CN113259371B - 基于soar系统的网络攻击事件阻止方法及系统 - Google Patents

Abstract

本发明涉及一种基于SOAR系统的网络攻击事件阻止方法及系统，包括：根据不同网络攻击事件的响应动作的发生顺序编写规则剧本；将目标网络攻击事件的各响应动作编写成事件响应剧本；利用深度优先搜索方法对事件响应剧本中的各路径进行拆分，得到多个拆分路径；将每个拆分路径与规则剧本中的所有规则进行比对，得到比对结果；根据比对结果，得到安全响应剧本；基于安全响应剧本阻止目标网络攻击事件。本发明中，通过设计规则剧本，将事件响应剧本中的各个路径分别与所有规则进行比对，使得各路径能够满足各项规则，从而得到应对网络攻击事件的安全性更高的响应剧本，减少安全事件响应过程中由不合理的执行顺序导致的危害，构建了更完全网络环境。

Description

基于SOAR系统的网络攻击事件阻止方法及系统

技术领域

本发明涉及网络安全技术领域，特别是涉及一种基于SOAR系统(安全编排自动化与响应系统)的网络攻击事件阻止方法及系统。

背景技术

安全编排自动化与响应(SOAR)系统中用户通过编写剧本将一系列处置动作连接起来，完成对一类安全事件的响应。当事件到达SOAR系统，会触发相应剧本；剧本中的各动作节点依序自动执行，完成对事件的处理。与传统的基于人工监控、手工处理相比，SOAR系统可以节省大量时间。但是，不合理的动作执行顺序，可能会带来次生安全风险。所以依据当前的SOAR系统编写的事件响应剧本应对网络攻击事件时存在一定的次生安全风险。针对该问题，本发明提出了一种基于安全编排自动化与响应系统的网络攻击事件阻止方法及系统。

发明内容

本发明的目的是提供一种基于SOAR系统的网络攻击事件阻止方法及系统，根据不同网络攻击事件的响应动作的发生顺序编写规则剧本，将目标网络攻击事件对应的事件响应剧本中的各路径分别与规则剧本中的所有规则进行比对，依据比对结果得到更为安全的事件响应剧本，利用该事件响应剧本能够有效的阻止目标网络攻击事件，极大减小了目标网络攻击事件的攻击损失。

为实现上述目的，本发明提供了如下方案：

一种基于SOAR系统的网络攻击事件阻止方法，包括：

根据不同网络攻击事件的响应动作的发生顺序编写规则剧本；

将目标网络攻击事件的各响应动作编写成事件响应剧本；

利用深度优先搜索方法对所述事件响应剧本中的各路径进行拆分，得到多个拆分路径；

将每个所述拆分路径与所述规则剧本中的所有规则进行比对，得到比对结果；

根据所述比对结果，得到安全响应剧本；

基于所述安全响应剧本阻止所述目标网络攻击事件。

一种基于SOAR系统的网络攻击事件阻止系统，包括：

规则剧本编写模块，用于根据不同网络攻击事件的响应动作的发生顺序编写规则剧本；

事件响应剧本编写模块，用于将目标网络攻击事件的各响应动作编写成事件响应剧本；

路径拆分模块，用于利用深度优先搜索方法对所述事件响应剧本中的各路径进行拆分，得到多个拆分路径；

比对模块，用于将每个所述拆分路径与所述规则剧本中的所有规则进行比对，得到比对结果；

获取安全响应剧本模块，用于根据所述比对结果，得到安全响应剧本；

目标网络攻击事件阻止模块，用于基于所述安全响应剧本阻止所述目标网络攻击事件。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明涉及一种基于SOAR系统的网络攻击事件阻止方法及系统，包括：根据不同网络攻击事件的响应动作的发生顺序编写规则剧本；将目标网络攻击事件的各响应动作编写成事件响应剧本；利用深度优先搜索方法对所述事件响应剧本中的各路径进行拆分，得到多个拆分路径；将每个所述拆分路径与所述规则剧本中的所有规则进行比对，得到比对结果；根据所述比对结果，得到安全响应剧本；基于所述安全响应剧本阻止所述目标网络攻击事件。通过设计规则剧本，将事件响应剧本中的各路径与各项规则进行比对，能够及时的调整响应动作的执行顺序，从而能够避免应对网络攻击事件时由于不合理的响应动作执行顺序导致的次生安全风险，能够更全面的阻止网络攻击事件。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例1提供的一种基于SOAR系统的网络攻击事件阻止方法流程图；

