摘  要：隨著網(wǎng)絡(luò)安全攻防對抗的日趨激烈，新的安全漏洞和網(wǎng)絡(luò)入侵手段不斷增加，傳統(tǒng)的依靠人工經(jīng)驗排查并指望單點防范和響應(yīng)的策略已經(jīng)失效，安全編排自動化與響應(yīng)技術(shù)應(yīng)運(yùn)而生，并迅速成為當(dāng)前網(wǎng)絡(luò)空間安全技術(shù)研究的熱點。從新形勢下網(wǎng)絡(luò)安全事件處置面臨的困境出發(fā)，分析了安全編排自動化響應(yīng)技術(shù)產(chǎn)生的原因、基本概念和核心能力，針對現(xiàn)有架構(gòu)存在的不足，進(jìn)一步提出了基于智能化編排的網(wǎng)絡(luò)安全事件響應(yīng)架構(gòu)組成要素、關(guān)鍵技術(shù)及業(yè)務(wù)處理流程，為新型數(shù)字化基建業(yè)務(wù)網(wǎng)絡(luò)安全運(yùn)維提供相關(guān)借鑒。

內(nèi)容目錄：

1 新形勢下網(wǎng)絡(luò)安全運(yùn)維面臨的困境
1.1 安全事件頻發(fā)且種類數(shù)量多
1.2 人力資源不足且運(yùn)維難度大
1.3 安全事件快速響應(yīng)能力弱
1.4 安全防御力量協(xié)同程度低
2 安全編排自動化與響應(yīng)技術(shù)概述
2.1 SOAR 基本概念和核心能力
2.2 SOAR 系統(tǒng)核心架構(gòu)
2.3 當(dāng)前制約 SOAR 系統(tǒng)發(fā)展的主要因素
3 智能化安全編排與響應(yīng)架構(gòu)設(shè)計
3.1 智能化安全編排與響應(yīng)架構(gòu)
3.2 關(guān)鍵功能組件
3.3 關(guān)鍵技術(shù)
3.4 安全事件響應(yīng)智能化處理流程
4 結(jié)  語

當(dāng)前，網(wǎng)絡(luò)安全問題日益嚴(yán)重，網(wǎng)絡(luò)攻擊方式日趨多樣化和隱蔽化，安全漏洞等安全風(fēng)險和事件層出不窮，依托人工經(jīng)驗、基于單點安全防御能力分析和響應(yīng)的網(wǎng)絡(luò)安全運(yùn)維模式已經(jīng)不足以應(yīng)對，亟需從全網(wǎng)整體安全運(yùn)維的角度去考慮，將分散的安全監(jiān)測與響應(yīng)機(jī)制整合起來，提升安全響應(yīng)效率，構(gòu)建以觀察、定位、決策和響應(yīng)為一體的新型網(wǎng)絡(luò)安全運(yùn)維體系。

為 了 解 決 網(wǎng) 絡(luò) 安 全 運(yùn) 維 面 臨 的 突 出 問 題，Gartner 公司最早于 2015 年提出了“SOAR”的概念，其定義為安全運(yùn)維分析與報告（Security Operations,Analytics, and Reporting）。隨著安全運(yùn)維技術(shù)的快速 發(fā) 展 與 演 變，2017 年 Gartner 公 司 將“SOAR”概念重新定義為安全編排自動化與響應(yīng)（Security Orchestration, Automation and Response）。該技術(shù)旨在幫助企業(yè)和組織收集監(jiān)控到的各種網(wǎng)絡(luò)信息，進(jìn)行安全事件的綜合分析和告警分類，并通過標(biāo)準(zhǔn)化工作流程，利用人機(jī)結(jié)合的方式，整合不同安全廠家的相關(guān)產(chǎn)品和安全服務(wù)，幫助安全運(yùn)營人員定義、排序和驅(qū)動標(biāo)準(zhǔn)化事件響應(yīng)活動，以提升網(wǎng)絡(luò)安全事件運(yùn)維能力和效率。

