基于双线规则学习的SOAR网络安全应急响应案例修正.pdf

《基于双线规则学习的SOAR网络安全应急响应案例修正.pdf》由会员分享，可在线阅读，更多相关《基于双线规则学习的SOAR网络安全应急响应案例修正.pdf（8页珍藏版）》请在咨信网上搜索。

1、Aug.2023Journal of Information Engineering University2023年8 月Vol.24 No.4第2 4卷第4期信息工程大学学报D0I:10.3969/j.issn.1671-0673.2023.04.014基于双线规则学习的SOAR网络安全应急响应案例修正赵晏，郭渊博（信息工程大学，河南郑州450 0 0 1）摘要：安全编排、自动化与响应（SecurityOrchestration，A u t o ma t i o n a n d SO A R）网络安全应急响应案例库建成后，当新的安全事件产生时，对相似案例进行检索，得到的案例的响应方案往往还需

2、要经过案例修正才能运用至实际环境中。研究了SOAR网络安全应急响应案例的修正方法，提出一种基于双线规则学习的案例修正技术；并对案例修正规则学习过程中的相似案例相似性度量方法进行了研究，提出了一种基于可达矩阵的流程图相似度计算方法；然后对案例修正过程进行了描绘；最后，对提出的案例修正技术进行了实验和分析。结果表明，提出的双线规则学习模式能够用于实际安全事件的应急响应。关键词：案例修正；网络安全；双线规则学习；SOAR；剧本中图分类号：T309.1文献标识码：A文章编号：16 7 1-0 6 7 3(2 0 2 3)0 4-0 48 4-0 8SOAR Cybersecurity Emergenc

3、y Response CaseRevisionBased on Bilinear Rule LearningZHAO Yan,GUO Yuanbo(Information Engineering University,Zhengzhou 450001,China)Abstract:When a new security event is generated,the response plan of similar cases is retrieved inthe security orchestration,automation and response(SOAR)cybersecurity

4、emergency response casebase.However,the response plan of the obtained cases often needs to undergo case revision beforebeing applied to the actual environment.Therefore,this paper studies the revision method of SOARnetwork security emergency response cases,and proposes a case revision technique base

5、d on bilinearrule learning.It also studies the similarity measure of similar cases in the case revision rule learningprocess,and a flowchart similarity calculation method based on reachable matrix is proposed.Thenthe case revision process is depicted.Finally,the proposed case revision technique is e

6、xperimentedand analyzed,and the results show that the proposed bilinear rule learning model can be used for theemergency response of actual security incidents.Key words:case revision;cyber security;bilinear rule learning;SOAR;playbook当前，层不出穷又变化多端的网络安全事件让安全专家疲于应对，因此，安全编排、自动化与响应(Security Orchestration

7、,Automation and Response,SOAR）应运而生。SOAR对安全工具和专家的行动进行规划、整合、合作和协调，针对跨多个技术范式的安全事件，能够产生安全行动并进行自动化响应，其中编排好的各种安全动作的有机组合被称为“剧本”2 。21。然而，面对五花八门的安全事件如何选取合适的剧本进行响应仍然完全依赖安全专家手动进行收稿日期：2 0 2 2-0 5-14；修回日期：2 0 2 2-0 6-2 6作者简介：赵晏（19 9 6-），女，硕士生，主要研究方向为安全编排、自动化与响应赵晏，等：基于双线规则学习的SOAR网络安全响应案例修正第4期485基于案例的推理（Case Based

8、 Reasoning，CBR）【3 是一种适用于网络安全应急响应剧本决策自动化的方法。网络安全应急响应案例将安全事件和剧本结合起来，当新的安全事件发生时,只需在案例库中检索与其相似的案例,并进行适当的修正即可产生符合当前安全事件场景的自动化响应方案。然而，如何对经过检索得到的相似案例进行修正的相关研究还稍显不足。文献4 针对车联网领域的网络安全案例修正，检索出最相似案例后，对方案进行评价，根据评价的结果对案例进行调整和修正；文献5 通过描述逻辑概念的可满足性检测找出产生矛盾的概念，采用替换修改的方式对网络安全案例进行修正；文献6 采用人工修正的方式对网络安全案例进行修正。以上方法主要依赖手工修

