所述无服务器函数的执行顺序；按照所述执行顺序依次触发所述目标安全剧本的所述无服务器函数，处理所述安全事件。
22.在本发明实施的又一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述任一所述的安全事件处理方法。
23.在本发明实施的又一方面，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一所述的安全事件处理方法。
24.本发明实施例提供的一种安全事件处理方法，提供包括安全组件的安全编排平台，安全组件具有对应的安全事件和无服务器函数，无服务器函数为在云端服务器运行的函数，响应对安全编排平台中安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及目标无服务器函数的执行顺序，形成安全剧本，以处理目标安全事件。本发明实施例可以通过安全编排平台中已有的安全组件，来编排针对安全事件的安全剧本，提高了对安全事件编排安全剧本的效率，从而能够基于安全剧本对安全事件进行处理，降低了平均修复时间，提高了对安全事件的处理效率。
25.除此之外，由于是利用的云端服务器提供的无服务器函数，而无服务器函数是第三方的无服务器平台中的函数，因此无需开发人员进行管理和维护，降低了资源成本，并且开发人员也可以专注安全剧本的构建和应用。
26.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
27.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
28.图1为本发明实施例中提供的一种安全事件处理方法的步骤流程图；
29.图2为本发明实施例中提供的一种安全编排平台的界面示意图；
30.图3为本发明实施例中提供的一种安全事件的处理架构示意图；
31.图4为本发明实施例中提供的一种安全事件的处理步骤流程图；
32.图5为本发明实施例中提供的一种安全事件处理的流程示意图；
33.图6为本发明实施例中提供的一种安全事件处理装置的结构框图；
34.图7为本发明实施例中提供的一种电子设备的结构框图。
具体实施方式
35.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。
36.在互联网的环境中，通过分析威胁场景可以确定对应的安全事件，例如病毒入侵、网络攻击、远程连接、挖矿等安全事件，这些安全事件可能经常会在系统或者设备在运行过程中遇到。为了保证系统能够安全运行，开发人员利用soar(安全编排与自动化响应，security orchestration automation and response)平台编排固定化处理流程，即安全剧本，利用安全剧对安全事件进行分析及响应，从而避免出现安全风险。
37.具体地，通过soar平台，开发人员可以将其所属企业具有的安全能力按照一定的逻辑关系组合到一起，用以完成针对某个安全事件的安全剧本。但是，目前通过soar平台虽然能够方便地编排安全剧来响应安全事件，但是互联网中的安全事件种类多样，包括一些未知的安全事件，基于已有的soar平台无法快速编排安全剧本，导致mttr(mean time to repair，平均修复时间)长，对于安全事件的响应速度慢。
38.针对上述问题，本发明实施例提出了一种安全事件处理方法，通过提供包括安全事件和无服务器函数对应的安全组件的安全编排平台，使得开发人员可以通过编排安全编排平台的安全组件来编排安全剧本，使得可以利用安全剧本响应安全事件，通过提高安全剧本的编排效率，降低了平均修复时间，进而提高了对安全事件的处理效率。
39.参照图1，为本发明实施例中提供的一种安全事件处理方法的步骤流程图，如图1所示，该方法具体可以包括如下步骤：
40.步骤101，提供安全编排平台，所述安全编排平台包括安全组件，所述安全组件具有对应的安全事件和无服务器函数，所述无服务器函数为在云端服务器运行的函数。
41.其中，安全事件是监测系统监测到威胁场景对应的事件，例如病毒入侵、网络攻击、远程连接、挖矿等等，无服务器函数是在云端服务器的函数，具体来说，是云端的无服务器平台提供的函数(代码)或者应用，通常也称为动作(action)，基于无服务器函数能够自动调用对应的资源进行自动化处理。举例来说，无服务器平台可以是knative平台。
42.其中，安全编排平台是具有图形编排及代码编排功能的平台。具体地，在安全编排平台中包括有一个或者多个的安全组件，并且安全组件与安全事件或者无服务器函数对应，所述安全组件为可编辑的组件，所述可编辑的内容至少包括类别、名称、配置参数以及组件描述。在本发明实施例中，通过在安全编排平台上操作安全组件，可以将安全事件与无服务器函数，以及无服务器函数与无服务器函数之间进行绑定。当然，安全编排平台中除了包括安全事件或者无服务器函数对应的安全组件之外，还可以包括其他安全组件，例如内置组件、通用组件等，本发明实施例对此无需加以限制。