图2为本发明实施例1提供的在SOAR系统中规则剧本中一种规则的示意图；

图3为本发明实施例1提供的在SOAR系统中第一种事件响应剧本各路径示意图；

图4为本发明实施例1提供的在SOAR系统中第二种事件响应剧本各路径示意图；

图5为本发明实施例1提供的在SOAR系统中第三种事件响应剧本各路径示意图；

图6为本发明实施例2提供的一种基于SOAR系统的网络攻击事件阻止系统框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种基于SOAR系统的网络攻击事件阻止方法及系统，根据不同网络攻击事件的响应动作的发生顺序编写规则剧本，将目标网络攻击事件对应的事件响应剧本中的各路径分别与规则剧本中的所有规则进行比对，依据比对结果得到更为安全的事件响应剧本，利用该事件响应剧本能够有效的阻止目标网络攻击事件，极大减小了目标网络攻击事件的攻击损失。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

实施例1

请参阅图1，本实施例提供了一种基于SOAR系统的网络攻击事件阻止方法，包括：

步骤S1：根据不同网络攻击事件的响应动作的发生顺序编写规则剧本；

考虑到不同网络攻击事件具有不同的响应动作，并且为了避免产生次生安全风险，对某些响应动作的执行顺序存在一定的限制，所以需要总结出能够产生次生安全风险的响应动作，对这些响应动作的执行顺序进行限定。

其中，网络攻击事件的响应动作包含多个，但是在编写规则剧本时，每项规则仅仅涉及到四个节点，即开始动作、第一响应动作、第二响应动作和结束动作，每项规则的表现形式为开始动作→第一响应动作→第二响应动作→结束动作；

所述第一响应动和所述第二响应动作为所述网络攻击事件的响应动作中的任意两种。

网络攻击事件对应的一系列响应动作中，只提取出能够产生次生安全风险的响应动作(第一响应动作和第二响应动作)，而对于其他的响应动作执行顺序并不会产生次生安全风险，所以也就不用对执行顺序做任何限定，也就不会被提取出来，为使规则简洁，可以直接将其他的响应动作忽略。第一响应动作可以包含很多种具体的响应动作，同时第二响应动作也就对应着也包含很多种具体的响应动作；

由于需要对第一响应动作和第二响应动作的执行顺序做限定，所以在编写所述规则剧本时还包括指定每项所述规则的类型；可以在SOAR系统剧本编写界面，编写规则剧本，并指定规则类型；

所述规则的类型包括前序限制类型和后序限制类型；所述前序限制类型为第二响应动作之前必须有第一响应动作；所述后序限制类型为第一响应动作之后必须有第二响应动作。

为了使本领域技术人员更理解本方案，现进行举例说明：

规则1：开始动作→人工审核→修改防火墙规则→结束动作；规则类型为前序限制；含义为：“修改防火墙规则前必须经过人工审核”；

规则2：开始动作→白名单过滤→封禁IP→结束动作；规则类型为前序限制；含义为：“封禁IP前必须经白名单过滤”；图2示出了规则2的示意图。

规则3：开始动作→隐私专员审批→下载用户日志数据→结束动作；规则类型为前序限制；含义为：“下载用户日志数据前必须经隐私专员审批”；

规则4：开始动作→备份已有配置→更新交换机配置→结束动作；规则类型为前序限制；含义为：“更新交换机配置前必须备份已有配置”等。

规则5：开始动作→修改防火墙规则→测试修改效果(或重启防火墙动作)→结束动作；规则类型为后序限制；含义为：“修改防火墙规则后必须测试修改效果(或重启防火墙动作)”；

