CN111835768B - 一种用于处理安全事件的方法、装置、介质及计算机设备 - Google Patents
一种用于处理安全事件的方法、装置、介质及计算机设备 Download PDFInfo
- Publication number
- CN111835768B CN111835768B CN202010674680.0A CN202010674680A CN111835768B CN 111835768 B CN111835768 B CN 111835768B CN 202010674680 A CN202010674680 A CN 202010674680A CN 111835768 B CN111835768 B CN 111835768B
- Authority
- CN
- China
- Prior art keywords
- script
- function
- sub
- thread
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2209/00—Indexing scheme relating to G06F9/00
- G06F2209/50—Indexing scheme relating to G06F9/50
- G06F2209/5018—Thread allocation
Abstract
本申请提供一种用于处理安全事件的方法、系统、介质及计算机设备,方法包括:接收由监测设备发送的至少一个安全事件,查找至少一个安全事件对应的剧本;为每个剧本创建对应的子进程,基于每个子进程调用对应的剧本入口函数;调用接口为每个剧本的子进程创建至少一个子线程,返回接口的主线程;基于至少一个子线程并行执行对应剧本中的各动作函数;因在对安全事件的响应过程中,可以通过相应的子进程并行执行不同的剧本;在执行剧本时,因接口在创建当前子线程后,返回主线程,因此各子线程中的动作函数可并行执行,满足对大规模安全事件的自动响应,提高对安全事件的响应效率。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种用于处理安全事件的方法、装置、介质及计算机设备。
背景技术
在互联网领域,一个系统在运行中可能会出现各种各样的安全风险问题,统称安全事件,比如:网络攻击、病毒入侵、挖矿等。为了确保系统可以安全运行,会对系统进行监控、告警、响应和恢复,以解决出现的各种安全风险问题,实现安全防护。
现有技术中,一般是基于安全编排与自动化响应(SOAR,SecurityOrchestration,Automation and Response)理念预先编排剧本实现安全防护。SOAR的核心理念主要是收集来自不同数据源的安全威胁和情报数据,进行事故分析和分类,若确定存在安全事件,执行剧本的处理逻辑形成响应动作,将响应动作下发到安全设备进行联动响应,实现对安全事件的标准反应活动,进而形成对安全事件标准化响应的流程。
但是现有技术在对安全事件进行响应时,存在以下弊端:对安全事件响应慢、处理慢、且对未知风险的处理效率较低等,特别是针对大规模安全事件,自动响应能力严重不足。
发明内容
针对现有技术存在的问题,本申请实施例提供了一种用于处理安全事件的方法、装置、介质及计算机设备,用于解决现有技术中对系统进行安全防护时,对大规模安全事件的自动响应较慢、处理效率低,导致无法应对大规模安全事件发生场景的技术问题。
第一方面,本申请提供一种用于处理安全事件的方法,所述方法包括:
接收由监测设备发送的至少一个安全事件;
查找所述至少一个安全事件对应的剧本,所述剧本为用于响应所述安全事件的文件;
为每个所述剧本创建对应的子进程,基于每个所述子进程调用对应的剧本入口函数,以能载入各所述安全事件对应的剧本;
在并行执行各剧本时,调用预设的接口为每个所述剧本的子进程创建至少一个子线程,并返回所述接口的主线程;
基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数响应对应的安全事件。
可选的,所述接收由监测设备发送的至少一个安全事件之后,还包括:
将所述至少一个安全事件存储至预先设置的事件队列中;
判断所述事件队列中的安全事件数量是否达到预设的数量阈值,若确定所述安全事件数量达到所述数量阈值时,则暂停接收后续的所述安全事件。
可选的,所述查找所述至少一个安全事件对应的剧本,包括:
针对任一安全事件,获取所述安全事件的标签;
基于所述安全事件的标签,在数据库中对所有剧本的剧本属性进行过滤,获得与所述安全事件标签一致的剧本属性;
基于所述剧本属性,提取出对应的剧本。
可选的,所述为每个所述剧本创建对应的子进程之前,还包括:
判断已获取到的剧本数量是否达到预设的剧本数量阈值,若达到,则控制后续的所述剧本处于阻塞等待状态;所述预设的剧本数量阈值根据系统能同时执行的剧本数量最大值确定。
可选的,所述基于所述至少一个子线程执行对应剧本中的各动作函数后,还包括:
针对任意一个子线程,接收当前动作函数对应的执行结果,并通过回调函数将所述子线程的控制流传输至所述当前动作函数的下一动作函数。
可选的,所述基于所述至少一个子线程执行对应剧本中的各动作函数后,还包括:
获得所述各动作函数对应的执行结果;
基于预设的共享机制,将同一剧本中每个动作函数对应的执行结果进行共享。
可选的,所述基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数处理对应的安全事件,包括:
针对任一剧本中的任一动作函数,获取所述动作函数中的控制参数及控制指令;所述控制参数是基于对应的安全事件确定的;
将所述控制参数及控制指令传递至所述接口中的执行函数,并生成所述动作函数对应的令牌;
在对应的子线程中,通过所述执行函数通知调用所述外部执行设备执行所述动作函数对应的动作,以能响应对应的安全事件。
本申请的第二方面,提供一种用于处理安全事件的装置,所述装置包括:
接收模块,用于接收由监测设备发送的至少一个安全事件;
查找模块,用于查找所述至少一个安全事件对应的剧本,所述剧本为用于响应所述安全事件的文件;
创建模块,用于为每个所述剧本创建对应的子进程,基于每个所述子进程调用对应的剧本入口函数,以能载入各所述安全事件对应的剧本;在并行执行各剧本时,调用预设的接口为每个所述剧本的子进程创建至少一个子线程,并返回所述接口的主线程;
