应急响应处理方法、装置、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种应急响应处理方法、装置、电子设备及存储介质。


背景技术：

2.随着云计算、物联网和人工智能等技术的发展，网络攻击方式演进升级，并且网络威胁持续进化，使得多行业的网络安全事件频发。因此，在严峻的网络安全形式下，需要部署网络安全应急事件的应对策略，以处理安全事件。
3.相关技术可知，在对网络安全应急事件进行处理的过程中，无法匹配应急响应流程进行有效响应，从而导致网络安全应急事件的处理效率较低。


技术实现要素：

4.本发明提供一种应急响应处理方法、装置、电子设备及存储介质，能够在应急流程库中匹配到目标应急响应流程对待响应应急事件进行响应处理，从而可以提高网络安全应急事件的处理效率。
5.本发明提供一种应急响应处理方法，所述方法包括：获取待响应应急事件；在预先构建的应急流程库中确定所述待响应应急事件对应的目标应急响应流程，并基于所述目标应急响应流程对所述待响应应急事件进行处理，所述应急响应流程库中包括多个应急响应流程。
6.根据本发明提供的一种应急响应处理方法，所述在预先构建的应急流程库中确定所述待响应应急事件对应的目标应急响应流程，具体包括：获取处理指令，其中，所述处理指令包括应急响应流程类型筛选条件；基于所述处理指令，在所述应急流程库中确定满足所述应急响应流程类型筛选条件的候选应急响应流程；基于所述待响应应急事件的目标事件特征，在所述候选应急响应流程中确定与所述目标事件特征相匹配的所述目标应急响应流程。
7.根据本发明提供的一种应急响应处理方法，通过以下方式构建所述应急流程库：获取流程编排模板，以及预设场景及流程定制需求；基于所述流程编排模板、所述预设场景，以及所述流程定制需求，通过流程编排构建所述应急响应流程；基于多个所述应急响应流程，构建所述应急流程库。
8.根据本发明提供的一种应急响应处理方法，所述流程编排模板中包含多个子任务模板，所述基于所述流程编排模板、所述预设场景，以及所述流程定制需求，通过流程编排构建所述应急响应流程，具体包括：基于所述预设场景及所述流程定制需求，确定各所述子任务模板之间的关系，所述子任务模板之间的关系包括：串行关系、并行关系和分支关系中的至少一种；基于所述子任务模板之间的关系，对所述流程编排模板进行流程编排，以构建得到所述应急响应流程。
9.根据本发明提供的一种应急响应处理方法，所述待响应应急事件采用以下方式获
取：获取多个告警数据；对多个所述告警数据进行过滤处理，以剔除缺少预设字段的告警数据，得到过滤后告警数据；将多个所述过滤后告警数据进行格式转换，得到多个标准告警数据，其中，所述标准告警数据为满足预设格式要求的告警数据；将多个所述标准告警数据进行聚合，得到网络安全事件；获取所述网络安全事件的目标攻击次数；将所述目标攻击次数超过次数阈值的所述网络安全事件确定为待响应应急事件。
10.根据本发明提供的一种应急响应处理方法，所述将多个所述标准告警数据进行聚合，得到网络安全事件，具体包括：获取所述标准告警数据的告警信息特征，所述告警信息特征为构成网络安全事件的告警数据之间共有或存在关联关系的特征；基于所述告警信息特征，对多个所述标准告警数据进行聚合，得到网络安全事件。
11.根据本发明提供的一种应急响应处理方法，所述网络安全事件的目标攻击次数采用以下方式获取：基于所述网络安全事件的攻击源特征，确定所述网络安全事件的目标攻击源信息，其中，所述目标攻击源信息与所述攻击源特征相对应；在预先设置的攻击源映射表中确定与所述目标攻击源信息对应的所述目标攻击次数，其中，所述攻击源映射表中存储有攻击源信息与攻击次数的映射关系。
12.根据本发明提供的一种应急响应处理方法，在所述基于所述目标应急响应流程对所述待响应应急事件进行响应处理之后，所述方法还包括：响应于接收到对响应处理结果的可视化展示指令，将所述响应处理结果进行可视化展示。
13.本发明还提供一种应急响应处理装置，所述装置包括：第一模块，用于获取待响应应急事件；第二模块，用于在预先构建的应急流程库中确定所述待响应应急事件对应的目标应急响应流程，并基于所述目标应急响应流程对所述待响应应急事件进行处理，所述应急响应流程库中包括多个应急响应流程。
14.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述的应急响应处理方法。
15.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述的应急响应处理方法。