规则6：开始动作→封禁IP→钉钉消息→结束动作；规则类型为后序限制；含义为：“封禁IP后必须发送钉钉消息”；

规则7：开始动作→设备巡检→钉钉消息→结束动作；规则类型为后序限制；含义为：“设备巡检后必须发送钉钉消息”；

规则8：开始动作→部署蜜罐→验证蜜罐有效性→结束动作；规则类型为后序限制；含义为：“部署蜜罐后必须验证蜜罐有效性”等。

一般来说，前序限制规则中的第一响应动作为人工检查、名单过滤等校验类动作，第二响应动作为修改配置等一旦发生错误就会导致严重不良影响的敏感动作，但并不局限于此。

后续限制类型的规则中第一响应动作为修改配置等写入动作，第二响应动作为提交/刷新/确认生效等动作，以使得改动生效，但并不局限于此。

需要说明的是，各项规则中的第一响应动作和第二响应动作可以是有直接关联关系的动作，也可以是存在间接关联关系的动作。所说的第一响应动作之后和第二响应动作之前中的“之后”和“之前”是第一响应动作和第二响应动作的相对关系。

步骤S2：将目标网络攻击事件的各响应动作编写成事件响应剧本；

事件响应剧本：按照某类安全事件的响应顺序，把(由各个安全产品的各个功能分别封装而成的)“动作节点”连接起来；一个动作节点的输入参数，来自前一个动作节点的输出；而它的输出，会作为后一个动作节点的输入参数。这使得事件响应剧本一旦启动，就可以自动地执行至结束。具体介绍可详见https://www.4hou.com/posts/n8Z4。

步骤S3：利用深度优先搜索方法对所述事件响应剧本中的各路径进行拆分，得到多个拆分路径；

由于事件响应剧本可能不仅仅是一条响应路径，会存在多条，所以需要将事件响应剧本中的多条路径进行拆分，拆分出单个的路径。利用深度优先搜索方法对所述事件响应剧本中的各路径进行拆分，得到多个拆分路径，具体包括：

获取所述事件响应剧本中的开始动作和结束动作；

提取所述开始动作和所述结束动作之间所有的所述响应动作；

将具有执行关联关系的所述响应动作按照执行顺序进行连接，得到多个响应路径；

在多个所述响应路径的首端均连接所述开始动作，在多个所述响应路径的尾端均连接所述结束动作，得到多个拆分路径。

作为另一种可选的实施方式，可以直接以开始动作为起点，依次沿执行顺序，依次遍历前后有关联的响应动作，每个响应动作在每个路径中只出现一次，最终遍历到结束动作，则构成一条完整的拆分路径。

如图3所示，依据上述拆分方法，可以将图3所示的事件响应剧本拆分出两个拆分路径：开始动作→白名单过滤→其他节点(包含多个不同的响应动作)→结束动作；开始动作→封禁IP→其他节点→结束动作。

如图4所示，仅能得到一条拆分路径：开始动作→白名单过滤→其他节点→封禁IP→结束动作。

如图5所示，能得到两条拆分路径：开始动作→资产安全扫描→结束动作；开始动作→IP信誉查询→白名单过滤→封禁IP→结束动作。

步骤S4：将每个所述拆分路径与所述规则剧本中的所有规则进行比对，得到比对结果；

用户在SOAR系统中编写常规的事件响应剧本，在完成编辑并保存时，触发规则检查功能。步骤S4具体包括：

任意选取一个所述拆分路径；

任意选取一项所述规则；

判断当前所述拆分路径中是否存在当前所述规则中的第一响应动作和/或第二响应动作，得到第一判断结果；

当所述第一判断结果为当前所述拆分路径中不存在第一响应动作和第二响应动作，则当前所述拆分路径满足当前所述规则；

任意选取剩余所述规则中的一项，返回步骤“判断当前所述拆分路径中是否存在当前所述规则中的第一响应动作和/或第二响应动作”；

当所述第一判断结果为当前所述拆分路径中存在第一响应动作和/或第二响应动作，则确定当前所述规则的类型，根据当前所述规则的类型和第一响应动作和/或第二响应动作，判断当前所述拆分路径是否满足当前所述规则，得到第二判断结果；

