CN114448693A

CN114448693A - 结合rpa和ai的安全控制方法、装置、电子设备和介质

Info

Publication number: CN114448693A
Application number: CN202210082060.7A
Authority: CN
Inventors: 焦栋
Original assignee: Laiye Technology Beijing Co Ltd
Current assignee: Laiye Technology Beijing Co Ltd
Priority date: 2022-01-24
Filing date: 2022-01-24
Publication date: 2022-05-06

Abstract

本公开实施例公开了一种结合RPA和AI的安全控制方法、装置、设备及介质。其中，该方法包括：RPA巡检机器人在对监测的目标日志进行巡检的过程中，对所巡检到的目标设备的日志数据进行采集，并基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息，以及确定关键信息对应的分析结果，并在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置。由此，采用RPA和AI结合的方式，实现了安全问题监测以及响应地自动化，可大幅降低人工成本，有效提高安全控制效率，准确、快捷地完成安全控制。

Description

结合RPA和AI的安全控制方法、装置、电子设备和介质

技术领域

本公开涉及机器人流程自动化和人工智能技术领域，尤其涉及一种结合机器人流程自动化(Robotic Process Automation，RPA)和人工智能(Artificial Intelligence，AI)安全控制方法、装置、电子设备和介质。

背景技术

机器人流程自动化(Robotic Process Automation，RPA)，是通过特定的“机器人软件”，模拟人在计算机上的操作，按规则自动执行流程任务。

人工智能(Artificial Intelligence，AI)是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门技术科学。

随着现代信息化技术的快速发展，全球已进入互联网+大数据+人工智能时代。网络在带给我们生活便利的同时，各种网络安全威胁也层出不穷。相关技术中，通常对设备的网络安全情况进行检测，并存在网络安全问题的情况下通常人工的方式进行处理。然而，相关技术中的安全检测、安全问题响应均处于被动防范和被动阻止阶段，需要大量的人工操作、人工干预、经验判断，浪费人力且响应不及时。

发明内容

本公开实施例公开一种结合RPA和AI的安全控制方法、装置、电子设备和介质，以解决相关技术存在的问题，技术方案如下：

第一方面，本公开实施例公开了一种结合RPA和AI的安全控制方法，应用于RPA巡检机器人，所述方法包括：对所巡检到的目标设备的日志数据进行采集；基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息；确定所述关键信息对应的分析结果；在所述分析结果包括所述异常网络行为对应的攻击类型，且在网络安全知识库中存在与所述攻击类型对应的处置策略时，根据所述处置策略对所述异常网络行为进行处置。

在一种实施方式中，所述方法还包括：在所述分析结果包括所述异常网络行为对应的攻击类型，且在所述网络安全知识库中未存在与所述攻击类型对应的处置策略时，向与所述攻击类型对应的运维人员的终端设备发送提醒信息，其中，所述提醒信息包括：所述异常网络行为的关键信息。

在一种实施方式中，所述方法还包括：在所述分析结果中未包括所述异常网络行为的攻击类型时，根据所述关键信息，判断所述异常网络行为是否属于误报；在所述异常网络行为不属于误报的情况下，对所述关键信息中可疑的统一资源定位符URL或者互联网协议IP地址进行封堵。

在一种实施方式中，所述方法还包括：在所述异常网络行为属于误报的情况下，生成所述关键信息对应的工单，并将所述工单发送至指定的运维人员的终端设备。

在一种实施方式中，所述确定所述关键信息对应的分析结果，包括：将所述关键信息上传至网络安全分析系统；接收所述网络安全分析系统返回的分析结果。

在一种实施方式中，所述根据所述处置策略对所述异常网络行为进行处置，包括：根据所述处置策略，调用对应的RPA处置机器人，以通过所述RPA处置机器人对所述异常网络行为进行处置。

第二方面，本公开实施例提供了一种结合RPA和AI的安全控制装置，应用于RPA巡检机器人，所述装置包括：采集模块，用于对所巡检到的目标设备的日志数据进行采集；提取模块，用于基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息；确定模块，用于确定所述关键信息对应的分析结果；处置模块，用于在所述分析结果包括所述异常网络行为对应的攻击类型，且在网络安全知识库中存在与所述攻击类型对应的处置策略时，根据所述处置策略对所述异常网络行为进行处置。

