安全剧本的响应方法、装置、存储介质及处理器与流程

1.本技术涉及网络安全处理技术领域，具体而言，涉及一种安全剧本的响应方法、装置、存储介质及处理器。


背景技术：

2.传统的对一个安全威胁事件处理的方案包括由安全运维人员手动处理、简单地调用第三方安全系统提供的接口进行处理。直到现在，对于一个安全编排和自动化响应系统，其核心问题就是如何把现有的安全能力集成进来以自动响应安全威胁。安全剧本提供了这样一种集成的方式：它对现有的安全能力进行编排，即定义一个工作流以及触发自动响应的规则。当发生的安全威胁事件满足安全剧本的触发规则时，剧本中定义的工作流将会自动被执行，被剧本编排的安全能力将会被调用以完成对安全威胁事件的响应。
3.现有技术中用程序脚本的方式来表达剧本的工作流程，首要的问题就是构建剧本比较复杂。因为用户在创建剧本的时候直接面对的是底层的程序脚本，如果系统无法提供有效的语法校验工具的话，直接填写脚本通常容易出错，大大增加了用户使用的难度。
4.针对相关技术中现有技术中对安全威胁事件的剧本响应效率较低的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本技术的主要目的在于提供一种安全剧本的响应方法、装置、存储介质及处理器，以解决相关技术中对安全威胁事件的剧本响应效率较低的问题。
6.为了实现上述目的，根据本技术的一个方面，提供了一种安全剧本的响应方法。该方法包括：在安全系统中对安全接口进行注册，得到安全接口的映射信息，其中，安全接口用于应对安全威胁事件发生时安全系统提供响应服务的接口；根据映射信息确定安全剧本的目标任务；确定与目标任务匹配的触发规则，其中，触发规则是安全威胁事件发生时目标任务被触发的规则；根据触发规则，触发剧本执行引擎执行目标任务。
7.进一步地，在安全系统中对安全接口进行注册包括：获取安全系统的系统属性，其中，系统属性用于对安全接口进行配置；对系统属性进行实例化处理，得到目标对象，其中，目标对象是对系统属性的描述；通过目标对象使得安全接口注册完成。
8.进一步地，对系统属性进行实例化处理，得到目标对象包括：将系统属性进行映射处理，得到系统实例的属性值；根据实例的属性和实例的属性值确定目标对象。
9.进一步地，根据映射信息确定安全剧本的目标任务包括：通过安全接口的映射信息确定有向无环图中目标节点的映射关系；基于映射关系确定安全接口对应的有向无环图中的目标节点，其中，将目标节点之间的边确定为有向无环图的有向边；通过目标节点确定安全剧本的目标任务。
10.进一步地，在根据映射信息确定安全剧本的目标任务之后，该方法还包括：在安全剧本中对目标节点进行编排处理；根据处理后的目标节点确定有向无环图中的有向边；根
据有向边确定目标任务中子任务的执行顺序。
11.进一步地，根据触发规则，触发剧本执行引擎执行目标任务包括：计算目标节点的入度，得到目标节点的入度值；根据目标节点的入度值确定剧本执行引擎待执行的第一子任务，其中，第一子任务为目标任务中的子任务；在剧本执行引擎执行第一子任务完成后，剧本执行引擎按照目标任务中的子任务执行顺序对目标任务中其余子任务进行执行操作。
12.进一步地，在根据触发规则，触发剧本执行引擎执行目标任务之前，该方法还包括：将剧本的格式转换为有向无环图格式；对有向无环图格式的安全剧本进行静态校验。
13.进一步地，在根据触发规则，触发剧本执行引擎执行目标任务之后，该方法还包括：对有向无环图中的目标节点进行删除处理，得到处理后的有向无环图；计算处理后的有向无环图中的非目标节点的入度，得到非目标节点的入度值；根据非目标节点的入度值确定剧本执行引擎待执行的第二子任务。
14.为了实现上述目的，根据本技术的另一方面，提供了一种安全剧本的响应装置。该装置包括：第一注册单元，用于在安全系统中对安全接口进行注册，得到安全接口的映射信息，其中，安全接口用于应对安全威胁事件发生时安全系统提供响应服务的接口；第一确定单元，用于根据映射信息确定安全剧本的目标任务；第二确定单元，用于确定与目标任务匹配的触发规则，其中，触发规则是安全威胁事件发生时目标任务被触发的规则；第一触发单元，用于根据触发规则，触发剧本执行引擎执行目标任务。
15.进一步地，第一注册单元包括：第一获取模块，用于获取安全系统的系统属性，其中，系统属性用于对安全接口进行配置；第一处理模块，用于对系统属性进行实例化处理，得到目标对象，其中，目标对象是对系统属性的描述；第一注册模块，用于通过目标对象使得安全接口注册完成。