伴隨著人工智能技術(shù)的快速發(fā)展和不斷成熟，網(wǎng)絡(luò)安全行業(yè)逐漸將發(fā)展重點之一聚焦到基于人工智能技術(shù)的自動化網(wǎng)絡(luò)安全防御解決方案，改善現(xiàn)有的網(wǎng)絡(luò)防御體系并提升核心防御效能。將人工智能與傳統(tǒng)安全編排響應(yīng)技術(shù)相結(jié)合，可以使安全編排響應(yīng)由“自動化”向“智能化”轉(zhuǎn)變，因此構(gòu)建更加高效、靈活、快速的網(wǎng)絡(luò)安全事件響應(yīng)機(jī)制成為網(wǎng)絡(luò)安全事件運(yùn)維發(fā)展新趨勢。2021 年 7 月，工信部公開征求對《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021—2023 年）（征求意見稿）》的意見，其中明確將“安全編排自動化與響應(yīng)”列入發(fā)展創(chuàng)新安全技術(shù)重點任務(wù)。

本文首先分析新形勢下網(wǎng)絡(luò)安全事件運(yùn)維面臨的困境，闡述 SOAR 概念、核心能力和架構(gòu)，以及目前 SOAR 系統(tǒng)存在的問題；其次在此基礎(chǔ)上提出智能化網(wǎng)絡(luò)安全事件響應(yīng)架構(gòu)，并詳細(xì)闡述涉及的關(guān)鍵組件、關(guān)鍵技術(shù)和處理流程，從而實現(xiàn)對傳統(tǒng)SOAR 系統(tǒng)的智能化賦能。

1 新形勢下網(wǎng)絡(luò)安全運(yùn)維面臨的困境

隨著網(wǎng)絡(luò)環(huán)境復(fù)雜性的不斷增強(qiáng)，安全事件中的攻擊手段不斷升級，使得網(wǎng)絡(luò)空間的攻防戰(zhàn)愈發(fā)激烈。新形勢下網(wǎng)絡(luò)安全運(yùn)維所面臨的困境主要表現(xiàn)為以下幾個方面。

1.1　安全事件頻發(fā)且種類數(shù)量多

根據(jù)網(wǎng)絡(luò)安全事件的起因、表現(xiàn)和結(jié)果等，可將其分為惡意程序、網(wǎng)絡(luò)攻擊、信息破壞、內(nèi)容安全、設(shè)施故障等多種類型。近年來，隨著網(wǎng)絡(luò)空間和數(shù)字經(jīng)濟(jì)的高速發(fā)展，各類網(wǎng)絡(luò)安全事件頻發(fā)，并且呈現(xiàn)出規(guī)?；?、組織化、專業(yè)化等特點，甚至有些網(wǎng)絡(luò)事件的始作俑者是以國家為背景的組織，具有針對性高、偽裝性和潛伏性強(qiáng)等特點，使得安全運(yùn)維處置更加復(fù)雜 。例如，2022 年 4 月，黑客入侵國內(nèi)某醫(yī)療機(jī)構(gòu)信息系統(tǒng)，半年時間非法獲取系統(tǒng)數(shù)據(jù) 10 萬余條，造成了客戶信息大量泄漏；2022 年 9 月，西北工業(yè)大學(xué)遭受境外有組織的網(wǎng)絡(luò)攻擊，攻擊方使用了 41 種網(wǎng)絡(luò)攻擊武器，攻擊鏈路多達(dá) 1 100 余條，以竊取學(xué)校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)；2022 年 12 月，蔚來汽車因服務(wù)器配置漏洞，導(dǎo)致了百萬條用戶信息泄露，并遭受了巨額勒索，造成了嚴(yán)重經(jīng)濟(jì)損失。

1.2　人力資源不足且運(yùn)維難度大

傳統(tǒng)的人工運(yùn)維方式通過人力完成對各類網(wǎng)絡(luò)安全事件的響應(yīng)，如今已經(jīng)無法應(yīng)對如此復(fù)雜的網(wǎng)絡(luò)安全事件，這是因為：首先，面對各類網(wǎng)絡(luò)防御設(shè)備復(fù)雜的安全策略配置、層出不窮的攻擊手段和繁雜多樣的安全事件，需要相關(guān)安全人員具備很高的運(yùn)維水平、豐富的領(lǐng)域知識及優(yōu)秀的持續(xù)學(xué)習(xí)能力，而高水平網(wǎng)絡(luò)安全人才嚴(yán)重短缺；其次，網(wǎng)絡(luò)安全事件的處理嚴(yán)重依賴安全運(yùn)維人員的經(jīng)驗和知識主觀判斷來選擇合適的安全設(shè)備和策略進(jìn)行抵御和防護(hù)，大大加重了安全運(yùn)維人員負(fù)擔(dān)，安全事件處置的及時性、合規(guī)性和有效性難以得到保證；最后，隨著對網(wǎng)絡(luò)安全人才需求的不斷增加，高水平安全運(yùn)維人才容易流失，使得成功經(jīng)驗無法固化且短時間難以彌補(bǔ)，對企業(yè)來講是難以彌補(bǔ)的損失。