当所述第二判断结果为否时，则对当前所述拆分路径进行标记，并返回步骤“任意选取剩余所述规则中的一项”；

当所述第二判断结果为是时，则直接返回步骤“任意选取剩余所述规则中的一项”；直至遍历所有所述规则；

任意选取剩余所述拆分路径中的一项，返回步骤“任意选取一项所述规则”，直至遍历所有所述拆分路径。

作为一种可能的实施方式，所述根据当前所述规则的类型和第一响应动作和/或第二响应动作，判断当前所述拆分路径是否满足当前所述规则，具体包括：

若当前所述规则的类型为前序限制类型时，且当前所述拆分路径中只存在第一响应动作时，则当前所述拆分路径满足当前所述规则；

若当前所述规则的类型为前序限制类型时，且当前所述拆分路径中只存在第二响应动作时，则当前所述拆分路径不满足当前所述规则；

若当前所述规则的类型为前序限制类型时，且当前所述拆分路径中存在第一响应动作和第二响应动作时，则判断所述第一响应动作是否在所述第二响应动作之前，得到第三判断结果；当所述第三判断结果为是时，则当前所述拆分路径满足当前所述规则；当所述第三判断结果为否时，则当前所述拆分路径不满足当前所述规则；

若当前所述规则的类型为后序限制类型时，且当前所述拆分路径中只存在第一响应动作时，则当前所述拆分路径不满足当前所述规则；

若当前所述规则的类型为后序限制类型时，且当前所述拆分路径中只存在第二响应动作时，则当前所述拆分路径满足当前所述规则；

若当前所述规则的类型为后序限制类型时，且当前所述拆分路径中存在第一响应动作和第二响应动作时，则判断所述第一响应动作之后是否存在第二响应动作，得到第四判断结果；当所述第四判断结果为是时，则当前所述拆分路径满足当前所述规则；当所述第四判断结果为否时，则当前所述拆分路径不满足当前所述规则。

为使本领域技术人员能够清楚的理解本方案，假设规则剧本包括上述举例的8种规则，基于这8种规则来对比图3和图5拆分出的各路径；

图3中的拆分路径：开始动作→白名单过滤→其他节点→结束动作；开始动作→封禁IP→其他节点→结束动作。

对于拆分路径：开始动作→白名单过滤→其他节点→结束动作来说，将该拆分路径分别与所有的规则进行比对，发现该拆分路径中不包含规则1、3-8中的第一响应动作和第二响应动作，所以该拆分路径满足这些规则；该拆分路径中存在规则2中的第一响应动作，进一步确定规则2的类型为前序限制，则该拆分路径满足规则2。

对于拆分路径：开始动作→封禁IP→其他节点→结束动作来说，发现该拆分路径中不包含规则1、3-5、7-8中的第一响应动作和第二响应动作，所以该拆分路径满足这些规则；该拆分路径与规则2比对时，发现存在第二响应动作，进一步判断规则2的类型，为前序限制，则要求第二响应动作(封禁IP)之前必须有第一响应动作(白名单过滤)，但该拆分路径中不存在这一关系，所以该拆分路径不满足规则2。该拆分路径与规则6比对时，发现存在第一响应动作(封禁IP)，判断规则6为后序限制，要求第一响应动作(封禁IP)之后必须有第二响应动作(钉钉消息)，然而，该拆分路径中不存在封禁IP之后有钉钉消息，所以该拆分路径不满足规则6。

图5中的两条拆分路径：开始动作→资产安全扫描→结束动作；开始动作→IP信誉查询→白名单过滤→封禁IP→结束动作，分别与规则库(规则剧本)中的各项规则进行比对；

对于拆分路径：开始动作→资产安全扫描→结束动作来说，由于路径中不存在规则1中的第一响应动作和第二响应动作，所以该拆分路径满足规则1；同理，该拆分路径均不存在规则2、规则3，...，规则8中的第一响应动作和第二响应动作，所以该拆分路径满足所有规则。

对于拆分路径：开始动作→IP信誉查询→白名单过滤→封禁IP→结束动作来说，分别对比规则1、3、4、5、7和8，发现该拆分路径中均不存在对应的第一响应动作和第二响应动作，所以该拆分路径满足这些规则。而该拆分路径对比规则2时，发现存在第一响应动作(白名单过滤)和第二响应动作(封禁IP)，则需要进一步确定规则2的类型，为前序限制，则判断该拆分路径中，第二响应动作之前是否有第一响应动作，发现满足这一关系，所以该拆分路径满足规则2。该拆分路径对比规则6时，发现只存在第一响应动作(封禁IP)，则进一步判断规则类型为后序限制，需要满足封禁IP之后存在钉钉消息，然而该拆分路径中封禁IP之后不存在钉钉消息，则该拆分路径满足规则6，对该拆分路径做标记，之后进行修改，修改可以是在该拆分路径中的封禁IP之后添加钉钉消息响应动作。