16.进一步地，第一处理模块包括：第一处理子模块，用于将系统属性进行映射处理，得到系统实例的属性值；第一确定子模块，用于根据实例的属性和实例的属性值确定目标对象。
17.进一步地，第一确定单元包括：第一确定模块，用于通过安全接口的映射信息确定有向无环图中目标节点的映射关系；第二确定模块，用于基于映射关系确定安全接口对应的有向无环图中的目标节点，其中，将目标节点之间的边确定为有向无环图的有向边；第三确定模块，用于通过目标节点确定安全剧本的目标任务。
18.进一步地，该装置还包括：第一处理单元，用于在根据映射信息确定安全剧本的目标任务之后，在安全剧本中对目标节点进行编排处理；第三确定单元，用于根据处理后的目标节点确定有向无环图中的有向边；第四确定单元，用于根据有向边确定目标任务中子任务的执行顺序。
19.进一步地，第一触发单元包括：第一计算模块，用于计算目标节点的入度，得到目标节点的入度值；第四确定模块，用于根据目标节点的入度值确定剧本执行引擎待执行的第一子任务，其中，第一子任务为目标任务中的子任务；第一执行模块，用于在剧本执行引擎执行第一子任务完成后，剧本执行引擎按照目标任务中的子任务执行顺序对目标任务中其余子任务进行执行操作。
20.进一步地，该装置还包括：第一转换单元，用于在根据触发规则，触发剧本执行引擎执行目标任务之前，将剧本的格式转换为有向无环图格式；第一校验单元，用于对有向无
环图格式的安全剧本进行静态校验。
21.进一步地，该装置还包括：第一删除单元，用于在根据触发规则，触发剧本执行引擎执行目标任务之后，对有向无环图中的目标节点进行删除处理，得到处理后的有向无环图；第一计算单元，用于计算处理后的有向无环图中的非目标节点的入度，得到非目标节点的入度值；第五确定单元，用于根据非目标节点的入度值确定剧本执行引擎待执行的第二子任务。
22.根据本技术实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述任意一项的方法。
23.根据本技术实施例的另一方面，还提供了一种计算机可读存储介质，其上存储有计算机程序/指令，该计算机程序/指令被处理器执行时执行上述任意一项的方法。
24.通过本技术，采用以下步骤：在安全系统中对安全接口进行注册，得到安全接口的映射信息，其中，安全接口用于应对安全威胁事件发生时安全系统提供响应服务的接口；根据映射信息确定安全剧本的目标任务；确定与目标任务匹配的触发规则，其中，触发规则是安全威胁事件发生时目标任务被触发的规则；根据触发规则，触发剧本执行引擎执行目标任务。解决了相关技术中对安全威胁事件的剧本响应效率较低的问题。通过根据安全接口的映射信息确定安全剧本的目标任务，根据触发规则，触发剧本执行引擎执行目标任务，进而达到了提升对安全威胁事件的剧本响应效率的效果。
附图说明
25.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
26.图1是根据本技术实施例提供的安全剧本的响应方法的流程图；
27.图2是根据本技术实施例提供的安全剧本的响应方法的安全接口的注册过程示意图；
28.图3是根据本技术实施例提供的安全剧本的响应方法的安全剧本的结构示意图；
29.图4是根据本技术实施例提供的安全剧本的响应方法的有向无环图的uml类图形的示意图；
30.图5是根据本技术实施例提供的安全剧本的响应方法的剧本执行引擎的任务执行示意图；以及
31.图6是根据本技术实施例提供的安全剧本的响应装置的示意图。
具体实施方式
32.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
33.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
34.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
35.根据本技术的实施例，提供了一种安全剧本的响应方法。
36.图1是根据本技术实施例的安全剧本的响应方法的流程图。如图1所示，该方法包括以下步骤：
37.步骤s101，在安全系统中对安全接口进行注册，得到安全接口的映射信息，其中，安全接口用于应对安全威胁事件发生时安全系统提供响应服务的接口。
38.例如，安全接口可以是防火墙提供的配置策略的接口、威胁情报平台提供的查询威胁情报的接口，本技术通过对安全系统进行抽象定义，并将安全系统抽象定义后的属性进行实例化，进而完成对安全接口的注册，并得到安全接口的映射信息，其中，映射信息包含安全系统实例的属性以及实例的属性值。
