(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211156810.7 (22)申请日 2022.09.22 (71)申请人 杭州安恒信息安全技 术有限公司 地址 310051 浙江省杭州市滨江区西兴街 道联慧街18 8号1幢5层 (72)发明人 肖昌淦　杨波　 (74)专利代理 机构 杭州华进联浙知识产权代理 有限公司 3 3250 专利代理师 贺才杰 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0894(2022.01) (54)发明名称 应急响应案件的一键处理方法、 装置和计算 机设备 (57)摘要 本申请涉及一种应急响应案件的一键处理 方法、 装置和计算机设备， 其中， 该应急响应案件 的一键处理方法包括： 基于安全事件， 创建对应 的应急响应预案， 并设置应急响应预案的处理策 略， 根据处理策略， 对安全事件执行对应的应急 响应预案， 得到应急响应预案的完备操作策， 进 一步地， 通过决策树模型分析样本安全事件， 得 到符合应急响应预案中处置规则的目标安全事 件， 并根据完备操作策略对目标安全事件进行一 键处理， 解决了无法统一处理类似应急响应案件 的问题， 实现了提高网络安全 事件的处置效率。 权利要求书2页 说明书12页 附图8页 CN 115550008 A 2022.12.30 CN 115550008 A 1.一种应急响应案件的一键处 理方法， 其特 征在于， 所述方法包括： 基于安全 事件， 创建对应的应急响应预案， 并设置所述应急响应预案的处 理策略； 根据所述处理策略， 对所述安全事件执行对应的所述应急响应预案， 得到所述应急响 应预案的完备操作策略； 通过决策树模型分析样本安全事件， 得到符合所述应急响应预案 中处置规则的目标安 全事件， 并根据所述完备操作策略对所述目标安全 事件进行一键处 理。 2.根据权利要求1所述的应急响应案件的一键处理方法， 其特征在于， 所述基于安全事 件， 创建对应的应急响应预案， 包括： 通过正则表达式， 设置所述 安全事件和所述应急响应预案之间的关联 条件； 根据所述关联 条件， 创建与所述 安全事件对应的所述应急响应预案 。 3.根据权利要求1所述的应急响应案件的一键处理方法， 其特征在于， 所述根据 所述处 理策略， 对所述 安全事件执行对应的所述应急响应预案， 包括： 根据流程策略中的操作指导， 对所述 安全事件进行处 理； 选择处理结果， 若所述处理结果为成功， 则根据 条件策略中的条件情形， 对所述安全事 件执行下一个所述处 理策略。 4.根据权利要求3所述的应急响应案件的一键处理方法， 其特征在于， 所述根据 所述处 理策略， 对所述 安全事件执行对应的所述应急响应预案， 包括： 对所述安全事件进行告警通知， 并告警分析所述安全事件， 判断所述安全事件中是否 存在攻击行为； 若不存在攻击行为， 则将所述 安全事件标记为 误报； 若存在攻击行为， 则对所述 安全事件进行告警处置 。 5.根据权利要求1所述的应急响应案件的一键处理方法， 其特征在于， 所述通过决策树 模型分析样本安全 事件， 得到符合所述应急响应预案中处置规则的目标安全 事件， 包括： 基于所述决策树模型， 对所述样本安全 事件的字段参数进行处 理， 得到筛选特征； 根据所述筛选特征分析所述样本安全事件， 得到符合所述应急响应预案 中所述处置规 则的所述目标安全 事件。 6.根据权利要求5所述的应急响应案件的一键处理方法， 其特征在于， 所述基于所述决 策树模型， 对所述样本安全 事件的字段参数进行处 理， 得到筛选特征， 包括： 若所述字段参数缺失， 则通过缺失值处 理方法， 补充缺失的所述字段参数； 对补充后的所述字段参数进行处 理， 得到所述筛 选特征。 7.根据权利要求1所述的应急响应案件的一键处理方法， 其特征在于， 所述根据 所述完 备操作策略对所述目标安全 事件进行一键处 理， 包括： 记录所述目标安全事件， 并二次分析所述目标安全事件， 判断是否需要一键处理所述 目标安全 事件； 若需要一键处理所述目标安全事件， 则批量选择所述目标安全事件， 对所述目标安全 事件执行所述应急响应预案， 并记录执 行所述应急响应预案的可视化 流程图； 若不需要一键处 理所述目标安全 事件， 则关闭所述应急响应预案 。 8.一种应急响应案件的一键处 理装置， 其特 征在于， 所述装置包括： 预设模块， 基于安全事件， 创建对应的应急响应预案， 并设置所述应急响应预案的处理权　利　要　求　书 1/2 页 2 CN 115550008 A 2策略； 执行模块， 根据 所述处理策略， 对所述安全事件执行对应的所述应急响应预案， 得到所 述应急响应预案的完备操作策略； 处理模块， 通过决策树模型分析样本安全事件， 得到符合所述应急响应预案中处置规 则的目标安全 事件， 并根据所述完备操作策略对所述目标安全 事件进行一键处 理。 9.一种计算机设备， 包括存储器和处理器， 其特征在于， 所述存储器中存储有计算机程 序， 所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项 所述的应急响 应案件的一键处 理方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至7中任一项所述的应急响应案件的一键处 理方法的步骤。权　利　要　求　书 2/2 页 3 CN 115550008 A 3