1.3　安全事件快速響應(yīng)能力弱

當(dāng)前網(wǎng)絡(luò)安全事件運(yùn)維體系最初由安全信息及事件管理（Security Information and Event Management，SIEM）發(fā)展而來。SIEM 對所有 IT 資源（包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用）產(chǎn)生的安全信息（包括日志、告警等），以及外部的入侵行為和內(nèi)部的違規(guī)、誤操作等行為進(jìn)行統(tǒng)一的實時監(jiān)控、收集和分析，并將更多注意力聚焦到安全事件精準(zhǔn)告警和威脅發(fā)現(xiàn)，使得用戶的平均檢測時間（Mean Time To Detection，MTTD）更低，能夠更快、更準(zhǔn)確地檢測出攻擊和入侵。然而，基于人工運(yùn)維為主的響應(yīng)處置方式，采用手動下發(fā)安全防御調(diào)整策略和調(diào)整安全防御力量，需要多人、多系統(tǒng)、多界面協(xié)同完成，在給安全事件的響應(yīng)帶來復(fù)雜性的同時，進(jìn)一步降低了響應(yīng)處置效率，無法幫助用戶降低平均響應(yīng)時間（Mean Time To Response，MTTR），而快速消除安全事件是減少甚至是避免損失的關(guān)鍵所在。

1.4　安全防御力量協(xié)同程度低

現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)方案通常根據(jù)不同安全設(shè)備提供的防御能力，部署各類基于單點工作機(jī)制的安全設(shè)備，實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的整體安全保障。典型的安全設(shè)備包括防火墻、入侵檢測、密碼設(shè)備、日志審計、訪問控制、態(tài)勢感知等。各種設(shè)備之間的技術(shù)整合度低、聯(lián)動性不強(qiáng)，各個設(shè)備形成了一個個安全孤島。當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時，采用單點設(shè)備分析和響應(yīng)的模式經(jīng)常面臨安全告警風(fēng)暴、安全策略沖突、人工保障負(fù)擔(dān)重等情況，無法充分利用各自的安全防御能力進(jìn)行協(xié)同聯(lián)動處置，使得整體網(wǎng)絡(luò)安全事件分析難度高、防御調(diào)整慢、響應(yīng)效果差。

２ 安全編排自動化與響應(yīng)技術(shù)概述

2.1 SOAR 基本概念和核心能力

為了應(yīng)對安全運(yùn)維面臨的困境，Gartner 公司提出了安全編排自動化與響應(yīng)技術(shù)“SOAR”，旨在幫助企業(yè)和組織對監(jiān)控到的各種網(wǎng)絡(luò)安全信息進(jìn)行事件分析和告警分類，并在標(biāo)準(zhǔn)工作流程的指導(dǎo)下，整合不同安全廠家的相關(guān)產(chǎn)品，幫助安全運(yùn)營人員定義、排序和驅(qū)動標(biāo)準(zhǔn)化事件響應(yīng)活動。

SOAR 技術(shù)是軟件定義安全體系的具體應(yīng)用，其本質(zhì)是將物理及虛擬的網(wǎng)絡(luò)安全設(shè)備抽象為安全資源池，統(tǒng)一通過軟件編程方式進(jìn)行安全業(yè)務(wù)編排、管理，并自動驅(qū)動各類安全設(shè)備執(zhí)行網(wǎng)絡(luò)防御動作，實現(xiàn)高效、自動的安全威脅響應(yīng)和事件處置。