39.具体的，安全系统一般可以被抽象成一个属性集合，这些属性能唯一表述该系统。如下表1所示，表中的属性集合可以定义一个安全系统。
40.表1
[0041][0042]
其中，表1所代表的安全系统的属性集合由三部分组成：1、表示安全系统的元信息的属性；2、表示安全系统实例的抽象定义的属性；3、表示安全系统提供的安全接口的抽象定义的属性，。
[0043]
具体的，上述表1中表示安全系统的元信息的属性包括：id、logo、name、description、vendor、category、visible、updated、script、order，其中，元信息的属性信息是安全系统的必要信息，以供其他模块使用，例如，可视化模块通过元信息来展示一个安全系统。
[0044]
具体的，上述表1中的configkeys属性是一个对象数组，它抽象定义了一个安全系统的实例，其中，configkeys对象数组中每个对象是对安全系统实例的一个属性的描述，因此，一组对安全系统实例的属性的描述就是对一个安全系统实例的完整抽象定义，例如，一个防火墙系统实例可以表述成一组属性为：名称、协议、地址、端口、用户名、密码、版本。configkeys数组中一个对象包含的字段如下表2所示：
[0045]
表2
[0046]
字段名类型说明name字符串属性的中文名称field字符串属性的英文名称type字符串属性的数据类型required布尔值属性该字段是否是必须的min字符串属性的最小值约束max字符串属性的最大值约束default字符串属性的默认值
[0047]
具体的，一个安全系统通常会提供多个安全接口，上述表1中的actions属性定义了安全系统中的安全接口，它是一个对象数组，数组中的每一个对象定义了一个安全接口，例如，防火墙系统提供的安全接口有：测试、登录、策略、ip阻断、删除策略、删除ip阻断、查询安全域、查询虚拟路由器。actions数组中一个对象包含的字段如下表3所示：
[0048]
表3
[0049][0050][0051]
具体的，将上述安全系统的抽象定义是以json的格式存储在数据库中，这个数据库可以是文档数据库或是关系型数据库，对安全系统的抽象定义进行实例化处理过程就是对安全能力(对应于本技术中的安全接口)进行注册的过程，其中，安全能力是系统可以利用的有关网络安全方面的功能，也即安全接口。
[0052]
可选地，在本技术实施例提供的安全剧本的响应方法中，在安全系统中对安全接口进行注册包括：获取安全系统的系统属性，其中，系统属性用于对安全接口进行配置；对系统属性进行实例化处理，得到目标对象，其中，目标对象是对系统属性的描述；通过目标对象使得安全接口注册完成。
[0053]
具体的，本技术中的系统属性对应于表1中的configkeys属性，安全系统的抽象定义通常作为预定义的配置随着系统启动而被加载，对configkeys属性进行实例化处理，得
到目标对象，例如，对configkeys属性实例化得到的目标对象可以用于配置防火墙提供的接口。
[0054]
可选地，在本技术实施例提供的安全剧本的响应方法中，对系统属性进行实例化处理，得到目标对象包括：将系统属性进行映射处理，得到系统实例的属性值；根据实例的属性和实例的属性值确定目标对象。
[0055]
图2是根据本技术实施例提供的安全剧本的响应方法的安全接口的注册过程示意图，如图2所示，在安全系统的抽象定义得到属性的集合之后，系统通过读取数据库系统中的安全系统的抽象定义，并通过可视化的技术(比如基于http协议的webui技术)将安全系统展示给用户，并且还提供安全系统注册的ui，用户通过ui填写每个安全系统实例的属性值，得到一个表示安全系统实例的映射，然后将这样的映射存储在数据库系统中，就完成了安全接口的注册，其中，安全系统的抽象定义是一个属性集合，实例化过程就是将属性映射成值的过程，本技术通过对安全系统中接口的注册，提升了安全威胁事件繁杂时的响应效率。
[0056]
步骤s102，根据映射信息确定安全剧本的目标任务。
[0057]
图3是根据本技术实施例提供的安全剧本的响应方法的安全剧本的结构示意图，如图3所示，在安全剧本中，安全能力执行的先后顺序关系可以用一个有向无环图来表示，有向无环图中的每一个节点代表一个安全能力的执行，每一条有向边代表两个安全能力执行的先后顺序关系。
[0058]
可选地，在本技术实施例提供的安全剧本的响应方法中，根据映射信息确定安全剧本的目标任务包括：通过安全接口的映射信息确定有向无环图中目标节点的映射关系；基于映射关系确定安全接口对应的有向无环图中的目标节点，其中，将目标节点之间的边确定为有向无环图的有向边；通过目标节点确定安全剧本的目标任务。