执行模块,用于基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数响应对应的安全事件。
本申请的第三方面,还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面中任一项所述的方法。
本申请的第四方面,还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面中任一项所述的方法。
本申请提供了一种用于处理安全事件的方法、装置、介质及计算机设备,在对安全事件进行响应时,可查找安全事件对应的剧本,通过剧本自动响应对应的安全事件;在响应过程中,由于为每个剧本均创建了对应的子进程,因此可以通过相应的子进程并行执行不同的剧本,同时响应多个安全事件;因每个剧本中可能包含多个动作函数,还通过接口为每个子进程创建了至少一个子线程,且接口在创建任何一个子线程后,接口的主线程均需要返回,这样可以确保在等待某一个动作函数的执行结果时,不会影响其他动作函数的执行流程,进而确保各个子线程中的动作函数可以并行执行,满足对大规模安全事件的自动响应,提高对大规模安全事件的处理效率。
附图说明
图1为本申请实施例提供的对安全事件的整体处理流程示意图;、
图2为本申请实施例提供的用于处理安全事件的方法流程示意图;
图3为本申请实施例提供的编排引擎对剧本进行处理时的宏观流程示意图;
图4为本申请实施例提供的用于处理安全事件的方法流程示意图;
图5为本申请实施例提供的用于处理安全事件的计算机设备结构示意图;
图6为本申请实施例提供的用于处理安全事件的计算机介质结构示意图。
具体实施方式
为了解决现有技术中对系统进行安全防护时,对大规模安全事件的自动响应较慢、处理效率低,导致无法应对大规模安全事件发生场景的技术问题,本申请实施例提供了一种用于处理安全事件的方法、装置、介质及计算机设备,方法包括:接收由监测设备发送的至少一个安全事件;查找所述至少一个安全事件对应的剧本,剧本为用于自动响应所述安全事件的文件;为每个剧本创建对应的子进程,基于每个子进程调用对应的剧本入口函数,以能载入各安全事件对应的剧本;在并行执行各剧本时,调用预设的接口为每个剧本的子进程创建至少一个子线程;基于至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过动作函数响应对应的安全事件。这样在响应过程中,可以通过相应的子进程并行执行不同的剧本;因每个剧本中可能包含多个动作函数,还通过接口为每个子进程创建了至少一个子线程,且接口在创建任何一个子线程后,接口的主线程均需要返回,这样可以确保在等待某一个动作函数的执行结果时,不会影响其他动作函数的执行流程,进而确保各个子线程中的动作函数可以并行执行,满足对大规模安全事件的自动响应,提高对大规模安全事件的处理效率。
下面通过附图及具体实施例对本申请的技术方案做进一步的详细说明。
下面通过附图及实施例对本申请的技术方案做进一步的详细说明。
实施例一
本实施例提供一种用于处理安全事件的方法,如图1及图2所示,方法包括:
S210,接收由监测设备发送的至少一个安全事件;
参考图1,本申请中可以通过远程过程调用协议(RPC,Remote Procedure CallProtocol)服务接收上游监测设备上报的至少一个安全事件,接收到至少一个安全事件后,并不是立即处理该安全事件,而是将安全事件存储至预先设置的事件队列中。其中,RPC服务为基于RPC协议搭建的服务框架,为多线程的服务模式。上游监测设备可以包括具体的硬件监测设备,也可以包括防火墙之类的监测设备;安全事件可以包括但不限制以下几种:网络攻击、病毒入侵、病毒勒索及挖矿病毒等等。
这里,因不同的监测设备上报的安全事件的格式可能是不同的,为了满足统一的标准化处理流程,因此还需基于预设的格式转换策略对安全事件的格式进行转换,使其转换为统一的格式。比如:可以将不同格式的安全事件均转换为容器化事件。
本申请考虑到硬件部署环境的存储能力、计算能力各有差别,因此为了确保最优的处理能力,在接收由监测设备发送的至少一个安全事件后,还包括:
将至少一个安全事件存储至预先设置的事件队列中;
判断事件队列中的安全事件数量是否达到预设的数量阈值,若确定安全事件数量达到数量阈值时,则暂停接收后续的安全事件。其中,事件队列的长度可以根据实际硬件的部署环境进行配置。
这里,每接收成功一个安全事件,RPC服务均会向上游监测设备发送接收成功的通知消息;当确定事件队列中的安全事件的数量已经达到预设的数量阈值时,若再接收到后续的安全事件,则会接收失败,此时会向上游监测设备发送接收失败的消息,那么上游监测设备会暂停上报后续的安全事件,RPC服务也会暂停接收后续的安全事件。
S211,查找所述至少一个安全事件对应的剧本,所述剧本为用于自动响应所述安全事件的文件;
当对安全事件进行处理时,基于预设的提取策略从述事件队列中顺序提取待处理的安全事件。其中,预设的提取策略为先进先出策略。
针对任一安全事件,当提取出安全事件后,需要查找该安全事件对应的剧本playbook。其中,剧本可以理解为用于自动响应安全事件的文件。一般来说,剧本playbook是基于Python语言进行开发的,不同的剧本中通常包含对不同安全事件进行处理的所有动作函数Action,这些动作函数Action以串联或并联方式组合存在,从而实现各种安全应用场景下的自动化处理流程。剧本可以根据实际需求预先编写。
具体的,查找至少一个安全事件对应的剧本可以包括:
针对任一安全事件,获取安全事件的标签;
基于安全事件的标签,在数据库中对所有剧本的剧本属性进行过滤,获得与安全事件标签一致的剧本属性;
基于剧本属性,提取出对应的剧本。
比如,若某个安全事件为挖矿事件,其对应的安全标签为A;那么在数据库对所有剧本的剧本属性进行过滤时,若某个剧本属性中包括A,则确定该剧本的剧本属性与安全事件的标签一致;此时可以基于该剧本属性提取出对应的剧本。
S212,为每个所述剧本创建对应的子进程,基于每个所述子进程调用对应的剧本入口函数,以能载入各所述安全事件对应的剧本;
针对任一安全事件,获得安全事件对应的剧本后,需要为每个剧本创建对应的子进程,基于每个子进程调用对应的剧本入口函数,以能在对应的子进程中动态载入各安全事件对应的剧本。这样,若存在多个剧本时,多个剧本可以并行执行。并且在对应的子进程中动态载入各安全事件对应的剧本后,相当于以子进程的形式动态载入编排引擎范畴之外的剧本,从而可以在全局上通过对子进程的管理实现对剧本的数量控制;其中,编排引擎可以理解为实施例二中用于处理安全事件的装置。
