事件执行的方法、装置及电子设备与流程

1.本发明涉及网络安全技术领域，尤其是涉及一种事件执行的方法、装置及电子设备。


背景技术：

2.soar(security orchestration，automation and response，安全编排和自动化响应)产品在网络安全领域已经流行一段时间，是企业安全的发展方向。soar产品提高了事件响应的效率通过集成的案例管理和任务自动化提高团队的效率，很好地分担安全分析人员大量事务性工作。
3.然而，现有soar产品的接口客户端(安全能力)较少，当需要新增安全能力时，则需要乙方投入人员定制化开发新接口客户端(对接新接口)和新用户界面，进而增加了使用成本。


技术实现要素：

4.有鉴于此，本发明的目的在于提供一种事件执行的方法、装置及电子设备，有效缓解上述技术问题。
5.第一方面，本发明实施例提供了一种事件执行的方法，其中，该方法应用于事件管理系统，服务器和存储数据库均与事件管理系统连接；其中，存储数据库中预先存储有多个特定事件剧本，以及与特定事件剧本中包括的任务节点对应的调用接口；该方法包括：接收客户端发送的安全事件查询指令；提取安全事件查询指令中所携带的安全事件，以及与安全事件对应的事件属性信息；从多个特定事件剧本中确定与事件属性信息相匹配的目标事件剧本；基于目标事件剧本生成事件触发指令；将事件触发指令发送至服务器，以触发服务器提取事件触发指令所携带的目标事件剧本中包括的任务节点，以及与任务节点对应的调用接口，调用与调用接口对应的接口服务，并利用接口服务实现对任务节点的执行。
6.结合第一方面，本发明实施例提供了第一方面的一种可能的实施方式，其中，存储数据库中还存储有与每个特定事件剧本对应的特定事件属性信息；从多个特定事件剧本中确定与事件属性信息相匹配的目标事件剧本的步骤，包括：从多个特定事件属性信息中查找与事件属性信息匹配的目标特定事件属性信息；将与目标特定事件属性信息对应的特定事件剧本确定为与事件属性信息相匹配的目标事件剧本。
7.结合第一方面，本发明实施例提供了第一方面的二种可能的实施方式，其中，在接收客户端发送的安全事件查询指令之前，上述方法还包括：响应在事件管理系统的图形用户界面上的剧本创建操作，生成特定事件剧本；将特定事件剧本发送至存储数据库进行存储。
8.结合第一方面的第二种可能的实施方式，本发明实施例提供了第一方面的三种可能的实施方式，其中，响应在事件管理系统的图形用户界面上的剧本创建操作，生成特定事件剧本的步骤，包括以下之一：响应在事件管理系统的用户界面上任务节点的拖拽操作，生
成特定事件剧本；或者，响应在事件管理系统的用户界面上任务节点的编程操作，生成特定事件剧本。
9.结合第一方面的第三种可能的实施方式，本发明实施例提供了第一方面的四种可能的实施方式，其中，响应在事件管理系统的用户界面上任务节点的拖拽操作，生成特定事件剧本的步骤，包括：响应在事件管理系统的用户界面上任务节点的拖拽操作，确定多个目标任务节点；将多个目标任务节点进行依赖关系的连线操作，生成特定事件剧本。
10.结合第一方面的第三种可能的实施方式，本发明实施例提供了第一方面的五种可能的实施方式，其中，响应在事件管理系统的用户界面上任务节点的编程操作，生成特定事件剧本的步骤，包括：基于python脚本编写任务节点，以及任务节点对应的节点信息；其中，节点信息包括任务节点对应的属性参数信息，以及与任务节点对应的任务依赖关系信息；利用模板引擎将节点信息和dag模板生成任务节点对应的dag源代码；根据dag源代码生成特定事件剧本。
11.结合第一方面的第五种可能的实施方式，本发明实施例提供了第一方面的六种可能的实施方式，其中，利用模板引擎将节点信息和dag模板生成任务节点对应的dag源代码的步骤，包括：将节点信息导入至dag模板中，得到第一dag模板；将dag运行后回调函数插入至第一dag模板中，得到第二dag模板；实例化第二dag模板，生成任务节点对应的dag源代码。
12.第二方面，本发明实施例还提供一种事件执行的装置，其中，该装置应用于事件管理系统，服务器和存储数据库均与事件管理系统连接；其中，存储数据库中预先存储有多个特定事件剧本，以及与特定事件剧本中包括的任务节点对应的调用接口；该装置包括：接收模块，用于接收客户端发送的安全事件查询指令；提取模块，用于提取安全事件查询指令中所携带的安全事件，以及与安全事件对应的事件属性信息；确定模块，用于从多个特定事件剧本中确定与事件属性信息相匹配的目标事件剧本；生成模块，用于基于目标事件剧本生成事件触发指令；发送模块，用于将事件触发指令发送至服务器，以触发服务器提取事件触发指令所携带的目标事件剧本中包括的任务节点，以及与任务节点对应的调用接口，调用与调用接口对应的接口服务，并利用接口服务实现对任务节点的执行。