9、正，无法直接用于融合了剧本作为响应方案的网络安全应急响应案例修正,因此，有必要设计适用于SOAR领域的网络安全应急响应案例的修正方法。在对网络安全应急响应案例的要素、应用过程及相似度计算方式研究的基础上，对网络安全应急响应案例的修正方法进行了研究，提出了一种基于双线规则学习的SOAR网络安全应急响应案例修正技术。针对该技术中的响应方案差异性的计算，提出了一种基于可达矩阵的流程图相似度计算方法。最后对提出的技术进行了实验验证和分析。1SOAR网络安全应急响应案例分析案例一般由情景描述、解决方案和结果描述3个部分构成7 。对于SOAR网络安全应急响应案例，情景描述即安全事件描述；解决方案可用剧本代

10、替，使得响应方案可以直接执行；而结果描述即为剧本执行的结果。以此实现安全事件场景、剧本、剧本执行结果的一一映射和有机组合，达成“安全事件-响应方案-处置结果”的闭环。其具体应用过程如图1所示联系案例的特点，结合网络空间安全事件的响应生命周期，网络安全应急响应案例包含4个要素：案例自身信息、安全事件场景、应急响应方案和应急响应结果，具体如表1所示。安全资源池事件类型及事件详细缓解当前状态信息描述目标安全工具类型安全事件功能、所需资源综合信息转换与格式化相似案例检索不到相似安全检索否工是目标建模任务分解任务冲突检测与消解任务调度SOAR系统刷本案例修正仿真推演案例修正应急响应效能评估策略库仿真推演

11、与评估系统否是存储满足要求应急响应案例输出案例库图1SOAR网络安全应急响应案例应用过程表1网络安全应急响应案例要素案例模块元素构成备注说明案例编号、名称、类型、制定时案例自身的案例自身信息间、制定人、制定单位、保密等信息级等安全事件类型、名称、受攻击案例所要解决的设备、当前安全态势、攻击安全事件场景的安全事件场者使用的技术、涉及的安全漏景描述洞等问题解决的方应急响应需要的安全动作、设应急响应方案法和步骤，即：备、资源、行动序列等剧本方案执行结果、评价、执行后应急响应结果应急响应结果的安全态势等描述2基于最近邻算法的网络安全应急响应案例检索案例检索旨在从历史案例库中找出与当前待解决的问题最相似

12、的案例,据此得到过往相似事件的处置方案，对当前事件的处置具有一定参考价值。在综合考虑了网络安全应急响应案例具有的样本小、先验知识缺乏、数据类型复杂、属性值存在缺失等特点后，本节提出一种基于最近邻算法改进的复合相似度计算方法，其流程如图2所示。2.1结构相似度计算针对网络安全应急响应案例属性值存在缺失的问题,除了属性相似度外，本文还将案例的结构相似度纳人计算，计算公式如式（1）所示20233年486程大学学报信息开始实时安全事件S。，历史案例的安全事件S结构相似度计算属性相似度计算Sram(se,s.)案例属性集合案例属性划分W案例属性局部相似度计算案例属性0Ak=1全局相似度计算WmSSSat

13、tr3标称序数类和K=1（符号）确定数值类1Satr_sum类属性2D(c(s,s属性相似度案例全局相似度计算相似度Sattr2D(s)+D(s)k=1SS文本类attr51attrsum列表类len属性SXS属性TF-IDF(w)altrxframSaltr:4相似度二x=1相似度1=1结束图2基于复合相似度的案例相似度计算流程nWk=1(1)=1式中：s.表示当前案例的安全事件；s,表示某一历史案例的安全事件；Sfram（s。，s，）表示2 个案例之间的结构相似度；A。和A分别表示s。和s,的属性集合；WA.nA,表示A.和A,的交集的权重之和；WA.表示A.的权重之和；n表示4,和A,交

