CN114422327A

CN114422327A - 一种告警处置建议生成方法、装置、***和计算机可读存储介质

Info

Publication number: CN114422327A
Application number: CN202210041231.1A
Authority: CN
Inventors: 迟鹏飞; 武方; 苗维杰
Original assignee: Hangzhou Rischen Anke Technology Co ltd
Current assignee: Hangzhou Rischen Anke Technology Co ltd
Priority date: 2022-01-14
Filing date: 2022-01-14
Publication date: 2022-04-29
Anticipated expiration: 2042-01-14
Also published as: CN114422327B

Abstract

一种告警处置建议生成方法，包括：安全管理***通过关联分析产生告警信息；根据所述告警信息的标识信息，确定告警处置建议；根据可配置展示模板，展示所述告警处置建议。通过该告警处置建议生成方案，根据告警信息来提供告警处置建议信息，实现既能够获得告警有关的详细情况，也能够及时准确地获得这些告警所产生的危害范围、危害程度以及其危害应对所能采取的防范措施等告警处置建议信息，同时通过知识库和模板的可配置性，进一步提高告警处置建议信息的可操作性和灵活性，及时更新与补充信息，提高准确性。

Description

一种告警处置建议生成方法、装置、***和计算机可读存储介质

技术领域

本公开涉及自动化工业处理安全领域，尤其涉及一种告警处置建议生成方法、装置、***和计算机可读存储介质。

背景技术

随着网络技术的不断发展和人们生活、工作对网络的依赖，信息安全格外重要。基于信息的安全管理的理论和技术也在不断发展。

为了不断应对新的安全挑战，网络信息的安全管理中先后出现了防火墙、UTM、入侵检测和防护***、漏洞扫描***、防病毒***以及终端管理***等安全设备。各种安全设备是孤立的，无法相互关联和共享信息，这样形成了一个个“安全防御孤岛”，导致无法产生协同效应。这些复杂的IT资源及其安全设备在运行过程中产生大量的安全数据，例如安全日志和事件，在处理这些数量巨大、彼此割裂的安全信息时，要操作各种产品自身的控制台界面和告警窗口，一方面，导致安全管理的工作效率低下，同时还难以发现真正的安全隐患；另一方面，这样孤立的安全设备无法满足网络用户日益迫切的信息***审计和内控要求、等级保护要求，以及不断增强的业务持续性需求。为此，安全管理(Security OperationCenter,SOC)平台为实现各种孤立的安全设备的协作提供了一个合作的平台。

现有技术中，SOC平台包括资产管理模块、脆弱性管理模块、流量管理模块、关联分析模块和风险计算模块等多个功能模块，所有的模块都针对整个网络，例如资产管理模块负责搜集和管理全网的资产信息，脆弱性模块负责搜集和管理全网所有资产的脆弱性信息，关联分析模块和风险计算模块则负责对全网安全事件进行处理。这样，每个模块都参与预防和处理网络安全事件的整个过程。

现有技术中，通过安全管理平台SOC产生的告警信息在展现给用户时，用户只能查看告警有关的详细情况，但无法了解这些告警所产生的危害范围、危害程度以及其危害应对所能采取的防范措施。为此，急需一种技术方案来解决现有技术中的不足。

发明内容

针对上述技术问题，本公开提出了一种告警处置建议生成方法、装置、***和计算机可读存储介质。

第一方面，一种告警处置建议生成方法，包括：

安全管理***通过关联分析产生告警信息；

根据所述告警信息的标识信息，确定告警处置建议；

根据可配置展示模板，展示所述告警处置建议。

进一步，所述告警信息的标识信息包括所述告警信息的类型，根据确定的所述告警信息的具体类型，确定对应的告警处置建议。

进一步，所述告警处置建议包括告警的原理与危害，告警的处置建议与意见，或参考案例三项中一项或多项的组合。

进一步，所述安全管理***包括知识库，在所述知识库中设置可配置的***字段和自定义字段，通过所述可配置的***字段和自定义字段实现所述告警处置建议的可配置。

进一步，包括告警处置建议产生模型，所述告警处置建议产生模型用于根据所述告警信息，评估产生所述告警处置建议。

进一步，所述告警处置建议产生模型是一种神经网络模型，通过多种数据源的样本数据进行模型训练而获得所述告警处置建议产生模型；所述数据源的样本数据包括网络上可访问的样本数据，多种专家***提供的样本数据，和/或自定义的样本数据。

