(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111434703.1 (22)申请日 2021.11.29 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 余思　聂玉涵　 (74)专利代理 机构 北京同立钧成知识产权代理 有限公司 1 1205 代理人 章愫　臧建明 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种安全防护方法和装置 (57)摘要 本申请提供了一种安全防护方法和装置， 涉 及信息安全领域。 该方法包括： 安全防护装置接 收第一通知， 第一通知用于指示第一网络安全事 件； 安全防护装置基于第一网络安全事件， 调用 第一网络安全事件对应的第一网络安全事件剧 本， 以对第一通知进行处理； 第一网络安全事件 剧本包括针对 所述第一通知的处理逻辑， 第一网 络安全事件剧本是预存的多个网络安全事件剧 本中的一个， 多个网络安全事件剧本与多个网络 安全事件一一对应。 安全防护装置接收到指示网 络安全事件的通知后， 通过直接调用预存的该网 络安全事件对应的剧本， 以对该通知进行处理， 减少了安全运维人员的参与， 提升了对网络安全 事件的响应速度以及处理效率， 有利于保障网络 安全。 权利要求书2页 说明书12页 附图6页 CN 114124553 A 2022.03.01 CN 114124553 A 1.一种安全防护方法， 其特征在于， 应用于安全防护系统， 所述安全防护系统包括安全 防护装置以及与所述 安全防护装置连接的一个或多个电子设备， 所述方法包括： 所述安全防护装置 接收第一 通知， 所述第一 通知用于指示第一网络安全 事件； 所述安全防护装置基于所述第 一网络安全事件， 调用所述第 一网络安全事件对应的第 一网络安全事件剧本， 以对所述第一通知进行处理； 所述第一网络安全事件剧本包括针对 所述第一通知的处理逻辑， 所述第一网络安全事件剧本是预存的多个网络安全事件剧本中 的一个， 所述多个网络安全 事件剧本与多个网络安全 事件一一对应。 2.如权利要求1所述的方法， 其特征在于， 所述安全防护装置基于所述第 一网络安全事 件， 调用所述第一网络安全事件对应的第一网络安全事件剧本， 以对所述第一通知进行处 理， 包括： 所述安全防护装置基于所述第 一网络安全事件剧 本， 确定所述安全防护系统中发生所 述第一网络安全 事件； 所述安全防护装置基于所述第一网络安全 事件剧本， 处 理所述第一网络安全 事件。 3.如权利要求2所述的方法， 其特征在于， 所述第一通知用于通知病毒爆发， 所述第一 网络安全 事件包括病毒的感染； 以及 所述安全防护装置基于所述第 一网络安全事件剧 本， 确定所述安全防护系统中发生所 述第一网络安全 事件， 包括： 所述安全防护装置确定所述 安全防护系统中感染所述病毒的电子设备； 以及 所述安全防护装置基于所述第一网络安全事件剧本， 处理所述第一网络安全事件， 包 括： 所述安全防护装置对感染所述病毒的电子设备进行处 理； 所述安全防护装置确定所述病毒利用的漏洞； 所述安全防护装置基于所述病 毒利用的漏洞， 调用感染所述病 毒的电子设备中的虚拟 补丁管理系统下发虚拟补丁。 4.如权利要求3所述的方法， 其特征在于， 所述安全防护装置确定所述安全防护系统中 感染所述病毒的电子设备， 包括： 所述安全防护装置获取 所述病毒对应的病毒码； 所述安全防护装置将所述病 毒码分发至所连接的各电子设备， 以触发各电子设备的防 病毒软件基于所述病毒码进行病毒扫描； 所述安全防护装置 接收病毒扫描的结果； 所述安全防护装置基于所述病毒扫描的结果， 确定感染所述病毒的设备。 5.如权利要求3所述的方法， 其特征在于， 所述安全防护装置对感染所述病 毒的电子设 备进行处 理， 包括： 所述安全防护装置在所述电子设备的类型为客户端的情况下， 调用所述客户端对应的 客户端管理系统， 对所述 客户端进行断网； 所述安全防护装置调用所述客户端对应的邮件接口， 向安全运维人员发送第二通知， 以指示所述 安全运维人员删除所述病毒； 和/或 所述安全防护装置在所述电子设备的类型为服务器的情况下， 调用所述服务器对应的 邮件接口， 向安全运维人员发送第三通知， 以指示所述安全运维人员确认是否对所述服务权　利　要　求　书 1/2 页 2 CN 114124553 A 2器进行断网； 所述安全防护装置在接收到来自所述服务器对应的安全运维人员的确 认的情况下， 对 所述服务器进行断网。 6.如权利要求3所述的方法， 其特征在于， 所述安全防护装置确定所述病毒利用的漏 洞， 包括： 所述安全防护装置基于所述病毒的名称， 从威胁情报库中查询所述病毒利用的漏洞， 所述威胁情报库中存 储有多种病毒的名称和所述多种 病毒中每种 病毒利用的漏洞。 7.如权利要求2所述的方法， 其特征在于， 所述第 一通知用于通知所述安全防护系统受 到攻击， 所述第一网络安全 事件包括攻击行为； 以及 所述安全防护装置基于所述第一网络安全事件剧本， 处理所述第一网络安全事件， 包 括： 所述安全防护装置基于来自安全运维人员的确 认， 对发起所述攻击行为的电子设备或 被攻击的电子设备进行断网； 所述安全防护装置 封禁所述 攻击行为对应的互联网协议 IP地址； 所述安全防护装置基于所述攻击行为利用的漏洞， 调用被攻击的电子设备中的虚拟补 丁管理系统下发虚拟补丁。 8.如权利要求7所述的方法， 其特征在于， 在所述攻击行为来源于内网的情况下， 所述 方法还包括： 基于训练好的攻击链路还原模型， 确定所述攻击行为的攻击路径以及攻击方 式， 所述攻击路径以及所述 攻击方式用于确定所述 攻击行为利用的漏洞。 9.如权利要求7或8所述的方法， 其特征在于， 所述安全 防护装置封禁所述攻击行为对 应的IP地址， 包括： 所述安全防护装置调用所述被攻击的电子设备的封禁工具， 对所述 IP地址进行封禁。 10.如权利要求9所述的方法， 其特 征在于， 所述方法还 包括： 所述安全防护装置基于所述IP地址， 对威胁情报库中预存的封禁IP地址进行更新， 所 述威胁情报库中存 储有多种封禁IP地址 。 11.一种安全防护装置， 其特征在于， 包括用于实现如权利要求1至10中任一项所述的 方法的模块。 12.一种安全防护装置， 其特征在于， 包括处理器和存储器， 所述处理器和所述存储器 耦合， 所述存储器用于存储计算机程序和接 收到的数据， 所述处理器用于执行所述计算机 程序， 以使得 所述安全防护装置实现如权利要求1至10中任一项所述的方法。 13.一种计算机可读存储介质， 其特征在于， 包括计算机程序， 当所述计算机程序在计 算机上运行时， 使得 所述计算机执 行如权利要求1至10中任一项所述的方法。 14.一种计算机程序产品， 其特征在于， 包括计算机程序， 当所述计算机程序被运行时， 使得计算机执 行如权利要求1至10中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114124553 A 3