[发明专利]引擎调度动作执行优先级的测试方法、装置、设备及介质

说明书

本发明实施例提供了一种引擎调度动作执行优先级的测试方法、装置、设备及介质，由于本发明向引擎调度平台发送测试指令，其中该测试指令中携带有目标案例的案例信息，以及预设的调度轮数，获取该引擎调度平台每轮引擎调度动作执行优先级关系，根据KNN分类算法以及预先保存的分类样本库，对获取的引擎调度动作执行优先级的关系进行分类，根据最大似然估计算法以及该分类，确定对该引擎调度平台的测试结果，从而实现对引擎调度平台的引擎调度动作执行优先级的测试，避免了将某次偶然测试引擎调度动作执行优先级的结果作为最终的优先级调度结果，提高了引擎调度测试的准确性和SOAR使用的安全性和准确性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种引擎调度动作执行优先级的测试方法、装置、设备及介质。

背景技术

安全编排、自动化响应技术(Security Orchestration Automation andResponse，SOAR)为安全运营提供了新的思路。它可以对现有的安全能力进行灵活编排，对于一个案例，可以通过编写剧本(playbook)完成对该案例的场景的构建，其中该剧本是SOAR系统中一系列动作(action)连接起来的，包含了该案例的安全运营完整的处理流程。

图1a-图1c为现有技术提供的典型的案例构建的过程示意图，其中图1a为漏洞攻击案例对应的编排过程，图1b为结构化查询语言(Structured Query Language，SQL)案例对应的编排过程，图1c为勒索软件案例对应的编排过程。

但是，在安全运营中，动作的执行是需要有优先级顺序的，即在引擎调度平台中，动作被调度顺序是有优先级的。每个动作都预先设置了优先级，引擎调度平台根据预先设置被调度顺序的优先级关系对动作进行调度，但是在应用过程中，引擎调度动作的实际被调度顺序的优先级关系与预先设置的被调度顺序的优先级关系可能会出现不一致的情况，引擎调度平台的引擎调度动作的实际被调度顺序的优先级关系发生错误，降低了后续SOAR使用的安全性和准确性，因此需要对引擎调度平台的引擎调度动作执行优先级进行测试。

发明内容

本发明提供了一种引擎调度动作执行优先级的测试方法、装置、设备及介质，用以提高后续SOAR使用的安全性和准确性。

本发明提供了一种引擎调度动作执行优先级的测试方法，所述方法包括：

向引擎调度平台发送测试指令，其中所述测试指令中携带有目标案例的案例信息，以及预设的调度轮数；

获取所述引擎调度平台每轮引擎调度动作执行优先级的关系；

根据KNN分类算法以及预先保存的分类样本库，对获取的引擎调度动作执行优先级的关系进行分类；

根据最大似然估计算法以及所述分类，确定对所述引擎调度平台的测试结果。

进一步地，所述获取所述引擎调度平台每轮引擎调度动作执行优先级的关系包括：

针对每轮引擎调度动作，确定该轮引擎调度动作调度每个优先级的动作的目标数量，根据每个优先级的动作被调度的目标数量，确定每个优先级的动作被调度顺序的优先级关系，将所述优先级关系作为该轮引擎调度动作执行优先级的关系，并将所述每个优先级动作被调度的目标数量进行统计并记录。

进一步地，所述根据KNN分类算法以及预先保存的分类样本库，对获取的引擎调度动作执行优先级的关系进行分类包括：

针对任一引擎调度动作执行优先级的关系，确定在样本空间中该引擎调度动作执行的优先级的关系对应的第一类别点与所述分类样本库中的各优先级的关系对应的第二类别点之间的距离；

将所述距离按照递减的顺序进行排序，获取排序靠前的K个目标第二类别点，其中K为大于1的整数；