进一步，所述可配置展示模板包括内置变量，和/或自定义变量，通过所述内置变量，和/或自定义变量的赋值替换，实现所述告警处置建议的渲染展示。

第二方面，一种告警处置建议生成装置，所述装置包括：

告警信息模块，用于安全管理***通过关联分析产生告警信息；

告警处置建议模块，用于根据所述告警信息的标识信息，确定告警处置建议；

展示模块，用于根据可配置展示模板，展示所述告警处置建议。

第三方面，一种告警处置建议生成***，所述***包括处理器和存储器，所述处理器执行所述存储器中存储的计算机指令，实现前述第一方面中的任一所述方法。

第四方面，一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机***执行前述第一方面中的任一所述方法。

本公开公开了一种告警处置建议生成方法、装置、***和计算机可读存储介质。其中该一种告警处置建议生成方法，包括：安全管理***通过关联分析产生告警信息；根据所述告警信息的标识信息，确定告警处置建议；根据可配置展示模板，展示所述告警处置建议。通过该告警处置建议生成方案，解决了现有技术中告警信息提供不充分，可操作性差，灵活性不够等技术问题。根据告警信息来提供告警处置建议信息，实现既能够获得告警有关的详细情况，也能够及时准确地获得这些告警所产生的危害范围、危害程度以及其危害应对所能采取的防范措施等告警处置建议信息，同时通过知识库和模板的可配置性，进一步提高告警处置建议信息的可操作性和灵活性，及时更新与补充信息，提高准确性。

上述说明仅是本公开技术方案的概述，为了能更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为让本公开的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1：本公开一个实施例的告警处置建议生成方法流程图；

图2：本公开另一个实施例的告警处置建议生成方法流程图；

图3：本公开一个实施例的告警处置建议生成装置结构图；

图4：本公开一个实施例的告警处置建议生成***结构图；

图5：本公开一个实施例的告警处置建议生成的计算机可读存储介质结构图。

具体实施方式

以下通过特定的具体实例说明本公开的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本公开的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。

还需要说明的是，以下实施例中所提供的图示仅以示意方式说明本公开的基本构想，图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

另外，在以下描述中，提供具体细节是为了便于透彻理解实例。然而，所属领域的技术人员将理解，可在没有这些特定细节的情况下实践所述方面。

图1为本公开实施例提供的告警处置建议生成方法流程图，该方法可以由一提供的告警处置建议生成装置来执行，该告警处置建议生成装置可以实现为软件，或者实现为软件和硬件的组合，该告警处置建议生成装置可以集成设置在数据处理***中的某电子设备中，比如服务器或者终端设备中。如图1所示，该告警处置建议生成方法包括如下步骤：

步骤1，安全管理***通过关联分析产生告警信息。

安全管理(Security Operation Center,SOC)平台为实现各种孤立的安全设备的协作而提供的一个合作平台。安全管理平台SOC通过关联分析，根据各种安全设备的运行数据而产生相应的告警信息，以警示安全设备的安全事件。但现有技术中，产生的告警信息，只是给出告警事件有关的情况，例如，出现某某风险出现，某某类型的入侵警告，等等。根据这种告警信息无法了解这些告警所产生的危害范围、危害程度以及其危害应对所能采取的防范措施。

为此，本公开在产生告警信息的同时，可选地确定相应的告警处置建议。

步骤2，根据所述告警信息的标识信息，确定告警处置建议。

每一个告警信息对应至少一种明确的安全事件类型，每一种安全事件都存在着相应的原理与危害，对应的处置建议，以及一个或多个对应的参考案例。这些信息对于安全事件的应对都是急需和有价值的。这些信息可以构成本申请对应于告警信息的告警处置建议。

