基于多技術融合的動態(tài)安全規(guī)則編排技術研究

摘" 要：在安全規(guī)則方面，研究基于安全編排、自動化等技術相結合的動態(tài)規(guī)則編排技術，以實現(xiàn)靈活的安全編排功能。通過對安全設備原子能力梳理和安全規(guī)則的原子化梳理，用插件化方式實現(xiàn)安全設備原子能力的調度，再經(jīng)由劇本可視化編排器，將安全數(shù)據(jù)處理算子、安全功能插件等按業(yè)務需要編排成可流程化調度的劇本，通過劇本執(zhí)行引擎，實現(xiàn)安全功能靈活地調度、管控、設置，滿足不同安全事件的處理需求。

關鍵詞：安全功能插件；數(shù)據(jù)處理算子化；安全劇本；安全編排；可視化

中圖分類號：TP391" " " 文獻標志碼：A" " " " " 文章編號：2095-2945（2025）09-0108-05

Abstract： In terms of security rules， we study dynamic rule orchestration technology based on the combination of security orchestration， automation and other technologies to achieve flexible security orchestration functions. By sorting out the atomic capabilities of security devices and atomizing security rules， the scheduling of the atomic capabilities of security devices is realized using plug-in methods. Then through the script visual orchestrator， security data processing operators， security function plug-ins， etc. are arranged into a process-based scheduling script， through the script execution engine， realizes flexible scheduling， control， and setting of security functions to meet the processing needs of different security events.

Keywords： security function plug-in; data processing operatorization; security script; security orchestration; visualization

近年來，隨著信息技術的飛速發(fā)展，網(wǎng)絡攻擊手段不斷翻新，攻擊頻率和強度不斷增加，網(wǎng)絡安全威脅日益嚴峻，新型電力系統(tǒng)的信息安全面臨著前所未有的挑戰(zhàn)。目前，市面上的網(wǎng)絡安全設備主要是基于規(guī)則的安全檢測和防護，存在安全策略配置不夠靈活的問題。尤其是在安全規(guī)則編排方面，傳統(tǒng)的防范和阻止策略已無法滿足電力行業(yè)日益變化的安全事件處理需求。

因此，研究一種更加靈活、高效的動態(tài)安全編排防御體系來應對不斷變化的威脅是大勢所趨。本研究將突破深化網(wǎng)絡安全監(jiān)測追溯與響應處置技術、網(wǎng)絡安全防護加固技術和網(wǎng)絡安全防護提升技術，基于安全編排、自動化等技術相結合的動態(tài)規(guī)則編排技術，實現(xiàn)靈活的安全編排功能，通過自動化的編排和智能化的決策，實現(xiàn)對網(wǎng)絡安全的快速響應和有效防御，提高安全運維的效率和準確性[1]。

1" 研究方向

多技術融合的動態(tài)安全規(guī)則編排技術基于安全編排、自動化等技術相結合，實現(xiàn)更靈活的安全編排，提高安全響應效率，快速響應和有效防御網(wǎng)絡攻擊。安全功能插件技術將基于安全功能插件框架，支持通過由Python、Lua腳本語言對部分安全設備調度接口進行封裝，形成可供調用的安全插件庫[2]。數(shù)據(jù)處理算子技術將完成對數(shù)據(jù)的預處理，并以插件化的形式供安全劇本使用，通過對安全業(yè)務進行梳理，形成可用于安全數(shù)據(jù)處理的算子庫。安全劇本可視化編排技術將通過有向無環(huán)圖（DAG）應用，實現(xiàn)劇本流程所需要的閉環(huán)判斷、邊刪除等基礎算法，然后對圖形化編排引擎進行應用，結合安全業(yè)務流程，實現(xiàn)以拖拽方式構建劇本，并形成劇本庫，最終由劇本執(zhí)行引擎執(zhí)行劇本，以實現(xiàn)對安全設備的調度、安全策略的流程化配置[3]。

2" 安全功能插件技術研究

2.1" 原理

安全功能是指構成一個安全劇本的一系列功能結點，其往往由一系列安全動作構成，而安全動作主要是對各類安全設備進行原子功能調度（如IP封堵、威脅情報系統(tǒng)的數(shù)據(jù)查詢等）。部分安全設備提供了API接口，而大量安全設備并未對外提供功能調度的API接口，這就造成了安全設備功能調度的困難。本研究通過對公司所用安全設備進行功能分析、接口分析、無API設備的HTTP協(xié)議逆向分析（主要對其功能進行分析，如設備登錄、策略配置），并結合腳本語言（如Python、lua）定義安全功能插件規(guī)范，開發(fā)并實現(xiàn)安全功能插件框架，為安全能力調度提供插件化的擴展能力[4]?；诎踩δ懿寮蚣?，對部分安全設備調度接口進行封裝，形成可供調用的安全插件庫。

安全功能插件管控技術解決了不對外提供API接口調度的安全設備的統(tǒng)一集中管控的需求。主要包括：通過原子動作模擬接入的安全設備管控過程中的每一個單獨指令操作動作（如登錄、封堵等）。再結合劇本庫的編排功能，根據(jù)不同場景的功能需求，將每一個涉及的單獨指令操作動作連接起來，封裝成一個可用的劇本進行使用調用。

2.2" 實現(xiàn)方法

2.2.1" 安全設備集中管控服務方法

安全設備集中管控服務方法通過信息獲取、插件生成、接口生成、設備管控和審計日志5個步驟，實現(xiàn)安全設備的集中整合，構建了一個更加安全、高效和智能的網(wǎng)絡安全環(huán)境，提高安全防護的整體水平。安全設備集中管控服務方法流程圖如圖1所示。

步驟1信息獲?。喊ǐ@取各個安全設備的操作動作信息，如在各個安全設備進行操作時，獲取訪問端和應答端交互的數(shù)據(jù)、步驟、會話時間等信息。操作動作信息一部分可通過網(wǎng)絡管理人員獲取，另一部分則可通過事先對需要模擬的操作動作過程進行監(jiān)聽并抓包分析來獲取。

步驟2插件生成：對原子動作模擬接入的安全設備的操作動作進行控制操作，并生成各種操作動作的安全功能插件存入數(shù)據(jù)庫。原子動作主要包括登錄、添加、刪除和修改等類型的操作步驟。以華為防火墻舉例說明，可包含的原子動作見表1——華為防火墻構成原子動作類型表。

步驟3接口生成：劇本庫調用安全設備的一系列安全功能插件，通過組合安全功能插件模擬接入的安全設備的執(zhí)行過程進行控制操作。并根據(jù)業(yè)務場景需求生成各種控制操作的劇本接口存入數(shù)據(jù)庫。研究的劇本庫除安全劇本外，還支持與調度算子庫、臺詞庫、檢測插件和處置插件等進行聯(lián)動編排，以查詢告警IP滿足條件IP調用第三方防火封堵、本設備封堵，具體見表2所示的查詢告警IP滿足條件IP封堵表。

表2" 查詢告警IP滿足條件IP封堵表

步驟4設備管控：當劇本執(zhí)行觸發(fā)事件發(fā)生時，調用數(shù)據(jù)庫中的劇本庫對接入的安全設備進行集中管控。劇本類型包括情報查詢、新告警、自動處置、自動封堵、手動封堵、解除封堵和定時劇本。本研究所有劇本執(zhí)行的觸發(fā)事件包括告警新增、黑名單新增、定時執(zhí)行，當發(fā)生上述事件時，所有劇本會默認執(zhí)行一遍。

步驟5審計日志：通過日志記錄對集中管控服務的過程進行記錄。對劇本執(zhí)行過程中的安全插件、臺詞庫的執(zhí)行開始時間、結束時間、執(zhí)行結果和執(zhí)行輸出均進行記錄，形成插件執(zhí)行日志作為審計日志的一部分存入數(shù)據(jù)庫。

2.2.2" 安全設備集中管控服務實現(xiàn)

安全設備集中管控服務實現(xiàn)通過在可視化流程編輯畫板上選取基本組件、安全插件列表、算子庫列表、臺詞庫列表、檢測插件列表和處置插件列表中合適的組件編排構成劇本。劇本在構造生成時，首先在可視化交互界面上，將形成的各列表的圖形插件，拖拽到可視化編輯畫板上來添加相應的動作，再通過帶方向的線條將選取的原子動作進行順序的編排。當觸發(fā)劇本執(zhí)行時，按照編排的順序進行依次執(zhí)行。安全設備集中管控服務實現(xiàn)可視化流程圖如圖2所示。

2.3" 研究結果

安全功能插件技術能夠增強系統(tǒng)的防御能力，有效保護系統(tǒng)免受各種網(wǎng)絡威脅和安全風險的侵害。通過研究安全功能插件技術，對安全設備的登錄、策略配置進行功能分析、接口分析和無API設備的HTTP協(xié)議逆向分析，并結合Python、lua腳本語言定義安全功能插件規(guī)范，開發(fā)并實現(xiàn)安全功能插件框架，為安全能力調度提供插件化的擴展能力?；诎踩δ懿寮蚣埽瑢Σ糠职踩O備調度接口進行封裝，形成可供調用的安全插件庫，提升網(wǎng)絡安全防范能力。

3" 數(shù)據(jù)處理算子化技術研究

3.1" 原理

安全劇本需要的數(shù)據(jù)往往需要進行數(shù)據(jù)處理，本研究首先對數(shù)據(jù)處理算子的實現(xiàn)方式進行研究，實現(xiàn)如JS算子、JSON算子、RegEx算子和K-V算子，并研究將其插件化。其次，通過對安全業(yè)務進行梳理，形成可用于安全數(shù)據(jù)處理的算子庫，如提取算子庫、轉換算子庫、映射算子庫、合并算子庫和脫敏算子庫。

3.2" 實現(xiàn)方法

3.2.1" 可視化數(shù)據(jù)范化編輯技術

可視化數(shù)據(jù)范化編輯技術利用算子將目標數(shù)據(jù)分步進行分割、轉換，實現(xiàn)數(shù)據(jù)由繁化簡的數(shù)據(jù)范化方法，通過數(shù)據(jù)源存儲、算子范化、范化劇本執(zhí)行和數(shù)據(jù)存儲到范化結果應用的一系列過程，進行可視化交互式操作，最終生成范化數(shù)據(jù)[5]。第一，對數(shù)據(jù)樣例進行傳輸存儲；第二，對數(shù)據(jù)樣例進行裁剪、修整，獲得目標數(shù)據(jù)以及確定范化后的范化模型；第三，將目標數(shù)據(jù)進行分割，提取數(shù)據(jù)字段；第四將獲得的數(shù)據(jù)字段與范化模型對應的字段進行轉換，并按照模型排序最終生成范化數(shù)據(jù)。具體的數(shù)據(jù)泛化流程如圖3所示。

3.2.2" 數(shù)據(jù)處理算子化實現(xiàn)技術

數(shù)據(jù)處理算子化實現(xiàn)技術通過字段提取、轉換方式、數(shù)據(jù)脫敏、數(shù)據(jù)清洗和數(shù)據(jù)映射的方式實現(xiàn)數(shù)據(jù)的算子化處理，實現(xiàn)數(shù)據(jù)的統(tǒng)一規(guī)范化管理，滿足特定的業(yè)務需求。

1）字段提取。字段提取是指從大規(guī)模數(shù)據(jù)集中抽取或獲取特定字段、屬性的過程。通過應用正則表達式、JSON、腳本和K-V等方式實現(xiàn)從大規(guī)模數(shù)據(jù)中提取所需字段，滿足進一步分析、報告或用于其他特定的業(yè)務需求。

2）轉換方式。字段轉換是指對大規(guī)模數(shù)據(jù)集中的特定字段進行修改、調整或處理的過程。通過應用正則表達式、腳本等方式，根據(jù)需求對數(shù)據(jù)進行清理、格式化、提取或計算，滿足分析、建?；蚱渌囟ㄓ猛拘枨?。

3）數(shù)據(jù)脫敏。數(shù)據(jù)脫敏是指在保留數(shù)據(jù)結構的同時，對敏感信息進行處理，以減少敏感數(shù)據(jù)的可識別性，通常用于符合隱私保護法規(guī)的數(shù)據(jù)處理流程。通過應用正則表達式、腳本等方式，確保在數(shù)據(jù)共享、存儲、處理或傳輸過程中，敏感信息不會被未經(jīng)授權的人訪問或濫用。

4）數(shù)據(jù)清洗。數(shù)據(jù)清洗是指對海量數(shù)據(jù)進行預處理和修復，以識別、糾正或刪除數(shù)據(jù)中的錯誤、缺失、重復或不一致之處。通過應用正則表達式、腳本等方式，對數(shù)據(jù)進行去重、填充缺失值、異常值處理等操作，提高數(shù)據(jù)的質量，確保數(shù)據(jù)準確性和一致性，為后續(xù)分析、建模和挖掘工作提供可靠的基礎。

5）數(shù)據(jù)映射。算子映射是在數(shù)據(jù)處理或轉換過程中，通過添加映射規(guī)則將數(shù)據(jù)從一種狀態(tài)映射到另一種狀態(tài)的操作。主要包括制定映射規(guī)則、映射前狀態(tài)、映射操作和映射后狀態(tài)等內容。

3.3" 研究結果

數(shù)據(jù)處理算子化技術能夠實現(xiàn)數(shù)據(jù)處理的標準化、模塊化和高效化，提高安全分析的自動化和效率、增強安全檢測的準確性和及時性。通過研究數(shù)據(jù)處理算子化技術，完成對數(shù)據(jù)的預處理，實現(xiàn)如JS算子、JSON算子、RegEx算子，并以插件化的形式供安全劇本使用。通過對安全業(yè)務進行梳理，形成可用于安全數(shù)據(jù)處理的算子庫，如轉換算子庫、映射算子庫、合并算子庫和脫敏算子庫，便于按業(yè)務需要編排成可流程化調度的劇本，提升網(wǎng)絡安全應急處置能力，有效支撐網(wǎng)絡安全防范管理工作。

4" 安全劇本可視化編排技術研究

4.1" 原理

劇本是安全編排的核心，其通過將安全功能插件、算子、條件判斷、分支判斷和業(yè)務流轉按照業(yè)務需要組合成可獨立執(zhí)行的流程，以實現(xiàn)安全設備的靈活調度、安全策略的靈活配置。通過對有向無環(huán)圖（DAG）等技術的深入研究，實現(xiàn)劇本流程所需要的閉環(huán)判斷、邊刪除等基礎算法，然后對圖形化編排引擎（如X6-AntV等）進行深入分析，并結合安全業(yè)務流程，實現(xiàn)以拖拽方式構建劇本，并形成劇本庫，最終由劇本執(zhí)行引擎執(zhí)行劇本，以實現(xiàn)對安全設備的調度、安全策略的流程化配置。最后還要對外提供劇本的調度接口，以方便第三方平臺進行調用。

4.2" 實現(xiàn)方法

4.2.1" 基于有向無環(huán)圖的劇本流程

有向無環(huán)圖是指有向圖中不存在環(huán)，簡稱DAG圖，具有有向性、無環(huán)性、節(jié)點和邊、拓撲排序和依賴關系的基本特性。通過研究有向無環(huán)圖（DAG）以及與劇本流程相關的邊刪除、閉環(huán)判斷等基礎算法，將設計和實現(xiàn)復雜系統(tǒng)中的流程控制和依賴關系管理[6]。

1）邊刪除算法。邊刪除算法是一種用于在圖結構中動態(tài)刪除邊（edge）的算法，圖的邊表示節(jié)點之間的關系或連接。在應用場景中，通過確定刪除條件、遍歷圖結構、標記待刪除邊和執(zhí)行邊刪除等操作，可根據(jù)特定條件在運行時動態(tài)修改圖的結構，刪除不必要的依賴關系，實現(xiàn)復雜目標的優(yōu)化。

2）閉環(huán)判斷。閉環(huán)判斷是在有向圖中檢測是否存在環(huán)路的過程。在有向圖中，如果存在一條路徑從某個節(jié)點出發(fā)，最終又回到該節(jié)點，那么這個圖就包含一個環(huán)路。通過選擇起始節(jié)點、標記訪問過的節(jié)點、遞歸或迭代訪問相鄰節(jié)點、檢測環(huán)路、清除訪問標記等操作，實現(xiàn)防止在執(zhí)行任務、流程或操作時陷入無限循環(huán)。

4.2.2" 基于AntV的圖形化編排引擎

基于AntV的圖形化編排引擎是新一代數(shù)據(jù)可視化解決方案，包含一系列可視化資產(chǎn)、工具、產(chǎn)品和設計指引，提升數(shù)據(jù)分析效率。本研究通過研究AntV/G6智能繪圖及控制方法和AntV自定義可視化拓撲圖方法，構建功能豐富、自定義程度高的可視化編排引擎，滿足安全劇本可視化編排需求[7]。

1）AntV/G6智能繪圖及控制方法。AntV/G6智能繪圖及控制方法，包括編輯視圖。編輯視圖包括視圖層、數(shù)據(jù)層和業(yè)務邏輯層。視圖層用于編輯圖形，視圖層包括畫布、節(jié)點選擇工具和工具欄組件。業(yè)務邏輯層包括業(yè)務操作組件，在視圖層添加節(jié)點、操作工具欄或者操作畫布時，統(tǒng)一調用業(yè)務邏輯層的業(yè)務操作組件，在業(yè)務邏輯層統(tǒng)一通過數(shù)據(jù)處理組件對數(shù)據(jù)層的數(shù)據(jù)進行操作，以此更新數(shù)據(jù)后在視圖層展示更新效果。數(shù)據(jù)層包括數(shù)據(jù)存儲組件和數(shù)據(jù)處理組件，數(shù)據(jù)存儲組件存儲畫布、節(jié)點、連接線的基礎屬性。AntV/G6智能繪圖及控制方法通過智能自定義基礎元素，設計業(yè)務邏輯層統(tǒng)一管控，實現(xiàn)根據(jù)業(yè)務需求快速繪制圖形。AntV/G6智能繪圖編輯視圖架構圖如圖4所示。

2）AntV自定義可視化拓撲圖方法。AntV自定義可視化拓撲圖方法包括5個模塊。模塊一為編排插件模塊，本項目集成安全設備功能插件、算子庫、檢測插件、處置插件等模塊，用于用戶自定義的流程編排。模塊二為拓撲圖渲染模塊，用于數(shù)據(jù)加載和渲染，將數(shù)據(jù)的加載和圖的渲染分開進行。模塊三為拓撲拖拽控制模塊，給予每個元素綁定拖拽事件。模塊四為拓撲鏈接控制模塊，用于將元素鏈接起來。模塊五為拓撲圖數(shù)據(jù)化模塊，包括了數(shù)據(jù)存儲以及重新獲取更新拓撲圖鏈接信息?；贏ntV的自定義可視化拓撲圖的實現(xiàn)方法提供依據(jù)用戶自定義的元素信息進行拓撲圖自定義，而不拘泥于拓撲圖中的固定的結構樣式，可以跟自身業(yè)務解耦，也可以共同組合成一個公共組件，便于更多地供其他系統(tǒng)進行調用。

4.2.3" 安全劇本可視化編排

從本研究對安全劇本可視化編排技術的定位來看劇本模塊應該具備3大核心能力：編排、自動化、響應[8]。

1）編排。安全劇本可視化編排技術的關鍵是編排，這是在使用自動化和響應之前必須構建的關鍵組件。本研究的編排體現(xiàn)的是一種協(xié)調和決策的能力，針對復雜性的安全事件，可通過編排將涉及情報數(shù)據(jù)、資產(chǎn)數(shù)據(jù)等復雜性分析流程的多種數(shù)據(jù)、平臺或設備進行組合，實現(xiàn)安全流程的編排，保證其真正高效運行。

2）自動化。安全劇本可視化編排技術中的自動化體現(xiàn)在面對需要處理的安全事件能夠根據(jù)策略自動選擇編排的劇本、自動執(zhí)行劇本的操作流程、根據(jù)結果自動聯(lián)動設備進行防護阻斷等行動策略3個方面。它允許劇本在安全流程的部分或全部內容上執(zhí)行多個任務，將線性劇本串聯(lián)起來，支持全自動化和半自動化的決策，實現(xiàn)更加靈活的工作流和執(zhí)行劇本。

3）響應。響應是指系統(tǒng)對檢測到的安全事件或威脅做出及時而有效的反應。本文研究實現(xiàn)安全事件響應從接收流量、檢測、下達處置指令到安全設備的全流程響應時間在3 min以內。通過高級攻擊檢測模塊檢測到安全事件，安全劇本模塊根據(jù)策略劇本自動化下達相應的指令，通過集成安全功能插件執(zhí)行相關指令，整個過程為3 min，真正實現(xiàn)高效、及時、有效網(wǎng)絡安全動態(tài)防御。

4.3" 研究結果

安全劇本可視化編排技術能夠實現(xiàn)對安全設備的靈活調度、安全策略的流程化配置，提高安全事件響應速度。通過有向無環(huán)圖（DAG）應用，實現(xiàn)劇本流程所需要的閉環(huán)判斷、邊刪除等基礎算法，然后對圖形化編排引擎進行應用，結合安全業(yè)務流程，實現(xiàn)以拖拽方式構建劇本，并形成劇本庫，最終由劇本執(zhí)行引擎執(zhí)行劇本，以實現(xiàn)對安全設備的調度、安全策略的流程化配置。

5" 結束語

本文旨在研究基于多技術融合的動態(tài)安全規(guī)則編排技術，滿足不同安全事件的處理需求。構建基于安全功能插件、數(shù)據(jù)處理算子化、安全劇本可視化編排等多技術融合的動態(tài)安全規(guī)則編排技術。基于對無API設備的HTTP協(xié)議逆向分析以獲取設備狀態(tài)和控制信息形成安全功能插件，通過插件化技術實現(xiàn)不同功能的技術算子，共同作為可視化編排器的底層支撐。提供拖拽、拉取等可視化操作，將不同的插件、算子進行連接和調度，實現(xiàn)安全劇本的編排。通過劇本執(zhí)行引擎，實現(xiàn)安全功能的靈活調度、管控和設置，以滿足不同安全事件的處理需求。研究結果表明，基于多技術融合的動態(tài)安全規(guī)則編排技術是一種靈活高效響應隱蔽攻擊的智能安全編排方法，相比傳統(tǒng)編排技術具有更好的性能和效果，可以編寫特定場景下的劇本，靈活調度安全能力，有效地應對復雜和隱蔽的攻擊手段，從根本上提升電力網(wǎng)絡安全防御的智能決策水平，深度維護網(wǎng)絡安全。未來，為應對大規(guī)模、高速、復雜隱蔽的網(wǎng)絡攻擊，團隊將創(chuàng)新性探索大數(shù)據(jù)、自動化、人工智能和機器學習等技術在動態(tài)安全規(guī)則編排領域的應用，構建“智能化、自動化、標準化”的網(wǎng)絡安全防御體系，從根本上預防和抵御網(wǎng)絡安全風險，推動網(wǎng)絡安全領域向本質安全發(fā)展。

參考文獻：

[1] 張亮，屈剛，李慧星，等.智能電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡安全態(tài)勢感知平臺關鍵技術研究及應用[J].上海交通大學學報， 2021，55（S2）：148-151.

[2] 何能芳.基于圖神經(jīng)網(wǎng)絡的Python程序漏洞檢測插件設計與實現(xiàn)[D].貴陽：貴州大學，2022.

[3] 趙粵征，葉建偉，贠珊，等.基于SOAR的安全運營自動化關鍵技術構建及未來演進方向[J].信息技術與網(wǎng)絡安全，2021， 40（3）：19-27.

[4] 劉天珞，張慧翔，廖凱華，等.API安全威脅與防范技術研究[J].保密科學技術，2022（4）：8-14.

[5] 倪夏冰，錢錦，任田磊，等.面向網(wǎng)絡安全的數(shù)據(jù)融合技術研究[J].中國新通信，2022，24（11）：114-116.

[6] 廖小飛，陳意誠，張宇，等.一種高效的面向動態(tài)有向圖的增量強連通分量算法[J].中國科學：信息科學，2019，49（8）：988-1004.

[7] 胡天一，張浩洋，顧丹鵬.基于AntVG6的Kettle工具前端設計與實現(xiàn)[J].現(xiàn)代計算機，2023，29（20）：117-120.

[8] 謝國濤，常超杰，范云飛.物聯(lián)網(wǎng)安全編排、自動化與處置響應技術研究[J].郵電設計技術，2023（4）：38-41.