[0059]
例如，将威胁情报平台提供的查询ip情报的接口编排到图3中的剧本的过程中，其安全接口的映射信息(也即实例威胁情报平台提供的查询ip情报接口的映射信息)的属性包括：该节点的描述性名称、表示查询ip情报接口的id、提供该接口的安全系统实例的id、输入参数的名称，一个用于表示所有后继节点的键，其中，一个表示所有后继节点的键应该存在于所有拥有后继节点对应的映射中，否则，该节点将没有后继节点，其安全接口的映射信息(也即实例威胁情报平台提供的查询ip情报接口的映射信息)的属性对应的值是用户通过ui创建剧本对安全能力进行编排时指定的，这个值可以是一个明确的值或是一个对其他值的引用，基于威胁情报平台提供的查询ip情报的接口的映射关系，确定其对应的有向无环图中的安全能力的节点之后(对应于本技术中的目标节点)，将安全能力的节点添加到剧本任务中。本技术对安全剧本的节点使用有向无环图的形式，使得剧本的定义变得简单灵活、并且具有高度可扩展性，从而能够更有效地响应安全威胁事件。
[0060]
可选地，在本技术实施例提供的安全剧本的响应方法中，在根据映射信息确定安全剧本的目标任务之后，该方法还包括：在安全剧本中对目标节点进行编排处理；根据处理后的目标节点确定有向无环图中的有向边；根据有向边确定目标任务中子任务的执行顺序。
[0061]
例如，将威胁情报平台提供的查询ip情报的接口编排到图3中的剧本节点中之后，节点之间的有向边代表两个安全能力执行的先后顺序关系，通过对目标任务进行排序执行
的方式，从而能够更有效地应对安全威胁事件。
[0062]
步骤s103，确定与目标任务匹配的触发规则，其中，触发规则是安全威胁事件发生时目标任务被触发的规则。
[0063]
具体的，当安全威胁事件发生时，它将匹配剧本的触发规则，且结合安全剧本的上下文环境，实现安全剧本的编排和自动化响应，其中，全局上下文通常是安全威胁事件，局部上下文可以是每个安全能力执行后的输出。剧本执行的全局上下文环境可以由触发剧本执行的规则来显式指定，在有向无环图中，剧本的触发规则和其他表示安全能力的节点一样，也可以表示为图中的一个节点。
[0064]
步骤s104，根据触发规则，触发剧本执行引擎执行目标任务。
[0065]
具体的，在安全剧本中的目标任务执行之前，需要对安全剧本进行校验，图4是根据本技术实施例提供的安全剧本的响应方法的有向无环图的uml类图形的示意图，如图4所示，剧本的校验，首先需要将json格式的剧本转换为有向图的形式，有向图可以用邻接矩阵来表示。
[0066]
可选地，在本技术实施例提供的安全剧本的响应方法中，在根据触发规则，触发剧本执行引擎执行目标任务之前，该方法还包括：将剧本的格式转换为有向无环图格式；对有向无环图格式的安全剧本进行静态校验。
[0067]
例如，安全剧本的静态校验包括：验证对安全剧本中是否引用了一个不存在的安全系统的实例或者接口而导致的剧本中节点的执行失败，或者验证剧本中是否存在环路，其中，存在环路的剧本会导致剧本无法正常被执行，对剧本是否存在环路的静态校验是通过图的深度优先遍历实现的，在进行一次深度优先遍历的过程中，如果已经被遍历的节点再次被遍历，则说明剧本中存在环路，如果从图中任何一个节点开始进行深度优先遍历，都未发现环路的存在，则说明剧本的拓补图结构是有向无环图。本技术通过对安全剧本进行静态校验，进一步地保证了后续目标任务被高效准确的执行。
[0068]
可选地，在本技术实施例提供的安全剧本的响应方法中，根据触发规则，触发剧本执行引擎执行目标任务包括：计算目标节点的入度，得到目标节点的入度值；根据目标节点的入度值确定剧本执行引擎待执行的第一子任务，其中，第一子任务为目标任务中的子任务；在剧本执行引擎执行第一子任务完成后，剧本执行引擎按照目标任务中的子任务执行顺序对目标任务中其余子任务进行执行操作。
[0069]
具体的，剧本执行引擎首先要确定目标任务流的剧本中的第一个任务(对应于本技术中待执行的第一子任务)，其中，剧本在剧本执行引擎中被转换为有向无环图的形式，因此入度为0的节点可以被当成剧本的第一个子任务。如果有多个入度为0的节点，则其中任何一个入度为0的节点都可以被当成第一个被执行的任务。
[0070]
可选地，在本技术实施例提供的安全剧本的响应方法中，在根据触发规则，触发剧本执行引擎执行目标任务之后，该方法还包括：对有向无环图中的目标节点进行删除处理，得到处理后的有向无环图；计算处理后的有向无环图中的非目标节点的入度，得到非目标节点的入度值；根据非目标节点的入度值确定剧本执行引擎待执行的第二子任务。