其中，原理与危害：描述告警相关的风险原理及可能带来的后果。

处置建议：描述针对该告警提供处置建议。

参考案例：描述以往分析和处置案例。

在一个实施例中，通过预先设置的知识库，组织、存储各种安全事件信息，告警信息，以及对应的告警处置建议。

在一个实施例中，安全管理平台SOC通过关联分析确定告警信息，所述告警信息包括标识信息，所述标识信息可以是标识所述告警信息的类型，既可以是模糊类型，也可以是具体类型。例如数据库访问的安全事件中SQL注入安全事件的告警信息，该告警信息对应的模糊类型可以配置为MYSQL类型，具体类型可以配置为SQL注入类型。所述标识信息也可以是其他能够标识所述告警信息的信息，例如，唯一编码。

在一个实施例中，知识库设置可配置的***字段和/或自定义字段，通过所述可配置的***字段和/或自定义字段实现所述告警处置建议的可配置。例如，自选配置原理与危害，处置建议或参考案例。

在一个实施例中，如图2所示，安全管理平台SOC通过关联分析确定告警信息，可以根据配置的告警信息的标识信息从设置的知识库中查询确定对应的告警处置建议。当配置的标识信息是具体类型，可以直接查询确定对应的告警处置建议；当配置的标识信息是模糊类型，可以通过安全事件信息、告警信息中提取的关键词进行知识库匹配查询，确定对应的具体类型，进而确定对应的告警处置建议。

在一个实施例中，可以采用唯一编码作为所述告警信息的标识信息，通过确定所述唯一编码进而确定对应的告警处置建议。

在一个实施例中，安全管理平台SOC提供可选配置，可配置地选择产生告警信息的同时，是否附带告警处置建议信息。或者，提供可选择触发方式，例如提供可选择按钮，通过触发操作，产生所述告警信息对应的告警处置建议。

步骤3，根据可配置展示模板，展示所述告警处置建议。

安全管理平台SOC中，针对告警信息，和/或告警处置建议，设置可配置的展示模板，所述模板采用内置变量，和/或自定义变量来实现信息、格式、和/或风格的可配置。

在一个实施例中，如图5所示，在告警信息中附带告警处置建议的标识，例如告警处置建议的编码。根据所述告警处置建议的标识，提取对应的告警处置建议的模板，所述模板包括内置变量，和/或自定义变量，根据告警处置建议的编码，确定告警处置建议对应的具体信息，通过所述内置变量，和/或自定义变量的赋值替换，实现所述告警处置建议的渲染展示。

在一个实施例中，如图2所示，可以将模板，和/或告警处置建议对应的具体信息缓存于缓存中，例如redis缓存，在进行信息处理时，从缓存中直接获取信息，进而提高信息处理效率。

在一个实施例中，安全管理平台SOC中设置告警处置建议产生模型，用于根据所述告警信息，评估产生所述告警处置建议。所述告警处置建议产生模型采用机器学习模型，通过从一种或多种数据源获取的样本数据训练获得所述告警处置建议产生模型。

在一个实施例中，采用神经网络模型来训练所述告警处置建议产生模型，例如多层前馈网络BP神经网络模型、卷积神经网络模型CNN、深度神经网络模型DNN、长短期记忆人工神经网络模型LSTM、残差神经网络模型ResNet等网络模型。样本数据源包括网络数据，各种专家***数据，以及自定义的样本。

在一个实施例中，采用卷积神经网络CNN模型，训练过程中，使用ResNet模型从所述样本数据中提取数据特征，将提取的数据特征输入训练的卷积神经网络CNN模型；利用多任务损失函数MultiTaskLoss计算训练差值，对训练参数进行修正，进而不断迭代训练卷积神经网络CNN模型，在满足训练结束条件时，例如小于一定的阈值，结束卷积神经网络CNN模型的训练，进而获得所述告警处置建议产生模型。

通过上述告警处置建议生成方法，解决了现有技术中告警信息提供不充分，可操作性差，灵活性不够等技术问题。根据告警信息来提供告警处置建议信息，实现既能够获得告警有关的详细情况，也能够及时准确地获得这些告警所产生的危害范围、危害程度以及其危害应对所能采取的防范措施等告警处置建议信息，同时通过知识库和模板的可配置性，进一步提高告警处置建议信息的可操作性和灵活性，及时更新与补充信息，提高准确性。

