本發明涉及一種基于SOAR系統的網絡攻擊事件阻止方法及系統，包括：根據不同網絡攻擊事件的響應動作的發生順序編寫規則劇本；將目標網絡攻擊事件的各響應動作編寫成事件響應劇本；利用深度優先搜索方法對事件響應劇本中的各路徑進行拆分，得到多個拆分路徑；將每個拆分路徑與規則劇本中的所有規則進行比對，得到比對結果；根據比對結果，得到安全響應劇本；基于安全響應劇本阻止目標網絡攻擊事件。本發明中，通過設計規則劇本，將事件響應劇本中的各個路徑分別與所有規則進行比對，使得各路徑能夠滿足各項規則，從而得到應對網絡攻擊事件的安全性更高的響應劇本，減少安全事件響應過程中由不合理的執行順序導致的危害，構建了更完全網絡環境。

技術領域

本發明涉及網絡安全技術領域，特別是涉及一種基于SOAR系統(安全編排自動化與響應系統)的網絡攻擊事件阻止方法及系統。

背景技術

安全編排自動化與響應(SOAR)系統中用戶通過編寫劇本將一系列處置動作連接起來，完成對一類安全事件的響應。當事件到達SOAR系統，會觸發相應劇本；劇本中的各動作節點依序自動執行，完成對事件的處理。與傳統的基于人工監控、手工處理相比，SOAR系統可以節省大量時間。但是，不合理的動作執行順序，可能會帶來次生安全風險。所以依據當前的SOAR系統編寫的事件響應劇本應對網絡攻擊事件時存在一定的次生安全風險。針對該問題，本發明提出了一種基于安全編排自動化與響應系統的網絡攻擊事件阻止方法及系統。

發明內容

本發明的目的是提供一種基于SOAR系統的網絡攻擊事件阻止方法及系統，根據不同網絡攻擊事件的響應動作的發生順序編寫規則劇本，將目標網絡攻擊事件對應的事件響應劇本中的各路徑分別與規則劇本中的所有規則進行比對，依據比對結果得到更為安全的事件響應劇本，利用該事件響應劇本能夠有效的阻止目標網絡攻擊事件，極大減小了目標網絡攻擊事件的攻擊損失。

為實現上述目的，本發明提供了如下方案：

一種基于SOAR系統的網絡攻擊事件阻止方法，包括：

根據不同網絡攻擊事件的響應動作的發生順序編寫規則劇本；

將目標網絡攻擊事件的各響應動作編寫成事件響應劇本；

利用深度優先搜索方法對所述事件響應劇本中的各路徑進行拆分，得到多個拆分路徑；

將每個所述拆分路徑與所述規則劇本中的所有規則進行比對，得到比對結果；

根據所述比對結果，得到安全響應劇本；

基于所述安全響應劇本阻止所述目標網絡攻擊事件。

一種基于SOAR系統的網絡攻擊事件阻止系統，包括：

規則劇本編寫模塊，用于根據不同網絡攻擊事件的響應動作的發生順序編寫規則劇本；

事件響應劇本編寫模塊，用于將目標網絡攻擊事件的各響應動作編寫成事件響應劇本；

路徑拆分模塊，用于利用深度優先搜索方法對所述事件響應劇本中的各路徑進行拆分，得到多個拆分路徑；

比對模塊，用于將每個所述拆分路徑與所述規則劇本中的所有規則進行比對，得到比對結果；

獲取安全響應劇本模塊，用于根據所述比對結果，得到安全響應劇本；

目標網絡攻擊事件阻止模塊，用于基于所述安全響應劇本阻止所述目標網絡攻擊事件。

根據本發明提供的具體實施例，本發明公開了以下技術效果：