事件处理方法、装置、计算机设备及存储介质制造方法及图纸

本申请公开了一种事件处理方法、装置、计算机设备及存储介质。该方法包括接收待执行事件的事件执行指令，待执行事件对应第一事件处置剧本，第一事件处置剧本包括第一执行环境描述信息；按照预设检测算法，对第一执行环境描述信息进行检测，得到检测结果；在检测结果表示第一执行环境描述信息中包括异常信息的情况下，根据第一事件处置剧本和异常信息，从预设事件处理剧本库中获取第二事件处理剧本；执行与第二事件处理剧本对应的预设任务，得到执行结果。如此，可以感知当前执行环境的运行情况，并在当前执行环境发生变化时，重新确定与待执行事件对应的时间处理剧本，无需人工参与，提高事件处理效率，使得SOAR系统更具可行性和高效性。性和高效性。性和高效性。

【技术实现步骤摘要】
事件处理方法、装置、计算机设备及存储介质


[0001]本申请属于计算机
，具体涉及一种事件处理方法、装置、计算机设备及存储介质。

技术介绍

[0002]随着科技技术的飞速发展，安全编排和自动化响应(Security Orchestration Automation and Response，SOAR)技术的在网络安全领域内成为人们关注的焦点。SOAR系统可以对现有的安全能力进行灵活编排，通过编写剧本(Playbook)完成场景构建，实现自动化的事件处理。
[0003]在相关技术中，基于SOAR系统的事件处理方式通常是根据事件的内容，去触发执行与事件对应的剧本，以完成事件处理，然而，剧本的编排内容(即所包含的规则、可执行的动作、流程)往往是相对固定的，若与剧本对应的执行环境发生变化，则需要人为地重新编排需要执行的剧本或选择与其匹配的剧本，如此，在事件处理过程中，会增加人工干预，影响事件处理效率。