14、集的属性总个数；Wkk=1表示A.和A,交集属性的权重总和；m表示A.的属性m总个数；Z,表示A属性的权重总和。2.2属性相似度计算网络安全应急响应案例属性值可分为6 类，分别为：标称（符号）类、二元类、序数类、确定数值类、列表类和文本类，其计算方法如下2.2.1标称（符号）类和二元类标称属性仅用来区分对象的信息，属性的各个值之间无关，或只具有逻辑上的包含关系。因此，对于属性各个值之间无关的标称属性（包括二元类属性），其相似度计算如式（2）所示(1,S=St(2)attr式中：k表示属性索引;s和s分别表示2 个案例的第h个属性;satri（s，s t）表示标称类属性的相似度。而对于具有逻辑上

15、的包含关系的标称类案例属性，考虑到其层次关系，其相似度计算如式（3）所示。2xD(C(s$,s)Satr2(3）D(st)+D(st)式中：C(s,s）表示属性的最小公共子类;D（）表示在其层次结构中的深度;satr2（s，s t）表示具有包含逻辑关系的标称类案例属性的相似度，取值范围为0,1 。2.2.2序数类和确定数值类对于序数类属性值，首先将其按照式（4）的计算方式转换为确定数值，再进行相似度计算。对于确定数值类属性值的相似度，采用如式（5）所示的基于海明距离方法来进行度量Ps(4)nk1(5)atti式中：s,表示案例的属性；n(s)表示案例该属性的转换后的数值;P，表示案例属性的序数

16、，即在该案例属性的所有范围内排第几；n表示该案例属性的所有可能取值个数；satr3（s，s t）表示确定数值类的案例属性相似度,取值范围为0，12.2.3列表类对于包含一系列标称属性的列表表示的案例属性，其相似度计算公式如式（6）所示len(stnst)(6)len(stUsh式中：len(x)表示x的列表长度,即列表中的元素个数;len(s.ns）和len(sUs）分别表示s和s交集和并集的元素个数；sat4（s，s t）表示列表类案例属性的相似度，取值范围为0，1。赵晏，等：基于双线规则学习的SOAR网络安全应响应案例修正487第4期2.2.3文本类网络安全应急响应案例中大量属性由文本描述

17、，且为短文本，考虑到案例库建设初期，不具备大规模语料，也未标注数据，因此，采用词频-逆文档频率(Term Frequency-Inverse Document Frequency,TF-IDF)算法进行计算。对于文本类案例属性，首先进行分词，对每个词采用如式（7）所示的公式计算TF-IDF值。TF-IDF(w)=词汇在文本中出现的次数文本词汇的总个数(7)语料库中文本的总个数1og包含该词汇的文本个数+1式中,语料库由当前案例库中的所有该属性文本组成。在此基础上,对文本类案例属性使用如式(8)所示的公式计算案例属性相似度。nZTTF-IDF(w)(8)w=式中：w表示案例属性中的每个词,TF-

18、IDF（w）表示词的词频-逆文档频率;satrs（s,s）表示文本类案例属性的相似度,取值范围为（0，1)。完成网络安全应急响应案例属性局部相似度计算后，采用加权求和法对网络安全应急响应案例属性局部相似度进行合并，得到案例与当前安全事件的属性整体相似度satr.sum，具体如式（9)所示：Sattr_sumnkK(9)SSSattrxk=1式中：x表示属性不同类别的计算序号；n，表示总的计算方式的数量，本文中该值为5;satr（s,s t）表示对应的计算公式得到的属性相似度；k表示属性序号;W,表示属性对应的归一化后的权重；n表示案例总的属性个数。计算得出案例的结构相似度和属性相似度后，将其进