假设某一网络攻击事件中的一条拆分路径为开始动作→→封禁IP→白名单过滤→结束动作，该拆分路径对比规则2时，发现存在第一响应动作(白名单过滤)和第二响应动作(封禁IP)，则进一步确定规则2类型为前序限制，判断该路径中第二响应动作之前是否存在第一响应动作，发现不满足这一关系，则说明该拆分路径不满足规则2，需要对该路径进行标记，之后对其进行修改，修改的方式可以是调整该拆分路径中封禁IP和白名单过滤的执行顺序。

步骤S5：根据所述比对结果，得到安全响应剧本；

步骤S5具体包括：

当所述比对结果为每个所述拆分路径均符合所述规则剧本中的所有所述规则，则输出每个所述拆分路径，得到安全响应剧本；

当所述比对结果为存在至少一个被标记的所述拆分路径，则对被标记的所述拆分路径进行修改，直至每个所述拆分路径符合所述规则剧本中的所有规则。

步骤S6：基于所述安全响应剧本阻止所述目标网络攻击事件。

最终得到的安全响应剧本的中各响应动作的执行顺序满足了各项规则要求，避免了因不合理执行动作产生次生风险。例如避免的次生风险为：在经过IP白名单过滤之前，直接执行封禁IP动作，可能会造成出口IP被封，影响到正常用户；或者，在未经审批的情况下获取用户数据，导致合规问题；或者，在某系统配置更改之后没有执行重启动作，导致配置不能及时生效等。

需要注意的的是，本实施例中的网络攻击事件可以是来自某IP地址的黑客扫描事件，该事件的事件响应剧本可以由图5示出。

本实施例中，通过设计规则剧本，将事件响应剧本中的各路径与各项规则进行比对，能够及时的调整响应动作的执行顺序，从而能够避免应对网络攻击事件时由于不合理的响应动作执行顺序导致的次生安全风险，能够更全面的阻止网络攻击事件，提高了网络攻击事件应对的效率。

