摘" 要：在安全規(guī)則方面，研究基于安全編排、自動(dòng)化等技術(shù)相結(jié)合的動(dòng)態(tài)規(guī)則編排技術(shù)，以實(shí)現(xiàn)靈活的安全編排功能。通過對(duì)安全設(shè)備原子能力梳理和安全規(guī)則的原子化梳理，用插件化方式實(shí)現(xiàn)安全設(shè)備原子能力的調(diào)度，再經(jīng)由劇本可視化編排器，將安全數(shù)據(jù)處理算子、安全功能插件等按業(yè)務(wù)需要編排成可流程化調(diào)度的劇本，通過劇本執(zhí)行引擎，實(shí)現(xiàn)安全功能靈活地調(diào)度、管控、設(shè)置，滿足不同安全事件的處理需求。

關(guān)鍵詞：安全功能插件；數(shù)據(jù)處理算子化；安全劇本；安全編排；可視化

中圖分類號(hào)：TP391" " " 文獻(xiàn)標(biāo)志碼：A" " " " " 文章編號(hào)：2095-2945（2025）09-0108-05

Abstract： In terms of security rules， we study dynamic rule orchestration technology based on the combination of security orchestration， automation and other technologies to achieve flexible security orchestration functions. By sorting out the atomic capabilities of security devices and atomizing security rules， the scheduling of the atomic capabilities of security devices is realized using plug-in methods. Then through the script visual orchestrator， security data processing operators， security function plug-ins， etc. are arranged into a process-based scheduling script， through the script execution engine， realizes flexible scheduling， control， and setting of security functions to meet the processing needs of different security events.

Keywords： security function plug-in; data processing operatorization; security script; security orchestration; visualization

近年來，隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊手段不斷翻新，攻擊頻率和強(qiáng)度不斷增加，網(wǎng)絡(luò)安全威脅日益嚴(yán)峻，新型電力系統(tǒng)的信息安全面臨著前所未有的挑戰(zhàn)。目前，市面上的網(wǎng)絡(luò)安全設(shè)備主要是基于規(guī)則的安全檢測和防護(hù)，存在安全策略配置不夠靈活的問題。尤其是在安全規(guī)則編排方面，傳統(tǒng)的防范和阻止策略已無法滿足電力行業(yè)日益變化的安全事件處理需求。

因此，研究一種更加靈活、高效的動(dòng)態(tài)安全編排防御體系來應(yīng)對(duì)不斷變化的威脅是大勢(shì)所趨。本研究將突破深化網(wǎng)絡(luò)安全監(jiān)測追溯與響應(yīng)處置技術(shù)、網(wǎng)絡(luò)安全防護(hù)加固技術(shù)和網(wǎng)絡(luò)安全防護(hù)提升技術(shù)，基于安全編排、自動(dòng)化等技術(shù)相結(jié)合的動(dòng)態(tài)規(guī)則編排技術(shù)，實(shí)現(xiàn)靈活的安全編排功能，通過自動(dòng)化的編排和智能化的決策，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的快速響應(yīng)和有效防御，提高安全運(yùn)維的效率和準(zhǔn)確性[1]。

1" 研究方向

多技術(shù)融合的動(dòng)態(tài)安全規(guī)則編排技術(shù)基于安全編排、自動(dòng)化等技術(shù)相結(jié)合，實(shí)現(xiàn)更靈活的安全編排，提高安全響應(yīng)效率，快速響應(yīng)和有效防御網(wǎng)絡(luò)攻擊。安全功能插件技術(shù)將基于安全功能插件框架，支持通過由Python、Lua腳本語言對(duì)部分安全設(shè)備調(diào)度接口進(jìn)行封裝，形成可供調(diào)用的安全插件庫[2]。數(shù)據(jù)處理算子技術(shù)將完成對(duì)數(shù)據(jù)的預(yù)處理，并以插件化的形式供安全劇本使用，通過對(duì)安全業(yè)務(wù)進(jìn)行梳理，形成可用于安全數(shù)據(jù)處理的算子庫。安全劇本可視化編排技術(shù)將通過有向無環(huán)圖（DAG）應(yīng)用，實(shí)現(xiàn)劇本流程所需要的閉環(huán)判斷、邊刪除等基礎(chǔ)算法，然后對(duì)圖形化編排引擎進(jìn)行應(yīng)用，結(jié)合安全業(yè)務(wù)流程，實(shí)現(xiàn)以拖拽方式構(gòu)建劇本，并形成劇本庫，最終由劇本執(zhí)行引擎執(zhí)行劇本，以實(shí)現(xiàn)對(duì)安全設(shè)備的調(diào)度、安全策略的流程化配置[3]。

2" 安全功能插件技術(shù)研究

2.1" 原理

安全功能是指構(gòu)成一個(gè)安全劇本的一系列功能結(jié)點(diǎn)，其往往由一系列安全動(dòng)作構(gòu)成，而安全動(dòng)作主要是對(duì)各類安全設(shè)備進(jìn)行原子功能調(diào)度（如IP封堵、威脅情報(bào)系統(tǒng)的數(shù)據(jù)查詢等）。部分安全設(shè)備提供了API接口，而大量安全設(shè)備并未對(duì)外提供功能調(diào)度的API接口，這就造成了安全設(shè)備功能調(diào)度的困難。本研究通過對(duì)公司所用安全設(shè)備進(jìn)行功能分析、接口分析、無API設(shè)備的HTTP協(xié)議逆向分析（主要對(duì)其功能進(jìn)行分析，如設(shè)備登錄、策略配置），并結(jié)合腳本語言（如Python、lua）定義安全功能插件規(guī)范，開發(fā)并實(shí)現(xiàn)安全功能插件框架，為安全能力調(diào)度提供插件化的擴(kuò)展能力[4]?；诎踩δ懿寮蚣?，對(duì)部分安全設(shè)備調(diào)度接口進(jìn)行封裝，形成可供調(diào)用的安全插件庫。

安全功能插件管控技術(shù)解決了不對(duì)外提供API接口調(diào)度的安全設(shè)備的統(tǒng)一集中管控的需求。主要包括：通過原子動(dòng)作模擬接入的安全設(shè)備管控過程中的每一個(gè)單獨(dú)指令操作動(dòng)作（如登錄、封堵等）。再結(jié)合劇本庫的編排功能，根據(jù)不同場景的功能需求，將每一個(gè)涉及的單獨(dú)指令操作動(dòng)作連接起來，封裝成一個(gè)可用的劇本進(jìn)行使用調(diào)用。

2.2" 實(shí)現(xiàn)方法

2.2.1" 安全設(shè)備集中管控服務(wù)方法

安全設(shè)備集中管控服務(wù)方法通過信息獲取、插件生成、接口生成、設(shè)備管控和審計(jì)日志5個(gè)步驟，實(shí)現(xiàn)安全設(shè)備的集中整合，構(gòu)建了一個(gè)更加安全、高效和智能的網(wǎng)絡(luò)安全環(huán)境，提高安全防護(hù)的整體水平。安全設(shè)備集中管控服務(wù)方法流程圖如圖1所示。

步驟1信息獲?。喊ǐ@取各個(gè)安全設(shè)備的操作動(dòng)作信息，如在各個(gè)安全設(shè)備進(jìn)行操作時(shí)，獲取訪問端和應(yīng)答端交互的數(shù)據(jù)、步驟、會(huì)話時(shí)間等信息。操作動(dòng)作信息一部分可通過網(wǎng)絡(luò)管理人員獲取，另一部分則可通過事先對(duì)需要模擬的操作動(dòng)作過程進(jìn)行監(jiān)聽并抓包分析來獲取。

步驟2插件生成：對(duì)原子動(dòng)作模擬接入的安全設(shè)備的操作動(dòng)作進(jìn)行控制操作，并生成各種操作動(dòng)作的安全功能插件存入數(shù)據(jù)庫。原子動(dòng)作主要包括登錄、添加、刪除和修改等類型的操作步驟。以華為防火墻舉例說明，可包含的原子動(dòng)作見表1——華為防火墻構(gòu)成原子動(dòng)作類型表。

步驟3接口生成：劇本庫調(diào)用安全設(shè)備的一系列安全功能插件，通過組合安全功能插件模擬接入的安全設(shè)備的執(zhí)行過程進(jìn)行控制操作。并根據(jù)業(yè)務(wù)場景需求生成各種控制操作的劇本接口存入數(shù)據(jù)庫。研究的劇本庫除安全劇本外，還支持與調(diào)度算子庫、臺(tái)詞庫、檢測插件和處置插件等進(jìn)行聯(lián)動(dòng)編排，以查詢告警IP滿足條件IP調(diào)用第三方防火封堵、本設(shè)備封堵，具體見表2所示的查詢告警IP滿足條件IP封堵表。

表2" 查詢告警IP滿足條件IP封堵表

步驟4設(shè)備管控：當(dāng)劇本執(zhí)行觸發(fā)事件發(fā)生時(shí)，調(diào)用數(shù)據(jù)庫中的劇本庫對(duì)接入的安全設(shè)備進(jìn)行集中管控。劇本類型包括情報(bào)查詢、新告警、自動(dòng)處置、自動(dòng)封堵、手動(dòng)封堵、解除封堵和定時(shí)劇本。本研究所有劇本執(zhí)行的觸發(fā)事件包括告警新增、黑名單新增、定時(shí)執(zhí)行，當(dāng)發(fā)生上述事件時(shí)，所有劇本會(huì)默認(rèn)執(zhí)行一遍。

步驟5審計(jì)日志：通過日志記錄對(duì)集中管控服務(wù)的過程進(jìn)行記錄。對(duì)劇本執(zhí)行過程中的安全插件、臺(tái)詞庫的執(zhí)行開始時(shí)間、結(jié)束時(shí)間、執(zhí)行結(jié)果和執(zhí)行輸出均進(jìn)行記錄，形成插件執(zhí)行日志作為審計(jì)日志的一部分存入數(shù)據(jù)庫。

2.2.2" 安全設(shè)備集中管控服務(wù)實(shí)現(xiàn)

安全設(shè)備集中管控服務(wù)實(shí)現(xiàn)通過在可視化流程編輯畫板上選取基本組件、安全插件列表、算子庫列表、臺(tái)詞庫列表、檢測插件列表和處置插件列表中合適的組件編排構(gòu)成劇本。劇本在構(gòu)造生成時(shí)，首先在可視化交互界面上，將形成的各列表的圖形插件，拖拽到可視化編輯畫板上來添加相應(yīng)的動(dòng)作，再通過帶方向的線條將選取的原子動(dòng)作進(jìn)行順序的編排。當(dāng)觸發(fā)劇本執(zhí)行時(shí)，按照編排的順序進(jìn)行依次執(zhí)行。安全設(shè)備集中管控服務(wù)實(shí)現(xiàn)可視化流程圖如圖2所示。

2.3" 研究結(jié)果

安全功能插件技術(shù)能夠增強(qiáng)系統(tǒng)的防御能力，有效保護(hù)系統(tǒng)免受各種網(wǎng)絡(luò)威脅和安全風(fēng)險(xiǎn)的侵害。通過研究安全功能插件技術(shù)，對(duì)安全設(shè)備的登錄、策略配置進(jìn)行功能分析、接口分析和無API設(shè)備的HTTP協(xié)議逆向分析，并結(jié)合Python、lua腳本語言定義安全功能插件規(guī)范，開發(fā)并實(shí)現(xiàn)安全功能插件框架，為安全能力調(diào)度提供插件化的擴(kuò)展能力?；诎踩δ懿寮蚣?，對(duì)部分安全設(shè)備調(diào)度接口進(jìn)行封裝，形成可供調(diào)用的安全插件庫，提升網(wǎng)絡(luò)安全防范能力。

3" 數(shù)據(jù)處理算子化技術(shù)研究

3.1" 原理

安全劇本需要的數(shù)據(jù)往往需要進(jìn)行數(shù)據(jù)處理，本研究首先對(duì)數(shù)據(jù)處理算子的實(shí)現(xiàn)方式進(jìn)行研究，實(shí)現(xiàn)如JS算子、JSON算子、RegEx算子和K-V算子，并研究將其插件化。其次，通過對(duì)安全業(yè)務(wù)進(jìn)行梳理，形成可用于安全數(shù)據(jù)處理的算子庫，如提取算子庫、轉(zhuǎn)換算子庫、映射算子庫、合并算子庫和脫敏算子庫。

3.2" 實(shí)現(xiàn)方法

3.2.1" 可視化數(shù)據(jù)范化編輯技術(shù)

可視化數(shù)據(jù)范化編輯技術(shù)利用算子將目標(biāo)數(shù)據(jù)分步進(jìn)行分割、轉(zhuǎn)換，實(shí)現(xiàn)數(shù)據(jù)由繁化簡的數(shù)據(jù)范化方法，通過數(shù)據(jù)源存儲(chǔ)、算子范化、范化劇本執(zhí)行和數(shù)據(jù)存儲(chǔ)到范化結(jié)果應(yīng)用的一系列過程，進(jìn)行可視化交互式操作，最終生成范化數(shù)據(jù)[5]。第一，對(duì)數(shù)據(jù)樣例進(jìn)行傳輸存儲(chǔ)；第二，對(duì)數(shù)據(jù)樣例進(jìn)行裁剪、修整，獲得目標(biāo)數(shù)據(jù)以及確定范化后的范化模型；第三，將目標(biāo)數(shù)據(jù)進(jìn)行分割，提取數(shù)據(jù)字段；第四將獲得的數(shù)據(jù)字段與范化模型對(duì)應(yīng)的字段進(jìn)行轉(zhuǎn)換，并按照模型排序最終生成范化數(shù)據(jù)。具體的數(shù)據(jù)泛化流程如圖3所示。

3.2.2" 數(shù)據(jù)處理算子化實(shí)現(xiàn)技術(shù)

數(shù)據(jù)處理算子化實(shí)現(xiàn)技術(shù)通過字段提取、轉(zhuǎn)換方式、數(shù)據(jù)脫敏、數(shù)據(jù)清洗和數(shù)據(jù)映射的方式實(shí)現(xiàn)數(shù)據(jù)的算子化處理，實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一規(guī)范化管理，滿足特定的業(yè)務(wù)需求。

1）字段提取。字段提取是指從大規(guī)模數(shù)據(jù)集中抽取或獲取特定字段、屬性的過程。通過應(yīng)用正則表達(dá)式、JSON、腳本和K-V等方式實(shí)現(xiàn)從大規(guī)模數(shù)據(jù)中提取所需字段，滿足進(jìn)一步分析、報(bào)告或用于其他特定的業(yè)務(wù)需求。

2）轉(zhuǎn)換方式。字段轉(zhuǎn)換是指對(duì)大規(guī)模數(shù)據(jù)集中的特定字段進(jìn)行修改、調(diào)整或處理的過程。通過應(yīng)用正則表達(dá)式、腳本等方式，根據(jù)需求對(duì)數(shù)據(jù)進(jìn)行清理、格式化、提取或計(jì)算，滿足分析、建模或其他特定用途需求。

3）數(shù)據(jù)脫敏。數(shù)據(jù)脫敏是指在保留數(shù)據(jù)結(jié)構(gòu)的同時(shí)，對(duì)敏感信息進(jìn)行處理，以減少敏感數(shù)據(jù)的可識(shí)別性，通常用于符合隱私保護(hù)法規(guī)的數(shù)據(jù)處理流程。通過應(yīng)用正則表達(dá)式、腳本等方式，確保在數(shù)據(jù)共享、存儲(chǔ)、處理或傳輸過程中，敏感信息不會(huì)被未經(jīng)授權(quán)的人訪問或?yàn)E用。

4）數(shù)據(jù)清洗。數(shù)據(jù)清洗是指對(duì)海量數(shù)據(jù)進(jìn)行預(yù)處理和修復(fù)，以識(shí)別、糾正或刪除數(shù)據(jù)中的錯(cuò)誤、缺失、重復(fù)或不一致之處。通過應(yīng)用正則表達(dá)式、腳本等方式，對(duì)數(shù)據(jù)進(jìn)行去重、填充缺失值、異常值處理等操作，提高數(shù)據(jù)的質(zhì)量，確保數(shù)據(jù)準(zhǔn)確性和一致性，為后續(xù)分析、建模和挖掘工作提供可靠的基礎(chǔ)。

5）數(shù)據(jù)映射。算子映射是在數(shù)據(jù)處理或轉(zhuǎn)換過程中，通過添加映射規(guī)則將數(shù)據(jù)從一種狀態(tài)映射到另一種狀態(tài)的操作。主要包括制定映射規(guī)則、映射前狀態(tài)、映射操作和映射后狀態(tài)等內(nèi)容。

3.3" 研究結(jié)果

數(shù)據(jù)處理算子化技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)處理的標(biāo)準(zhǔn)化、模塊化和高效化，提高安全分析的自動(dòng)化和效率、增強(qiáng)安全檢測的準(zhǔn)確性和及時(shí)性。通過研究數(shù)據(jù)處理算子化技術(shù)，完成對(duì)數(shù)據(jù)的預(yù)處理，實(shí)現(xiàn)如JS算子、JSON算子、RegEx算子，并以插件化的形式供安全劇本使用。通過對(duì)安全業(yè)務(wù)進(jìn)行梳理，形成可用于安全數(shù)據(jù)處理的算子庫，如轉(zhuǎn)換算子庫、映射算子庫、合并算子庫和脫敏算子庫，便于按業(yè)務(wù)需要編排成可流程化調(diào)度的劇本，提升網(wǎng)絡(luò)安全應(yīng)急處置能力，有效支撐網(wǎng)絡(luò)安全防范管理工作。

4" 安全劇本可視化編排技術(shù)研究

4.1" 原理

劇本是安全編排的核心，其通過將安全功能插件、算子、條件判斷、分支判斷和業(yè)務(wù)流轉(zhuǎn)按照業(yè)務(wù)需要組合成可獨(dú)立執(zhí)行的流程，以實(shí)現(xiàn)安全設(shè)備的靈活調(diào)度、安全策略的靈活配置。通過對(duì)有向無環(huán)圖（DAG）等技術(shù)的深入研究，實(shí)現(xiàn)劇本流程所需要的閉環(huán)判斷、邊刪除等基礎(chǔ)算法，然后對(duì)圖形化編排引擎（如X6-AntV等）進(jìn)行深入分析，并結(jié)合安全業(yè)務(wù)流程，實(shí)現(xiàn)以拖拽方式構(gòu)建劇本，并形成劇本庫，最終由劇本執(zhí)行引擎執(zhí)行劇本，以實(shí)現(xiàn)對(duì)安全設(shè)備的調(diào)度、安全策略的流程化配置。最后還要對(duì)外提供劇本的調(diào)度接口，以方便第三方平臺(tái)進(jìn)行調(diào)用。

4.2" 實(shí)現(xiàn)方法

4.2.1" 基于有向無環(huán)圖的劇本流程

有向無環(huán)圖是指有向圖中不存在環(huán)，簡稱DAG圖，具有有向性、無環(huán)性、節(jié)點(diǎn)和邊、拓?fù)渑判蚝鸵蕾囮P(guān)系的基本特性。通過研究有向無環(huán)圖（DAG）以及與劇本流程相關(guān)的邊刪除、閉環(huán)判斷等基礎(chǔ)算法，將設(shè)計(jì)和實(shí)現(xiàn)復(fù)雜系統(tǒng)中的流程控制和依賴關(guān)系管理[6]。

1）邊刪除算法。邊刪除算法是一種用于在圖結(jié)構(gòu)中動(dòng)態(tài)刪除邊（edge）的算法，圖的邊表示節(jié)點(diǎn)之間的關(guān)系或連接。在應(yīng)用場景中，通過確定刪除條件、遍歷圖結(jié)構(gòu)、標(biāo)記待刪除邊和執(zhí)行邊刪除等操作，可根據(jù)特定條件在運(yùn)行時(shí)動(dòng)態(tài)修改圖的結(jié)構(gòu)，刪除不必要的依賴關(guān)系，實(shí)現(xiàn)復(fù)雜目標(biāo)的優(yōu)化。

2）閉環(huán)判斷。閉環(huán)判斷是在有向圖中檢測是否存在環(huán)路的過程。在有向圖中，如果存在一條路徑從某個(gè)節(jié)點(diǎn)出發(fā)，最終又回到該節(jié)點(diǎn)，那么這個(gè)圖就包含一個(gè)環(huán)路。通過選擇起始節(jié)點(diǎn)、標(biāo)記訪問過的節(jié)點(diǎn)、遞歸或迭代訪問相鄰節(jié)點(diǎn)、檢測環(huán)路、清除訪問標(biāo)記等操作，實(shí)現(xiàn)防止在執(zhí)行任務(wù)、流程或操作時(shí)陷入無限循環(huán)。

4.2.2" 基于AntV的圖形化編排引擎

基于AntV的圖形化編排引擎是新一代數(shù)據(jù)可視化解決方案，包含一系列可視化資產(chǎn)、工具、產(chǎn)品和設(shè)計(jì)指引，提升數(shù)據(jù)分析效率。本研究通過研究AntV/G6智能繪圖及控制方法和AntV自定義可視化拓?fù)鋱D方法，構(gòu)建功能豐富、自定義程度高的可視化編排引擎，滿足安全劇本可視化編排需求[7]。

1）AntV/G6智能繪圖及控制方法。AntV/G6智能繪圖及控制方法，包括編輯視圖。編輯視圖包括視圖層、數(shù)據(jù)層和業(yè)務(wù)邏輯層。視圖層用于編輯圖形，視圖層包括畫布、節(jié)點(diǎn)選擇工具和工具欄組件。業(yè)務(wù)邏輯層包括業(yè)務(wù)操作組件，在視圖層添加節(jié)點(diǎn)、操作工具欄或者操作畫布時(shí)，統(tǒng)一調(diào)用業(yè)務(wù)邏輯層的業(yè)務(wù)操作組件，在業(yè)務(wù)邏輯層統(tǒng)一通過數(shù)據(jù)處理組件對(duì)數(shù)據(jù)層的數(shù)據(jù)進(jìn)行操作，以此更新數(shù)據(jù)后在視圖層展示更新效果。數(shù)據(jù)層包括數(shù)據(jù)存儲(chǔ)組件和數(shù)據(jù)處理組件，數(shù)據(jù)存儲(chǔ)組件存儲(chǔ)畫布、節(jié)點(diǎn)、連接線的基礎(chǔ)屬性。AntV/G6智能繪圖及控制方法通過智能自定義基礎(chǔ)元素，設(shè)計(jì)業(yè)務(wù)邏輯層統(tǒng)一管控，實(shí)現(xiàn)根據(jù)業(yè)務(wù)需求快速繪制圖形。AntV/G6智能繪圖編輯視圖架構(gòu)圖如圖4所示。

2）AntV自定義可視化拓?fù)鋱D方法。AntV自定義可視化拓?fù)鋱D方法包括5個(gè)模塊。模塊一為編排插件模塊，本項(xiàng)目集成安全設(shè)備功能插件、算子庫、檢測插件、處置插件等模塊，用于用戶自定義的流程編排。模塊二為拓?fù)鋱D渲染模塊，用于數(shù)據(jù)加載和渲染，將數(shù)據(jù)的加載和圖的渲染分開進(jìn)行。模塊三為拓?fù)渫献Э刂颇K，給予每個(gè)元素綁定拖拽事件。模塊四為拓?fù)滏溄涌刂颇K，用于將元素鏈接起來。模塊五為拓?fù)鋱D數(shù)據(jù)化模塊，包括了數(shù)據(jù)存儲(chǔ)以及重新獲取更新拓?fù)鋱D鏈接信息。基于AntV的自定義可視化拓?fù)鋱D的實(shí)現(xiàn)方法提供依據(jù)用戶自定義的元素信息進(jìn)行拓?fù)鋱D自定義，而不拘泥于拓?fù)鋱D中的固定的結(jié)構(gòu)樣式，可以跟自身業(yè)務(wù)解耦，也可以共同組合成一個(gè)公共組件，便于更多地供其他系統(tǒng)進(jìn)行調(diào)用。

4.2.3" 安全劇本可視化編排

從本研究對(duì)安全劇本可視化編排技術(shù)的定位來看劇本模塊應(yīng)該具備3大核心能力：編排、自動(dòng)化、響應(yīng)[8]。

1）編排。安全劇本可視化編排技術(shù)的關(guān)鍵是編排，這是在使用自動(dòng)化和響應(yīng)之前必須構(gòu)建的關(guān)鍵組件。本研究的編排體現(xiàn)的是一種協(xié)調(diào)和決策的能力，針對(duì)復(fù)雜性的安全事件，可通過編排將涉及情報(bào)數(shù)據(jù)、資產(chǎn)數(shù)據(jù)等復(fù)雜性分析流程的多種數(shù)據(jù)、平臺(tái)或設(shè)備進(jìn)行組合，實(shí)現(xiàn)安全流程的編排，保證其真正高效運(yùn)行。

2）自動(dòng)化。安全劇本可視化編排技術(shù)中的自動(dòng)化體現(xiàn)在面對(duì)需要處理的安全事件能夠根據(jù)策略自動(dòng)選擇編排的劇本、自動(dòng)執(zhí)行劇本的操作流程、根據(jù)結(jié)果自動(dòng)聯(lián)動(dòng)設(shè)備進(jìn)行防護(hù)阻斷等行動(dòng)策略3個(gè)方面。它允許劇本在安全流程的部分或全部內(nèi)容上執(zhí)行多個(gè)任務(wù)，將線性劇本串聯(lián)起來，支持全自動(dòng)化和半自動(dòng)化的決策，實(shí)現(xiàn)更加靈活的工作流和執(zhí)行劇本。

3）響應(yīng)。響應(yīng)是指系統(tǒng)對(duì)檢測到的安全事件或威脅做出及時(shí)而有效的反應(yīng)。本文研究實(shí)現(xiàn)安全事件響應(yīng)從接收流量、檢測、下達(dá)處置指令到安全設(shè)備的全流程響應(yīng)時(shí)間在3 min以內(nèi)。通過高級(jí)攻擊檢測模塊檢測到安全事件，安全劇本模塊根據(jù)策略劇本自動(dòng)化下達(dá)相應(yīng)的指令，通過集成安全功能插件執(zhí)行相關(guān)指令，整個(gè)過程為3 min，真正實(shí)現(xiàn)高效、及時(shí)、有效網(wǎng)絡(luò)安全動(dòng)態(tài)防御。

4.3" 研究結(jié)果

安全劇本可視化編排技術(shù)能夠?qū)崿F(xiàn)對(duì)安全設(shè)備的靈活調(diào)度、安全策略的流程化配置，提高安全事件響應(yīng)速度。通過有向無環(huán)圖（DAG）應(yīng)用，實(shí)現(xiàn)劇本流程所需要的閉環(huán)判斷、邊刪除等基礎(chǔ)算法，然后對(duì)圖形化編排引擎進(jìn)行應(yīng)用，結(jié)合安全業(yè)務(wù)流程，實(shí)現(xiàn)以拖拽方式構(gòu)建劇本，并形成劇本庫，最終由劇本執(zhí)行引擎執(zhí)行劇本，以實(shí)現(xiàn)對(duì)安全設(shè)備的調(diào)度、安全策略的流程化配置。

5" 結(jié)束語

本文旨在研究基于多技術(shù)融合的動(dòng)態(tài)安全規(guī)則編排技術(shù)，滿足不同安全事件的處理需求。構(gòu)建基于安全功能插件、數(shù)據(jù)處理算子化、安全劇本可視化編排等多技術(shù)融合的動(dòng)態(tài)安全規(guī)則編排技術(shù)?；趯?duì)無API設(shè)備的HTTP協(xié)議逆向分析以獲取設(shè)備狀態(tài)和控制信息形成安全功能插件，通過插件化技術(shù)實(shí)現(xiàn)不同功能的技術(shù)算子，共同作為可視化編排器的底層支撐。提供拖拽、拉取等可視化操作，將不同的插件、算子進(jìn)行連接和調(diào)度，實(shí)現(xiàn)安全劇本的編排。通過劇本執(zhí)行引擎，實(shí)現(xiàn)安全功能的靈活調(diào)度、管控和設(shè)置，以滿足不同安全事件的處理需求。研究結(jié)果表明，基于多技術(shù)融合的動(dòng)態(tài)安全規(guī)則編排技術(shù)是一種靈活高效響應(yīng)隱蔽攻擊的智能安全編排方法，相比傳統(tǒng)編排技術(shù)具有更好的性能和效果，可以編寫特定場景下的劇本，靈活調(diào)度安全能力，有效地應(yīng)對(duì)復(fù)雜和隱蔽的攻擊手段，從根本上提升電力網(wǎng)絡(luò)安全防御的智能決策水平，深度維護(hù)網(wǎng)絡(luò)安全。未來，為應(yīng)對(duì)大規(guī)模、高速、復(fù)雜隱蔽的網(wǎng)絡(luò)攻擊，團(tuán)隊(duì)將創(chuàng)新性探索大數(shù)據(jù)、自動(dòng)化、人工智能和機(jī)器學(xué)習(xí)等技術(shù)在動(dòng)態(tài)安全規(guī)則編排領(lǐng)域的應(yīng)用，構(gòu)建“智能化、自動(dòng)化、標(biāo)準(zhǔn)化”的網(wǎng)絡(luò)安全防御體系，從根本上預(yù)防和抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，推動(dòng)網(wǎng)絡(luò)安全領(lǐng)域向本質(zhì)安全發(fā)展。

參考文獻(xiàn)：

[1] 張亮，屈剛，李慧星，等.智能電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)關(guān)鍵技術(shù)研究及應(yīng)用[J].上海交通大學(xué)學(xué)報(bào)， 2021，55（S2）：148-151.

[2] 何能芳.基于圖神經(jīng)網(wǎng)絡(luò)的Python程序漏洞檢測插件設(shè)計(jì)與實(shí)現(xiàn)[D].貴陽：貴州大學(xué)，2022.

[3] 趙粵征，葉建偉，贠珊，等.基于SOAR的安全運(yùn)營自動(dòng)化關(guān)鍵技術(shù)構(gòu)建及未來演進(jìn)方向[J].信息技術(shù)與網(wǎng)絡(luò)安全，2021， 40（3）：19-27.

[4] 劉天珞，張慧翔，廖凱華，等.API安全威脅與防范技術(shù)研究[J].保密科學(xué)技術(shù)，2022（4）：8-14.

[5] 倪夏冰，錢錦，任田磊，等.面向網(wǎng)絡(luò)安全的數(shù)據(jù)融合技術(shù)研究[J].中國新通信，2022，24（11）：114-116.

[6] 廖小飛，陳意誠，張宇，等.一種高效的面向動(dòng)態(tài)有向圖的增量強(qiáng)連通分量算法[J].中國科學(xué)：信息科學(xué)，2019，49（8）：988-1004.

[7] 胡天一，張浩洋，顧丹鵬.基于AntVG6的Kettle工具前端設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)，2023，29（20）：117-120.

[8] 謝國濤，常超杰，范云飛.物聯(lián)網(wǎng)安全編排、自動(dòng)化與處置響應(yīng)技術(shù)研究[J].郵電設(shè)計(jì)技術(shù)，2023（4）：38-41.