在一种实施方式中，所述装置还包括：第一发送模块，用于在所述分析结果包括所述异常网络行为对应的攻击类型，且在所述网络安全知识库中未存在与所述攻击类型对应的处置策略时，向与所述攻击类型对应的运维人员的终端设备发送提醒信息，其中，所述提醒信息包括：所述异常网络行为的关键信息。

在一种实施方式中，所述装置还包括：判断模块，用于在所述分析结果中未包括所述异常网络行为的攻击类型时，根据所述关键信息，判断所述异常网络行为是否属于误报；封堵模块，用于在所述异常网络行为不属于误报的情况下，对所述关键信息中可疑的统一资源定位符URL或者互联网协议IP地址进行封堵。

在一种实施方式中，所述装置还包括：第二发送模块，用于在所述异常网络行为属于误报的情况下，生成所述关键信息对应的工单，并将所述工单发送至指定的运维人员的终端设备。

在一种实施方式中，所述确定模块，具体用于：将所述关键信息上传至网络安全分析系统；接收所述网络安全分析系统返回的分析结果。

在一种实施方式中，所述处置模块，具体用于：根据所述处置策略，调用对应的RPA处置机器人，以通过所述RPA处置机器人对所述异常网络行为进行处置。

第三方面，本公开实施例还公开了一种RPA巡检机器人的确定方法，所述方法包括：确定安全控制流程，其中，所述安全控制流程包括多个步骤，其中，所述步骤包括日志数据采集步骤、异常网络行为的关键信息的提取步骤、关键信息对应的分析结果的确定步骤，所述异常网络行为的处置步骤；确定多个所述步骤的处理逻辑；对各个所述步骤的处理逻辑进行组合，以得到所述安全控制流程的处理逻辑；将所述安全控制流程的处理逻辑加载到所述RPA机器人，以得到用于安全控制的RPA巡检机器人。第四方面，本公开实施例还公开了一种RPA巡检机器人，该RPA巡检机器人包括：第二方面实施例公开的结合RPA和AI的安全控制装置。

第五方面，本公开实施例还公开了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，该处理器执行计算机程序时，实现如本公开上述第一方面实施例所述的方法。

本公开第六方面实施例提出了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如本公开上述第一方面实施例所述的方法。

本公开第七方面实施例提出了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现如本公开上述第一方面实施例所述的方法。

本公开实施例提供的技术方案可以包括以下有益效果：

RPA巡检机器人在对监测的目标日志进行巡检的过程中，对所巡检到的目标设备的日志数据进行采集，并基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息，以及确定关键信息对应的分析结果，并在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置。由此，采用RPA和AI结合的方式，自动实现了对所巡检到的目标设备的日志数据中异常网络行为的关键信息地提取，并自动确定出了异常网络行为的攻击类型，并在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置，实现了安全问题监测以及响应地自动化，可大幅降低人工成本，有效提高安全控制效率，准确、快捷地完成安全控制。

本公开的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本公开的实践了解到。

附图说明

在附图中，除非另外规定，否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解，这些附图仅描绘了根据本公开的一些实施方式，而不应将其视为是对本公开范围的限制。

图1是本公开一个实施例的结合RPA和AI的安全控制方法的流程图；

图2是本公开另一个实施例的结合RPA和AI的安全控制方法的流程图；

图3是本公开另一个实施例的结合RPA和AI的安全控制方法的流程图；

图4是本公开一个实施例的结合RPA和AI的安全控制装置的结构示意图；

图5是本公开一个实施例的结合RPA和AI的安全控制装置的结构示意图；

图6是本公开一实施例的电子设备的结构框图。

具体实施方式

下面详细描述本公开的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本公开，而不能理解为对本公开的限制。

