告警信息处理方法、装置、系统、计算机设备和存储介质与流程

本技术涉及信息安全，特别是涉及一种告警信息处理方法、装置、系统、计算机设备和存储介质。

背景技术：

1、随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证，目前在信息网络中，经常会遇到各式各样的威胁场景，通过对这些威胁场景进行分析，确定存在告警事件，例如病毒入侵、网络攻击以及远程连接等等。为了维护网络安全，在确定存在告警事件后，会针对告警事件相应进行处理，例如阻止、允许、告警、响应以及恢复等等。

2、但是告警事件的处理依赖技术人员的业务能力，如果技术人员业务能力优秀，则会带来良好的安全服务效果，反之，如果技术人员的业务能力较差，则会带来较差的安全服务效果，因此，通过该方式为客户提供安全服务，难以保障服务质量，同时也会导致告警事件的处理准确性较低。如果需要保障安全服务质量和处理准确性，则需要投入大量的人力成本，批量复制可行性弱。

3、因此，需要一种低成本高质量的告警事件的处理方法，解决现有技术方案存在的问题。

技术实现思路

1、基于此，有必要针对上述技术问题，提供一种告警信息处理方法、装置、系统、计算机设备和计算机可读存储介质。

2、第一方面，本技术提供了一种告警信息处理方法。所述方法包括：

3、获取本地服务端上传的告警信息；其中，所述本地服务端连接所述云服务端；

4、针对所述告警信息进行项目提取处理，并根据项目提取结果生成服务校验结果；在基于所述服务校验结果检测到服务校验通过的情况下，获取至少一个第一用户针对所述告警信息的云端研判结果；

5、将所述云端研判结果发送至所述本地服务端；其中，所述本地服务端用于根据所述云端研判结果，生成针对所述告警信息的目标处理结果。

6、在其中一个实施例中，所述针对所述告警信息进行项目提取处理，包括：

7、获取所述本地服务端上传的所述告警信息的数据结构与所述告警信息对应的案件信息，并根据所述数据结构和所述案件信息对告警信息进行项目提取处理。

8、在其中一个实施例中，针对所述告警信息进行项目提取处理，并根据项目提取结果生成服务校验结果，包括：

9、提取所述告警信息中的项目信息，得到所述项目提取结果；在所述项目信息获取成功后，基于所述项目提取结果验证所述项目信息是否存在；

10、如果所述项目信息不存在，则创建测试项目，并基于所述测试项目进行服务校验，得到所述服务校验结果；否则，直接对所述项目信息进行服务校验，得到所述服务校验结果。

11、在其中一个实施例中，如果所述项目信息不存在，则创建测试项目，包括：

12、如果所述项目信息不存在，则检查预设周期时间内所述测试项目的创建次数；

13、如果在所述预设周期时间内，所述测试项目的创建次数超过了预设的创建次数，则终止对所述告警信息的处理；否则，创建测试项目。

14、在其中一个实施例中，所述根据项目提取结果生成服务校验结果，包括：

15、对所述项目提取结果进行服务有效期校验；

16、如果校验得到当前时间处于预设的服务有效期限之前，则生成用于指示服务未生效的第一提醒信息，并返回所述第一提醒信息至所述本地服务端；

17、如果校验得到当前时间处于预设的服务有效期限之后，则生成用于指示服务已结束的第二提醒信息，并返回所述第二提醒信息至所述本地服务端；

18、如果校验得到当前时间处于预设的服务有效期限之内，则生成用于指示服务有效的第三提醒信息，并返回所述第三提醒信息至所述本地服务端。

19、在其中一个实施例中，所述将所述云端研判结果发送至所述本地服务端之后，所述方法还包括：

20、所述本地服务端检测第二用户对所述云端研判结果的确认结果；

21、若检测所述确认结果失败，则所述本地服务端将所述告警信息重新上传至所述云服务端，获取所述云服务端返回的针对所述告警信息的二次研判结果，并再次检测所述第二用户对所述二次研判结果的确认结果；

22、若检测所述确认结果成功，基于所述云端研判结果，生成所述目标处理结果。

23、第二方面，本技术还提供了一种告警信息处理装置。所述装置包括：

24、信息获取模块，用于获取本地服务端上传的告警信息；

25、校验模块，用于针对所述告警信息进行项目提取处理，并根据项目提取结果生成服务校验结果；

26、研判模块，用于在基于所述服务校验结果检测到服务校验通过的情况下，获取至少一个第一用户针对所述告警信息的云端研判结果；

27、结果处理模块，用于将所述云端研判结果发送至所述本地服务端。

28、第三方面，本技术还提供了一种告警信息处理系统。所述系统包括：云服务端和本地服务端；

29、所述云服务端，连接所述本地服务端，用于执行以下步骤：

30、获取本地服务端上传的告警信息；其中，所述本地服务端连接所述云服务端；

31、针对所述告警信息进行项目提取处理，并根据项目提取结果生成服务校验结果；在基于所述服务校验结果检测到服务校验通过的情况下，获取至少一个第一用户针对所述告警信息的云端研判结果；

32、将所述云端研判结果发送至所述本地服务端；其中，所述本地服务端用于根据所述云端研判结果，生成针对所述告警信息的目标处理结果。

33、第四方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

34、获取本地服务端上传的告警信息；其中，所述本地服务端连接所述云服务端；

35、针对所述告警信息进行项目提取处理，并根据项目提取结果生成服务校验结果；在基于所述服务校验结果检测到服务校验通过的情况下，获取至少一个第一用户针对所述告警信息的云端研判结果；

36、将所述云端研判结果发送至所述本地服务端；其中，所述本地服务端用于根据所述云端研判结果，生成针对所述告警信息的目标处理结果。

37、第五方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

38、获取本地服务端上传的告警信息；其中，所述本地服务端连接所述云服务端；

39、针对所述告警信息进行项目提取处理，并根据项目提取结果生成服务校验结果；在基于所述服务校验结果检测到服务校验通过的情况下，获取至少一个第一用户针对所述告警信息的云端研判结果；

40、将所述云端研判结果发送至所述本地服务端；其中，所述本地服务端用于根据所述云端研判结果，生成针对所述告警信息的目标处理结果。

41、上述告警信息处理方法、装置、计算机设备、存储介质和计算机程序产品，

42、通过获取至少一个第一用户针对所述告警信息的云端研判结果，只需将告警信息上传云端，获取对告警信息更为准确的判断、分类与处理；通过本地服务端根据所述云端研判结果，生成针对所述告警信息的目标处理结果，在已有云端研判结果的基础上，再决定具体的对告警信息的处理方式，不必完全分析处理告警信息，降低业务处理难度与成本。