一種告警處置建議生成方法，包括：安全管理系統(tǒng)通過關(guān)聯(lián)分析產(chǎn)生告警信息；根據(jù)所述告警信息的標識信息，確定告警處置建議；根據(jù)可配置展示模板，展示所述告警處置建議。通過該告警處置建議生成方案，根據(jù)告警信息來提供告警處置建議信息，實現(xiàn)既能夠獲得告警有關(guān)的詳細情況，也能夠及時準確地獲得這些告警所產(chǎn)生的危害范圍、危害程度以及其危害應(yīng)對所能采取的防范措施等告警處置建議信息，同時通過知識庫和模板的可配置性，進一步提高告警處置建議信息的可操作性和靈活性，及時更新與補充信息，提高準確性。

技術(shù)領(lǐng)域

本公開涉及自動化工業(yè)處理安全領(lǐng)域，尤其涉及一種告警處置建議生成方法、裝置、系統(tǒng)和計算機可讀存儲介質(zhì)。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和人們生活、工作對網(wǎng)絡(luò)的依賴，信息安全格外重要。基于信息的安全管理的理論和技術(shù)也在不斷發(fā)展。

為了不斷應(yīng)對新的安全挑戰(zhàn)，網(wǎng)絡(luò)信息的安全管理中先后出現(xiàn)了防火墻、UTM、入侵檢測和防護系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)以及終端管理系統(tǒng)等安全設(shè)備。各種安全設(shè)備是孤立的，無法相互關(guān)聯(lián)和共享信息，這樣形成了一個個“安全防御孤島”，導(dǎo)致無法產(chǎn)生協(xié)同效應(yīng)。這些復(fù)雜的IT資源及其安全設(shè)備在運行過程中產(chǎn)生大量的安全數(shù)據(jù)，例如安全日志和事件，在處理這些數(shù)量巨大、彼此割裂的安全信息時，要操作各種產(chǎn)品自身的控制臺界面和告警窗口，一方面，導(dǎo)致安全管理的工作效率低下，同時還難以發(fā)現(xiàn)真正的安全隱患；另一方面，這樣孤立的安全設(shè)備無法滿足網(wǎng)絡(luò)用戶日益迫切的信息系統(tǒng)審計和內(nèi)控要求、等級保護要求，以及不斷增強的業(yè)務(wù)持續(xù)性需求。為此，安全管理(Security?OperationCenter,SOC)系統(tǒng)為實現(xiàn)各種孤立的安全設(shè)備的協(xié)作提供了一個合作的系統(tǒng)。

現(xiàn)有技術(shù)中，SOC系統(tǒng)包括資產(chǎn)管理模塊、脆弱性管理模塊、流量管理模塊、關(guān)聯(lián)分析模塊和風(fēng)險計算模塊等多個功能模塊，所有的模塊都針對整個網(wǎng)絡(luò)，例如資產(chǎn)管理模塊負責(zé)搜集和管理全網(wǎng)的資產(chǎn)信息，脆弱性模塊負責(zé)搜集和管理全網(wǎng)所有資產(chǎn)的脆弱性信息，關(guān)聯(lián)分析模塊和風(fēng)險計算模塊則負責(zé)對全網(wǎng)安全事件進行處理。這樣，每個模塊都參與預(yù)防和處理網(wǎng)絡(luò)安全事件的整個過程。

現(xiàn)有技術(shù)中，通過安全管理系統(tǒng)SOC產(chǎn)生的告警信息在展現(xiàn)給用戶時，用戶只能查看告警有關(guān)的詳細情況，但無法了解這些告警所產(chǎn)生的危害范圍、危害程度以及其危害應(yīng)對所能采取的防范措施。為此，急需一種技術(shù)方案來解決現(xiàn)有技術(shù)中的不足。

發(fā)明內(nèi)容

針對上述技術(shù)問題，本公開提出了一種告警處置建議生成方法、裝置、系統(tǒng)和計算機可讀存儲介質(zhì)。

第一方面，一種告警處置建議生成方法，包括：

安全管理系統(tǒng)通過關(guān)聯(lián)分析產(chǎn)生告警信息；

根據(jù)所述告警信息的標識信息，確定告警處置建議；

根據(jù)可配置展示模板，展示所述告警處置建議。

進一步，所述告警信息的標識信息包括所述告警信息的類型，根據(jù)確定的所述告警信息的具體類型，確定對應(yīng)的告警處置建議。

進一步，所述告警處置建議包括告警的原理與危害，告警的處置建議與意見，或參考案例三項中一項或多項的組合。

進一步，所述安全管理系統(tǒng)包括知識庫，在所述知識庫中設(shè)置可配置的系統(tǒng)字段和自定義字段，通過所述可配置的系統(tǒng)字段和自定義字段實現(xiàn)所述告警處置建議的可配置。

進一步，包括告警處置建議產(chǎn)生模型，所述告警處置建議產(chǎn)生模型用于根據(jù)所述告警信息，評估產(chǎn)生所述告警處置建議。

進一步，所述告警處置建議產(chǎn)生模型是一種神經(jīng)網(wǎng)絡(luò)模型，通過多種數(shù)據(jù)源的樣本數(shù)據(jù)進行模型訓(xùn)練而獲得所述告警處置建議產(chǎn)生模型；所述數(shù)據(jù)源的樣本數(shù)據(jù)包括網(wǎng)絡(luò)上可訪問的樣本數(shù)據(jù)，多種專家系統(tǒng)提供的樣本數(shù)據(jù)，和/或自定義的樣本數(shù)據(jù)。