19、行综合，得出案例的全局相似度，如式（10）所示。s(se,s,)=S(s.s)XSfram(sc,s,)(10)attr_sun式中,Sfram(se,s,)和s.Saltr.-sum（s c，s.）分别表示案例的结构相似度和全局相似度,取值范围均为0，1,因此,案例的全局相似度s(s。,s,)的取值范围也为0,1。3基于双线规则学习的SOAR网络安全应急响应案例修正网络安全应急响应案例库包含了大量有用的应急响应案例差异信息，可用于离线学习到案例的修正规则,以应用于案例修正环节。然而，针对一些新兴的网络安全攻击，案例库中无法检索到与之完全匹配的相似案例，尤其是在案例库建设初期，此时必须根据实时

20、信息，依靠安全事件响应系统和安全运营人员对其进行综合修改，设立在线实时修正学习机制。因此，设计基于双线规则学习的SOAR网络安全应急响应案例修正流程，如图3所示。I离线规则学习1在线规则学习离线学习开始在线学习开始i=0实时案例事件S通过检索方法得到和S的安全事件描述最相似的案例S通过检索方法得到和S的安全事件描述最相似的案例S计算S和S响应方案的相似度S（i.i）案例库S安全运营人员修改S的响应方案作为S的响应方案香S(i.i)t计算S和S响应方案的相似度S（c.i）是香安全事件的响应方案的顶响应方案的底S（i j)n修正规则R归纳学习difici)和difr(c.i)为修正规则R是1离线学

21、习结束修正规则库在线学习结束图3网络安全应急响应案例修正的双线规则学习流程2023年488信息工程大学学报3.1基于案例库的离线学习基于案例库的离线学习模式，主要发生在案例库建设初期以及案例添加之后。以已有的网络安全应急响应案例库为基础，该模式通过迭代循环的方式对库中每个案例进行离线学习，得到修正规则。设案例集合为S=s1,s2，,s,l，循环算子为i,案例总数为n，响应方案相似度阈值为t,其迭代学习步骤如图3左半部分所示3.2基于实时案例修正的在线学习基于实时案例修正的在线学习模式，主要发生在案例库使用过程中。当遇到新的安全事件时，系统通过检索方法无法得到匹配的相似案例，这时将启用实时修正模

22、块，通过人工修正的方式来进行案例修正。当安全运营人员完成案例修正，并运行成功时，系统启动在线学习模块，对其修正规则进行学习。设案例集合为S=S1,s2，,s,，实时安全事件为s。，响应方案相似度阈值为t,其学习步骤如图3右半部分所示3.3响应方案相似度计算考虑到响应方案的复杂程度，在案例修正规则学习过程中，需要评估响应方案差异性，以决定其学习粒度。前文第2 节介绍了案例安全事件描述部分的相似度计算方法，然而，响应方案的描述具备结构性，因此,前文研究的计算方法并不完全适用于响应方案的相似度计算。SOAR网络安全事件应急响应案例中的响应方案即为剧本。剧本形如流程图,因此,计算响应方案相似度的问题可

23、看作是计算一个流程图相似度的问题。文献8 采用子图同构的方法对流程图的公共子图进行挖掘，从而计算出相似度，以用于相似代码的检测，但其计算方式过于复杂；文献9 提出了基于邻接矩阵的流程图相似度计算方法，引人模糊理论的贴近度，通过计算邻接矩阵的相似度，进而得出流程图的相似度，但其并未将节点的流动性纳人考虑。在文献9 的基础上，针对节点间的流动性，提出基于可达矩阵的流程图相似度计算方法。以一个例子说明该方法，如图4所示图4中是两个案例的响应方案的可视化描述，分别为S,和S2，首先对其进行形式化变换为邻接矩阵。对于邻接矩阵M,根据式（11)的计算方式，依次求解。对每次求解得到的矩阵元素，若其大于BEE