在本公开的描述中，术语“多个”指两个或两个以上。

为了清楚说明本发明的各实施例，首先对本发明实施例中涉及到的技术名词进行解释说明。

在本公开的描述中，术语“OCR”是指光学字符识别(Optical CharacterRecognition)，具体是指电子设备检查纸上打印的字符，通过检测暗、亮的模式确定其形状，然后用字符识别方法将形状翻译成计算机文字的过程；即，针对印刷体字符，采用光学的方式将纸质文档中的文字转换成为黑白点阵的图像文件，并通过识别软件将图像中的文字转换成文本格式，供文字处理软件进一步编辑加工的技术。

在本公开的描述中，术语“RPA巡检机器人”是指可自动设备进行安全巡检的RPA机器人，该RPA巡检机器人除了具有安全巡检功能外，在一些实施例中，该RPA巡检机器人还可以具有对安全问题进行处置的功能。

在本公开的描述中，术语“目标设备”，是指需要检测是否受到网络攻击的设备，目标设备可以包括但不限于安全设备、网络设备、服务器、主机等。

在本公开的描述中，术语“网络安全知识库”，是指对各种已知攻击类型对应的处置策略进行存储的数据库。

在本公开的描述中，术语“处置策略”，是指对处置对应攻击类型的异常网络行为的处置流程的描述。

在本公开的描述中，术语“异常网络行为”，是指在网络入侵检测中，如果待检测的行为在一定程度上偏离该正常行为模型，则确定该行为异常网络行为。

在本公开的描述中，术语“RPA处置机器人”，是指可以对异常网络行为进行自动处置的RPA机器人。

参照下面的描述和附图，将清楚本公开的实施例的这些和其他方面。在这些描述和附图中，具体公开了本公开的实施例中的一些特定实施方式，来表示实施本公开的实施例的原理的一些方式，但是应当理解，本公开的实施例的范围不受此限制。相反，本公开的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。

以下结合附图描述根据本公开实施例的结合RPA和AI的安全控制方法、装置、电子设备和存储介质。

图1是本公开实施例提供的一种结合RPA和AI的安全控制方法的流程示意图。如图1所示，该方法包括：

步骤101，对所巡检到的目标设备的日志数据进行采集。

其中，需要说明的是，结合RPA和AI的安全控制方法，由结合RPA和AI的安全控制装置执行，结合RPA和AI的安全控制装置，可以由RPA巡检机器人实现，例如，结合RPA和AI的安全控制装置可以为RPA巡检机器人，可以配置在RPA巡检机器人中，本公开对此不作限制。

其中，RPA巡检机器人可以配置在电子设备中，该电子设备可以包括但不限于终端设备、服务器等，该实施例对电子设备不作具体限定。本公开实施例以结合RPA和AI的安全控制装置为终端设备中安装的RPA巡检机器人为例进行示例性说明。

其中，本实施例中的RPA巡检机器可以在特定的时间段，或者全天实时执行该方法，本公开对此不作限制。

其中，特定的时间段可以由安全运维人员设定。

在另一些实施例中，上述RPA巡检机器还可以是基于接收到启动指令而启动的。例如，安全运维人员可通过对话的方式触发针对RPA巡检机器的上述启动指令。其中，触发针对RPA巡检机器的启动指令可通过多种方式实现，例如，可通过语音和/或文字的方式触发RPA巡检机器的启动指令，又例如，还可以通过触发对话交互界面上的指定控件的方式来触发RPA巡检机器的启动指令，该实施例对此不作具体限定。

在一些实施例中，为了可以快速确定目标设备中的异常网络行为的关键信息，上述RPA巡检机器人在对目标设备进行安全巡检的过程中，RPA巡检机器人可对目标设备中的安全防护软件的日志数据进行采集。

在一些实施例中，RPA巡检机器人可通过对日志数据进行截图的方式，来实现采集日志数据。在另一些实施例中，RPA巡检机器人可通过对日志数据进行复制的方式来实现对日志数据的采集。

步骤102，基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息。

在一些实施例中，在RPA巡检机器人通过截图的方式对日志数据进行采集的情况下，可先通过采用光学字符识别OCR技术对包含日志数据的截图进行识别，以得到截图上的日志数据，并基于自然语言处理(Natural Language Processing，NLP)技术，从日志数据中提取异常网络行为的关键信息。