SOAR技術(shù)具備的核心能力包括以下幾方面。

（1）可定制安全編排能力：將安全事件響應(yīng)業(yè)務(wù)處置流程抽象為劇本模型，對系統(tǒng)部署的各類安全功能組件通過可編程接口（Application Programming Interface，API）封裝后形成的安全能力和人工檢查點，按照一定的邏輯關(guān)系進(jìn)行安全服務(wù)編排，形成一系列有機(jī)組合的應(yīng)急響應(yīng)動作，以劇本形式作為輸出結(jié)果，并能夠針對不同網(wǎng)絡(luò)安全事件處置特點，對響應(yīng)順序、管控策略等進(jìn)行靈活調(diào)整和修改，是 SOAR 技術(shù)最基本和核心的能力。

（2）自動化高效執(zhí)行能力：具備一套可根據(jù)劇本有效指揮安全應(yīng)用的機(jī)制，將劇本處理建模為多個流程動作，由工作流引擎控制業(yè)務(wù)走向，通過應(yīng)用語義和劇本控制，并結(jié)合已定義的規(guī)則和策略，自動尋找到合適的安全服務(wù)，然后通過應(yīng)用適配器下發(fā)管控指令至對應(yīng)安全防護(hù)設(shè)備，是 SOAR 技術(shù)能夠有效提升安全時間處置響應(yīng)效率的前提和基礎(chǔ)。

（3）一體化協(xié)同聯(lián)動能力：通過統(tǒng)一標(biāo)準(zhǔn)化的服務(wù)接口調(diào)用實現(xiàn)安全設(shè)備、安全服務(wù)的集成，將孤立的設(shè)備進(jìn)行有效的聯(lián)動，將零散的安全能力進(jìn)行有效的整合，構(gòu)建安全防御鏈，有效提升安全運(yùn)維的效率和效果，同時一體化協(xié)同不僅是劇本中各個環(huán)節(jié)的協(xié)調(diào)，而且是機(jī)器與人的協(xié)同，通過將不同環(huán)節(jié)、不同設(shè)備、不同人員進(jìn)行聯(lián)動，實現(xiàn)人機(jī)一體化，是 SOAR 技術(shù)體系構(gòu)建的關(guān)鍵。

2.2 SOAR 系統(tǒng)核心架構(gòu)

SOAR 系統(tǒng)作為軟件定義安全體系的重要應(yīng)用落地，仍然遵循將控制邏輯和業(yè)務(wù)執(zhí)行相解耦的設(shè)計理念，采用管理平面、控制平面、服務(wù)平面 3 層架構(gòu)，實現(xiàn)對網(wǎng)絡(luò)安全威脅事件的高效、自動化和協(xié)同響應(yīng)處置。SOAR 系統(tǒng)核心架構(gòu)如圖 1 所示。

圖 1 SOAR 系統(tǒng)核心架構(gòu)

（1）管理平面：依據(jù)安全風(fēng)險告警信息輸入，采用人機(jī)交互擬制或響應(yīng)預(yù)案庫提取的方式，完成安全服務(wù)編排和策略規(guī)劃，形成響應(yīng)處置劇本，從而指揮控制平面完成業(yè)務(wù)驅(qū)動。

（2）控制平面：接收管理平面下發(fā)的處置任務(wù)、流程和策略等信息，依次調(diào)用標(biāo)準(zhǔn)化安全服務(wù)API 接口實現(xiàn)各類安全服務(wù)調(diào)度，并按需進(jìn)行工單派發(fā)和執(zhí)行狀態(tài)監(jiān)控，最終實現(xiàn)響應(yīng)流程全生命周期的執(zhí)行管控。

（3）服務(wù)平面：由各類密碼安全防護(hù)設(shè)備組成的安全服務(wù)池構(gòu)成，依據(jù)控制平面下發(fā)的管控指令和風(fēng)險數(shù)據(jù)信息，執(zhí)行各類安全防御處置操作，提供具體的安全防護(hù)能力。

2.3　當(dāng)前制約 SOAR 系統(tǒng)發(fā)展的主要因素

通過引入 SOAR 系統(tǒng)有效提高了網(wǎng)絡(luò)安全建設(shè)水平，其通過自動化的協(xié)同聯(lián)動處理方式，提升了企業(yè)安全運(yùn)營質(zhì)量，在惡意流量處置、可疑文件分析、網(wǎng)絡(luò)漏洞管理、惡意郵件處置等多場景安全事件處置中發(fā)揮了重要作用 。然而，目前仍然存在一些制約 SOAR 發(fā)展的因素，具體如下文所述。

