(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111619358.9 (22)申请日 2021.12.27 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 郭兰杰　脱利锋　朱文豪　赵粤征　 高辉力　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 黄邃 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种安全防护方法、 装置及电子设备 (57)摘要 一种安全防护方法、 装置及电子设备， 该方 法包括： 在检测出安全防护系统中存在威胁事件 时， 获取检测出威胁事件的安全程序对应的拦截 方式以及对威胁事件拦截参数， 确定具有相同拦 截方式的以及相同类别标识的所有安全程序， 并 分别设置 所有安全程序对应的拦截操作， 指示确 定出的所有安全程序按照拦截参数以及拦截操 作对威胁事件进行拦截， 分别得到每个安全程序 对威胁事件拦截 是否成功的拦截响应信息。 通过 上述方法， 将具有相同拦截 方式的安全程序筛选 出来在一个流程块中完成编排， 确保了筛选出来 的安全程序都通过该拦截方式对威胁事件进行 拦截， 避免了SOAR对不具有确定 出的拦截方式的 安全程序进行无效编排， 避免了SOAR的资源浪 费。 权利要求书2页 说明书9页 附图2页 CN 114338145 A 2022.04.12 CN 114338145 A 1.一种安全防护方法， 其特 征在于， 包括： 在检测出安全防护系统中存在威胁事件时， 获取检测出所述威胁事件的安全程序对应 的拦截方式以及对所述 威胁事件拦截参数； 确定具有相同拦截方式的以及相同类别标识的所有安全程序， 并分别设置所有安全程 序对应的拦截操作， 其中， 所述类别标识表征安全程序的类型， 所述拦截操作为将所述拦截 参数中的拦截 对象拉进黑名单或访问控制列表中； 指示确定出的所有安全程序按照所述拦截参数以及所述拦截操作对所述威胁事件进 行拦截， 分别得到每 个安全程序对所述 威胁事件拦截是否成功的拦截响应信息 。 2.如权利要求1所述的方法， 其特征在于， 在检测出安全防护系统中存在威胁事件之 前， 包括： 获得安全防护系统中的初始表单， 提取出所述初始表单中的每个安全程序的类别属 性， 并提取出每个安全程序中与威胁事件相关的相同拦截参数， 其中， 所述类别属性至少包 括安全程序的类别标识以及拦截方式， 所述 拦截参数至少包括 拦截对象以及拦截时间； 将具有相同拦截方式以及相同类别标识的安全程序划分为一类， 并生成包含各个类别 的安全程序的第一临时表； 提取出所述初始 表单中的安全程序对应的拦截操作； 基于所述第一临时表、 所述 拦截参数以及所述 拦截操作生成目标表单。 3.如权利要求2所述的方法， 其特征在于， 将具有相同拦截方式以及相同类别标识的安 全程序划分为 一类， 包括： 提取出相同拦截方式的所述 安全程序， 生成所述初始 表单对应的第一表单； 在每种拦截方式对应的安全程序中， 将相同类型的安全程序进行分类， 分别生成所述 第一表单对应的第一子表单； 基于所述第一表单以及所述第一子表单生成所述初始 表单对应的第一临时表。 4.如权利要求2所述的方法， 其特征在于， 提取出每个安全程序中与威胁事件相关的相 同拦截参数， 包括： 遍历每个安全程序中与所述 威胁事件对应的拦截参数； 检测每个安全程序中的所述 拦截参数 是否相同； 确定每个安全程序中的所述拦截参数相同时， 将所述拦截参数作为所述初始表单中的 所有安全设备对应的拦截参数。 5.如权利要求2所述的方法， 其特征在于， 提取出所述初始表单中的安全程序对应的拦 截操作， 包括： 检测所述 安全程序与其 他安全程序之间的拦截操作是否相同； 确定所述安全程序与其他安全程序之间的所述拦截操作不同时， 提取出所述初始表单 中的安全程序对应的所述 拦截操作。 6.一种安全防护装置， 其特 征在于， 所述装置包括： 获得模块， 具体用于在检测出安全 防护系统中存在威胁事件时， 获取检测出所述威胁 事件的安全程序对应的拦截方式以及对所述 威胁事件拦截参数； 确定模块， 具体用于确定具有相同拦截方式的以及相同类别标识 的所有安全程序， 并 分别设置所有安全程序对应的拦截操作；权　利　要　求　书 1/2 页 2 CN 114338145 A 2拦截模块， 具体用于指示确定出的所有安全程序按照所述拦截参数以及所述拦截操作 对所述威胁事件进行拦截， 分别得到每个安全程序对所述威胁事件拦截是否成功的拦截响 应信息。 7.如权利要求6所述的装置， 其特征在于， 所述获得模块， 具体用于获得安全 防护系统 中的初始表单， 提取出所述初始表单中的每个安全程序的类别属 性， 并提取出每个安全程 序中与威胁事件相关的相同拦截参数， 将具有相同拦截方式以及相同类别标识的安全程序 划分为一类， 并生成包含各个类别的安全程序的第一临时表， 提取出所述初始表单中的安 全程序对应的拦截操作， 基于所述第一临时表、 所述拦截参数以及所述拦截操作生成目标 表单。 8.如权利要求6所述的装置， 其特征在于， 所述获得模块， 还用于取出相同拦截方式的 所述安全程序， 生成所述初始表单对应的第一表单， 在每种拦截方式对应的安全程序中， 将 相同类型 的安全程序进行分类， 分别生成所述第一表单对应的第一子表单， 基于所述第一 表单以及所述第一子表单生成所述初始 表单对应的第一临时表。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存放计算机程序； 处理器， 用于执行所述存储器上所存放的计算机程序时， 实现权利要求1 ‑5任一项所述 的方法步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质内存储有计算机 程序， 所述计算机程序被处 理器执行时实现权利要求1 ‑5任一项所述的方法步骤。权　利　要　求　书 2/2 页 3 CN 114338145 A 3