其中，关键信息可以包括但不限于源IP、目的IP、攻击方式、预警级别、攻击结果和攻击时间、外连接未知统一资源定位符(Uniform Resource Locator，URL)、互联网协议(Internet Protocol Address，IP)地址、恶意数据包、恶意流量、可疑程序进程、可疑恶意文件、中央处理器(central processing unit，CPU)使用率过高等。

步骤103，确定关键信息对应的分析结果。

在一些实施例中，上述确定关键信息对应的分析结果可通过多种方式实现，示例性说明如下：

作为一种示例，RPA巡检机器人可对关键信息分析，以确定异常网络行为是否对目标设备造成网络攻击，并在确定异常网络行为对目标设备造成网络攻击的情况下，基于关键信息确定异常网络行为对目标设备造成的攻击类型。

其中，攻击类型可以包括但不限于拒绝服务、漏洞攻击、网络扫描窃听、网络钓鱼、网络干扰等类型。

作为另一种示例，RPA巡检机器人可将关键信息上传至网络安全分析系统，以及接收网络安全分析系统返回的分析结果。

其中，需要说明的是，网络安全分析系统对关键信息进行分析可通过相关技术实现，该实施例对此仅进行示例性描述，具体实现可参见相关技术。

作为一种示例，网络安全分析系统可以包括威胁情报系统和沙盒系统。可通过威胁情报系统和沙盒系统对关键信息进行分析，以得到分析结果。例如，关键信息中包括可疑邮件的发件人、附件信息、URL链接和IP，然后，将可疑邮件的发件人、URL链接和IP查询威胁情报系统，并将附件信息送入沙箱系统进行分析，并根据威胁情报系统和沙箱系统返回的信息，确定该关键信息对应的分析结果。

步骤104，在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置。

在一些实施例中，RPA巡检机器人可根据处置策略对目标设备上的异常网络行为进行处置。

在另一些实施例中，RPA巡检机器人在获得处置策略后，还可以根据处置策略，调用对应的RPA处置机器人，以通过RPA处置机器人对异常网络行为进行处置。

本公开实施例的结合RPA和AI的安全控制方法，RPA巡检机器人在对监测的目标日志进行巡检的过程中，对所巡检到的目标设备的日志数据进行采集，并基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息，以及确定关键信息对应的分析结果，并在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置。由此，采用RPA和AI结合的方式，自动实现了对所巡检到的目标设备的日志数据中异常网络行为的关键信息地提取，并自动确定出了异常网络行为的攻击类型，并在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置，实现了安全问题监测以及响应地自动化，可大幅降低人工成本，有效提高安全控制效率，准确、快捷地完成安全控制。

图2是本公开另一个实施例的结合RPA和AI的安全控制方法的流程图。

如图2所示，该方法可包括以下步骤：

步骤201，对所巡检到的目标设备的日志数据进行采集。

步骤202，基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息。

步骤203，确定关键信息对应的分析结果。

步骤204，在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置。

其中，需要说明的是，关于步骤201至步骤204的具体实现方式，可参见上述实施例的相关描述，此处不再赘述。

步骤205，在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中未存在与攻击类型对应的处置策略时，向与攻击类型对应的运维人员的终端设备发送提醒信息。

其中，提醒信息包括：异常网络行为的关键信息。

在本公开的一些实施例中，可获取与该攻击类型对应的运维人员的联系信息，并通过该联系信息向该运维人员的终端设备发送提醒信息。其中，联系信息可以包括但不限于邮箱信息、电话信息。

例如，在获取运维人员的邮箱信息后，RPA巡检机器人可根据邮箱信息向运维人员的终端设备发送包括提醒信息的邮件，从而使得运维人员可及时获知目标设备存在异常网络行为，并对目标设备的异常网络行为进行及时处置。