（1）安全服務(wù)接口標(biāo)準(zhǔn)化程度低，使得不同安全設(shè)備集成和交互變得困難，限制了系統(tǒng)防護(hù)能力的整體擴(kuò)展性。

（2）SOAR 系統(tǒng)需要與安全告警系統(tǒng)、態(tài)勢感知平臺以及工單管理系統(tǒng)實現(xiàn)不同業(yè)務(wù)交互，復(fù)雜度較高，增加了系統(tǒng)部署和運(yùn)維人員的學(xué)習(xí)難度等。

（3）劇本編排能力不足，是制約 SOAR 系統(tǒng)發(fā)展的最大障礙，主要表現(xiàn)為：劇本數(shù)量少，應(yīng)用場景受限，其采用預(yù)置劇本的方式，基于固定模式的處理邏輯，難以適應(yīng)多場景安全運(yùn)維需求；人工編排負(fù)擔(dān)重，當(dāng)現(xiàn)有劇本無法應(yīng)對突發(fā)的安全威脅事件時，仍然需要安全運(yùn)維人員手動決策、編排和調(diào)整處置流程，工作量大；輔助編排手段不足，人工編排的過程還是主要依賴主管經(jīng)驗和知識判斷，智能化輔助手段不足，編排的合規(guī)性和有效性無法得到保證。

３ 智能化安全編排與響應(yīng)架構(gòu)設(shè)計

3.1　智能化安全編排與響應(yīng)架構(gòu)

神經(jīng)網(wǎng)絡(luò)、專家系統(tǒng)等人工智能技術(shù)的日益成熟，以及在網(wǎng)絡(luò)安全管理中的廣泛應(yīng)用，為增強(qiáng)安全編排綜合能力，輔助安全運(yùn)維人員更加高效地應(yīng)對各種網(wǎng)絡(luò)安全風(fēng)險威脅，進(jìn)一步提升 SOAR系統(tǒng)整體效能提供了有效的技術(shù)手段。

智能化安全編排與響應(yīng)系統(tǒng)基于 SOAR 核心架構(gòu)，通過構(gòu)建智能安全編排功能單元，提升安全事件處置劇本智能編排和響應(yīng)調(diào)整能力。智能化安全編排與響應(yīng)系統(tǒng)架構(gòu)如圖 2 所示。

圖 2 智能化安全編排與響應(yīng)系統(tǒng)架構(gòu)

智能化安全編排與響應(yīng)系統(tǒng)在實現(xiàn) SOAR 核心能力的基礎(chǔ)上，通過智能安全編排單元實現(xiàn)對安全響應(yīng)案件管理單元派發(fā)的安全事件信息進(jìn)行響應(yīng)劇本智能規(guī)劃、生成和動態(tài)調(diào)整，并支持安全運(yùn)維人員對生成的方案進(jìn)行修正和優(yōu)化。

3.2　關(guān)鍵功能組件

智能安全編排單元作為本系統(tǒng)核心功能模塊，其關(guān)鍵功能組件包括知識庫、智能推理引擎和效能評估等，各功能組件協(xié)同配合，支撐安全編排響應(yīng)由“自動化”向“智能化”轉(zhuǎn)變。

3.2.1　知識庫

規(guī)劃知識庫為智能推理引擎提供安全編排規(guī)劃決策依據(jù)和規(guī)則。規(guī)劃知識庫由 2 部分構(gòu)成，一部分為策略決策知識庫，對網(wǎng)絡(luò)安全專家提供的安全保密裝備特性、合規(guī)性判決等領(lǐng)域知識和安全事件案例特征以權(quán)值矩陣的形式進(jìn)行存儲，提供對安全事件處理策略的快速判決依據(jù)；另一部分為編排規(guī)則庫，提供對安全事件響應(yīng)處理規(guī)則約束的形式化定義，為實現(xiàn)劇本的智能規(guī)劃和調(diào)整提供知識支撐。

3.2.2　智能推理引擎

智能推理引擎包括相似度推理、編排策略推理和劇本編排規(guī)劃 3 個功能模塊。其中相似度推理通過將當(dāng)前發(fā)生的安全事件和案例庫樣例進(jìn)行特征提取、對比，篩選出相似度最高的劇本模板，以便運(yùn)維人員進(jìn)一步優(yōu)化調(diào)整；編排策略推理模塊實現(xiàn)對安全事件響應(yīng)編排策略的判決；劇本編排規(guī)劃模塊基于控制策略和編排規(guī)則庫，實現(xiàn)安全劇本響應(yīng)動作的編排，并能夠根據(jù)事件處置響應(yīng)和效能評估結(jié)果，對生成的劇本進(jìn)行動態(tài)調(diào)整。