13.第三方面，本发明实施例还提供一种电子设备，其中，包括处理器和存储器，存储器存储有能够被处理器执行的计算机可执行指令，处理器执行计算机可执行指令以实现上述方法。
14.第四方面，本发明实施例还提供一种计算机可读存储介质，其中，计算机可读存储介质存储有计算机可执行指令，计算机可执行指令在被处理器调用和执行时，计算机可执行指令促使处理器实现上述的方法。
15.本发明实施例带来了以下有益效果：
16.本技术实施例提供一种事件执行的方法、装置及电子设备，其中，该方法应用于事件管理系统，服务器和存储数据库均与事件管理系统连接；其中，存储数据库中预先存储有多个特定事件剧本，以及与特定事件剧本中包括的任务节点对应的调用接口；本技术可对接收到的客户端发送的安全事件查询指令进行提取，得到所携带的安全事件，以及与安全事件对应的事件属性信息，并从多个特定事件剧本中确定与事件属性信息相匹配的目标事件剧本，以触发服务器基于目标事件剧本中携带的任务节点对应的调用接口调用接口服
务，实现对任务节点的安全执行；由于本技术与特定事件剧本包括的任务节点对应的调用接口是预先编写好存储在存储数据库中的，因此在使用时开发人员无需再重新开发调用接口以进行任务节点的执行，从而在降低开发成本的同时提高了事件的响应速度。
17.本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。
18.为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
19.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1为本发明实施例提供的一种事件管理平台的架构图；
21.图2为本发明实施例提供的一种事件执行的方法的流程图；
22.图3为本发明实施例提供的另一种事件执行的方法的流程图；
23.图4为本发明实施例提供的一种事件执行的装置的结构示意图；
24.图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
25.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
26.考虑到现有soar产品的接口客户端较少，当需要新增安全能力时，则需要乙方投入人员定制化开发新接口客户端和新用户界面，进而增加了使用成本；本发明实施例提供的一种事件执行的方法、装置及电子设备，由于本技术与特定事件剧本包括的任务节点对应的调用接口是预先编写好存储在存储数据库中的，因此在使用时开发人员无需再重新开发调用接口以进行任务节点的执行，从而在降低开发成本的同时提高了事件的响应速度。
27.为便于对本实施例进行理解，下面首先对本发明实施例提供的事件执行的方法进行详细介绍。其中，执行主体为事件管理系统，图1示出了一种事件管理平台的架构图，该事件管理平台包括上述事件管理系统100，以及与事件管理系统100连接的服务器101和存储数据库102；其中，存储数据库102中预先存储有多个特定事件剧本，以及与特定事件剧本中包括的任务节点对应的调用接口。
28.每个特定事件剧本是将安全事件处置的操作步骤，并基于工作流引擎来进行衔接的事件处置流程；在本实施例中，多个特定事件剧本之间均不相同；其中，预先存储在存储数据库102中的特定事件剧本，以及与特定事件剧本中包括的任务节点对应的调用接口时开发人员事先编写好的，编写的内容可以根据实际需要进行设置，在此不对特定时间剧本，
以及调用接口进行限定。
29.基于上述事件管理系统，本发明实施例提供了一种事件执行的方法，如图2所示，该方法包括以下步骤：
30.步骤s202，接收客户端发送的安全事件查询指令；
31.在实际使用时，客户端预先安装有与事件管理系统对应的应用程序，用户可基于身份标识信息(姓名、身份证号或登陆密码等)登陆到该应用程序上，以使用户可利用该应用程序在客户端上显示的界面向事件管理系统发送安全事件查询指令。