在一些实施例中，为了使得后续使得RPA巡检机器人可自动处置该攻击类型的异常网络行为，对应运维人员还可以将处置该异常网络行为的处置策略存储在网络安全知识库。

在本实施例中，在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中未存在与攻击类型对应的处置策略时，RPA巡检机器人向与攻击类型对应的运维人员的终端设备发送提醒信息。由此，使得运维人员无需人工对目标设备的日志数据进行分析，通过RPA巡检机器发送的提醒信息，即可及时获知目标设备存在的异常网络行为，继而可及时对目标设备存在的异常网络行为进行处置，提升安全响应效率。

基于上述任意一个实施例的基础上，在分析结果中未包括异常网络行为的攻击类型时，根据关键信息，判断异常网络行为是否属于误报，并在异常网络行为不属于误报的情况下，对关键信息中可疑的统一资源定位符URL或者互联网协议IP地址进行封堵。由此，RPA巡检机器人实现了对异常网络行为是否为误报情况地自动分析，并在异常网络行为不属于误报的情况下，实现对可疑的URL或者IP地址进行自动封堵，避免可疑的URL或者IP地址对目标设备的网络安全造成影响，实现了可疑的URL或者IP地址自动化处理。

在本公开的一些实施例中，为使得运维人员可以及时获知目标设备中是否存在误报的异常网络行为，并可及时基于误报的异常网络行为，调整对应规则，在异常网络行为属于误报的情况下，生成关键信息对应的工单，并将工单发送至指定的运维人员的终端设备。对应地，对应运维人员接收到工单后，结合工单中的关键信息，对对应规则进行调整，从而避免再次出现误报的情况。

为了可以清楚了解本公开下面结合图3对该实施例的结合RPA和AI的安全控制方法进行进一步描述。其中，需要说明的是，本实施例中以RPA机器人包括RPA巡检机器人以及RPA处置机器人为例进行描述。

图3是本公开另一个实施例的结合RPA和AI的安全控制方法的流程图。

如图3所示，可以包括：

步骤301，在启动RPA巡检机器人后，RPA巡检机器人按照预先的设备巡检顺序，对待巡检的多个设备进行依次巡检。

步骤302，RPA巡检机器人对于当前巡检到的目标设备，可对目标设备的日志数据进行采集。

步骤303，RPA巡检机器人基于NLP技术，对采集到的日志数据进行异常网络行为的关键信息提取。

步骤304，RPA巡检机器人将提取到的关键信息上传至网络安全分析系统。

步骤305，RPA巡检机器人获取网络安全分析系统返回的分析结果。

步骤306，RPA巡检机器人判断分析结果中是否包括异常网络行为对应的攻击类型，如果否，则执行步骤307，如果是，则执行步骤310。

步骤307，RPA巡检机器人根据关键信息，判断异常网络行为是否属于误报，如果否，则RPA巡检机器人执行步骤308，如果是，则RPA巡检机器人执行步骤309。

步骤308，RPA巡检机器人对关键信息中可疑的统一资源定位符URL或者互联网协议IP地址进行封堵。

步骤309，RPA巡检机器人生成关键信息对应的工单，并将工单发送至指定的运维人员的终端设备。

对应地，运维人员在获得工单后，可对运维规则进行优化，从而避免再次出现误报情况。

步骤310，RPA巡检机器人查询网络安全知识库中是否存在与该攻击类型对应的处置策略，如果是，则RPA巡检机器人执行步骤311，如果否，则RPA巡检机器人执行步骤312。

步骤311，RPA巡检机器人根据处置策略，调用对应的RPA处置机器人，以通过RPA处置机器人对异常网络行为进行处置。

步骤312，RPA巡检机器人通过邮件的方式向与攻击类型对应的运维人员的终端设备发送提醒信息，其中，提醒信息包括：异常网络行为的关键信息。

也就是说，RPA巡检机器人在确定网络安全知识库中未存在与攻击类型对应的处置策略时，RPA巡检机器人自动发送邮件给与该攻击类型对应的运维人员，从而使得运维人员可对目标设备进行及时人工干预，及时处置目标设备中的异常网络行为。