这里,可参考图1,若剧本包括m个:playbook1、playbook2……playbookm时,playbook1、playbook2和playbookm可以分别在不同的子进程中运行。
同时,同样考虑到硬件部署环境的存储能力、计算能力各有差别,为了确保最优的处理能力,为每个剧本创建对应的子进程之前,还包括:
判断已获取到的剧本数量是否达到预设的剧本数量阈值,若已获取到的剧本数量已经达到预设的剧本数量阈值,则控制后续的剧本处于阻塞等待状态,直至已有的剧本执行完毕才会执行后续的剧本;其中,预设的剧本数量阈值可根据硬件系统能同时执行的剧本数量最大值确定。
S213,在并行执行各剧本时,调用预设的接口为每个所述剧本的子进程创建至少一个子线程;
在并行执行各剧本时,针对任一剧本,调用预设的接口为每个所述剧本的子进程创建至少一个子线程,返回接口的主线程,以使得创建子线程的控制流流转至当前剧本对应的子进程,不影响为该剧本内其他动作函数创建对应的子线程。其中,接口可以由预设的软件开发工具包SDK实现。
具体的,针对任一剧本,在执行剧本中的动作函数时,调用接口中的执行函数为该剧本的子进程创建至少一个子线程。比如,参考图1,针对playbook1,因playbook1中包括的一级动作函数为Action1、Action2……Action n,因此需要为playbook1的子进程创建n个子线程。
值得注意的是,当为Action1创建好子线程后,需要立即返回接口的主线程,以能将创建子线程的控制流流转至playbook1的子进程,随后立即为Action2创建子线程,这样Action1对应的子线程与Action2对应的子线程的创建成功的时间就相差了几个ms,进而可以使得playbook1对应的多个子线程可以并行执行。
S214,基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数响应对应的安全事件。
各子线程建立好之后,由于剧本数量较多,每个剧本对应的子线程也较多,为了可以准确地处理好并发的多个剧本以及各剧本中的动作函数,本申请是基于预设的令牌机制,通过至少一个子线程执行对应剧本中的各动作函数,以能请求调用下游的外部执行设备通过所述动作函数响应对应的安全事件。
比如,若安全事件是病毒入侵,在需要阻止对应的IP时,在执行对应剧本时的宏观流程可以如图3所示。调用剧本的入口函数,载入剧本,执行剧本中的动作函数,动作函数包括:filter_1、prompt_1、decision_1以及block_ip_1;在执行过程中,动作函数需要与SDK中的执行函数进行信号交互,以能将各动作函数中的对应的参数及指令传递给执行函数,进而通过执行函数调用外部执行设备执行动作函数对应的动作,图2中应执行的动作为阻止IP。其中,执行函数包括:func_condition、func_prompt2、func_condition、func_collect、func_act_“block ip”。
具体的,通过至少一个子线程执行对应剧本中的各动作函数,以能请求外部执行设备通过动作函数处理对应的安全事件,包括:
针对任一剧本中的任一动作函数,获取动作函数中的控制参数及控制指令;控制参数是基于对应的安全事件确定的;
将控制参数及控制指令传递至接口中的执行函数,并生成动作函数对应的令牌;
在对应的子线程中,通过执行函数通知调用外部执行设备执行动作函数对应的动作,以能响应对应的安全事件。
这里,将控制参数及控制指令传递至接口中的执行函数,并生成动作函数对应的令牌后,通过接口开启Socket函数进行阻塞监听。
作为一种可选的实施例,通过至少一个子线程执行对应剧本中的各动作函数后,还包括:
针对任意一个子线程,接收当前动作函数对应的执行结果,并通过回调函数将子线程的控制流传输至当前动作函数的下一动作函数。其中,回调函数是执行函数以回调的方式实现的。
具体的,外部执行设备执行完相应的动作后,调用RPC服务对执行结果进行解析,并将解析后的执行结果传递至RPC服务的一个服务线程,该服务线程基于对应的令牌查找对应的Socket函数,并将执行结果通过Socket函数发送至接口中。接收到执行结果后,接口通过回调函数使得控制流传输至当前动作函数的下一动作函数。
可以看出,针对任一剧本中的任一动作函数(当前动作函数)所在的子线程分支来看,执行函数实际上承担了将该子线程的控制流传回至编排引擎,以及将控制流传回至该子线程中剩余动作函数(比如当前动作函数为Action1,剩余动作函数为Action5)的任务;并且执行函数对应的子线程中以RPC方式形式请求RPC服务调用外部执行设备执行动作函数中的动作(比如封禁IP、杀进程等等),并开启Socket函数进行阻塞监听;RPC服务在接收到外部执行设备的执行结果后借助Socket函数反馈给执行函数,执行函数以回调函数的方式将控制流流传至该子线程中的剩余动作函数。这样,子线程的控制流实际上是跨层传递的(RPC服务、接口、外部执行设备以及剧本)。
这里,本申请引入令牌机制主要是考虑到当需要同时并行处理多个剧本,每个剧本又包括多个动作函数时,为了确保各个动作函数所在子线程分支对应的控制流可以同时有序的转移,避免引起混乱。
比如,继续参考图1,假设同时需要处理m个剧本playbook,每个playbook中需要平均同时处理n个动作函数Action,那么同时需要对m*n个动作函数Action对应的控制流进行管控。针对任意一个动作函数,控制流均是从编排调度模块到playbook,到Action,到接口,再到RPC服务,再到外部执行设备,再返回到RPC服务到接口,从接口传输至该动作函数所在分支的下一个Action。所以为了保证这m*n个控制流的同时有序转移不混乱,本申请引入令牌机制,在不同动作函数所在子线程对应的控制流的转移过程中建立约束,避免出现转移混乱,导致对安全事件无法精准响应。
那么在通过至少一个子线程执行对应剧本中的各动作函数时,以剧本playbook1中的动作函数Action1为例进行说明,具体实现如下:
继续参考图1,Action1所在的分支的下一个动作函数为Action5,Action5可理解为二级动作函数。通过Action1所在的子线程执行剧本playbook1中的动作函数Action1时,获取Action1中的控制参数以及控制指令。
这里,Action1中的控制参数以及控制指令可以根据对应的安全事件确定。比如安全事件为挖矿事件,那么Action1可以从安全事件中获取对应的挖矿IP,控制参数即为挖矿IP,控制指令可以为阻止IP(BLOCK IP)。