16.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述的应急响应处理方法。
17.本发明提供的应急响应处理方法、装置、电子设备及存储介质，获取待响应应急事件，在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程，并基于目标应急响应流程对待响应应急事件进行处理，实现了在应急流程库中匹配到目标应急响应流程对待响应应急事件进行有效响应处理，进而可以提高网络安全应急事件的处理效率。
附图说明
18.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
19.图1是本发明提供的应急响应处理方法的流程示意图；
20.图2是本发明提供的在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程的流程示意图；
21.图3是本发明提供的获取待响应应急事件的流程示意图；
22.图4是本发明提供的应急响应处理装置的结构示意图；
23.图5是本发明提供的电子设备的结构示意图。
具体实施方式
24.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.本发明提供的应急响应处理方法，可以针对突发事件做应急处置，能够根据流程编排的应急处置流程(对应应急响应流程)，驱动应急流程进行，并通过可视化呈现应急任务的处置情况，对网络安全工作进行整体协调，保障应急任务及时完成。
26.图1是本发明提供的应急响应处理方法的流程示意图。
27.下面将结合图1对应急响应处理方法的过程进行说明。
28.在本发明一示例性实施例中，结合图1可知，应急响应处理方法可以包括步骤110和步骤120，下面将分别介绍各步骤。
29.在步骤110中，获取待响应应急事件。
30.在步骤120中，在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程，并基于目标应急响应流程对待响应应急事件进行处理。
31.其中，应急响应流程库中可以包括多个应急响应流程。待响应应急事件可以理解为是用户认为的应急事件，需要及时进行处理。
32.进一步的，可以在预先构建的应急流程库中确定出与待响应应急事件对应的目标应急响应流程。再基于目标应急响应流程对待响应应急事件进行处理，实现了在应急流程库中匹配到目标应急响应流程对待响应应急事件进行有效响应处理，进而可以提高网络安全应急事件的处理效率。
33.本发明提供的应急响应处理方法，获取待响应应急事件，在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程，并基于目标应急响应流程对待响应应急事件进行处理，实现了在应急流程库中匹配到目标应急响应流程对待响应应急事件进行有效响应处理，进而可以提高网络安全应急事件的处理效率。
34.图2是本发明提供的在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程的流程示意图。
35.下面将结合图2对在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程的过程进行说明。
36.在本发明一示例性实施例中，结合图2可知，在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程可以包括步骤210至步骤230，下面将分别介绍各步骤。
37.在步骤210中，获取处理指令，其中，处理指令包括应急响应流程类型筛选条件。
38.在步骤220中，基于处理指令，在应急流程库中确定满足应急响应流程类型筛选条件的候选应急响应流程。
39.在步骤230中，基于待响应应急事件的目标事件特征，在候选应急响应流程中确定与目标事件特征相匹配的目标应急响应流程。
40.在一种实施例中，可以根据处理指令，在应急流程库中确定出多个满足应急响应流程类型筛选条件的候选应急响应流程。
41.为了进一步确保筛选出的候选应急响应流程能够更加高效的对待响应应急事件进行响应处理，在应用过程中，还可以基于待响应应急事件的目标事件特征，在候选应急响应流程中确定与目标事件特征相匹配的目标应急响应流程。通过本实施例，可以确保目标应急响应流程既满足用户需求(对应处理指令中的应急响应流程类型筛选条件)又与待响应应急事件的目标事件特征相匹配，从而提高了待响应应急事件处理的效率。