[0071]
图5是根据本技术实施例提供的安全剧本的响应方法的剧本执行引擎的任务执行示意图，如图5所示，描述了图4中playbookengine类的run方法的程序代码执行逻辑，当出现安全威胁事件时，剧本执行引擎查找有向无环图中入度为0的节点，将其中一个入度为0
的节点当作要执行的任务(对应于本技术中待执行的第一子任务)，解析json格式的任务，按照其声明的语义完成任务，删除执行完的节点及其关联的边，并计算处理后的有向无环图中的剩余节点的入度(对应于本技术中的非目标节点的入度)，根据非目标节点的入度值确定剧本执行引擎待执行的第二子任务，当有向无环图中不存在任何节点时，说明代表一个工作流的剧本被执行完毕。
[0072]
综上，本技术实施例提供的安全剧本的响应方法，通过在安全系统中对安全接口进行注册，得到安全接口的映射信息，其中，安全接口用于应对安全威胁事件发生时安全系统提供响应服务的接口；根据映射信息确定安全剧本的目标任务；确定与目标任务匹配的触发规则，其中，触发规则是安全威胁事件发生时目标任务被触发的规则；根据触发规则，触发剧本执行引擎执行目标任务。解决了相关技术中对安全威胁事件的剧本响应效率较低的问题。通过根据安全接口的映射信息确定安全剧本的目标任务，根据触发规则，触发剧本执行引擎执行目标任务，进而达到了提升对安全威胁事件的剧本响应效率的效果。
[0073]
需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
[0074]
本技术实施例还提供了一种安全剧本的响应装置，需要说明的是，本技术实施例的安全剧本的响应装置可以用于执行本技术实施例所提供的用于安全剧本的响应方法。以下对本技术实施例提供的安全剧本的响应装置进行介绍。
[0075]
图6是根据本技术实施例的安全剧本的响应装置的示意图。如图6所示，该装置包括：第一注册单元601、第一确定单元602、第二确定单元603、第一触发单元604。
[0076]
具体的，第一注册单元601，用于在安全系统中对安全接口进行注册，得到安全接口的映射信息，其中，安全接口用于应对安全威胁事件发生时安全系统提供响应服务的接口；
[0077]
第一确定单元602，用于根据映射信息确定安全剧本的目标任务；
[0078]
第二确定单元603，用于确定与目标任务匹配的触发规则，其中，触发规则是安全威胁事件发生时目标任务被触发的规则；
[0079]
第一触发单元604，用于根据触发规则，触发剧本执行引擎执行目标任务。
[0080]
综上，本技术实施例提供的安全剧本的响应装置，通过第一注册单元601在安全系统中对安全接口进行注册，得到安全接口的映射信息，其中，安全接口用于应对安全威胁事件发生时安全系统提供响应服务的接口；第一确定单元602根据映射信息确定安全剧本的目标任务；第二确定单元603确定与目标任务匹配的触发规则，其中，触发规则是安全威胁事件发生时目标任务被触发的规则；第一触发单元604根据触发规则，触发剧本执行引擎执行目标任务，解决了相关技术中对安全威胁事件的剧本响应效率较低的问题。通过根据安全接口的映射信息确定安全剧本的目标任务，根据触发规则，触发剧本执行引擎执行目标任务，进而达到了提升对安全威胁事件的剧本响应效率的效果。
[0081]
可选地，在本技术实施例提供的安全剧本的响应装置中，第一注册单元601包括：第一获取模块，用于获取安全系统的系统属性，其中，系统属性用于对安全接口进行配置；第一处理模块，用于对系统属性进行实例化处理，得到目标对象，其中，目标对象是对系统属性的描述；第一注册模块，用于通过目标对象使得安全接口注册完成。
[0082]
可选地，在本技术实施例提供的安全剧本的响应装置中，第一处理模块包括：第一处理子模块，用于将系统属性进行映射处理，得到系统实例的属性值；第一确定子模块，用于根据实例的属性和实例的属性值确定目标对象。
[0083]
可选地，在本技术实施例提供的安全剧本的响应装置中，第一确定单元602包括：第一确定模块，用于通过安全接口的映射信息确定有向无环图中目标节点的映射关系；第二确定模块，用于基于映射关系确定安全接口对应的有向无环图中的目标节点，其中，将目标节点之间的边确定为有向无环图的有向边；第三确定模块，用于通过目标节点确定安全剧本的目标任务。
[0084]
可选地，在本技术实施例提供的安全剧本的响应装置中，该装置还包括：第一处理单元，用于在根据映射信息确定安全剧本的目标任务之后，在安全剧本中对目标节点进行编排处理；第三确定单元，用于根据处理后的目标节点确定有向无环图中的有向边；第四确定单元，用于根据有向边确定目标任务中子任务的执行顺序。
