[发明专利]告警处理方法及防护设备

权利要求书

1.一种告警处理方法，其特征在于，所述方法包括：

获取防护设备产生的告警，所述防护设备部署于第一网络与第二网络之间，所述告警是基于对所述第一网络中的第一设备与所述第二网络中的第二设备之间传输的报文进行安全性检测从而生成的，所述告警用于指示所述报文涉及可疑活动或违规活动；

获取所述告警对应的闭环取证插件，所述闭环取证插件用于对所述告警进行闭环处理或者取证处理，所述闭环处理是指去除所述第一设备上引发所述告警的缺陷；

向所述第一设备提供所述闭环取证插件；

接收来自于所述第一设备的闭环取证结果，所述闭环取证结果为所述第一设备运行所述闭环取证插件得到的结果；

根据所述闭环取证结果，对所述告警进行更新。

2.根据权利要求1所述的方法，其特征在于，所述闭环处理包括下述一项或多项：

删除所述第一设备上的病毒；

向所述第一设备安装补丁文件；

对所述第一设备进行网络配置。

3.根据权利要求2所述的方法，其特征在于，所述闭环取证结果指示所述第一设备上是否已去除所述缺陷。

4.根据权利要求1所述的方法，其特征在于，所述取证处理包括从所述第一设备获取取证信息，所述取证信息用于验证所述告警是否为误报。

5.根据权利要求4所述的方法，其特征在于，所述取证信息包括下述一项或多项：

登录日志；

系统信息；

网络信息。

6.根据权利要求4或5所述的方法，其特征在于，所述闭环取证结果指示所述告警是否为误报，所述闭环取证结果为所述第一设备根据所述取证信息得到的；或者，

所述闭环取证结果为所述取证信息，所述根据所述闭环取证结果，对所述告警进行更新之前，所述方法还包括：根据所述取证信息验证所述告警是否为误报。

7.根据权利要求6所述的方法，其特征在于，所述根据所述闭环取证结果对所述告警进行更新，包括：

如果所述闭环取证结果指示所述告警为误报或者根据所述取证信息验证所述告警为误报，删除所述告警。

8.根据权利要求7所述的方法，其特征在于，所述删除所述告警之后，所述方法还包括：

如果所述防护设备针对所述第一设备后续产生了与所述告警相同的告警，取消所述后续产生的告警。

9.根据权利要求1所述的方法，其特征在于，所述获取所述告警对应的闭环取证插件，包括：

根据所述告警的标识，从保存的插件库中查询得到所述告警对应的闭环取证插件，所述插件库包括所述告警的标识与闭环取证插件之间的对应关系。

10.根据权利要求1所述的方法，其特征在于，所述向所述第一设备提供所述闭环取证插件，包括：

将所述闭环取证插件保存至所述第一设备对应的指定目录，所述指定目录用于保存应用于所述第一设备的打包库，所述打包库包括针对所述第一设备产生的每个告警对应的每个闭环取证插件。

11.根据权利要求10所述的方法，其特征在于，所述将所述闭环取证插件保存至所述第一设备对应的指定目录之后，所述方法还包括：

向所述第一设备发送通知消息，所述通知消息用于通知所述第一设备从所述指定目录下载所述闭环取证插件。

12.根据权利要求1所述的方法，其特征在于，所述第一网络是局域网，所述第二网络是互联网。