[发明专利]告警处理方法及防护设备

说明书

本申请提供了一种告警处理方法及防护设备，属于网络技术领域。本申请通过基于防护设备产生的告警，获取告警对应的闭环取证插件，将闭环取证插件提供给引发告警的设备，根据闭环取证插件运行后返回的闭环取证结果更新之前产生的告警，从而实现了告警自动化的闭环取证。一方面，该方法有助于对防护设备产生的告警全面闭环，防止告警遗漏或遗弃。另一方面，提供了类似于闭环解决告警的机制，提升闭环处置效率。另一方面，由于在引发告警的设备上进行闭环取证，能够更准确地验证告警是否为误报，有助于提升告警准确率。

技术领域

本申请涉及网络技术领域，特别涉及一种告警处理方法及防护设备。

背景技术

为了提升局域网的安全性，很多企业设置了具有入侵检测系统(intrusiondetection system，IDS)或入侵防御系统(Intrusion Prevention System，IPS)等功能的防护设备。防护设备对局域网与互联网之间传输的数据进行即时监视，在发现可疑活动或者违反企业政策的活动时产生告警。

当防护设备产生告警后，由网络管理员人工对告警进行分析后产生报告。如果告警需要处置，则告警分析人员需要通知局域网中相关终端的用户协助处理。然而，这种方案需要大量时间协同用户进行取证及闭环，效率低下。

发明内容

本申请实施例提供了一种告警处理方法及防护设备，能够提升告警取证闭环的效率。所述技术方案如下。

第一方面，提供了一种告警处理方法，能应用于入侵检测(IPS)、反病毒、应用行为控制等场景。该方法包括：部署于第一网络与第二网络的防护设备对报文进行安全性检测从而生成告警，所述告警用于指示所述报文涉及可疑活动或违规活动。然后，获取防护设备产生的告警对应的闭环取证插件，向所述第一设备提供所述闭环取证插件。当第一设备运行插件得到闭环取证结果之后，接收来自于所述第一设备的闭环取证结果；根据所述闭环取证结果，对所述告警进行更新。其中，所述闭环取证插件用于对所述告警进行闭环处理或者取证处理，所述闭环处理是指去除所述第一设备上引发所述告警的缺陷。所述闭环取证结果为所述第一设备运行所述闭环取证插件得到的结果。

上述方法中，通过基于防护设备产生的告警，获取告警对应的闭环取证插件，将闭环取证插件提供给引发告警的设备，根据闭环取证插件运行后返回的闭环取证结果更新之前产生的告警，从而实现了告警自动化的闭环取证。一方面，该方法有助于对防护设备产生的告警全面闭环，防止告警遗漏或遗弃。另一方面，提供了类似于闭环解决告警的机制，提升闭环处置效率。另一方面，由于在引发告警的设备上进行闭环取证，能够更准确地验证告警是否为误报，有助于提升告警准确率。

可选地，上述闭环取证插件具体通过删除所述第一设备上的病毒从而闭环处理。

通过提供插件来删除第一设备上的病毒，从而避免病毒攻击再次引起防护设备告警，从而对病毒攻击引起的告警实现闭环，并有助于防御来自于第一设备的病毒攻击，提升第二设备和第一设备的安全性。

可选地，上述闭环取证插件具体通过向所述第一设备安装补丁文件从而闭环处理。

通过提供插件来向第一设备安装补丁文件，实现了对第一设备的安全加固，避免不法者后续重新利用漏洞发起暴力破解等攻击或者其他可疑活动或违规活动，并有助于及时修复第一设备上的漏洞，降低第一设备的安全风险，提升第一设备的安全性。

可选地，上述闭环取证插件具体通过对所述第一设备进行网络配置从而闭环处理。

通过提供插件来对第一设备网络配置，从而避免用户利用网络配置方面的缺陷访问违规网站或者执行其他违规活动。

可选地，上述闭环取证结果指示所述第一设备上是否已去除所述缺陷。

插件通过返回是否已去除缺陷，从而更及时地上报未去除缺陷，便于在未去除缺陷的情况下做进一步处理。