另外，运维人员在处置该异常网络行为后，还可以将该异常网络行为对应的攻击类型的处置策略保存到网络安全知识库中，从而使得后续RPA巡检机器人可自动处理该攻击类型的问题，提升安全响应效率。

步骤313，对话机器人接收运维人员发送的查询请求，其中，查询请求包括攻击类型；

步骤314，对话机器人从网络安全知识库中获取与该攻击类型对应的查询结果，并将查询结果返回给运维人员。

在一些实施例中，对话机器人可以通过语音或者文字的形式向运维人员提供查询结果。

在本实施例中，通过人工智能技术，提取数据特征、智能分析，快速发现异常并匹配对应的处置策略，通过自动化技术，实现安全问题的检测以及自动处置，从而缩短响应时间。

另外，本实施例还可以让安全专家从繁重的重复劳动中释放出来，将时间放在更有价值的安全分析、威胁猎捕、流程建立等工作上。并且，还有助于将复杂的事件响应过程转换为一致的、可重复的、可度量的工作流。将组织的安全运营流程数字化管理起来，每一次安全事件的对应处置过程都在统一标准，统一步骤下执行，有迹可循，避免人员能力的差距导致的处置实际效果不可控。

另外，在本实施例中，将处置预案沉淀至网络安全知识库，让不同的人都可以遵循同样的方法来完成特定安全问题的处置流程，避免因为个人的离职导致某个领域的安全能力缺失。

为了实现上述实施例，本公开还提出了一种结合RPA和AI的安全控制装置。

图4是本公开实施例提供的一种结合RPA和AI的安全控制装置的结构示意图。

如图4所示，结合RPA和AI的安全控制装置40可以应用在RPA巡检机器人，装置40包括：

采集模块401，用于对所巡检到的目标设备的日志数据进行采集。

提取模块402，用于基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息。

确定模块403，用于确定关键信息对应的分析结果。

处置模块404，用于在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置。

本公开实施例的结合RPA和AI的安全控制装置，RPA巡检机器人在对监测的目标日志进行巡检的过程中，对所巡检到的目标设备的日志数据进行采集，并基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息，以及确定关键信息对应的分析结果，并在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置。由此，采用RPA和AI结合的方式，自动实现了对所巡检到的目标设备的日志数据中异常网络行为的关键信息地提取，并自动确定出了异常网络行为的攻击类型，并在网络安全知识库中存在与攻击类型对应的处置策略时，根据处置策略对异常网络行为进行处置，实现了安全问题监测以及响应地自动化，可大幅降低人工成本，有效提高安全控制效率，准确、快捷地完成安全控制。

在本公开的一个实施例中，在图4所示的装置实施例的基础上，如图5所示，该装置40还可以包括：

第一发送模块405，用于在分析结果包括异常网络行为对应的攻击类型，且在网络安全知识库中未存在与攻击类型对应的处置策略时，向与攻击类型对应的运维人员的终端设备发送提醒信息，其中，提醒信息包括：异常网络行为的关键信息。

在本公开的一个实施例中，如图5所示，该装置还可以包括：

判断模块406，用于在分析结果中未包括异常网络行为的攻击类型时，根据关键信息，判断异常网络行为是否属于误报。

封堵模块407，用于在异常网络行为不属于误报的情况下，对关键信息中可疑的统一资源定位符URL或者互联网协议IP地址进行封堵。

在本公开的一个实施例中，如图5所示，该装置还可以包括：

第二发送模块408，用于在异常网络行为属于误报的情况下，生成关键信息对应的工单，并将工单发送至指定的运维人员的终端设备。

在本公开的一个实施例中，上述确定模块403，具体用于：将关键信息上传至网络安全分析系统；接收网络安全分析系统返回的分析结果。

在本公开的一个实施例中，上述处置模块404，具体用于：根据处置策略，调用对应的RPA处置机器人，以通过RPA处置机器人对异常网络行为进行处置。

其中，需要说明的是，前述对结合RPA和AI的安全控制方法实施例的解释说明也适用于本实施例的结合RPA和AI的安全控制装置，该实施例对此不再赘述。

本公开还提出了一种RPA巡检机器人的确定方法，该方法包括：确定安全控制流程，其中，安全控制流程包括多个步骤，其中，步骤包括日志数据采集步骤、异常网络行为的关键信息的提取步骤、关键信息对应的分析结果的确定步骤，异常网络行为的处置步骤；确定多个步骤的处理逻辑；对各个步骤的处理逻辑进行组合，以得到安全控制流程的处理逻辑；将安全控制流程的处理逻辑加载到RPA机器人，以得到用于安全控制的RPA巡检机器人。