42.在又一实施例中，可以基于用户需求，通过业务流程管理(business process management，又称bpm)完成流程定义的建模，然后根据建好的流程定义通过bpm提供的接口进行流程实例的创建、启动、挂起等操作，从而实现流程相关的每一个业务的办理。在又一示例中，bpm在执行流程时，通过自动执行或者调用不同的外部api，可以使流程处于对应的状态，流程的状态迁移形成流程实例的生命周期。
43.需要说明的是，流程编排为以流程驱动的业务系统提供一个可提前编排、自动或手动执行的流程，并且支持流程启动后，在运行时允许修改流程编排中未运行的编排内容和节点流转顺序，编排的流程支持由阶段、手段、逻辑节点及连线关系组成流程编排。
44.在又一种实施例中，可以通过流程引擎基于流程编排构建应急响应流程。在通过流程引擎编排后，补充应急响应手段保证相关业务的连续性、可用性，从而降低攻击所带来的破坏程度。
45.在又一种实施例中，处理指令可以理解为是按照目标预设需求对待响应应急事件进行处理的指令。其中，目标预设需求属于用户需求。在应用过程中，当接收到用户的处理指令时，可以在应急流程库中确定与处理指令对应的目标应急响应流程。可以理解的是，目标应急响应流程是构建的应急响应流程中的一个。进一步的，可以根据目标应急响应流程，对待响应应急事件进行响应处理。由于处理指令是按照目标预设需求对待响应应急事件进行处理的指令，从而可以确保能够根据用户需求对待响应应急事件进行响应处理，进而提高网络安全应急事件的处理效率。
46.在本发明又一示例性实施例中，构建应急流程库可以采用以下方式实现：
47.获取流程编排模板，以及预设场景及流程定制需求；
48.基于流程编排模板、预设场景，以及流程定制需求，通过流程编排构建所述应急响应流程；
49.基于多个应急响应流程，构建应急流程库。
50.在一种实施例中，可以获取流程编排模板，以及预设场景和流程定制需求，其中，流程定制需求是根据用户的实际需求确定。进一步的，再基于流程编排模板以及预设场景及流程定制需求，通过流程编排构建应急响应流程。在应用过程中，可以将多个应急响应流程构建为应急流程库。
51.在本发明又一示例性实施例中，流程编排模板中可以包含多个子任务模板。其中，
基于流程编排模板、预设场景，以及流程定制需求，通过流程编排构建应急响应流程，可以采用以下方式实现：
52.基于预设场景及流程定制需求，确定流程编排模板中各子任务模板之间的关系，其中，子任务模板之间的关系包括：串行关系、并行关系和分支关系中的至少一种；
53.基于子任务模板之间的关系，对流程编排模板进行流程编排，以构建得到应急响应流程。
54.在一种实施例中，可以根据预设场景和流程定制需求，确定流程编排模板中的各个子任务模板之间的关系，进而可以将一个或者多个预设任务模板按照预设场景和需求(对应用户需求指令)定制应急响应流程。由于子任务模板之间的关系是基于预设场景和流程定制需求确定的，因此，也确保构建得到的应急响应流程与预设场景和流程定制需求相匹配，从而为根据用户需求对待响应应急事件进行响应处理打下基础。
55.在本发明又一示例性实施例中，多个子任务模板可以按照预设场景及流程定制需求基于流程编排为串行关系、并行关系和分支关系中的一种或多种。通过将子任务模板按照预设场景及流程定制需求编排为串行关系、并行关系和分支关系可以确保得到的应急响应流程满足用户需求。
56.图3是本发明提供的获取待响应应急事件的流程示意图。
57.下面将结合图3对获取待响应应急事件的流程进行说明。
58.在本发明一示例性实施例中，结合图3可知，获取待响应应急事件可以包括步骤310至步骤360，下面将分别介绍各步骤。
59.在步骤310中，获取多个告警数据。
60.在步骤320中，对多个告警数据进行过滤处理，以剔除缺少预设字段的告警数据，得到过滤后告警数据。
61.在步骤330中，将多个过滤后告警数据进行格式转换，得到多个标准告警数据，其中，标准告警数据为满足预设格式要求的告警数据。
62.在一种实施例中，可以将多个告警数据添加至消息队列。在应用过程中，可以从消息队列上订阅告警数据，并对告警数据进行过滤处理，例如对告警数据进行清洗操作，以剔除缺少预设字段的告警数据，得到过滤后告警数据。进一步的，再将多个过滤后告警数据进行格式转换，得到多个标准告警数据。其中，预设格式要求可以根据实际情况进行调整，在本实施例中不作具体限定。标准告警数据为满足预设格式要求的告警数据。
63.在又一示例中，标准告警数据可以包括告警时间、告警设备类型、攻击类型、告警请求名称、告警源地址、告警源端口、告警目的地址、告警目的端口、风险等级、流量方向、是否阻断和原始告警等信息。换句话说，满足预设格式要求的告警数据可以是包括前述所述信息的告警数据。
64.在步骤340中，将多个标准告警数据进行聚合，得到网络安全事件。