43.具体地，参照图2，所示为本发明实施例中提供的一种安全编排平台的界面示意图，在安全编排平台中可以包括多个安全组件，并且在安全组件可以按照类别展示，例如，假设安全组件类别可以包括通用组件、内置组件、威胁调查和威胁运营这几个类别，则可以将安全组件分别在对应类别下展示。此外，在选中某个安全组件时，可以对应展示该安全组件的类别、名称、配置参数等，并且，还可以对类别、名称、配置参数等进行编辑。
44.步骤102，响应对所述安全编排平台中所述安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及所述目标无服务器函数的执行顺序，形成安全剧本，以处理所述目标安全事件。
45.其中，安全剧本是用于自动响应安全事件的工作流，工作流由多个无服务器函数组成，通过调用无服务器函数可以实现对应的计算处理。
46.其中，所述编排操作至少可以包括选择、编辑、保存、提交、撤销、重做、复制、粘贴、设置的其中一种或者多种，为了便于开发人员开发安全剧本，可以将这些编排操作采用图形化方式展示在安全编排平台中，具体可以参照图2的左上角。
47.例如，开发人员在编排安全剧本时，可以对安全编排平台中选择安全组件作为目标安全组件，并且可以对目标安全组件的类别、名称、配置参数，以及对于无服务器函数的执行顺序等进行编辑。
48.具体地，在本发明实施例中，可以在安全编排平台中对安全组件进行编排操作，例如选中某个安全组件作为目标安全组件，并且进一步确定目标安全组件对应的目标无服务器函数的执行顺序，从而可以基于目标无服务器函数和执行顺序，形成安全剧本，使得可以按照安全剧本中的无服务器函数，即动作。参照图3，为本发明实施例中提供的一种安全事件的处理架构示意图，对于安全事件，可以基于安全剧本调用无服务器函数执行对应的无服务器函数，从而对安全事件进行处理。
49.在上述安全事件处理方法中，提供包括安全组件的安全编排平台，安全组件具有对应的安全事件和无服务器函数，无服务器函数为在云端服务器运行的函数，响应对安全编排平台中安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及目标无服务器函数的执行顺序，形成安全剧本，以处理目标安全事件。本发明实施例可以通过安全编排平台中已有的安全组件，来编排针对安全事件的安全剧本，提高了对安全事件编排安全剧本的效率，从而能够基于安全剧本对安全事件进行处理，降低了平均修复时间，提高了对安全事件的处理效率。
50.在本发明一示例性实施例中，参照图4，在所述步骤102，响应对所述安全编排平台中所述安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及所述目标无服务器函数的执行顺序，形成安全剧本，以处理所述目标安全事件之后，所述方法还可以包括如下步骤：
51.步骤401，接收监测系统的发送的安全事件；
52.步骤402，确定所述安全事件对应的目标安全剧本，所述目标安全剧本包括无服务器函数和所述无服务器函数的执行顺序；
53.步骤403，按照所述执行顺序依次触发所述目标安全剧本的所述无服务器函数，处理所述安全事件。
54.具体地，针对不同的监测系统监测上报任一安全事件，需要查找该安全事件对应
的目标安全剧本，比如，若某个安全事件为网络攻击事件，则可以对所有安全剧本进行过滤，若某个安全剧本是用于处理网络攻击，则将该安全剧本确定为目标安全剧本。然后，针对该安全事件确定对应的目标安全剧本，随后，就可以按照目标安全剧本中的执行顺序，依次调用云端服务器中的无服务器函数进行计算处理，以对安全事件进行响应处理。
55.一般来说，安全剧本是基于python语言进行开发的，不同的安全剧本中通常包含对不同安全事件进行处理的所有无服务器函数(action)，这些无服务器函数以串联或并联方式组合存在，从而实现各种威胁场景下的自动化的工作流程。
56.在本发明一示例性实施例中，所述步骤403，按照所述执行顺序依次触发所述目标安全剧本的所述无服务器函数，处理所述安全事件，可以包括如下步骤：
57.按照所述执行顺序依次确定所述目标安全剧本中的当前无服务器函数；
58.向所述当前无服务器函数对应的云端服务器发送工作信号，以使所述云端服务器依据所述工作信号对所述安全事件进行处理。