图3为本公开实施例提供的一种告警处置建议生成装置，所述装置包括：

如图3所示，该告警处置建议生成装置所包括的功能模块，实现如下功能：

安全管理***通过关联分析产生告警信息；

根据所述告警信息的标识信息，确定告警处置建议；

处置建议：描述针对该告警提供处置建议。

参考案例：描述以往分析和处置案例。

根据可配置展示模板，展示所述告警处置建议。

在一个实施例中，如图2所示，在告警信息中附带告警处置建议的标识，例如告警处置建议的编码。根据所述告警处置建议的标识，提取对应的告警处置建议的模板，所述模板包括内置变量，和/或自定义变量，根据告警处置建议的编码，确定告警处置建议对应的具体信息，通过所述内置变量，和/或自定义变量的赋值替换，实现所述告警处置建议的渲染展示。

图4是根据本公开的实施例的***结构图。如图4所述，所述***40包括处理器和存储器，所述处理器执行所述存储器中存储的计算机指令，实现前述本公开各实施例的告警处置建议生成方法的全部或部分步骤。

图5是根据本公开的实施例的计算机可读存储介质的示意图。如图5所示，根据本公开实施例的计算机可读存储介质50，其上存储有非暂时性计算机可读指令51。当该非暂时性计算机可读指令51由处理器运行时，执行前述的本公开各实施例的告警处置建议生成方法的全部或部分步骤。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：构建基础页面，所述基础页面的页面代码用于搭建所述业务页面运行所需的环境和/或实现同类业务场景中抽象出的相同的工作流程；构建一个或多个页面模板，所述页面模板用于提供业务场景中实现业务功能的代码模板；基于相应的所述页面模板，通过业务场景的每一个页面的具体功能的代码转换，生成业务场景的每一个页面的最终页面代码；将生成的所述每一个页面的最终页面代码合并入所述基础页面的页面代码，生成所述业务页面的代码。

或者，上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：构建基础页面，所述基础页面的页面代码用于搭建所述业务页面运行所需的环境和/或实现同类业务场景中抽象出的相同的工作流程；构建一个或多个页面模板，所述页面模板用于提供业务场景中实现业务功能的代码模板；基于相应的所述页面模板，通过业务场景的每一个页面的具体功能的代码转换，生成业务场景的每一个页面的最终页面代码；将生成的所述每一个页面的最终页面代码合并入所述基础页面的页面代码，生成所述业务页面的代码。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定，例如，第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims

1.一种告警处置建议生成方法，其特征在于，所述方法包括：

安全管理***通过关联分析产生告警信息；

根据所述告警信息的标识信息，确定告警处置建议；

根据可配置展示模板，展示所述告警处置建议。

2.根据权利要求1的方法，所述告警信息的标识信息包括所述告警信息的类型，根据确定的所述告警信息的具体类型，确定对应的告警处置建议。

3.根据权利要求1的方法，所述告警处置建议包括告警的原理与危害，告警的处置建议与意见，或参考案例三项中一项或多项的组合。

4.根据权利要求1的方法，所述安全管理***包括知识库，在所述知识库中设置可配置的***字段和/或自定义字段，通过所述可配置的***字段和/或自定义字段实现所述告警处置建议的可配置。

5.根据权利要求1的方法，包括告警处置建议产生模型，所述告警处置建议产生模型用于根据所述告警信息，评估产生所述告警处置建议。

6.根据权利要求5的方法，所述告警处置建议产生模型是一种神经网络模型，通过多种数据源的样本数据进行模型训练而获得所述告警处置建议产生模型；所述数据源的样本数据包括网络上可访问的样本数据，多种专家***提供的样本数据，和/或自定义的样本数据。

7.根据权利要求1的方法，所述可配置展示模板包括内置变量，和/或自定义变量，通过所述内置变量，和/或自定义变量的赋值替换，实现所述告警处置建议的渲染展示。

8.一种告警处置建议生成装置，其特征在于，所述装置包括：

9.一种告警处置建议生成***，所述***包括处理器和存储器，所述处理器执行所述存储器中存储的计算机指令，实现权利要求1-7中任一项所述方法。

10.一种计算机可读存储介质，用于存储非暂时性计算机可读指令，当所述非暂时性计算机可读指令由计算机执行时，使得所述计算机执行权利要求1-7中任意一项所述的方法。