实施例2

如图6所示，本实施例提供了一种基于SOAR系统的网络攻击事件阻止系统，包括：

规则剧本编写模块M1，用于根据不同网络攻击事件的响应动作的发生顺序编写规则剧本；

事件响应剧本编写模块M2，用于将目标网络攻击事件的各响应动作编写成事件响应剧本；

路径拆分模块M3，用于利用深度优先搜索方法对所述事件响应剧本中的各路径进行拆分，得到多个拆分路径；

路径拆分模块M3具体包括：

获取单元，用于获取所述事件响应剧本中的开始动作和结束动作；

提取响应动作单元，用于提取所述开始动作和所述结束动作之间所有的所述响应动作；

响应路径获取单元，用于将具有执行关联关系的所述响应动作按照执行顺序进行连接，得到多个响应路径；

拆分路径获取单元，用于在多个所述响应路径的首端均连接所述开始动作，在多个所述响应路径的尾端均连接所述结束动作，得到多个拆分路径。

比对模块M4，用于将每个所述拆分路径与所述规则剧本中的所有规则进行比对，得到比对结果；

比对模块M4具体包括：

拆分路径选取单元，用于任意选取一个所述拆分路径；

规则选取单元，用于任意选取一项所述规则；

第一判断单元，用于判断当前所述拆分路径中是否存在当前所述规则中的第一响应动作和/或第二响应动作，得到第一判断结果；

第一分析单元，用于当所述第一判断结果为当前所述拆分路径中不存在第一响应动作和第二响应动作，则当前所述拆分路径满足当前所述规则；

规则重新选取单元，用于任意选取剩余所述规则中的一项，返回执行“第一判断单元”；

第二分析单元，用于当所述第一判断结果为当前所述拆分路径中存在第一响应动作和/或第二响应动作，则确定当前所述规则的类型；

第二判断单元，用于根据当前所述规则的类型和第一响应动作和/或第二响应动作，判断当前所述拆分路径是否满足当前所述规则，得到第二判断结果；

第三分析单元，用于当所述第二判断结果为否时，则对当前所述拆分路径进行标记，并返回执行“规则重新选取单元”；

第四分析单元，用于当所述第二判断结果为是时，则返回执行“规则重新选取单元”，直至遍历所有所述规则；

拆分路径重新选取单元，用于任意选取剩余所述拆分路径中的一项，返回执行“拆分路径选取单元”，直至遍历所有所述拆分路径。

获取安全响应剧本模块M5，用于根据所述比对结果，得到安全响应剧本；

目标网络攻击事件阻止模块M6，用于基于所述安全响应剧本阻止所述目标网络攻击事件。

对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种基于SOAR系统的网络攻击事件阻止方法，其特征在于，包括：

根据不同网络攻击事件中产生次生安全风险的响应动作的发生顺序编写规则剧本；

将目标网络攻击事件的各响应动作编写成事件响应剧本；

利用深度优先搜索方法对所述事件响应剧本中的各路径进行拆分，得到多个拆分路径；

将每个所述拆分路径与所述规则剧本中的所有规则进行比对，得到比对结果；

根据所述比对结果，得到安全响应剧本；

基于所述安全响应剧本阻止所述目标网络攻击事件。

2.根据权利要求1所述的方法，其特征在于，所述规则剧本中的每项规则的表现形式为开始动作→第一响应动作→第二响应动作→结束动作；

所述第一响应动和所述第二响应动作为所述网络攻击事件的响应动作中的任意两种。

3.根据权利要求2所述的方法，其特征在于，编写所述规则剧本时还包括指定每项所述规则的类型；

所述规则的类型包括前序限制类型和后序限制类型；所述前序限制类型为第二响应动作之前必须有第一响应动作；所述后序限制类型为第一响应动作之后必须有第二响应动作。

4.根据权利要求1所述的方法，其特征在于，所述利用深度优先搜索方法对所述事件响应剧本中的各路径进行拆分，得到多个拆分路径，具体包括：

获取所述事件响应剧本中的开始动作和结束动作；

提取所述开始动作和所述结束动作之间所有的所述响应动作；

将具有执行关联关系的所述响应动作按照执行顺序进行连接，得到多个响应路径；

在多个所述响应路径的首端均连接所述开始动作，在多个所述响应路径的尾端均连接所述结束动作，得到多个拆分路径。

5.根据权利要求1所述的方法，其特征在于，所述将每个所述拆分路径与所述规则剧本中的所有规则进行比对，具体包括：

任意选取一个所述拆分路径；

任意选取一项所述规则；

判断当前所述拆分路径中是否存在当前所述规则中的第一响应动作和/或第二响应动作，得到第一判断结果；

当所述第一判断结果为当前所述拆分路径中不存在第一响应动作和第二响应动作，则当前所述拆分路径满足当前所述规则；

任意选取剩余所述规则中的一项，返回步骤“判断当前所述拆分路径中是否存在当前所述规则中的第一响应动作和/或第二响应动作”；

当所述第一判断结果为当前所述拆分路径中存在第一响应动作和/或第二响应动作，则确定当前所述规则的类型，根据当前所述规则的类型和第一响应动作和/或第二响应动作，判断当前所述拆分路径是否满足当前所述规则，得到第二判断结果；

当所述第二判断结果为否时，则对当前所述拆分路径进行标记，并返回步骤“任意选取剩余所述规则中的一项”；

当所述第二判断结果为是时，则直接返回步骤“任意选取剩余所述规则中的一项”；直至遍历所有所述规则；

任意选取剩余所述拆分路径中的一项，返回步骤“任意选取一项所述规则”，直至遍历所有所述拆分路径。

6.根据权利要求5所述的方法，其特征在于，所述根据当前所述规则的类型和第一响应动作和/或第二响应动作，判断当前所述拆分路径是否满足当前所述规则，具体包括：

若当前所述规则的类型为前序限制类型时，且当前所述拆分路径中只存在第一响应动作时，则当前所述拆分路径满足当前所述规则；

若当前所述规则的类型为前序限制类型时，且当前所述拆分路径中只存在第二响应动作时，则当前所述拆分路径不满足当前所述规则；

若当前所述规则的类型为前序限制类型时，且当前所述拆分路径中存在第一响应动作和第二响应动作时，则判断所述第一响应动作是否在所述第二响应动作之前，得到第三判断结果；当所述第三判断结果为是时，则当前所述拆分路径满足当前所述规则；当所述第三判断结果为否时，则当前所述拆分路径不满足当前所述规则；