65.在本发明又一示例性实施例中，将多个标准告警数据进行聚合，得到网络安全事件，可以采用以下方式实现：
66.获取标准告警数据的告警信息特征，告警信息特征为构成网络安全事件的告警数据之间共有或存在关联关系的特征；
67.基于告警信息特征，对多个标准告警数据进行聚合，得到网络安全事件。
68.在又一种实施例中，可以根据标准告警数据的告警信息，例如告警信息的名称和属性等，将多个标准告警数据进行聚合，从而得到网络安全事件。
69.在步骤350中，获取网络安全事件的目标攻击次数。
70.在步骤360中，将目标攻击次数超过次数阈值的网络安全事件确定为待响应应急事件。
71.在又一种实施例中，可以获取网络安全事件的目标攻击次数，再将目标攻击次数超过次数阈值的网络安全事件作为待响应应急事件。其中，次数阈值可以根据实际情况进行调整，在本实施例中不对次数阈值作具体限定。
72.在本发明又一示例性实施例中，网络安全事件的目标攻击次数可以采用以下方式获取：
73.基于网络安全事件的攻击源特征，确定网络安全事件的目标攻击源信息，其中，目标攻击源信息与攻击源特征相对应；
74.在预先设置的攻击源映射表中确定与目标攻击源信息对应的目标攻击次数，其中，攻击源映射表中存储有攻击源信息与攻击次数的映射关系。
75.在一种实施例中，可以基于网络安全事件的攻击源特征，确定网络安全事件的目标攻击源信息。进一步的，再基于攻击源映射表中确定与目标攻击源信息对应的目标攻击次数。在应用过程中，当目标攻击次数超过次数阈值时，可以将网络安全事件作为待响应应急事件。
76.在又一种实施例中，以攻击源特征为网络攻击事件类型为例进行说明，可以基于确定出的网络攻击事件类型，确定对应的攻击源信息。再根据攻击源信息与预先生成的攻击记录(对应攻击源映射表)进行匹配，确定与攻击源信息对应的目标攻击次数。
77.在本发明又一示例性实施例中，继续以图1所述的实施例为例进行说明，在基于目标应急响应流程对待响应应急事件进行处理(对应步骤120)之后，应急响应处理方法还包括：
78.响应于接收到对响应处理结果的可视化展示指令，将响应处理结果进行可视化展示。
79.在一种实施例中，还可以基于接收到对响应处理结果的可视化展示指令，将响应处理结果进行可视化展示，从而可以实现通过可视化呈现应急任务的处置情况，对网络安全工作进行整体协调，保障应急任务及时完成。
80.本发明提供的应急响应处理方法，可以基于业务需求方(对应预设场景及流程定制需求)以定制化业务流程，编排完整的流程走向，确认特殊场景的执行规则。通过流程编排的应急响应流程，可以将具有特定业务属性的业务流程，转换为底层流程引擎flowable识别的bpmn规范流程图，执行流程平台通用逻辑启动业务流程，触发流转，执行特色化业务逻辑。其中，应用响应流程可以存储在流程平台。另外，基于流程编排构建的业务流程(对应应急响应流程)是通过自动化代码完成，进而可以有效提高业务流程的开发效率，为提高网络安全应急事件的处理效率打下基础。
81.根据上述描述可知，本发明提供的应急响应处理方法，获取待响应应急事件，在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程，并基于目标应急响应流程对待响应应急事件进行处理，实现了在应急流程库中匹配到目标应急响应流程对待
响应应急事件进行有效响应处理，进而可以提高网络安全应急事件的处理效率。
82.基于相同的构思，本发明还提供一种应急响应处理装置。
83.下面对本发明提供的应急响应处理装置进行描述，下文描述的应急响应处理装置与上文描述的应急响应处理方法可相互对应参照。
84.图4是本发明提供的应急响应处理装置的结构示意图。
85.在本发明又一示例性实施例中，结合图4可知，应急响应处理装置可以包括第一模块410和第二模块420，下面将分别介绍各模块。
86.第一模块410，可以被配置为用于获取待响应应急事件；
87.第二模块420，可以被配置为用于在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程，并基于目标应急响应流程对待响应应急事件进行处理，其中，应急响应流程库中包括多个应急响应流程。
88.在本发明一示例性实施例中，第二模块420可以采用以下方式实现在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程：
89.获取处理指令，其中，处理指令包括应急响应流程类型筛选条件；
90.基于处理指令，在应急流程库中确定满足应急响应流程类型筛选条件的候选应急响应流程；