Action1将控制参数、控制指令传递至接口中的执行函数,执行函数接收到控制参数和控制指令后,生成Action1对应的令牌,比如令牌可以为T-playbook1-Action1。然后在Action1所在的子线程中,通过执行函数以RPC请求的方式通知服务单元调用外部执行设备执行Action1对应的动作,即阻止IP。
外部执行设备将动作执行完毕后,将执行结果传递至RPC服务,RPC服务开启一个服务线程,该服务线程通过Socket函数将解析后的执行结果发送至接口,接口接收到执行结果后,执行函数以回调函数的方式将Action1所在子线程的控制流传递至Action5,然后销毁Action1对应的令牌。
值得注意的是,Action1对应的令牌生成之后,在剩余的每个传输过程中均携带对应的令牌。
这里,因同一剧本中不同的动作函数之间可能存在依赖,因此作为一种可选的实施例,通过所述至少一个子线程执行对应剧本中的各动作函数后,还包括:
获得各动作函数对应的执行结果;
基于预设的共享机制,将同一剧本中每个动作函数对应的执行结果进行共享。
举例来说,继续参考图1,当获取到Action1对应的执行结果后,不但Action5可以享用到该执行结果,playbook1中剩余的所有动作函数都可以享用到该执行结果。这样共享结果可以使得资源可以最大化的得到利用,减少资源占用。
比如:若Action1对应的执行结果为查询某个文件的信誉值;当Action2需要执行的动作是删除信誉值低于预设阈值的文件,那么此时无需将Action2再执行一遍,Action2直接可以根据Action1对应的执行结果来确定需要删除哪些文件。
基于同样的发明构思,本申请还提供一种用于处理安全事件的装置,详见实施例二。
实施例二
本实施例提供一种用于处理安全事件的装置,可参考图4,装置包括:接收模块41、查找模块42、创建模块43及执行模块44;其中;
接收模块41,用于接收由监测设备发送的至少一个安全事件;
查找模块42,用于查找所述至少一个安全事件对应的剧本,所述剧本为用于响应所述安全事件的文件;
创建模块43,用于为每个所述剧本创建对应的子进程,基于每个所述子进程调用对应的剧本入口函数,以能载入各所述安全事件对应的剧本;在并行执行各剧本时,调用预设的接口为每个所述剧本的子进程创建至少一个子线程,并返回所述接口的主线程;
执行模块44,用于基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数响应对应的安全事件。
这里,接收模块41可以由图1中的RPC服务实现,查找模块42、创建模块43及执行模块44可以由图1中的编排调度模块实现;
接收模块41、查找模块42、创建模块43及执行模块44组成编排引擎。编排引擎主要是用于根据剧本playbook输出安全策略,将安全策略下发至外部执行设备,这样可以在最短的时间内对安全事件作出响应,指挥外部执行设备作出相关的安全防护动作,驱动现有的安全防护功能。比如安全防护动作可以包括:封禁IP、杀进程等。
在具体实施时,接收模块41接收上游监测设备3上报的安全事件,接收到安全事件后,并不是立即处理该安全事件,而是将安全事件存储至预先设置的事件队列中。其中,RPC服务为基于RPC协议搭建的服务框架,为多线程的服务模式。上游监测设备3可以包括具体的硬件监测设备,也可以包括防火墙之类的监测设备;安全事件可以包括但不限制以下几种:网络攻击、病毒入侵、病毒勒索及挖矿病毒等等。
这里,因不同的监测设备上报的安全事件的格式可能是不同的,为了满足统一的标准化处理流程,因此接收模块41还需基于预设的格式转换策略对安全事件的格式进行转换,使其转换为统一的格式。比如:可以将不同格式的安全事件均转换为容器化事件。
本申请考虑到硬件部署环境的存储能力、计算能力各有差别,因此为了确保最优的处理能力,接收模块41在接收安全事件,将安全事件存储至预先设置的事件队列中之前,还用于:判断事件队列中的安全事件数量是否达到预设的数量阈值,若确定安全事件数量达到数量阈值时,则暂停接收后续的安全事件。其中,事件队列的长度可以根据实际硬件的部署环境进行配置。
这里,接收模块41每接收成功一个安全事件,均会向上游监测设备3发送接收成功的通知消息;当确定事件队列中的安全事件的数量已经达到预设的数量阈值时,若再接收到后续的安全事件,则会接收失败,此时会向上游监测设备3发送接收失败的消息,那么上游监测设备3会暂停上报后续的安全事件,接收模块41也会暂停接收后续的安全事件。
当对安全事件进行处理时,查找模块42用于基于预设的提取策略从述事件队列中顺序提取待处理的安全事件。其中,预设的提取策略为先进先出策略。
针对任一安全事件,当提取出安全事件后,查找模块42还需要查找该安全事件对应的剧本playbook。其中,剧本可以理解为用于自动响应安全事件的文件;一般来说,剧本playbook是基于Python语言进行开发的,不同的剧本中通常包含对不同安全事件进行处理的所有动作函数Action,这些动作函数Action以串联或并联方式组合存在,从而实现各种安全应用场景下的自动化处理流程。剧本可以根据实际需求预先编写。
具体的,查找模块42查找各安全事件对应的剧本可以包括:
针对任一安全事件,获取安全事件的标签;
基于安全事件的标签,在数据库中对所有剧本的剧本属性进行过滤,获得与安全事件标签一致的剧本属性;
基于剧本属性,提取出对应的剧本。
比如,若某个安全事件为挖矿事件,其对应的安全标签为A;那么在数据库对所有剧本的剧本属性进行过滤时,若某个剧本属性中包括A,则确定该剧本的剧本属性与安全事件的标签一致;此时可以基于该剧本属性提取出对应的剧本。
针对任一安全事件,查找模块42获得安全事件对应的剧本后,需要为每个剧本创建对应的子进程,基于每个子进程调用对应的剧本入口函数,以能在对应的子进程中动态载入各安全事件对应的剧本。这样若存在多个剧本时,多个剧本可以并行执行。并且在对应的子进程中动态载入各安全事件对应的剧本后,相当于以子进程的形式动态载入编排引擎范畴之外的剧本,从而可以在全局上通过对子进程的管理实现对剧本的数量控制。
这里,可参考图1,若剧本包括m个:playbook1、playbook2……playbookm时,playbook1、playbook2和playbookm可以分别在不同的子进程中运行。