若当前所述规则的类型为后序限制类型时，且当前所述拆分路径中只存在第一响应动作时，则当前所述拆分路径不满足当前所述规则；

若当前所述规则的类型为后序限制类型时，且当前所述拆分路径中只存在第二响应动作时，则当前所述拆分路径满足当前所述规则；

若当前所述规则的类型为后序限制类型时，且当前所述拆分路径中存在第一响应动作和第二响应动作时，则判断所述第一响应动作之后是否存在第二响应动作，得到第四判断结果；当所述第四判断结果为是时，则当前所述拆分路径满足当前所述规则；当所述第四判断结果为否时，则当前所述拆分路径不满足当前所述规则。

7.根据权利要求5或6所述的方法，其特征在于，所述根据所述比对结果，得到安全响应剧本，具体包括：

当所述比对结果为每个所述拆分路径均符合所述规则剧本中的所有所述规则，则输出每个所述拆分路径，得到安全响应剧本；

当所述比对结果为存在至少一个被标记的所述拆分路径，则对被标记的所述拆分路径进行修改，直至每个所述拆分路径符合所述规则剧本中的所有规则。

8.一种基于权利要求1至7任一项所述的方法的SOAR系统的网络攻击事件阻止系统，其特征在于，包括：

规则剧本编写模块，用于根据不同网络攻击事件中产生次生安全风险的响应动作的发生顺序编写规则剧本；

事件响应剧本编写模块，用于将目标网络攻击事件的各响应动作编写成事件响应剧本；

路径拆分模块，用于利用深度优先搜索方法对所述事件响应剧本中的各路径进行拆分，得到多个拆分路径；

比对模块，用于将每个所述拆分路径与所述规则剧本中的所有规则进行比对，得到比对结果；

获取安全响应剧本模块，用于根据所述比对结果，得到安全响应剧本；

目标网络攻击事件阻止模块，用于基于所述安全响应剧本阻止所述目标网络攻击事件。

9.根据权利要求8所述的系统，其特征在于，所述路径拆分模块具体包括：

获取单元，用于获取所述事件响应剧本中的开始动作和结束动作；

提取响应动作单元，用于提取所述开始动作和所述结束动作之间所有的所述响应动作；

响应路径获取单元，用于将具有执行关联关系的所述响应动作按照执行顺序进行连接，得到多个响应路径；

拆分路径获取单元，用于在多个所述响应路径的首端均连接所述开始动作，在多个所述响应路径的尾端均连接所述结束动作，得到多个拆分路径。

10.根据权利要求8所述的系统，其特征在于，具体包括：比对模块具体包括：

拆分路径选取单元，用于任意选取一个所述拆分路径；

规则选取单元，用于任意选取一项所述规则；

第一判断单元，用于判断当前所述拆分路径中是否存在当前所述规则中的第一响应动作和/或第二响应动作，得到第一判断结果；

第一分析单元，用于当所述第一判断结果为当前所述拆分路径中不存在第一响应动作和第二响应动作，则当前所述拆分路径满足当前所述规则；

规则重新选取单元，用于任意选取剩余所述规则中的一项，返回执行“第一判断单元”；

第二分析单元，用于当所述第一判断结果为当前所述拆分路径中存在第一响应动作和/或第二响应动作，则确定当前所述规则的类型；

第二判断单元，用于根据当前所述规则的类型和第一响应动作和/或第二响应动作，判断当前所述拆分路径是否满足当前所述规则，得到第二判断结果；

第三分析单元，用于当所述第二判断结果为否时，则对当前所述拆分路径进行标记，并返回执行“规则重新选取单元”；

第四分析单元，用于当所述第二判断结果为是时，则返回执行“规则重新选取单元”，直至遍历所有所述规则；

拆分路径重新选取单元，用于任意选取剩余所述拆分路径中的一项，返回执行“拆分路径选取单元”，直至遍历所有所述拆分路径。

Images