技术实现思路

[0004]本申请实施例提供一种事件处理方法、装置、设备及存储介质，能够解决现有技术中事件处理过程存在人工干预，导致事件处理效率低的问题。
[0005]第一方面，本申请实施例提供一种事件处理方法，该方法可以包括：
[0006]接收待执行事件的事件执行指令，待执行事件对应第一事件处置剧本，第一事件处置剧本包括执行第一事件处置剧本的第一执行环境描述信息；
[0007]按照预设检测算法，对第一执行环境描述信息进行检测，得到检测结果；
[0008]在检测结果表示第一执行环境描述信息中包括异常信息的情况下，根据第一事件处置剧本和异常信息，从预设事件处理剧本库中获取第二事件处理剧本，异常信息为当前不能执行第一事件处置剧本的对象的信息；
[0009]执行与第二事件处理剧本对应的预设任务，得到事件执行指令的执行结果。
[0010]第二方面，本申请实施例提供了一种事件处理装置，该装置可以包括：
[0011]接收模块，用于接收待执行事件的事件执行指令，待执行事件对应第一事件处置剧本，第一事件处置剧本包括执行第一事件处置剧本的第一执行环境描述信息；
[0012]检测模块，用于按照预设检测算法，对检测第一执行环境描述信息进行检测，得到检测结果；
[0013]获取模块，用于在检测结果表示第一执行环境描述信息中包括异常信息的情况下，根据第一事件处置剧本和异常信息，从预设事件处理剧本库中获取第二事件处理剧本，异常信息为当前不能执行第一事件处置剧本的对象的信息；
[0014]执行模块，用于执行与第二事件处理剧本对应的预设任务，得到事件执行指令的执行结果。
[0015]第三方面，本申请实施例提供了一种计算设备，该计算设备包括：处理器以及存储有计算机程序指令的存储器；
[0016]处理器执行计算机程序指令时实现如第一方面所示的事件处理方法。
[0017]第四方面，本申请实施例提供了一种计算机存储介质，计算机存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现如第一方面所示的事件处理方法。
[0018]第五方面，本申请实施例提供了一种芯片，芯片包括处理器和通信接口，通信接口和处理器耦合，处理器用于运行程序或指令，实现如第一方面所示的事件处理方法。
[0019]第六方面，本申请实施例提供一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如第一方面所示的事件处理方法。
[0020]本申请实施例的事件处理方法、装置、设备及存储介质，接收待执行事件的事件执行指令，待执行事件对应第一事件处置剧本，第一事件处置剧本包括执行第一事件处置剧本的第一执行环境描述信息，接着，按照预设检测算法，对第一执行环境描述信息进行检测，得到检测结果，再者，在检测结果表示第一执行环境描述信息中包括异常信息的情况下，根据第一事件处置剧本和异常信息，从预设事件处理剧本库中获取第二事件处理剧本，异常信息为当前不能执行第一事件处置剧本的对象的信息，然后，执行与第二事件处理剧本对应的预设任务，得到事件执行指令的执行结果。如此，本申请实施例提供的事件处理方法，可以感知当前执行环境如执行事件处置剧本的设备、与设备对应的接口的运行情况，并在当前执行环境发生变化时，重新确定与待执行事件对应的时间处理剧本，无需人工参与，减少了因当前执行环境变化后人为调整事件处置剧本的操作，提高了事件处理效率，使得SOAR系统更具可行性和高效性。
附图说明
[0021]为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0022]图1为本申请实施例提供的一种事件处理方法的流程图；
[0023]图2为本申请实施例提供的一种事件处理架构的结构示意图；
[0024]图3为本申请实施例提供的一种事件处理方法的流程示意图；
[0025]图4为本申请实施例提供的一种事件处理方法中提取异常信息的流程示意图；
[0026]图5是本申请一个实施例提供的事件处理装置的结构示意图；
[0027]图6是本申请一个实施例提供的计算机设备的结构示意图。
具体实施方式
[0028]下面将详细描述本申请的各个方面的特征和示例性实施例，为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本申请进行进一步详细描述。应理解，此处所描述的具体实施例仅意在解释本申请，而不是限定本申请。对于本领域技术人员来说，本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。
[0029]需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实
体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0030]近些年SOAR技术在网络安全领域内流行，越来越多的平台开始部署SOAR系统，通过SOAR系统自动化的手段调用安全能力，解决在安全事件分析、研判和处置等环节过渡依赖人工的问题。安全资源池可以为物理或虚拟安全功能组件的集合，安全功能组件可以包括防火墙、下一代防火墙、全球广域网(World Wide Web，Web)应用防火墙等安全设备或系统等，该安全功能组件既可以包括基于网络流量的防御能力，也包括基于应用、甚至基于用户等多维度的防御/检测能力本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种事件处理方法，其特征在于，包括：接收待执行事件的事件执行指令，所述待执行事件对应第一事件处置剧本，所述第一事件处置剧本包括执行所述第一事件处置剧本的第一执行环境描述信息；按照预设检测算法，对所述第一执行环境描述信息进行检测，得到检测结果；在所述检测结果表示所述第一执行环境描述信息中包括异常信息的情况下，根据所述第一事件处置剧本和异常信息，从预设事件处理剧本库中获取第二事件处理剧本，所述异常信息为当前不能执行所述第一事件处置剧本的对象的信息；执行与所述第二事件处理剧本对应的预设任务，得到所述事件执行指令的执行结果。2.根据权利要求1所述的方法，其特征在于，所述事件执行指令包括事件类型；所述接收待执行事件的事件执行指令之后，所述方法还包括：通过预设事件解析算法，对所述事件执行指令中的待执行事件进行解析，得到事件解析结果；从所述事件解析结果中提取所述待执行事件的事件类型；根据预设事件类型和预设事件处置剧本的关联信息，从所述预设事件处理剧本库中，获取与所述事件类型对应的第一事件处置剧本。3.根据权利要求2所述的方法，其特征在于，所述从所述预设事件处理剧本库中，获取与所述事件类型对应的第一事件处置剧本，包括：在从所述预设事件处理剧本库中获取到与所述事件类型对应的N个事件处置剧本的情况下，显示提示信息，所述提示信息用于提示用户在所述N个事件处理剧本中选择一个与所述事件执行指令对应的事件处理剧本，N为大于1的正整数；在接收到对所述N个事件处置剧本的第一输入的情况下，将与所述第一输入对应的事件处理剧本确定为所述第一时间处理剧本。4.根据权利要求1所述的方法，其特征在于，所述第一执行环境描述信息包括执行所述第一事件处置剧本的多个设备的每个设备的网络地址信息、与所述每个设备对应的接口信息和与所述接口信息对应接口的工作状态信息。5.根据权利要求4所述的方法，其特征在于，所述预设检测算法包括预设网络诊断工具算法、预设接口连接测试算法和预设接口应用测试算法；所述检测结果包括第一检测结果、第二检测结果和第三检测结果；所述按照预设检测算法，对所述第一执行环境描述信息进行检测，得到检测结果，包括：按照所述预设网络诊断工具算法，检测与所述网络地址信息对应的设备，得到所述设备当前是否能执行所述第一事件处置剧本的第一检测结果；按照所述预设接口连接测试算法，检测与所述接口信息对应的接口，得到与所述接口信息对应的接口当前是否能连接的第二检测结果；以及，按照所述预设接口应用测试算法，检测与所述接口信息对应的接口当前是否能执行所述第一事件处置剧本的第三检测结果。6.根据权利要求5所述的方法，其特征在于，所述对象包括下述中的至少一种：设备、接口、代码资源；所述异常信息包括下述中的至少一种：所述第一检测结果中所述设备当前不能执行所述第一事件处置剧本的信息、所述第二检测结果中与所述接口信息对应的接口当
前不能连接的信息、所述第三检测结果中与所述接口信息对应的接口当前不能执行所述第一事件处置剧本的信息；所述根据所述第一事件处置剧本和异常信息，从预设事件处理剧本库中获取第二事件处理剧本，...

【专利技术属性】
技术研发人员：冀文，白国涛，舒敏根，张春，罗彭彭，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：