91.基于待响应应急事件的目标事件特征，在候选应急响应流程中确定与目标事件特征相匹配的目标应急响应流程。
92.在本发明一示例性实施例中，第二模块420还可以采用以下方式构建应急流程库：
93.获取流程编排模板，以及预设场景及流程定制需求；
94.基于流程编排模板、预设场景，以及流程定制需求，通过流程编排构建所述应急响应流程；
95.基于多个应急响应流程，构建应急流程库。
96.在本发明一示例性实施例中，流程编排模板中可以包含多个子任务模板，其中，第二模块420可以采用以下方式实现基于流程编排模板、预设场景，以及流程定制需求，通过流程编排构建应急响应流程：
97.基于预设场景及流程定制需求，确定各子任务模板之间的关系，子任务模板之间的关系包括：串行关系、并行关系和分支关系中的至少一种；
98.基于子任务模板之间的关系，对流程编排模板进行流程编排，以构建得到应急响应流程。
99.在本发明一示例性实施例中，第一模块410可以采用以下方式获取待响应应急事件：
100.获取多个告警数据；
101.对多个告警数据进行过滤处理，以剔除缺少预设字段的告警数据，得到过滤后告警数据；
102.将多个过滤后告警数据进行格式转换，得到多个标准告警数据，其中，标准告警数据为满足预设格式要求的告警数据；
103.将多个标准告警数据进行聚合，得到网络安全事件；
104.获取网络安全事件的目标攻击次数；
105.将目标攻击次数超过次数阈值的网络安全事件确定为待响应应急事件。
106.在本发明一示例性实施例中，第二模块420可以采用以下方式实现将多个标准告警数据进行聚合，得到网络安全事件：
107.获取标准告警数据的告警信息特征，告警信息特征为构成网络安全事件的告警数据之间共有或存在关联关系的特征；
108.基于告警信息特征，对多个标准告警数据进行聚合，得到网络安全事件。
109.在本发明一示例性实施例中，第二模块420可以采用以下方式获取网络安全事件的目标攻击次数：
110.基于网络安全事件的攻击源特征，确定网络安全事件的目标攻击源信息，其中，目标攻击源信息与攻击源特征相对应；
111.在预先设置的攻击源映射表中确定与目标攻击源信息对应的目标攻击次数，其中，攻击源映射表中存储有攻击源信息与攻击次数的映射关系。
112.在本发明一示例性实施例中，第二模块420还可以被配置为用于：
113.响应于接收到对响应处理结果的可视化展示指令，将响应处理结果进行可视化展示。
114.图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)510、通信接口(communications interface)520、存储器(memory)530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令，以执行应急响应处理方法，该方法包括：获取待响应应急事件；在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程，并基于目标应急响应流程对待响应应急事件进行处理，应急响应流程库中包括多个应急响应流程。
115.此外，上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
116.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的应急响应处理方法，该方法包括：获取待响应应急事件；在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程，并基于目标应急响应流程对待响应应急事件进行处理，应急响应流程库中包括多个应急响应流程。
117.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的应急响应处理方法，该方法包括：获取待响应应急事件；在预先构建的应急流程库中确定待响应应急事件对应的目
标应急响应流程，并基于目标应急响应流程对待响应应急事件进行处理，应急响应流程库中包括多个应急响应流程。
118.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
119.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
120.进一步可以理解的是，本发明实施例中尽管在附图中以特定的顺序描述操作，但是不应将其理解为要求按照所示的特定顺序或是串行顺序来执行这些操作，或是要求执行全部所示的操作以得到期望的结果。在特定环境中，多任务和并行处理可能是有利的。