同时,同样考虑到硬件部署环境的存储能力、计算能力各有差别,为了确保最优的处理能力,创建模块43为每个剧本创建对应的子进程之前,还用于:
判断已获取到的剧本数量是否达到预设的剧本数量阈值,若已获取到的剧本数量已经达到预设的剧本数量阈值,则控制后续的剧本处于阻塞等待状态,直至已有的剧本执行完毕才会执行后续的剧本;其中,预设的剧本数量阈值可根据硬件系统能同时执行的剧本数量最大值确定。
在并行执行各剧本时,针对任一剧本,创建模块43调用预设的接口为每个所述剧本的子进程创建至少一个子线程,返回接口的主线程,以使得创建子线程的控制流流转至当前剧本对应的子进程,不影响为该剧本内其他动作函数创建对应的子线程。其中,接口可以由预设的软件开发工具包SDK实现。
具体的,针对任一剧本,在执行剧本中的动作函数时,调用接口中的执行函数为该剧本的子进程创建至少一个子线程。比如,参考图1,针对playbook1,因playbook1中包括的一级动作函数为Action1、Action2……Action n,因此需要为playbook1的子进程创建n个子线程。
值得注意的是,当为Action1创建好子线程后,需要立即返回接口的主线程,以能将创建子线程的控制流流转至playbook1的子进程,随后立即为Action2创建子线程,这样Action1对应的子线程与Action2对应的子线程的创建成功的时间就相差了几个ms,进而可以使得playbook1对应的多个子线程可以并行执行。
各子线程建立好之后,由于剧本数量较多,每个剧本对应的子线程也较多,为了可以准确地处理好并发的多个剧本以及各剧本中的动作函数,执行模块44,基于至少一个子线程执行对应剧本中的各动作函数,以能请求调用下游的外部执行设备4通过动作函数响应对应的安全事件。
比如,若安全事件是病毒入侵,在需要阻止对应的IP时,编排引擎在执行对应剧本时的宏观流程可以如图3所示。调用剧本的入口函数,载入剧本,执行剧本中的动作函数,动作函数包括:filter_1、prompt_1、decision_1以及block_ip_1;在执行过程中,动作函数需要与SDK中的执行函数进行信号交互,以能将各动作函数中的对应的参数及指令传递给执行函数,进而通过执行函数调用外部执行设备执行动作函数对应的动作,图2中应执行的动作为阻止IP。其中,执行函数包括:func_condition、func_prompt2、func_condition、func_collect、func_act_“block ip”。
具体的,执行模块44基于至少一个子线程执行对应剧本中的各动作函数,以能请求外部执行设备通过动作函数处理对应的安全事件,包括:
针对任一剧本中的任一动作函数,获取动作函数中的控制参数及控制指令;所述控制参数是基于对应的安全事件确定的;
将控制参数及控制指令传递至接口中的执行函数,并生成动作函数对应的令牌;
在对应的子线程中,通过执行函数通知调用外部执行设备执行动作函数对应的动作,以能响应对应的安全事件。
这里,将控制参数及控制指令传递至接口中的执行函数,并生成动作函数对应的令牌后,通过接口开启Socket函数进行阻塞监听。
作为一种可选的实施例,通过至少一个子线程执行对应剧本中的各动作函数后,创建模块43还用于:
针对任意一个子线程,接收当前动作函数对应的执行结果,并通过回调函数将子线程的控制流传输至当前动作函数的下一动作函数。其中,回调函数是执行函数以回调的方式实现的。
具体的,外部执行设备4执行完相应的动作后,调用接收模块41对执行结果进行解析,并将解析后的执行结果传递至接收模块41的一个服务线程,该服务线程基于对应的令牌查找对应的Socket函数,并将执行结果Socket函数发送至接口中。接收到执行结果后,接口通过回调函数使得控制流传输至当前动作函数的下一动作函数。
可以看出,针对任一剧本中的任一动作函数(当前动作函数)所在的子线程分支来看,执行函数实际上承担了将该子线程的控制流传回至编排引擎,以及将控制流传回至该子线程中剩余动作函数(比如当前动作函数为Action1,剩余动作函数为Action5)的任务;并且执行函数对应的子线程中以RPC方式形式请求RPC服务调用外部执行设备执行动作函数中的动作(比如封禁IP、杀进程等等),并开启Socket函数进行阻塞监听;RPC服务在接收到外部执行设备的执行结果后借助Socket函数反馈给执行函数,执行函数以回调函数的方式将控制流流传至该子线程中的剩余动作函数。这样,子线程的控制流实际上是跨层传递的(RPC服务、接口、外部执行设备以及剧本)。
这里,本申请引入令牌机制主要是考虑到当需要同时并行处理多个剧本,每个剧本又包括多个动作函数时,为了确保各个动作函数所在子线程分支对应的控制流可以同时有序的转移,避免引起混乱。
比如,继续参考图1,假设同时需要处理m个剧本playbook,每个playbook中需要平均同时处理n个动作函数Action,那么同时需要对m*n个动作函数Action对应的控制流进行管控。针对任意一个动作函数,控制流均是从编排调度模块到playbook,到Action,到接口,再到RPC服务,再到外部执行设备,再返回到RPC服务到接口,从接口传输至该动作函数所在分支的下一个Action。所以为了保证这m*n个控制流的同时有序转移不混乱,本申请引入令牌机制,在不同动作函数所在子线程对应的控制流的转移过程中建立约束,避免出现转移混乱,导致对安全事件无法精准响应。
那么执行模块44在基于至少一个子线程执行对应剧本中的各动作函数时,以剧本playbook1中的动作函数Action1为例进行说明,具体实现如下:
继续参考图1,Action1所在的分支的下一个动作函数为Action5,Action5可理解为二级动作函数。通过Action1所在的子线程执行剧本playbook1中的动作函数Action1时,获取Action1中的控制参数以及控制指令。
这里,Action1中的控制参数以及控制指令可以根据对应的安全事件确定。比如安全事件为挖矿事件,那么Action1可以从安全事件中获取对应的挖矿IP,控制参数即为挖矿IP,控制指令可以为阻止IP(BLOCK IP)。
Action1将控制参数、控制指令传递至接口中的执行函数,执行函数接收到控制参数和控制指令后,生成Action1对应的令牌,比如令牌可以为T-playbook1-Action1。然后在Action1所在的子线程中,通过执行函数以RPC请求的方式通知服务单元调用外部执行设备执行Action1对应的动作,即阻止IP。
