(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211069187.1 (22)申请日 2022.09.02 (71)申请人 国网浙江省电力有限公司信息通信 分公司 地址 310020 浙江省杭州市上城区市民街 219号利有 商务大厦 (72)发明人 陈逍潇　周鹏　戚伟强　王以良　 郭亚琼　许敏　董科　孙望舒　 王臻　杨帆　徐子超　朱鸿江　 钱经玮　周慧凯　 (74)专利代理 机构 合肥权行知金知识产权代理 事务所(普通 合伙) 34238 专利代理师 刘赛赛 (51)Int.Cl. H04L 9/40(2022.01)H04L 41/0631(2022.01) H04L 41/14(2022.01) H04L 41/147(2022.01) H04L 41/16(2022.01) (54)发明名称 一种基于SOAR的防御自动化 流程编排方法 (57)摘要 本发明公开了一种基于SOAR的防御自动化 流程编排方法， 包括： 基于开放集迁移学习算法 的网络攻击 行为自动化 分析研判取证； 基于SOAR 的网络攻击响应自动编排技术； 基于SOAR的防御 自动化流程编排脚本； 本发明深入研究了各种安 全场景下不同威胁等级事件的自动化响应流程， 设计了基于SOAR的防御自动化流程编排脚本， 针 对不同风险级别的安全设备告警进行自动化响 应处置， 解决了海量告警中难以及时发现并自动 化响应处置高风险、 高威胁安全设备告警事件的 问题， 实现提高网络攻击行为响应的效率， 有效 减少网络攻击带来的威胁， 协助电网完善网络安 全防护体系， 大幅降低网络安全运营的人工成本 的目的。 权利要求书2页 说明书8页 附图4页 CN 115442133 A 2022.12.06 CN 115442133 A 1.一种基于SOAR的防御自动化 流程编排方法， 其特 征在于： 包括以下步骤： s1， 基于开 放集迁移学习算法的网络攻击行为自动化分析研判取证； s2， 基于SOAR的网络攻击响应自动 编排技术； s3， 基于SOAR的防御自动化 流程编排脚本 。 2.根据权利要求1所述的一种基于SOAR的防御自动化流程编排方法， 其特征在于： 所述 基于开放集迁移学习算法的网络攻击行为自动化分析研判取证， 采用联机 分析处理围绕被 攻击对象展开自动化分析， 以系统的安全设备日志以及威胁情报等信息进 行基础数据源联 机分析， 对关键性网络攻击事 件的目标IP及其关联IP进行关联事 件取证； 利用开放集迁移算法从目标域的已知样本中分离出未知样本的能力， 结合研判取证提 取的与关键事 件相关的证据点， 完成攻击链模型的建 设； 围绕关键事件的攻击行为以时间轴为基础， 将取证得到的线索进行串联， 建立线索时 序关系模型后取 得关键性 攻击事件的有效线索。 3.根据权利要求2所述的一种基于SOAR的防御自动化流程编排方法， 其特征在于： 基础 数据源联机分析处 理包含有数据采集层、 数据存 储层、 数据分析层、 数据展现层； 数据采集层主要通过syslog日志传输、 API数据接口等方式采集电力安全设备告警数 据； 数据存储层负责将经 过预处理的具有统一 规范的安全设备告警数据存 储至MYSQL中； 数据分析层 设计了基于联机分析处理思路的数据分析方案， 将网络攻击行为告警数据 集分为三个维度， 分别 是时间维、 对象维、 行为维； 时间维共有三个维层次： 年、 月、 日； 对象 维有两个维层次： 攻击对象和目标对象， 行为维只有一个维层次， 即安全设备告警攻击行 为。 数据展现层主要集成了统计查询、 辅助决策、 快速筛选等功能组件， 能够为企业管理层 提供较为准确的网络安全事件分析研判决策支持， 同时， 还提供了各类安全设备监测告警 数据的预警功能， 对电力安全设备告警数据的全方位 监测。 4.根据权利要求2所述的一种基于SOAR的防御自动化流程编排方法， 其特征在于： 开放 集迁移学习算法搭建攻击链模型， 首先对源数据集和目标数据集提取分析， 源数据集为现 有已知的网络攻击行为标签， 而目标数据集与源数据集标签内容并不完全相同， 目标数据 集会增加未来新出现的未知的攻击行为； 目标数据集内超出源数据集内的类别将包含两部分： 一部分是新接入设备的攻击行为 类型； 另一部分是现有源数据集中未包含新增的攻击行为类型， 该部分属于在源数据中未 包含相关类别。 5.根据权利要求2所述的一种基于SOAR的防御自动化流程编排方法， 其特征在于： 开放 集迁移学习算法， xct用来标识目标数据集中第t个攻击行为类型是否被标记为类别c， xct∈ {0,1}， 同时由于上述提到我们的攻击行为类型数据集属于开放集， 于是引入一个参数ot来 标记第t个样本是否未未知的攻击行为类型， 那么ot∈{0， 1}， 根据开放集学习迁移算法得 到约束函数： 权　利　要　求　书 1/2 页 2 CN 115442133 A 2约束函数中存在两个约束条件： 第一个约束： 对于任意一个目标数据集的攻击行为类型样本， 要么xct＝1， 要么ot＝1， 对于目标数据集的样本只会出现两种情况， 一种 是属于源数据集中已知的攻击行为类型， 或者是该样本属于未知的攻击行为类型； 第二个约束： 对于任意一个已知的网络攻击行为类型， 至少要有一个xct＝1， 不会存在 一个已知的攻击行为类型的共享类别， 在目标 数据集中找不到； 而整体的学习 思路为现有已知攻击行为类型数据集和目标数据集不断映射迭代， 直到 两个数据集收敛至某个值， 则在不增加 其他安全设备下可保证攻击行为类型 的丰富程度， 而当添加新型安全设备后引入的新型攻击行为类型则会被学习到现有 数据集中， 而具备自 我学习特性的网络攻击行为类型成为了构建攻击链模型中重要的一环。 6.根据权利要求2所述的一种基于SOAR的防御自动化流程编排方法， 其特征在于： 构建 网络攻击行为线索时序分析模型， 利用过去一段时间的数据来预测未来一段时间内的信 息， 包括连续型预测与离散型预测等， 在网络安全 行为分析研判场景中， 也可以根据现有攻 击者的现有行为去预攻击者后续 攻击行动。 7.根据权利要求1所述的一种基于SOAR的防御自动化流程编排方法， 其特征在于： 基于 SOAR的网络攻击响应自动编排技术， 通过攻击链条模型确定 关联事件 行为时序的攻击链阶 段， 从而有效推理形成完整的攻击行为链， 在攻击行为链条 的基础上对在攻击时序的某个 阶段中的当下攻击行为， 匹配能够解决对应 问题的安全应急响应措施脚本， 将其组合后形 成完整的响应策略和SOAR自动化 安全编排方案 。 8.根据权利要求6所述的一种基于SOAR的防御自动化流程编排方法， 其特征在于： 网络 攻击行为自动化响应编排， 根据网络攻击行为分析模型作为基础数据源自定义自动化响应 流程， 自动化响应流程包含了数据源接入、 安全告警、 工单管理和安全编排自动化相关模 块。 9.根据权利要求1所述的一种基于SOAR的防御自动化流程编排方法， 其特征在于： 网络 攻击行为自动化编排处置脚本， 由安全告警设备syslog接入、 安全告警设备告警聚合、 告警 攻击链追踪、 SOAR自动化响应策略配置以及自动化响应策略中心共同实现。权　利　要　求　书 2/2 页 3 CN 115442133 A 3