59.具体地，在按照安全剧本中的执行顺序依次调用无服务器函数时，首先基于执行顺序确定当前无服务器函数，然后向当前无服务器函数对应的云端服务器发送工作信号，同时向云端服务器发送工作变量参数，使得云端服务器在接收到工作信号后，就可以依据工作信号调用对应的无服务器函数基于工作变量参数进行计算，并将反馈计算结果。
60.为了使本领域技术人员更好地理解本发明实施例，下面采用具体示例说明无服务器函数的工作过程，参照图5，为本发明实施例中提供的一种安全事件处理的流程示意图，具体地，安全事件处理的各个模块分别是：
61.sensor：监听和接收外部的监测系统的安全事件，sensor可以是一个或者多个；
62.trigger：衔接sensor和rule，事件触发器，当接收到sensors传输过来的安全事件时，trigger被触发，将安全事件的数据注入到rule中；
63.rule：映射着所有trigger到action的规则，(或者trigger到workflow的对应关系)，记录着criteria匹配的规则，映射trigger实例到action的input(输入)，简单理解就是规则匹配配置记录；
64.action：是具体执行无服务器函数，可以使用脚本、调用api或者其他任何自定义的无服务器函数，例如通过ssh、api call、openstack、docker、salt、puppe、jenkins等的调用实现；
65.workflow:多个action的集合，通常也称为工作流，这些action被有序的、按照预先定义好的规则先后执行。
66.其中，rabbitmq是实现了高级消息队列协议(amqp，advanced message queuing protocol)的开源消息代理软件，亦称面向消息的中间件；mongodb是一个介于关系数据库和非关系数据库之间的数据库。
67.基于上述实施例的模块，安全事件处理流程为：sensor通过pull\push方式接收外部的监测系统的安全事件的数据，通过trigger将数据注射系统中，并通过rule模块接收，同时rule模块记录着基于事件的匹配规则，当trigger将数据注射系统的时候根据匹配规则进行匹配，如果命中action或者action的集合(workflow)，则按照workflow预先定义好的工作流程执行，如果不命中，则可以不执行。其中，按照workflow预先定义好的工作流程去执行时，可以通过rabbitmq发送工作信号，以调用云端服务器的无服务器函数，并且还可
以从mongodb中读取工作变量，以基于工作变量调用无服务器函数。
68.在上述安全事件处理方法中，在通过安排编排平台编排好了安全剧本后，就可以按照在接收监测系统的发送的安全事件，从安全剧本确定对应的目标安全剧本，以基于目标安全剧本对安全事件进行处理，提高系统的安全性。
69.在本发明一示例性实施例中，所述方法还可以包括如下步骤：
70.响应新的安全组件的添加操作，在所述安全编排平台中添加新的安全组件。
71.具体地，在本发明实施例中，随着不断积累运营经验，以及持续运营，除了可以对已有的安全组件进行编辑之外，还可以在安全编排平台中新增新的安全组件，以更好地面对可能出现的威胁场景，通过通过新增新的安全组件，更加有利于安全剧本的编排，从而可以利用安全剧本处理安全事件，使得响应时间不断降低。
72.在上述安全事件处理方法中，除了可以在安全编排平台中对已有的安全组件进行编辑之外，还可以在安全编排平台中新增新的安全组件，使得开发人员可以利用新的安全组件开发新安全剧本，提高安全剧本的编排效率，进而提高了降低了响应时间。
73.参照图6，为本发明实施例中提供的一种安全事件处理装置的结构框图，如图6所示，该装置具体可以包括如下模块：
74.安全编排平台提供模块601，用于提供安全编排平台，所述安全编排平台包括安全组件，所述安全组件具有对应的安全事件和无服务器函数，所述无服务器函数为在云端服务器运行的函数；
75.安全剧本编排模块602，用于响应对所述安全编排平台中所述安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及所述目标无服务器函数的执行顺序，形成安全剧本，以处理所述目标安全事件。
76.在本发明一示例性实施例中，所述装置还包括：安全事件处理模块，用于接收监测系统的发送的安全事件；确定所述安全事件对应的目标安全剧本，所述目标安全剧本包括无服务器函数和所述无服务器函数的执行顺序；按照所述执行顺序依次触发所述目标安全剧本的所述无服务器函数，处理所述安全事件。
77.在本发明一示例性实施例中，所述安全组件为可编辑的组件，所述可编辑的内容至少包括类别、名称、配置参数以及组件描述。