3.2.3　效能評估引擎

效能評估引擎包括評估指標(biāo)創(chuàng)建和綜合評估兩個功能模塊，其中評估指標(biāo)創(chuàng)建模塊建立智能化安全事件響應(yīng)的多維、多因子、多層次的綜合效能指標(biāo)體系，是安全編排方案效能評估的基礎(chǔ)和先決條件；綜合評估模塊基于效能評估指標(biāo)，對當(dāng)前安全編排方案和處置執(zhí)行情況，逐層進(jìn)行權(quán)重計算和量化評估，并輸出效能評估結(jié)果，為智能推理引擎編排和調(diào)整響應(yīng)方案提供評估支撐。

3.3　關(guān)鍵技術(shù)

智能化安全編排與響應(yīng)系統(tǒng)在實現(xiàn)處置流程自動化控制、安全裝備協(xié)同處置等機(jī)制的基礎(chǔ)上，采用了安全編排知識庫構(gòu)建、神經(jīng)網(wǎng)絡(luò)專家系統(tǒng)協(xié)同推理和綜合效能評估等關(guān)鍵技術(shù)，為現(xiàn)有 SOAR 系統(tǒng)安全編排智能化賦能。

3.3.1　安全編排知識庫構(gòu)建技術(shù)

安全編排知識庫包含策略決策庫和編排規(guī)則庫，其中：策略決策庫的構(gòu)建是將領(lǐng)域?qū)＜抑R和安全事件案例進(jìn)行特征抽象轉(zhuǎn)化，并采用基于前饋多層的人工神經(jīng)網(wǎng)絡(luò)進(jìn)行監(jiān)督學(xué)習(xí)，得到數(shù)值表示的權(quán)值矩陣而形成隱式知識規(guī)則，具有并行性、快速性和抗噪性強(qiáng)等特征，更適合決策結(jié)論推理；編排規(guī)則庫的構(gòu)建是將領(lǐng)域知識、功能關(guān)聯(lián)特性等陳述性知識用 JSON 進(jìn)行形式化表示，并采用易于理解又易于專家推理的“IF-THEN”結(jié)構(gòu)，實現(xiàn)對已知知識關(guān)聯(lián)分析推導(dǎo)的規(guī)則表達(dá)，能夠更好地為安全運(yùn)維人員提供可解釋的規(guī)劃過程和最終方案說明。

3.3.2　智能化協(xié)同輔助編排技術(shù)

智能化協(xié)同輔助編排技術(shù)是綜合利用神經(jīng)網(wǎng)絡(luò)和專家系統(tǒng)等人工智能技術(shù)，協(xié)同配合共同完成安全響應(yīng)劇本的編排和調(diào)整。采用神經(jīng)網(wǎng)絡(luò)并行推理技術(shù)，依托權(quán)值矩陣知識庫，根據(jù)安全事件輸入特征快速計算并歸類推理出相應(yīng)的編排策略，以確定后續(xù)規(guī)則推理方式；采用專家系統(tǒng)推理機(jī)技術(shù)，依托編排規(guī)則庫，根據(jù)編排策略實現(xiàn)對規(guī)則的搜索、匹配和回溯，并結(jié)合案例檢索算法篩選出的相似案例劇本和本次安全事件屬性等信息，形成多個安全響應(yīng)劇本備選方案，最后根據(jù)效能評估結(jié)果進(jìn)行優(yōu)先級排序，輔助安全運(yùn)維人員完成方案選擇和修正。智能化協(xié)同輔助編排技術(shù)如圖 3 所示。

圖 3 智能化協(xié)同輔助編排技術(shù)

3.3.3　綜合效能評估技術(shù)