在一些实施例中，上述RPA巡检机器人的确定方法由RPA机器人的设计平台执行。

作为一种示例性的实施方式，RPA机器人的设计平台可根据设计人员触发的流程设计请求，提供初始的设计交互界面，并根据设计人员在设计交互界面上的编辑操作，确定安全控制流程，针对安全控制流程中的各个步骤，可获取设计人员为各个步骤设计的处理逻辑，然后，可根据各个步骤在安全控制流程中的执行顺序，对各个步骤的处理逻辑进行组合，以得到安全控制流程的处理逻辑；将安全控制流程的处理逻辑加载到RPA机器人，以得到用于安全控制的RPA巡检机器人。

本公开实施例还公开了一种RPA巡检机器人，该RPA巡检机器人包括：第二方面实施例公开的结合RPA和AI的安全控制装置。

其中，关于结合RPA和AI的安全控制装置的解释说明可参见上述实施例的相关描述，此处不再赘述。

为了实现上述实施例，本公开还提出了一种电子设备。

图6是本公开一实施例的电子设备的结构框图。

如图6所示，该电子设备包括：存储器610和处理器620，存储器610内存储有可在处理器620上运行的计算机程序。处理器620执行该计算机程序时实现上述实施例中的结合RPA和AI的安全控制方法。存储器610和处理器620的数量可以为一个或多个。

该电子设备还包括：

通信接口630，用于与外界设备进行通信，进行数据交互传输。

如果存储器610、处理器620和通信接口630独立实现，则存储器610、处理器620和通信接口630可以通过总线相互连接并完成相互间的通信。该总线可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外部设备互连(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture，EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选的，在具体实现上，如果存储器610、处理器620及通信接口630集成在一块芯片上，则存储器610、处理器620及通信接口630可以通过内部接口完成相互间的通信。

本公开实施例提供了一种计算机可读存储介质，其存储有计算机程序，该程序被处理器执行时实现本公开实施例中提供的方法。

本公开实施例还提供了一种芯片，该芯片包括，包括处理器，用于从存储器中调用并运行存储器中存储的指令，使得安装有芯片的通信设备执行本公开实施例提供的方法。

本公开实施例还提供了一种芯片，包括：输入接口、输出接口、处理器和存储器，输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连，处理器用于执行存储器中的代码，当代码被执行时，处理器用于执行公开实施例提供的方法。

应理解的是，上述处理器可以是中央处理器(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(digital signal processing，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程门阵列(fieldprogrammable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是，处理器可以是支持进阶精简指令集机器(advanced RISC machines，ARM)架构的处理器。

进一步地，可选的，上述存储器可以包括只读存储器和随机存取存储器，还可以包括非易失性随机存取存储器。该存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以包括只读存储器(read-onlymemory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以包括随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用。例如，静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic random access memory，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data date SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhancedSDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct ram bus RAM，DR RAM)。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本公开的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包括于本公开的至少一个实施例或示例中。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本公开的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分。并且本公开的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。

应理解的是，本公开的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。上述实施例方法的全部或部分步骤是可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本公开各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读存储介质中。该存储介质可以是只读存储器，磁盘或光盘等。

以上，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到其各种变化或替换，这些都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以权利要求的保护范围为准。

