(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111658425.8 (22)申请日 2021.12.3 0 (71)申请人 天翼电子商务有限公司 地址 100037 北京市西城区阜成门外大街 31号4层429D (72)发明人 吴朝亮　刘骁睿　刘剑群　刘奇　 彭大祥　 (51)Int.Cl. G06Q 10/10(2012.01) G06Q 50/30(2012.01) G06F 9/445(2018.01) H04L 9/40(2022.01) (54)发明名称 一种基于钉钉和自动化编排的人机交互方 法 (57)摘要 本发明公开了一种基于钉钉和自动化编排 的人机交互方法， 它涉及网络安全技术领域。 (1) 发现攻击； (2)收集更多的信息， 如威胁情报、 资 产信息、 历史攻击记录等； (3)基础判断， 主要有 信息来源判断、 攻击特征识别、 基于收集的信息 判断等； (4)是否需要人工决策； (4.1)需要人工 决策后， 发送钉钉消息后， 将该次流程信息暂存 并进入阻塞； (4.2)不需要人工决策时， 继续忽 略。 本发明可以在自动化编排系统中实现人机交 互， 并且可轻量化的集成， 让编排的流程不仅仅 单方面执行下去， 还可以利用即时通讯技术接收 人员的指令后而相应地做出反应。 在自动化处置 时通过即时通讯工具让人的智慧参与到处理流 程中， 让处置的效果更准确。 权利要求书1页 说明书3页 附图1页 CN 114548894 A 2022.05.27 CN 114548894 A 1.一种基于钉 钉和自动化编排的人机交 互方法， 其特 征在于， 包括以下步骤： (1)发现攻击； (2)收集更多的信息， 如威胁情 报、 资产信息、 历史攻击记录等； (3)基础判断， 主 要有信息来源判断、 攻击特 征识别、 基于收集的信息判断等； (4)是否需要人工决策； (4.1)需要人工决策后， 发送钉 钉消息后， 将该次流 程信息暂存并进入阻塞； (4.2)不需要人工决策时， 继续忽略。 2.根据权利要求1所述的一种基于钉钉和自动 化编排的人机交互方法， 其特征在于， 所 述的步骤(4.1)具体包括： (4.1.1)触发人工决策触发器， 将阻塞流 程信息和 消息信息暂存； (4.1.2相关人进行回复后， 触发钉 钉消息触发器， 将缓存的本次流 程继续运行； (4.1.3)根据人员回复消息进行响应的流 程， 封禁或者忽略。 3.根据权利要求2所述的一种基于钉钉和自动 化编排的人机交互方法， 其特征在于， 所 述的步骤(4.1.1)内置剧本如下： 当有人工决策被执行时， 原剧本会阻塞在人工决策位置， 同时将当前任务流程信息暂 存并产生 一个阻塞id， 等待人工回复后根据内容继续往下 执行； 人工决策绑定被执行时， 就会触发人工决策触发器， 执行缓存队列信 息和消息标识， 将 阻塞id和发送的消息id进行绑定， 用于消息被回复时， 可以根据阻塞id让原有阻塞的任务 流程继续运行。 4.根据权利要求2所述的一种基于钉钉和自动 化编排的人机交互方法， 其特征在于， 所 述的步骤(4.1.2)内置剧本如下： 用户在钉钉上选择操作后， 会触发钉钉消 息触发器， 来让 原有阻塞的流程继续运行； 根据消息id找到绑定的阻塞id， 通过阻塞id让暂存的流程继续 跑起来。权　利　要　求　书 1/1 页 2 CN 114548894 A 2一种基于钉 钉和自动化编排的 人机交互方法 技术领域 [0001]本发明涉及的是网络安全技术领域， 具体涉及一种基于钉钉和自动化编排的人机 交互方法。 背景技术 [0002]在自动化编排系统中可以利用即时通讯工具进行人机交互， 例如： 在企业中编排 一个自动化封堵网络攻击的剧本， 在进 行信息收集和基础判断后， 仍无法判断是否封堵， 需 要将信息发给处置人进行分析， 根据人员的回复进行响应的处置 。 [0003]综上所述， 本发明设计了一种基于钉钉和自动化编排的人机交互方法， 自动化编 排的流程都是按照设计好的流 程顺序执行， 无法实现人员审核或者人工分析决策。 发明内容 [0004]针对现有技术上存在的不足， 本发明目的是在于提供一种基于钉钉和自动化编排 的人机交互方法， 可以在自动化编排系统中实现人机交互， 并且可轻量化的集成， 让编排的 流程不仅仅单方面执行下去， 还可以利用即时通讯技术接收人员的指 令后而相应地做出反 应。 在自动化处置时通过即时通讯工具让人 的智慧参与到处理流程中， 让处置的效果更准 确。 [0005]为了实现上述目的， 本发明是通过如下的技术方案来实现： 一种基于钉钉和自动 化编排的人机交 互方法， 包括以下步骤： [0006]1发现攻击； [0007]2收集更多的信息， 如威胁情 报、 资产信息、 历史攻击记录等； [0008]3基础判断， 主 要有信息来源判断、 攻击特 征识别、 基于收集的信息判断等； [0009]4是否需要人工决策； [0010]4.1需要人工决策后， 发送钉 钉消息后， 将该次流 程信息暂存并进入阻塞； [0011]4.2不需要人工决策时， 继续忽略。 [0012]所述的步骤4.1具体包括： [0013]4.1.1触发人工决策触发器， 将阻塞流 程信息和 消息信息暂存； [0014]4.1.2相关人进行回复后， 触发钉 钉消息触发器， 将缓存的本次流 程继续运行； [0015]4.1.3根据人员回复消息进行响应的流 程， 封禁或者忽略。 [0016]所述的步骤4.1.1内置剧本如下： [0017]当有人工决策被执行时， 原剧本会阻塞在人工决策位置， 同时将当前任务流程信 息暂存并产生 一个阻塞id， 等待人工回复后根据内容继续往下 执行。 [0018]人工决策绑定被执行时， 就会触发人工决策触发器， 执行缓存队列信息和消息标 识， 将阻塞id和发送的消息id进 行绑定， 用于消息被回复时， 可以根据阻塞id让原有阻塞的 任务流程继续运行。 [0019]所述的步骤4.1.2内置剧本如下： 用户在 钉钉上选择操作后， 会触发钉钉消息触发说　明　书 1/3 页 3 CN 114548894 A 3