24、F图4两个待求相似度的剧本示意图1,则替换其值为1，否则为0。求出其可达矩阵M后，对可达矩阵中的对角线元素恢复为初始数值。邻接矩阵和可达矩阵计算结果如表2 所示M,=M+E,M,=M,*MI,(11)M,=M,I*M,I表2两个剧本的邻接矩阵与可达矩阵矩阵SS2000000000 0 0000一000000100000邻0100000000 0000接000000一0000矩0 010000000一00阵0010000000 1000LO0011LO00011000000000 000010000001000000可1一00000000000达00000001一000矩111000011010

25、00阵1一0001一000L1110110L11011一0根据表2 中的两个可达矩阵，采用如式（12所示的相似度计算方式2(Sn S)i=1j=1s(S,(12)(S+S!)i=1j=1通过计算可得，S,和S,的相似度为18/2 8=0.642 86。将本方法与文献9 进行对比，对如图5所示的案例响应方案样本进行相似度计算，计算结果如表3所示，计算结果的可视化如图6 所示。赵晏，等：基于双线规则学习的SOAR网络安全应响应案例修正第4期489BBDEFEFEFEFZSSSS.图5案例响应方案实验样本表3响应方案相似度结果对比方法ST,S2S,S4S,3S2,S4ST,S4S2,S3文献9 0.

26、6000.5000.6670.6670.4440.444本文0.6430.5560.7830.7830.4350.4351.0文献方法本文方法0.80.60.40.20.0案例响应方案图6响应方案相似度结果对比示意图从图6 可以看出，本文方法和文献9 方法均能确定案例的相似程度。以0.5作为值,如图中虚线参考线，可以看到对于案例响应方案S3,S4，文献9 方法判定其介于相似和不相似之间，而本文方法判定两者相似。然而，从图5可以看出，这2个响应方案仅需要替换1个节点即可实现案例的修正，可修性极强,其相似性判定结果应为相似。并且，本文方法计算得出的不同案例响应方案间相似度的差值更大，更加具有区分度

27、3.4修正规则归纳学习获取到案例的差异信息形成的修正规则后，考虑到案例修正的性能问题，系统需要使用人工智能的归纳学习10 对这些修正规则进行归纳总结。归纳学习主要包含去重和泛化等操作。给定修正规则库R=R,R2，,R，目标案例安全事件描述为S。，目标案例安全事件描述和相似案例的安全事件描述的差异信息difi(c,i）=d i f i,d i f i z，,difin，归纳学习方法如下所示。1)去重。给定案例修正规则库中的2 条规则R,和R,若R,=R,则删去R,或R,2)泛化。给定案例修正规则库中的两条规则R,和R,其中存在标称类差异属性,分别为difi和difiz，则归纳学习方法如式(17)

28、所示S.ndifiR,=S.n(difiUdifiz)-Rnew(17)S.ndifiz-R,式中,若对于不同的规则R,和R2，其差异信息仅为difi,和difiz,则取difi,和difi,的并集代替该规则中的差异属性,将规则R,和R,合并为规则R,lewC若该标称类差异属性具有逻辑上的包含关系，则归纳学习方法如式（18）所示S.ndifii-R,S.ndifiz-R2S.ndifin-RnS.nC(difir,difiz,difin)-R,(18)new式中,C(difi,difiz,difin)为difi,difiz,.,difi,的最小公共子类，且difi,difiz，,d i f i

29、 是该子类的所有元素。对于不同的规则R,R2.,R,将difi,difiz，,d if i合并为其最小公共子类C(difi,difiz，,d i f i）,取代规则中对应的差异属性,归纳为规则Rnewo4基于双线规则学习的案例修正流程在建立网络安全应急响应案例修正规则库的基础上，本节给出应急响应案例的修正方法，其流程如图7 所示开始实时安全事件S通过检索方法得到和S的安全事件描述最相似的案例S案例库SS的响应方案需要修改是提取S和S的安全事件描述差异信息dific.i)规则查询香不存在相应的修正规则修正规则库规则存储：是应用该修正规则，得实时修正到修正后的响应方案检查通过剧本兼容性检查修正后的