32.步骤s204，提取安全事件查询指令中所携带的安全事件，以及与安全事件对应的事件属性信息；
33.安全事件是涉及安全的事件。安全事件可以是影响计算机设备安全运行的事件，也可以是危害计算机设备使用者信息安全的事件，还可以是危害计算机设备使用者财产安全的事件；事件属性信息可理解为是该安全事件对应的唯一标识信息，可以用事件类型、数字、字母或字符等进行表示，在此不进行限定。
34.其中，事件类型具体可以包括网络病毒类型、恶意网站类型、通信诈骗类型或者支付安全类型等。
35.步骤s206，从多个特定事件剧本中确定与事件属性信息相匹配的目标事件剧本；
36.在实际使用时，由于存储数据库中还存储有与每个特定事件剧本对应的特定事件属性信息，所以，可基于事件属性信息和特定事件属性信息的确定目标事件剧本，具体确定过程为：从多个特定事件属性信息中查找与事件属性信息匹配的目标特定事件属性信息；将与目标特定事件属性信息对应的特定事件剧本确定为与事件属性信息相匹配的目标事件剧本。
37.比如，特定事件剧本有5个，其中特定事件剧本1的特定事件属性信息为a，特定事件剧本2的特定事件属性信息为b，特定事件剧本3的特定事件属性信息为c，特定事件剧本4的特定事件属性信息为d，特定事件剧本5的特定事件属性信息为e，而安全事件查询指令中所携带的安全事件对应的事件属性信息为c，由于该事件属性信息与特定事件剧本3的特定事件属性信息c相匹配，所以，将特定事件剧本3确定为目标事件剧本。
38.步骤s208，基于目标事件剧本生成事件触发指令；
39.步骤s210，将事件触发指令发送至服务器，以触发服务器提取事件触发指令所携带的目标事件剧本中包括的任务节点，以及与任务节点对应的调用接口，调用与调用接口对应的接口服务，并利用接口服务实现对任务节点的执行。
40.当服务器在接收到事件触发指令时，服务器提取事件触发指令所携带的目标事件剧本中包括的任务节点，以及与任务节点对应的调用接口，之后，调用与调用接口对应的接口服务对任务节点进行执行。
41.本技术实施例提供一种事件执行的方法，其中，该方法应用于事件管理系统，服务器和存储数据库均与事件管理系统连接；其中，存储数据库中预先存储有多个特定事件剧本，以及与特定事件剧本中包括的任务节点对应的调用接口；本技术可对接收到的客户端发送的安全事件查询指令进行提取，得到所携带的安全事件，以及与安全事件对应的事件属性信息，并从多个特定事件剧本中确定与事件属性信息相匹配的目标事件剧本，以触发服务器基于目标事件剧本中携带的任务节点对应的调用接口调用接口服务，实现对任务节
点的安全执行；由于本技术与特定事件剧本包括的任务节点对应的调用接口是预先编写好存储在存储数据库中的，因此在使用时开发人员无需再重新开发调用接口以进行任务节点的执行，从而在降低开发成本的同时提高了事件的响应速度。
42.本实施例提供了另一种事件执行的方法，该方法在上述实施例的基础上实现；本实施例重点描述特定事件剧本生成的具体实施方式。如图3所示的另一种事件执行的方法的流程图，本实施例中的事件执行的方法包括如下步骤：
43.步骤s302，响应在事件管理系统的图形用户界面上的剧本创建操作，生成特定事件剧本；
44.通常，上述特定事件剧本可基于开发人员在图形用户界面上进行任务节点的拖拽操作实现，该方式便于开发人员可视化快速实现剧本的编写。
45.具体地，基于拖拽操作的剧本生成过程可通过步骤a1至步骤a2实现：
46.步骤a1，响应在事件管理系统的用户界面上任务节点的拖拽操作，确定多个目标任务节点；
47.上述图形用户界面分为显示区和策划区，通常，在显示区显示多个不同的任务节点，当开发人员开发特定事件剧本时，可从多个任务节点中将构成该特定事件剧本的任务节点从显示区拖拽至策划区，拖拽至策划区的任务节点即为目标任务节点。
48.步骤a2，将多个目标任务节点进行依赖关系的连线操作，生成特定事件剧本。
49.在本实施例中，可用带有箭头的线段连接两个目标任务节点，以表明这两个目标任务节点之间的依赖关系，将多个目标任务节点两两进行连线操作，生成特定事件剧本，比如，从目标任务节点a左侧连线点牵出连线至目标任务节点b，用于表明b依赖a，而点击任务间连线可以删除任务依赖关系。
50.除了使用上述可视化方式实现特定事件剧本的生成之外，在本实施例中，还可以基于python脚本的编程操作生成特定事件剧本，python是图灵完备(turing complete)语言，因此应对复杂安全事件时，使用python编写的事件剧本灵活性远远超于可视化任务编排，但面对一些日常的安全事件，可视化任务编排则对于无编程经验的人员更易用。