121.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

技术特征：
1.一种应急响应处理方法，其特征在于，所述方法包括：获取待响应应急事件；在预先构建的应急流程库中确定所述待响应应急事件对应的目标应急响应流程，并基于所述目标应急响应流程对所述待响应应急事件进行处理，所述应急响应流程库中包括多个应急响应流程。2.根据权利要求1所述的应急响应处理方法，其特征在于，所述在预先构建的应急流程库中确定所述待响应应急事件对应的目标应急响应流程，具体包括：获取处理指令，其中，所述处理指令包括应急响应流程类型筛选条件；基于所述处理指令，在所述应急流程库中确定满足所述应急响应流程类型筛选条件的候选应急响应流程；基于所述待响应应急事件的目标事件特征，在所述候选应急响应流程中确定与所述目标事件特征相匹配的所述目标应急响应流程。3.根据权利要求1所述的应急响应处理方法，其特征在于，通过以下方式构建所述应急流程库：获取流程编排模板，以及预设场景及流程定制需求；基于所述流程编排模板、所述预设场景，以及所述流程定制需求，通过流程编排构建所述应急响应流程；基于多个所述应急响应流程，构建所述应急流程库。4.根据权利要求3所述的应急响应处理方法，其特征在于，所述流程编排模板中包含多个子任务模板，所述基于所述流程编排模板、所述预设场景，以及所述流程定制需求，通过流程编排构建所述应急响应流程，具体包括：基于所述预设场景及所述流程定制需求，确定各所述子任务模板之间的关系，所述子任务模板之间的关系包括：串行关系、并行关系和分支关系中的至少一种；基于所述子任务模板之间的关系，对所述流程编排模板进行流程编排，以构建得到所述应急响应流程。5.根据权利要求1所述的应急响应处理方法，其特征在于，所述待响应应急事件采用以下方式获取：获取多个告警数据；对多个所述告警数据进行过滤处理，以剔除缺少预设字段的告警数据，得到过滤后告警数据；将多个所述过滤后告警数据进行格式转换，得到多个标准告警数据，其中，所述标准告警数据为满足预设格式要求的告警数据；将多个所述标准告警数据进行聚合，得到网络安全事件；获取所述网络安全事件的目标攻击次数；将所述目标攻击次数超过次数阈值的所述网络安全事件确定为待响应应急事件。6.根据权利要求5所述的应急响应处理方法，其特征在于，所述将多个所述标准告警数据进行聚合，得到网络安全事件，具体包括：获取所述标准告警数据的告警信息特征，所述告警信息特征为构成网络安全事件的告警数据之间共有或存在关联关系的特征；
基于所述告警信息特征，对多个所述标准告警数据进行聚合，得到网络安全事件。7.根据权利要求5所述的应急响应处理方法，其特征在于，所述网络安全事件的目标攻击次数采用以下方式获取：基于所述网络安全事件的攻击源特征，确定所述网络安全事件的目标攻击源信息，其中，所述目标攻击源信息与所述攻击源特征相对应；在预先设置的攻击源映射表中确定与所述目标攻击源信息对应的所述目标攻击次数，其中，所述攻击源映射表中存储有攻击源信息与攻击次数的映射关系。8.根据权利要求1所述的应急响应处理方法，其特征在于，在所述基于所述目标应急响应流程对所述待响应应急事件进行响应处理之后，所述方法还包括：响应于接收到对响应处理结果的可视化展示指令，将所述响应处理结果进行可视化展示。9.一种应急响应处理装置，其特征在于，所述装置包括：第一模块，用于获取待响应应急事件；第二模块，用于在预先构建的应急流程库中确定所述待响应应急事件对应的目标应急响应流程，并基于所述目标应急响应流程对所述待响应应急事件进行处理，所述应急响应流程库中包括多个应急响应流程。10.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8任一项所述的应急响应处理方法。11.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的应急响应处理方法。

技术总结
本发明提供一种应急响应处理方法、装置、电子设备及存储介质，其中，所述方法包括：获取待响应应急事件；在预先构建的应急流程库中确定待响应应急事件对应的目标应急响应流程，并基于目标应急响应流程对待响应应急事件进行处理，应急响应流程库中包括多个应急响应流程。本发明能够匹配目标应急响应流程对待响应应急事件进行有效响应处理，从而可以提高网络安全应急事件的处理效率。安全应急事件的处理效率。安全应急事件的处理效率。


技术研发人员：赵志昊 任远远 常月 张希涛
受保护的技术使用者：奇安信科技集团股份有限公司
技术研发日：2023.05.08
技术公布日：2023/8/4