綜合效能評估技術(shù)采用層次分析法對有效性、可用性、合規(guī)性、安全性、健壯性等安全事件響應(yīng)能力目標(biāo)逐層分解，構(gòu)建多級、多因子“金字塔”評估指標(biāo)體系，并對各級指標(biāo)進(jìn)行比對和權(quán)值衡量；然后依據(jù)權(quán)值計算和指標(biāo)量化結(jié)果逐層進(jìn)行效能評估，通過綜合數(shù)值、效能圖像對比等方式實現(xiàn)安全編排方案效能評估結(jié)果的可視化展示和人機(jī)交互。

3.4　安全事件響應(yīng)智能化處理流程

基于智能化安全編排與響應(yīng)系統(tǒng)架構(gòu)實現(xiàn)安全事件響應(yīng)的處理流程包括安全事件預(yù)處理、安全編排智能規(guī)劃、輔助人工決策和響應(yīng)處置控制4 個階段。安全事件響應(yīng)智能化處理流程如圖 4所示。

圖 4 安全事件響應(yīng)智能化處理流程

3.4.1　安全事件預(yù)處理階段

對接收的安全風(fēng)險預(yù)警進(jìn)行解析，按需創(chuàng)建安全事件實例，并對當(dāng)前安全事件信息進(jìn)行特征抽取，生成安全事件響應(yīng)需求。

3.4.2　安全編排智能規(guī)劃階段

根據(jù)響應(yīng)需求輸入的情況，分別執(zhí)行安全編排規(guī)劃。當(dāng)本次響應(yīng)需求為新建的安全事件實例時，通過和案例庫樣例特征匹配進(jìn)行相似案例篩選，如找到相似案例，則在已有案例處置劇本的基礎(chǔ)上進(jìn)行要素調(diào)整，否則通過劇本智能編排規(guī)劃，產(chǎn)生新的備選安全響應(yīng)劇本；當(dāng)本次響應(yīng)需求為已有安全事件實例執(zhí)行處置后反饋的新增響應(yīng)需求時，則通過對已有劇本要素的動態(tài)調(diào)整，產(chǎn)生備選安全響應(yīng)劇本。

3.4.3　輔助人工決策階段

系統(tǒng)自動對安全編排智能規(guī)劃階段產(chǎn)生的備選安全響應(yīng)劇本進(jìn)行效能評估，輔助安全運(yùn)維人員劇本進(jìn)行修正調(diào)整，形成最終響應(yīng)劇本，并將劇本和評估結(jié)果存儲至案例庫。

3.4.4　響應(yīng)處置控制階段

響應(yīng)控制引擎依據(jù)最終響應(yīng)劇本動作，執(zhí)行工單派發(fā)、控制指令下發(fā)至安全防護(hù)裝備等管控操作。

４ 結(jié)　語

面對當(dāng)前日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境，以及傳統(tǒng)的 SOAR 系統(tǒng)在應(yīng)對安全事件響應(yīng)中安全編排能力的不足，本文設(shè)計了基于智能化安全編排的網(wǎng)絡(luò)安全事件響應(yīng)架構(gòu)，將人工智能技術(shù)與傳統(tǒng) SOAR 系統(tǒng)相結(jié)合，提出了安全編排知識庫構(gòu)建、智能化協(xié)同輔助編排等關(guān)鍵技術(shù)，使安全編排響應(yīng)由“自動化”向“智能化”轉(zhuǎn)變，可以為新型數(shù)字化基建業(yè)務(wù)網(wǎng)絡(luò)安全運(yùn)維提供借鑒。

引用格式：劉歡 , 黃金濤 , 劉星江 , 等 . 基于智能化安全編排的網(wǎng)絡(luò)安全事件響應(yīng)架構(gòu) [J]. 通信技術(shù) ,2023,56(12):1428-1434.
作者簡介 >>>
劉  歡，男，碩士，高級工程師，主要研究方向為信息系統(tǒng)安全、保密通信、安全智能運(yùn)維；
黃金濤，男，碩士，高級工程師，主要研究方向為信息系統(tǒng)安全、保密通信、安全智能運(yùn)維；
劉星江，男，碩士，高級工程師，主要研究方向為網(wǎng)絡(luò)安全、保密通信、算法實現(xiàn)；
張建川，男，學(xué)士，高級工程師，主要研究方向為計算機(jī)網(wǎng)絡(luò)與信息安全。
選自《通信技術(shù)》2023年第12期（為便于排版，已省去原文參考文獻(xiàn)）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點，轉(zhuǎn)載的目的在于傳遞更多知識和信息。