51.具体响应在事件管理系统的用户界面上任务节点的编程操作，生成特定事件剧本的过程可由步骤b1至步骤b3实现：
52.步骤b1，基于python脚本编写任务节点，以及任务节点对应的节点信息；其中，节点信息包括任务节点对应的属性参数信息，以及与任务节点对应的任务依赖关系信息；
53.上述属性参数信息是用于表明任务节点属性的参数信息，比如，名称、值、类型等，任务依赖关系信息用于定义该任务节点与其他任务节点的依赖关系，在实际使用中，属性参数信息和任务依赖关系信息可以根据实际需要进行设置，在此不进行限定。
54.在实际使用时，不限于python脚本编写任务节点，还可使用shell、perl等脚本编写任务节点。
55.步骤b2，利用模板引擎将节点信息和dag模板生成任务节点对应的dag源代码；
56.dag(directed acyclic graph，有向无环图)模板是预先设置在事件管理系统中的。
57.上述步骤b2可由步骤c1至步骤c3实现：
58.步骤c1，将节点信息导入至dag模板中，得到第一dag模板；
59.步骤c2，将dag运行后回调函数插入至第一dag模板中，得到第二dag模板；
60.dag源代码构建过程中的回调函数借助了可配置化的重试工具库，即引用requests的retry工具实现，插入该回调函数可有效提高dag运行后回调更新事件状态的成功率，减少了事件管理系统错误的几率。
61.步骤c3，实例化第二dag模板，生成任务节点对应的dag源代码。
62.步骤b3，根据dag源代码生成特定事件剧本。
63.该生产过程与现有基于dag源代码生成事件剧本的过程相同，所以，在此不进行详细阐述。
64.步骤s304，将特定事件剧本发送至存储数据库进行存储；
65.步骤s306，接收客户端发送的安全事件查询指令；
66.步骤s308，提取安全事件查询指令中所携带的安全事件，以及与安全事件对应的事件属性信息；
67.步骤s310，从多个特定事件剧本中确定与事件属性信息相匹配的目标事件剧本；
68.步骤s312，基于目标事件剧本生成事件触发指令；
69.步骤s314，将事件触发指令发送至服务器，以触发服务器提取事件触发指令所携带的目标事件剧本中包括的任务节点，以及与任务节点对应的调用接口，调用与调用接口对应的接口服务，并利用接口服务实现对任务节点的执行。
70.本实施例提供的事件执行的方法，能够支持可视化方式和编程方式构建特定事件剧本，也允许工作人员可视化编辑dag源代码；更进一步，由于提供了丰富的operators，可向事件管理系统提交shell、python、perl等脚本或程序进行评估与运行，完全可以灵活应对客户个性化或定制化的需求。
71.对应于上述方法实施例，本发明实施例还提供了一种事件执行的装置，其中，该装置应用于事件管理系统，服务器和存储数据库均与事件管理系统连接；其中，存储数据库中预先存储有多个特定事件剧本，以及与特定事件剧本中包括的任务节点对应的调用接口；图4示出了一种事件执行的装置的结构示意图，如图4所示，该装置包括：
72.接收模块402，用于接收客户端发送的安全事件查询指令；
73.提取模块404，用于提取安全事件查询指令中所携带的安全事件，以及与安全事件对应的事件属性信息；
74.确定模块406，用于从多个特定事件剧本中确定与事件属性信息相匹配的目标事件剧本；
75.生成模块408，用于基于目标事件剧本生成事件触发指令；
76.发送模块410，用于将事件触发指令发送至服务器，以触发服务器提取事件触发指令所携带的目标事件剧本中包括的任务节点，以及与任务节点对应的调用接口，调用与调用接口对应的接口服务，并利用接口服务实现对任务节点的执行。
77.本技术实施例提供一种事件执行的装置，其中，该方法应用于事件管理系统，服务器和存储数据库均与事件管理系统连接；其中，存储数据库中预先存储有多个特定事件剧本，以及与特定事件剧本中包括的任务节点对应的调用接口；本技术可对接收到的客户端发送的安全事件查询指令进行提取，得到所携带的安全事件，以及与安全事件对应的事件属性信息，并从多个特定事件剧本中确定与事件属性信息相匹配的目标事件剧本，以触发