[0085]
可选地，在本技术实施例提供的安全剧本的响应装置中，第一触发单元604包括：第一计算模块，用于计算目标节点的入度，得到目标节点的入度值；第四确定模块，用于根据目标节点的入度值确定剧本执行引擎待执行的第一子任务，其中，第一子任务为目标任务中的子任务；第一执行模块，用于在剧本执行引擎执行第一子任务完成后，剧本执行引擎按照目标任务中的子任务执行顺序对目标任务中其余子任务进行执行操作。
[0086]
可选地，在本技术实施例提供的安全剧本的响应装置中，该装置还包括：第一转换单元，用于在根据触发规则，触发剧本执行引擎执行目标任务之前，将剧本的格式转换为有向无环图格式；第一校验单元，用于对有向无环图格式的安全剧本进行静态校验。
[0087]
可选地，在本技术实施例提供的安全剧本的响应装置中，该装置还包括：第一删除单元，用于在根据触发规则，触发剧本执行引擎执行目标任务之后，对有向无环图中的目标节点进行删除处理，得到处理后的有向无环图；第一计算单元，用于计算处理后的有向无环图中的非目标节点的入度，得到非目标节点的入度值；第五确定单元，用于根据非目标节点的入度值确定剧本执行引擎待执行的第二子任务。
[0088]
安全剧本的响应装置包括处理器和存储器，上述的第一注册单元601、第一确定单元602、第二确定单元603、第一触发单元604等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
[0089]
处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来进行安全剧本的响应。
[0090]
存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
[0091]
本发明实施例提供了一种存储介质，其上存储有程序，该程序被处理器执行时实现安全剧本的响应方法。
[0092]
本发明实施例提供了一种处理器，处理器用于运行程序，其中，程序运行时执行安全剧本的响应方法。
[0093]
本发明实施例提供了一种设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：在安全系统中对安全接口进行
注册，得到安全接口的映射信息，其中，安全接口用于应对安全威胁事件发生时安全系统提供响应服务的接口；根据映射信息确定安全剧本的目标任务；确定与目标任务匹配的触发规则，其中，触发规则是安全威胁事件发生时目标任务被触发的规则；根据触发规则，触发剧本执行引擎执行目标任务。
[0094]
处理器执行程序时还实现以下步骤：获取安全系统的系统属性，其中，系统属性用于对安全接口进行配置；对系统属性进行实例化处理，得到目标对象，其中，目标对象是对系统属性的描述；通过目标对象使得安全接口注册完成。
[0095]
处理器执行程序时还实现以下步骤：将系统属性进行映射处理，得到系统实例的属性值；根据实例的属性和实例的属性值确定目标对象。
[0096]
处理器执行程序时还实现以下步骤：通过安全接口的映射信息确定有向无环图中目标节点的映射关系；基于映射关系确定安全接口对应的有向无环图中的目标节点，其中，将目标节点之间的边确定为有向无环图的有向边；通过目标节点确定安全剧本的目标任务。
[0097]
处理器执行程序时还实现以下步骤：在根据映射信息确定安全剧本的目标任务之后，在安全剧本中对目标节点进行编排处理；根据处理后的目标节点确定有向无环图中的有向边；根据有向边确定目标任务中子任务的执行顺序。
[0098]
处理器执行程序时还实现以下步骤：计算目标节点的入度，得到目标节点的入度值；根据目标节点的入度值确定剧本执行引擎待执行的第一子任务，其中，第一子任务为目标任务中的子任务；在剧本执行引擎执行第一子任务完成后，剧本执行引擎按照目标任务中的子任务执行顺序对目标任务中其余子任务进行执行操作。
[0099]
处理器执行程序时还实现以下步骤：在根据触发规则，触发剧本执行引擎执行目标任务之前，将剧本的格式转换为有向无环图格式；对有向无环图格式的安全剧本进行静态校验。
[0100]
处理器执行程序时还实现以下步骤：在根据触发规则，触发剧本执行引擎执行目标任务之后对有向无环图中的目标节点进行删除处理，得到处理后的有向无环图；计算处理后的有向无环图中的非目标节点的入度，得到非目标节点的入度值；根据非目标节点的入度值确定剧本执行引擎待执行的第二子任务。
[0101]
本文中的设备可以是服务器、pc、pad、手机等。