78.在本发明一示例性实施例中，所述安全事件处理模块，用于按照所述执行顺序依次确定所述目标安全剧本中的当前无服务器函数；向所述当前无服务器函数对应的云端服务器发送工作信号，以使所述云端服务器依据所述工作信号对所述安全事件进行处理。
79.在本发明一示例性实施例中，所述编排操作至少包括选择、编辑、保存、提交、撤销、重做、复制、粘贴、设置。
80.在本发明一示例性实施例中，所述装置还包括：安全组件添加模块，用于响应新的安全组件的添加操作，在所述安全编排平台中添加新的安全组件。
81.对于上述装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
82.本发明实施例还提供了一种电子设备，如图7所示，包括处理器71、通信接口72、存储器73和通信总线74，其中，处理器71，通信接口72，存储器73通过通信总线74完成相互间的通信，
83.存储器73，用于存放计算机程序；
84.处理器71，用于执行存储器73上所存放的程序时，实现如下步骤：
85.提供安全编排平台，所述安全编排平台包括安全组件，所述安全组件具有对应的安全事件和无服务器函数，所述无服务器函数为在云端服务器运行的函数；
86.响应对所述安全编排平台中所述安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及所述目标无服务器函数的执行顺序，形成安全剧本，以处理所述目标安全事件。
87.可选地，在响应对所述安全编排平台中所述安全组件的编排操作，确定针对目标安全事件的目标无服务器函数以及所述目标无服务器函数的执行顺序，形成安全剧本，以处理所述目标安全事件之后，所述方法还包括：
88.接收监测系统的发送的安全事件；
89.确定所述安全事件对应的目标安全剧本，所述目标安全剧本包括无服务器函数和所述无服务器函数的执行顺序；
90.按照所述执行顺序依次触发所述目标安全剧本的所述无服务器函数，处理所述安全事件。
91.可选地，所述安全组件为可编辑的组件，所述可编辑的内容至少包括类别、名称、配置参数以及组件描述。
92.可选地，所述按照所述执行顺序依次触发所述目标安全剧本的所述无服务器函数，处理所述安全事件，包括：
93.按照所述执行顺序依次确定所述目标安全剧本中的当前无服务器函数；
94.向所述当前无服务器函数对应的云端服务器发送工作信号，以使所述云端服务器依据所述工作信号对所述安全事件进行处理。
95.可选地，所述编排操作至少包括选择、编辑、保存、提交、撤销、重做、复制、粘贴、设置。
96.可选地，还包括：响应新的安全组件的添加操作，在所述安全编排平台中添加新的安全组件。
97.上述终端提到的通信总线可以是外设部件互连标准(peripheral component interconnect，简称pci)总线或扩展工业标准结构(extended industry standard architecture，简称eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
98.通信接口用于上述终端与其他设备之间的通信。
99.存储器可以包括随机存取存储器(random access memory，简称ram)，也可以包括非易失性存储器(non
‑
volatile memory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
100.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processing，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(field－programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
101.在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的安全事件处理方法。
102.在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的安全事件处理方法。
103.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solid state disk(ssd))等。
104.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
105.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
106.以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。