Claims

1.一种结合机器人流程自动化RPA和人工智能AI的安全控制方法，其特征在于，应用于RPA巡检机器人，所述方法包括：

对所巡检到的目标设备的日志数据进行采集；

基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息；

确定所述关键信息对应的分析结果；

在所述分析结果包括所述异常网络行为对应的攻击类型，且在网络安全知识库中存在与所述攻击类型对应的处置策略时，根据所述处置策略对所述异常网络行为进行处置。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述分析结果包括所述异常网络行为对应的攻击类型，且在所述网络安全知识库中未存在与所述攻击类型对应的处置策略时，向与所述攻击类型对应的运维人员的终端设备发送提醒信息，其中，所述提醒信息包括：所述异常网络行为的关键信息。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述分析结果中未包括所述异常网络行为的攻击类型时，根据所述关键信息，判断所述异常网络行为是否属于误报；

在所述异常网络行为不属于误报的情况下，对所述关键信息中可疑的统一资源定位符URL或者互联网协议IP地址进行封堵。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

在所述异常网络行为属于误报的情况下，生成所述关键信息对应的工单，并将所述工单发送至指定的运维人员的终端设备。

5.根据权利要求1-4所述的方法，其特征在于，所述确定所述关键信息对应的分析结果，包括：

将所述关键信息上传至网络安全分析系统；

接收所述网络安全分析系统返回的分析结果。

6.根据权利要求1所述的方法，其特征在于，所述根据所述处置策略对所述异常网络行为进行处置，包括：

根据所述处置策略，调用对应的RPA处置机器人，以通过所述RPA处置机器人对所述异常网络行为进行处置。

7.一种结合RPA和AI的安全控制装置，其特征在于，应用于RPA巡检机器人，所述装置包括：

采集模块，用于对所巡检到的目标设备的日志数据进行采集；

提取模块，用于基于自然语言处理NLP技术，从采集到的日志数据中提取异常网络行为的关键信息；

确定模块，用于确定所述关键信息对应的分析结果；

处置模块，用于在所述分析结果包括所述异常网络行为对应的攻击类型，且在网络安全知识库中存在与所述攻击类型对应的处置策略时，根据所述处置策略对所述异常网络行为进行处置。

8.根据权利要求7所述的装置，其特征在于，所述装置还包括：

第一发送模块，用于在所述分析结果包括所述异常网络行为对应的攻击类型，且在所述网络安全知识库中未存在与所述攻击类型对应的处置策略时，向与所述攻击类型对应的运维人员的终端设备发送提醒信息，其中，所述提醒信息包括：所述异常网络行为的关键信息。

9.根据权利要求7所述的装置，其特征在于，所述装置还包括：

判断模块，用于在所述分析结果中未包括所述异常网络行为的攻击类型时，根据所述关键信息，判断所述异常网络行为是否属于误报；

封堵模块，用于在所述异常网络行为不属于误报的情况下，对所述关键信息中可疑的统一资源定位符URL或者互联网协议IP地址进行封堵。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括：

第二发送模块，用于在所述异常网络行为属于误报的情况下，生成所述关键信息对应的工单，并将所述工单发送至指定的运维人员的终端设备。

11.根据权利要求7-10所述的装置，其特征在于，所述确定模块，具体用于：

将所述关键信息上传至网络安全分析系统；

接收所述网络安全分析系统返回的分析结果。

12.根据权利要求7所述的装置，其特征在于，所述处置模块，具体用于：

13.一种RPA巡检机器人的确定方法，其特征在于，所述方法包括：

确定安全控制流程，其中，所述安全控制流程包括多个步骤，其中，所述步骤包括日志数据采集步骤、异常网络行为的关键信息的提取步骤、关键信息对应的分析结果的确定步骤，所述异常网络行为的处置步骤；

确定多个所述步骤的处理逻辑；

对各个所述步骤的处理逻辑进行组合，以得到所述安全控制流程的处理逻辑；

将所述安全控制流程的处理逻辑加载到所述RPA机器人，以得到用于安全控制的RPA巡检机器人。

14.一种RPA巡检机器人，其特征在于，包括：

如权利要求6-12任一项所述的结合RPA和AI的安全控制装置。

15.一种电子设备，其特征在于，包括：处理器和存储器，所述存储器中存储指令，所述指令由处理器加载并执行，以实现如权利要求1至6中任一项所述的方法。

16.一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的方法。