[0102]
本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：在安全系统中对安全接口进行注册，得到安全接口的映射信息，其中，安全接口用于应对安全威胁事件发生时安全系统提供响应服务的接口；根据映射信息确定安全剧本的目标任务；确定与目标任务匹配的触发规则，其中，触发规则是安全威胁事件发生时目标任务被触发的规则；根据触发规则，触发剧本执行引擎执行目标任务。
[0103]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：获取安全系统的系统属性，其中，系统属性用于对安全接口进行配置；对系统属性进行实例化处理，得到目标对象，其中，目标对象是对系统属性的描述；通过目标对象使得安全接口注册完成。
[0104]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：将系统属性进行映射处理，得到系统实例的属性值；根据实例的属性和实例的属性值确定目标对
象。
[0105]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：通过安全接口的映射信息确定有向无环图中目标节点的映射关系；基于映射关系确定安全接口对应的有向无环图中的目标节点，其中，将目标节点之间的边确定为有向无环图的有向边；通过目标节点确定安全剧本的目标任务。
[0106]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在根据映射信息确定安全剧本的目标任务之后，在安全剧本中对目标节点进行编排处理；根据处理后的目标节点确定有向无环图中的有向边；根据有向边确定目标任务中子任务的执行顺序。
[0107]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：计算目标节点的入度，得到目标节点的入度值；根据目标节点的入度值确定剧本执行引擎待执行的第一子任务，其中，第一子任务为目标任务中的子任务；在剧本执行引擎执行第一子任务完成后，剧本执行引擎按照目标任务中的子任务执行顺序对目标任务中其余子任务进行执行操作。
[0108]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在根据触发规则，触发剧本执行引擎执行目标任务之前，将剧本的格式转换为有向无环图格式；对有向无环图格式的安全剧本进行静态校验。
[0109]
当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在根据触发规则，触发剧本执行引擎执行目标任务之后对有向无环图中的目标节点进行删除处理，得到处理后的有向无环图；计算处理后的有向无环图中的非目标节点的入度，得到非目标节点的入度值；根据非目标节点的入度值确定剧本执行引擎待执行的第二子任务。
[0110]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
[0111]
本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0112]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0113]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一
个方框或多个方框中指定的功能的步骤。
[0114]
在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
[0115]
存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
[0116]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd
‑
rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0117]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0118]
本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
[0119]
以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。