30、案例是运行响应方案运行不成功结束是图7基于双线规则学习的网络安全应急响应案例修正流程20233年490信息工程大学学报5实例验证与分析案例表示方法中安全事件描述和响应方案是整个案例的重点。因此，实验从网络安全应急响应案例元素中选取场景平台、目的端口、技术名称、漏洞编号和对应的ATT&CK编号等案例属性构成验证属性集，并取案例响应方案中的剧本动作和剧本动作顺序根据选定的属性集，从网络安全应急响应案例库中抽取10 个案例对应的数据构成验证数据集，具体如表4所示，表4中的剧本动作均采用简写，其表示含义为：动作a：开始节点；动作b：执行Linux命令封禁IP；动作c：执行Windows命令封禁IP；动

31、作d：邮件通知；动作e：钉钉通知；动作f：查询接口分管责任人；动作g：修改密码；动作h：设置账号远程登录权限；动作i:查询病毒文件存储路径；动作j：删除病毒文件；动作k：查询钓鱼文件存储路径；动作Z：结束节点。表4实实验案例数据案例案例安全事件描述部分响应方案编号场景平台目的端口技术名称ATT&CK漏洞编号剧本动作剧本动作顺序a-f,f-d,f-e,1Centos80XSS注人T1190CNVD-2021-54072a,f,d,e,zd-z,e-za-b,b-d,b-e,2Ubuntu 20.0480DoS攻击T1499CVE-2022-21986a,b,d,e,zd-z,e-zWindows

32、 server a-f,f-d,f-e,380SQL注人攻击T1565.001CNVD-2007-2153a,f,d,e,z2013d-z,e-za-g,g-h,h-d,4Ubuntu 18.0422密码爆破攻击T1110.001CNVD-2021-59655a,g,h,d,zd-z a-i,i-j,j-d,5Ubuntu 20.04勒索软件T1486a,i,j,d,zd-za-k,k-j,j-d,6Windows 10Office钓鱼T1566.001CVE-2021-28449a,k,j,d,zd-za-c,c-d,c-e,7Windows 1080DoS攻击之UDP洪泛T1499CVE-

33、1999-0116a,c,d,e,2d-z,e-za-c,c-d,c-e,8Windows 1080DoS攻击T1499CVE-2022-21986a,c,d,e,zd-z,e-za-b,b-d,b-e,9Ubuntu 18.0422,80,443端口扫描T1046a,b,d,e,z d-z,e-z10Ubuntu 20.0480DoS攻击之SYN洪泛T1499.001CVE-1999-0116应用所提出技术中的离线规则学习方法对表4进行学习，当对第2、8 个案例进行差异信息提取后，对其响应方案应用3.3节提出的方法进行相似度计算，计算结果为0.55556，大于阈值0.5，因此取其底层差异信息

34、进行规则学习，得到的规则R2-8如下。规则R2.8：在技术名称均为DoS攻击的情况下，当其他条件相同时，如果场景平台由Windows10变为Ubuntu20.04，则剧本动作其他元素保持不变，动作c变为动作b,剧本动作顺序中的c替换为b。以第10 个案例的安全事件描述部分为当前问题特征向量进行方法验证，实验设定案例属性场景平台、目的端口、技术名称、ATT&CK、漏洞编号的权重分别为0.2、0.2、0.2、0.2、0.2,权重总和为1,运用第2 节提出的复合相似度计算方法计算其与前9个案例安全事件描述部分的相似度，得局部和全局的相似度如表5所示如表5所示，与当前安全事件相似度最高的是第7 个案例

35、，但其并不满足当前环境，故需进行修改。应用基于修正规则库的案例修正方法，系统经匹配得到规则R2.8满足修改需求。根据规则R2-8对当前最相似案例进行修改得到其响应方案为：剧本动作a，b，d，e，z ,剧本动作顺序a-b，b-d，b-e，d-z，e-z ,如图8 所示。执行响应方案,方案执行成功，且该安全事件得到了有效的遏制。（编辑：刘彦茹）赵晏，等：基于双线规则学习的SOAR网络安全应响应案例修正第4期491表5相似度计算结果案例编号场景平台目的端口技术名称ATT&CK漏洞编号结构相似度属性相似度总相似度101.0000000.285.7100.666 670.257140.171 4321.