服务器基于目标事件剧本中携带的任务节点对应的调用接口调用接口服务，实现对任务节点的安全执行；由于本技术与特定事件剧本包括的任务节点对应的调用接口是预先编写好存储在存储数据库中的，因此在使用时开发人员无需再重新开发调用接口以进行任务节点的执行，从而在降低开发成本的同时提高了事件的响应速度。
78.本发明实施例提供的事件执行的装置，与上述实施例提供的事件执行的方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。
79.本技术实施例还提供了一种电子设备，如图5所示，为该电子设备的结构示意图，其中，该电子设备包括处理器121和存储器120，该存储器120存储有能够被该处理器121执行的计算机可执行指令，该处理器121执行该计算机可执行指令以实现上述事件执行的方法。
80.在图5示出的实施方式中，该电子设备还包括总线122和通信接口123，其中，处理器121、通信接口123和存储器120通过总线122连接。
81.其中，存储器120可能包含高速随机存取存储器(ram，random access memory)，也可能还包括非不稳定的存储器(non
‑
volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口123(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。总线122可以是isa(industry standard architecture，工业标准体系结构)总线、pci(peripheral component interconnect，外设部件互连标准)总线或eisa(extended industry standard architecture，扩展工业标准结构)总线等。所述总线122可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。
82.处理器121可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器121中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器121可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processor，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(field
‑
programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本技术实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器121读取存储器中的信息，结合其硬件完成前述实施例的事件执行的方法的步骤。
83.本技术实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令在被处理器调用和执行时，该计算机可执行指令促使处理器实现上述事件执行的方法，具体实现可参见前述方法实施例，在此不再赘述。
84.本技术实施例所提供的事件执行的方法、装置及电子设备的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。
85.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本技术的范围。
86.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
87.在本技术的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本技术的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
88.最后应说明的是：以上所述实施例，仅为本技术的具体实施方式，用以说明本技术的技术方案，而非对其限制，本技术的保护范围并不局限于此，尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本技术实施例技术方案的精神和范围，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。