外部执行设备4将动作执行完毕后,将执行结果传递至接收模块41,接收模块41开启一个服务线程,该服务线程通过Socket函数将解析后的执行结果发送至接口,接口接收到执行结果后,控制接口通过回调函数将Action1所在子线程的控制流传递至Action5。然后销毁Action1对应的令牌。
值得注意的是,Action1对应的令牌生成之后,在剩余的每个传输过程中均携带对应的令牌。
这里,因同一剧本中不同的动作函数之间可能存在依赖,因此作为一种可选的实施例,通过所述至少一个子线程执行对应剧本中的各动作函数后,执行模块44还用于:
获得各动作函数对应的执行结果;
基于预设的共享机制,将同一剧本中每个动作函数对应的执行结果进行共享。
举例来说,继续参考图1,当获取到Action1对应的执行结果后,不但Action5可以享用到该执行结果,playbook1中剩余的所有动作函数都可以享用到该执行结果。这样共享结果可以使得资源可以最大化的得到利用,减少资源占用。
比如:若Action1对应的执行结果为查询某个文件的信誉值;当Action2需要执行的动作是删除信誉值低于预设阈值的文件,那么此时无需将Action2再执行一遍,Action2直接可以根据Action1对应的执行结果来确定需要删除哪些文件。
本申请实施例提供的一种用于处理安全事件的方法、装置、介质及计算机设备能带来的有益效果至少是:
本申请提供了一种用于处理安全事件的方法、装置、介质及计算机设备,方法包括:接收由监测设备发送的至少一个安全事件;查找所述至少一个安全事件对应的剧本,所述剧本为用于响应所述安全事件的文件;为每个所述剧本创建对应的子进程,通过每个所述子进程调用对应的剧本入口函数,以能载入各所述安全事件对应的剧本;在并行执行各剧本时,调用预设的接口为每个所述剧本的子进程创建至少一个子线程,并返回所述接口的主线程;基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数响应对应的安全事件;如此,当接收到上游监测设备发送的安全事件,对安全事件进行处理时,因预先设置有安全事件对应的剧本,因此可通过剧本对安全事件自动响应,更具智能化;在响应过程中,因为每个剧本均创建了对应的子进程,因此可以通过相应的子进程并行执行不同的剧本;因每个剧本中可能包含多个动作函数,还通过接口为每个子进程创建了至少一个子线程,且接口在创建任何一个子线程后,接口的主线程均需要返回,这样可以确保在等待某一个动作函数的执行结果时,不会影响其他动作函数的执行流程,进而确保各个子线程中的动作函数可以并行执行,满足对大规模安全事件的自动响应,同时也提高了对安全事件的处理效率;并且,因在接收安全事件,是将安全事件暂存在预设的事件队列中,可以基于提取策略逐一提取出相应的安全事件对其进行处理,因此可以避免漏掉的情况,确保处理的全面性;在并行处理时,通过令牌机制确保各个不同动作函数所在子线程对应的控制流的转移过程中建立约束,避免出现转移混乱,导致对安全事件无法精准响应;这种多级并行处理安全事件的机制能够最大化利用具体部署环境的资源,可以充分利用硬件部署环境的物理性能,可以满足大规模安全事件输入场景下多剧本并行执行的需求,实现真正意义上的安全编排和自动化联动下游执行设备进行响应,能较好应对现实场景下突发大规模安全事件的情况。
实施例三
本实施例提供一种计算机设备,如图5所示,包括存储器410、处理器420及存储在存储器410上并可在处理器420上运行的计算机程序411,处理器420执行计算机程序411时实现以下步骤:
接收由监测设备发送的至少一个安全事件;
查找所述至少一个安全事件对应的剧本,所述剧本为用于响应所述安全事件的文件;
为每个所述剧本创建对应的子进程,基于每个所述子进程调用对应的剧本入口函数,以能载入各所述安全事件对应的剧本;
在并行执行各剧本时,调用预设的接口为每个所述剧本的子进程创建至少一个子线程,并返回所述接口的主线程;
基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数响应对应的安全事件。
在具体实施过程中,处理器420执行计算机程序411时,可以实现实施例一中任一实施方式。
由于本实施例所介绍的计算机设备为实施本申请实施例一中一种用于处理安全事件的方法所采用的设备,故而基于本申请实施例一中所介绍的方法,本领域所属技术人员能够了解本实施例的计算机设备的具体实施方式以及其各种变化形式,所以在此对于该服务器如何实现本申请实施例中的方法不再详细介绍。只要本领域所属技术人员实施本申请实施例中的方法所采用的设备,都属于本申请所欲保护的范围。
基于同一发明构思,本申请提供了实施例一对应的存储介质,详见实施例四。
实施例四
本实施例提供一种计算机可读存储介质500,如图6所示,其上存储有计算机程序511,该计算机程序511被处理器执行时实现以下步骤:
接收由监测设备发送的至少一个安全事件;
查找所述至少一个安全事件对应的剧本,所述剧本为用于响应所述安全事件的文件;
为每个所述剧本创建对应的子进程,基于每个所述子进程调用对应的剧本入口函数,以能载入各所述安全事件对应的剧本;
在并行执行各剧本时,调用预设的接口为每个所述剧本的子进程创建至少一个子线程,并返回所述接口的主线程;
基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数响应对应的安全事件。
在具体实施过程中,该计算机程序511被处理器执行时,可以实现实施例一中任一实施方式。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围,凡在本申请的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种用于处理安全事件的方法,其特征在在于,所述方法包括:
接收由监测设备发送的至少一个安全事件;
查找所述至少一个安全事件对应的剧本,所述剧本为用于响应所述安全事件的文件;
为每个所述剧本创建对应的子进程,基于每个所述子进程调用对应的剧本入口函数,以能载入各所述安全事件对应的剧本;
在并行执行各剧本时,调用预设的接口为每个所述剧本的子进程创建至少一个子线程,并返回所述接口的主线程;
基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数响应对应的安全事件;其中,
所述基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数处理对应的安全事件,包括:
针对任一剧本中的任一动作函数,获取所述动作函数中的控制参数及控制指令;所述控制参数是基于对应的安全事件确定的;
将所述控制参数及控制指令传递至所述接口中的执行函数,并生成所述动作函数对应的令牌;
在对应的子线程中,通过所述执行函数通知调用所述外部执行设备执行所述动作函数对应的动作,以能响应对应的安全事件。
2.如权利要求1所述的方法,其特征在于,所述接收由监测设备发送的至少一个安全事件之后,还包括:
将所述至少一个安全事件存储至预先设置的事件队列中;
判断所述事件队列中的安全事件数量是否达到预设的数量阈值,若确定所述安全事件数量达到所述数量阈值时,则暂停接收后续的所述安全事件。
3.如权利要求1所述的方法,其特征在于,所述查找所述至少一个安全事件对应的剧本,包括:
针对任一安全事件,获取所述安全事件的标签;
基于所述安全事件的标签,在数据库中对所有剧本的剧本属性进行过滤,获得与所述安全事件标签一致的剧本属性;
基于所述剧本属性,提取出对应的剧本。
4.如权利要求1所述的方法,其特征在于,所述为每个所述剧本创建对应的子进程之前,还包括:
判断已获取到的剧本数量是否达到预设的剧本数量阈值,若达到,则控制后续的所述剧本处于阻塞等待状态;所述预设的剧本数量阈值根据系统能同时执行的剧本数量最大值确定。
5.如权利要求1所述的方法,其特征在于,所述基于所述至少一个子线程执行对应剧本中的各动作函数后,还包括:
针对任意一个子线程,接收当前动作函数对应的执行结果,并通过回调函数将所述子线程的控制流传输至所述当前动作函数的下一动作函数。
6.如权利要求1所述的方法,其特征在于,所述基于所述至少一个子线程执行对应剧本中的各动作函数后,还包括:
获得所述各动作函数对应的执行结果;
基于预设的共享机制,将同一剧本中每个动作函数对应的执行结果进行共享。
7.一种用于处理安全事件的装置,其特征在于,所述装置包括:
接收模块,用于接收由监测设备发送的至少一个安全事件;
查找模块,用于查找所述至少一个安全事件对应的剧本,所述剧本为用于响应所述安全事件的文件;
创建模块,用于为每个所述剧本创建对应的子进程,基于每个所述子进程调用对应的剧本入口函数,以能载入各所述安全事件对应的剧本;在并行执行各剧本时,调用预设的接口为每个所述剧本的子进程创建至少一个子线程,并返回所述接口的主线程;
执行模块,用于基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数响应对应的安全事件;其中,
所述基于所述至少一个子线程执行对应剧本中的各动作函数,以能请求调用外部执行设备通过所述动作函数处理对应的安全事件,包括:
针对任一剧本中的任一动作函数,获取所述动作函数中的控制参数及控制指令;所述控制参数是基于对应的安全事件确定的;
将所述控制参数及控制指令传递至所述接口中的执行函数,并生成所述动作函数对应的令牌;
在对应的子线程中,通过所述执行函数通知调用所述外部执行设备执行所述动作函数对应的动作,以能响应对应的安全事件。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至6任一项所述的方法。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010674680.0A CN111835768B (zh) | 2020-07-14 | 2020-07-14 | 一种用于处理安全事件的方法、装置、介质及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010674680.0A CN111835768B (zh) | 2020-07-14 | 2020-07-14 | 一种用于处理安全事件的方法、装置、介质及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835768A CN111835768A (zh) | 2020-10-27 |
| CN111835768B true CN111835768B (zh) | 2023-01-17 |
Family
ID=72923151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010674680.0A Active CN111835768B (zh) | 2020-07-14 | 2020-07-14 | 一种用于处理安全事件的方法、装置、介质及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111835768B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112529417A (zh) * | 2020-12-14 | 2021-03-19 | 杭州安恒信息技术股份有限公司 | 一种安全事件处理方法、装置、设备及存储介质 |
| CN112508448A (zh) * | 2020-12-21 | 2021-03-16 | 中电福富信息科技有限公司 | 基于大数据和ai驱动的安全编排及响应系统及其方法 |
| CN113037744A (zh) * | 2021-03-05 | 2021-06-25 | 中通服创发科技有限责任公司 | 一种基于交互式的安全事件剧本编排与处置方法及装置 |
| CN113220285B (zh) * | 2021-04-22 | 2023-08-22 | 上海雾帜智能科技有限公司 | 安全事件响应剧本生成方法、系统、装置和存储介质 |
| CN113259371B (zh) * | 2021-06-03 | 2022-04-19 | 上海雾帜智能科技有限公司 | 基于soar系统的网络攻击事件阻止方法及系统 |
| CN113468212A (zh) * | 2021-07-21 | 2021-10-01 | 华青融天(北京)软件股份有限公司 | 事件执行的方法、装置及电子设备 |
| CN113792292A (zh) * | 2021-09-14 | 2021-12-14 | 山石网科通信技术股份有限公司 | 安全剧本的响应方法、装置、存储介质及处理器 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109558915A (zh) * | 2018-10-24 | 2019-04-02 | 大唐微电子技术有限公司 | 一种智能卡操作方法和装置 |