36、01.000000.608200.8571400.666.670.693070.46205301.000000.135 160.5000000.666 670.327030.2180240.800.135160.2500000.666.670.237030.1580251.0000.571.4300.333330.314290.1047660000.2500000.500.000.050 000.025 00701.000 000.844.910.8571410.666 670.740.410.493 61801.000000.608200.857 1400.666 670.493070.32

37、87190.80.3333300.2857100.500000.283810.14190Uhuntu下Dos攻击之SYN洪泛攻击应急响应案例执行失败钉钉通知开始Linux远程执行成功命令结束E-Mail图8修正后的响应方案6结束语基于CBR的SOAR网络安全应急响应的自动化离不开案例修正技术的支持。然而，当前针对网络安全领域的案例修正方法的研究略显不足，且无法适应SOAR系统。因此,本文研究了如何针对SOAR网络安全应急响应案例进行修正，提出了一种基于双线规则学习的案例修正方法，将案例修正分为离线案例库规则学习和在线实时修正过程学习两种模式；在案例修正规则学习过程中，系统需要确定学习的相似案例

38、响应方案差异信息的粒度，因此,本文还提出了一种基于可达矩阵的流程图相似度计算方法；基于学习到的案例修正规则，本文对案例修正的流程进行了研究和分析；最后，本文从SOAR网络安全应急响应案例库中抽取了10 个案例对提出的方法进行了实验验证。实验表明，本文提出的基于双线规则学习的SOAR网络安全应急响应案例修正技术能够学习到案例的修正规则，学习到的规则可用于实际安全事件的案例修正，促进了安全事件的自动化响应。参考文献：1 ISLAM C,BABAR M A,NEPAL S.A multi-vocal reviewof security orchestration J.ACM Computing Su

39、rveys,2020,52(2):1-45.2 CYWARE.What is a SOAR playbook?EB/OL.(2020-09-24）2 0 2 2-0 4-0 6 .h t t p s:/c y w a r e.c o m/s e c u r i t y-guides/security-orchestration-automation-and-response/what-is-a-soar-playbook-dcad.3 ZAKARIA W Z A.Application of case based reasoning inIT security incident respons

40、e C/3rd International Con-ference Recent treads in Engineering and Technology(ICRET2015).Istanbul,Turkey:International Institute ofEngineers,2015:106-109.4廖祖奇，李飞，张鹏飞.基于CBR的车联网网络安全应急响应系统及方法J.计算机与现代化，2 0 2 0（11)：109-116.5蒋菲，古天龙，徐周波，等.基于CBR和描述逻辑的网络安全应急响应J.计算机科学，2 0 15，42（1）：12 9-136,163.6 马洪雷.基于CBR的网络安

41、全应急响应系统的分析与设计D.上海：上海交通大学，2 0 10.7 】邢清华，范海雄.反导任务规划技术基于案例推理M.北京：科学出版社，2 0 19.8 宋倩.基于程序流程图的跨语言代码相似度检测方法研究D.青岛：山东科技大学,2 0 19.9余兴华，仲梁维.一种改进的流程图相似度检索算法及实现J.计算机应用研究，2 0 1532（11）：330 0-330 3，3308.10 HANNEY K,KEANE M T.The adaptation knowledgebottleneck:how to ease it by learning from cases C/Case-Based Reasoning Research and Development.Ber-lin,Heidelberg:Springer,1997:359-370.