本申請?zhí)峁┮环N用于處理安全事件的方法、系統(tǒng)、介質及計算機設備，方法包括：接收由監(jiān)測設備發(fā)送的至少一個安全事件，查找至少一個安全事件對應的劇本；為每個劇本創(chuàng)建對應的子進程，基于每個子進程調用對應的劇本入口函數(shù)；調用接口為每個劇本的子進程創(chuàng)建至少一個子線程，返回接口的主線程；基于至少一個子線程并行執(zhí)行對應劇本中的各動作函數(shù)；因在對安全事件的響應過程中，可以通過相應的子進程并行執(zhí)行不同的劇本；在執(zhí)行劇本時，因接口在創(chuàng)建當前子線程后，返回主線程，因此各子線程中的動作函數(shù)可并行執(zhí)行，滿足對大規(guī)模安全事件的自動響應，提高對安全事件的響應效率。

技術領域

本申請屬于網(wǎng)絡安全技術領域，尤其涉及一種用于處理安全事件的方法、裝置、介質及計算機設備。

背景技術

在互聯(lián)網(wǎng)領域，一個系統(tǒng)在運行中可能會出現(xiàn)各種各樣的安全風險問題，統(tǒng)稱安全事件，比如：網(wǎng)絡攻擊、病毒入侵、挖礦等。為了確保系統(tǒng)可以安全運行，會對系統(tǒng)進行監(jiān)控、告警、響應和恢復，以解決出現(xiàn)的各種安全風險問題，實現(xiàn)安全防護。

現(xiàn)有技術中，一般是基于安全編排與自動化響應(SOAR，SecurityOrchestration,Automation and Response)理念預先編排劇本實現(xiàn)安全防護。SOAR的核心理念主要是收集來自不同數(shù)據(jù)源的安全威脅和情報數(shù)據(jù)，進行事故分析和分類，若確定存在安全事件，執(zhí)行劇本的處理邏輯形成響應動作，將響應動作下發(fā)到安全設備進行聯(lián)動響應，實現(xiàn)對安全事件的標準反應活動，進而形成對安全事件標準化響應的流程。

但是現(xiàn)有技術在對安全事件進行響應時，存在以下弊端：對安全事件響應慢、處理慢、且對未知風險的處理效率較低等，特別是針對大規(guī)模安全事件，自動響應能力嚴重不足。

發(fā)明內(nèi)容

針對現(xiàn)有技術存在的問題，本申請實施例提供了一種用于處理安全事件的方法、裝置、介質及計算機設備，用于解決現(xiàn)有技術中對系統(tǒng)進行安全防護時，對大規(guī)模安全事件的自動響應較慢、處理效率低，導致無法應對大規(guī)模安全事件發(fā)生場景的技術問題。

第一方面，本申請?zhí)峁┮环N用于處理安全事件的方法，所述方法包括：

接收由監(jiān)測設備發(fā)送的至少一個安全事件；

查找所述至少一個安全事件對應的劇本，所述劇本為用于響應所述安全事件的文件；

為每個所述劇本創(chuàng)建對應的子進程，基于每個所述子進程調用對應的劇本入口函數(shù)，以能載入各所述安全事件對應的劇本；

在并行執(zhí)行各劇本時，調用預設的接口為每個所述劇本的子進程創(chuàng)建至少一個子線程，并返回所述接口的主線程；

基于所述至少一個子線程執(zhí)行對應劇本中的各動作函數(shù)，以能請求調用外部執(zhí)行設備通過所述動作函數(shù)響應對應的安全事件。

可選的，所述接收由監(jiān)測設備發(fā)送的至少一個安全事件之后，還包括：

將所述至少一個安全事件存儲至預先設置的事件隊列中；

判斷所述事件隊列中的安全事件數(shù)量是否達到預設的數(shù)量閾值，若確定所述安全事件數(shù)量達到所述數(shù)量閾值時，則暫停接收后續(xù)的所述安全事件。

可選的，所述查找所述至少一個安全事件對應的劇本，包括：

針對任一安全事件，獲取所述安全事件的標簽；

基于所述安全事件的標簽，在數(shù)據(jù)庫中對所有劇本的劇本屬性進行過濾，獲得與所述安全事件標簽一致的劇本屬性；

基于所述劇本屬性，提取出對應的劇本。

可選的，所述為每個所述劇本創(chuàng)建對應的子進程之前，還包括：