| CN109981573A (zh) * | 2019-02-20 | 2019-07-05 | 新华三信息安全技术有限公司 | 安全事件响应方法及装置 |
| CN111131253A (zh) * | 2019-12-24 | 2020-05-08 | 北京优特捷信息技术有限公司 | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 |
| CN111224991A (zh) * | 2020-01-10 | 2020-06-02 | 上海雾帜智能科技有限公司 | 网络安全应急响应方法及响应系统 |
| CN111367629A (zh) * | 2020-03-30 | 2020-07-03 | 绿盟科技集团股份有限公司 | 一种延时任务处理方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9710644B2 (en) * | 2012-02-01 | 2017-07-18 | Servicenow, Inc. | Techniques for sharing network security event information |
-
2020
- 2020-07-14 CN CN202010674680.0A patent/CN111835768B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109558915A (zh) * | 2018-10-24 | 2019-04-02 | 大唐微电子技术有限公司 | 一种智能卡操作方法和装置 |
| CN109981573A (zh) * | 2019-02-20 | 2019-07-05 | 新华三信息安全技术有限公司 | 安全事件响应方法及装置 |
| CN111131253A (zh) * | 2019-12-24 | 2020-05-08 | 北京优特捷信息技术有限公司 | 基于场景的安全事件全局响应方法以及装置、设备、存储介质 |
| CN111224991A (zh) * | 2020-01-10 | 2020-06-02 | 上海雾帜智能科技有限公司 | 网络安全应急响应方法及响应系统 |
| CN111367629A (zh) * | 2020-03-30 | 2020-07-03 | 绿盟科技集团股份有限公司 | 一种延时任务处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835768A (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111835768B (zh) | 一种用于处理安全事件的方法、装置、介质及计算机设备 | |
| US6182119B1 (en) | Dynamically configurable filtered dispatch notification system | |
| CN111831275B (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
| US9442822B2 (en) | Providing a visual representation of a sub-set of a visual program | |
| WO2011023424A1 (en) | A method and system for testing a computer program | |
| CN109460307B (zh) | 基于日志埋点的微服务调用跟踪方法及其系统 | |
| US10498817B1 (en) | Performance tuning in distributed computing systems | |
| CN111258774A (zh) | 流程处理方法、装置、计算机设备及存储介质 | |
| US10491452B2 (en) | Method and system for clustered real-time correlation of trace data fragments describing distributed transaction executions | |
| CN114363042B (zh) | 日志分析方法、装置、设备及可读存储介质 | |
| CN113961245A (zh) | 一种基于微服务应用的安全防护系统、方法及介质 | |
| CN103701783A (zh) | 一种预处理单元、由其构成的数据处理系统以及处理方法 | |
| CN111818069A (zh) | 呈现安全事件处理流程的方法、装置、介质及计算机设备 | |
| CN111818068A (zh) | 微场景案例的编排验证方法、装置、介质及计算机设备 | |
| CN110457132B (zh) | 一种功能对象的创建方法、装置和终端设备 | |
| CN108399095B (zh) | 支持动态管理定时任务的方法、系统、设备和存储介质 | |
| CN113867600A (zh) | 处理流式数据的开发方法、装置和计算机设备 | |
| CN113961332A (zh) | 一种工作流引擎实现的方法、装置、电子设备及存储介质 | |
| US8826428B2 (en) | Event detection method and apparatus in a distributed environment | |
| CN116208432B (zh) | 一种Web应用安全探针管理方法、系统、电子设备及存储介质 | |
| CN112365239A (zh) | 一种基于事件的云服务管理处置方法及系统 | |
| CN112257065A (zh) | 一种进程事件处理方法和装置 | |
| CN114816662A (zh) | 应用于Kubernetes的容器编排方法和系统 | |
| WO2021036987A1 (zh) | 一种实现运维监控的方法及装置 | |
| CN111338775B (zh) | 一种执行定时任务的方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |