[发明专利]确定用于处理安全事件的剧本的方法、装置及存储介质

权利要求书

1.一种确定用于处理安全事件的剧本的方法，其特征在于，所述方法包括：

查找与待处理的安全事件的类型绑定的剧本；

在没有查找到与所述安全事件的类型绑定的剧本的情况下，从案例数据库中确定与所述安全事件的类型匹配的案例，所述案例数据库包括多个案例，每个案例包括一个类型、一个或多个剧本以及所述一个或多个剧本中每个剧本的处理结果，每个案例用于指示针对属于同一个类型的历史安全事件执行的剧本，以及执行剧本后的处理结果；

从与所述安全事件的类型匹配的案例包括的一个或多个剧本中确定用于处理所述安全事件的剧本。

2.如权利要求1所述的方法，其特征在于，所述从案例数据库中确定与所述安全事件的类型匹配的案例，包括：

从所述案例数据库中查找类型与所述安全事件的类型一致的案例，将查找到的案例作为与所述安全事件的类型匹配的案例。

3.如权利要求2所述的方法，其特征在于，所述从所述案例数据库中查找类型与所述安全事件的类型一致的案例之后，还包括：

在没有查找到类型与所述安全事件的类型一致的案例的情况下，从任务数据库中获取多个历史安全事件，所述任务数据库包括多个任务，每个任务包括一个历史安全事件、一个剧本和一个处理结果，每个任务用于指示针对一个历史安全事件执行的剧本以及执行剧本后的处理结果；

从所述多个历史安全事件中确定与所述安全事件相似的历史安全事件；

确定所述相似的历史安全事件的类型；

从所述案例数据库中查找类型与所述相似的历史安全事件的类型一致的案例，将查找到的案例作为与所述安全事件的类型匹配的案例。

4.如权利要求3所述的方法，其特征在于，所述从任务数据库中获取多个历史安全事件，包括：

根据效用度量指标，从所述任务数据库中获取多个历史安全事件，所述效用度量指标包括目标处理结果、目标任务执行时间、以及目标相似频率中的一个或多个，所述目标相似频率是指任务中的历史安全事件在当前时间之前被确定为相似的历史安全事件的频率。

5.如权利要求3或4所述的方法，其特征在于，所述从所述多个历史安全事件中确定与所述安全事件相似的历史安全事件，包括：

确定所述多个历史安全事件中每个历史安全事件的多个属性；

确定所述安全事件的多个属性；

对于所述多个属性中每个属性，确定每个历史安全事件的所述属性和所述安全事件的所述属性之间的差异距离；

根据每个历史安全事件和所述安全事件在所述多个属性中每个属性上的差异距离，确定所述安全事件与每个历史安全事件之间的相似度；

将相似度大于相似度阈值的历史安全事件确定为与所述安全事件相似的历史安全事件。

6.如权利要求5所述的方法，其特征在于，对于每个历史安全事件，所述确定每个历史安全事件的所述属性和所述安全事件的所述属性之间的差异距离，包括：

在所述属性为不具有语义的属性的情况下，如果所述历史安全事件的所述属性和所述安全事件的所述属性相同，则将所述差异距离确定为1，如果所述历史安全事件的所述属性和所述安全事件的所述属性不相同，则将所述差异距离确定为0；或者，

在所述属性为具有语义的属性的情况下，将所述历史安全事件的所述属性和所述安全事件的所述属性之间的编辑距离确定为所述差异距离；或者，

在所述属性为具有大小比较特性的属性的情况下，将所述历史安全事件的所述属性和所述安全事件的所述属性之间的欧式距离确定为所述差异距离；或者，

在所述属性为链表类型或者数组类型的情况下，将所述历史安全事件的所述属性和所述安全事件的所述属性之间的杰卡德距离确定为所述差异距离。