CN114048303A - 一种人机协同作战处置响应的系统及方法 - Google Patents

一种人机协同作战处置响应的系统及方法 Download PDF

Info

Publication number
CN114048303A
CN114048303A CN202210025247.3A CN202210025247A CN114048303A CN 114048303 A CN114048303 A CN 114048303A CN 202210025247 A CN202210025247 A CN 202210025247A CN 114048303 A CN114048303 A CN 114048303A
Authority
CN
China
Prior art keywords
user
information
application
execution
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210025247.3A
Other languages
English (en)
Other versions
CN114048303B (zh
Inventor
钟竹
薛洪亮
华元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Abt Networks Co ltd
Original Assignee
Beijing Abt Networks Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Abt Networks Co ltd filed Critical Beijing Abt Networks Co ltd
Priority to CN202210025247.3A priority Critical patent/CN114048303B/zh
Publication of CN114048303A publication Critical patent/CN114048303A/zh
Application granted granted Critical
Publication of CN114048303B publication Critical patent/CN114048303B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/332Query formulation
    • G06F16/3329Natural language query formulation or dialogue systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/33Querying
    • G06F16/3331Query processing
    • G06F16/334Query execution
    • G06F16/3344Query execution using natural language analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/279Recognition of textual entities
    • G06F40/289Phrasal analysis, e.g. finite state techniques or chunking
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及一种人机协同作战处置响应的系统及方法,上述方法包括:获取用户的登录信息,并根据登录信息建立与工作区服务器之间的通信连接,向工作区服务器发送用户输入的事件描述信息;将事件描述信息发送至机器人服务器;根据事件描述信息向工作区的用户推荐多个执行应用,并执行用户在多个执行应用中选择后输入的应用信息,生成并向工作区服务器发送执行信息;将执行信息广播至工作区的用户。本发明针对安全事件实时协同工作,以人机结合的方式,高效帮助安全运维人员定义、排序和驱动标准化的事件响应活动。

Description

一种人机协同作战处置响应的系统及方法
技术领域
本发明计算机安全技术领域,尤其涉及一种人机协同作战处置响应的系统及方法。
背景技术
安全运维团队在遇到安全事件前,需要从分散到各个地方的软体,硬体当中。现有技术中,相关人员会去收集相关产品的日志信息和警报进行分析,需要对信息进行收集整理,并分工合作。但存在多种弊端,一方面,在信息汇总的过程中,对信息的处理可能会缺少了分析事件产生的上下文背景和相关联的信息;另一方面,在整个过程中可能会涉及跨部门的协作,多个产品的信息收集和命令执行,各个运维成员之间信息的传递也不及时,甚至有遗漏,错误的情况发生,整个过程看上去非常复杂,并且耗费大量的人力,时间和精力,花费了之后效果可能还不理想,没有达到运维的预期;又一方面,处理安全事件之后也无法对整个处置流程进行回顾分析。因此,如何高效协同处理安全事件是亟待解决的问题。
发明内容
有鉴于此,有必要提供及一种人机协同作战处置响应的系统及方法,用以克服现有技术中无法高效协同处理安全事件的问题。
为了解决上述技术问题,本发明提供一种人机协同作战处置响应的系统,包括依次通信连接的工作区、工作区服务器、机器人服务器以及应用剧本服务器,其中:
所述工作区,用于获取用户的登录信息,并根据所述登录信息建立与所述工作区服务器之间的通信连接,向所述工作区服务器发送用户输入的事件描述信息;
所述工作区服务器,用于将所述事件描述信息转发至所述机器人服务器;还用于将执行信息广播至所述工作区的用户;
所述机器人服务器,用于根据所述事件描述信息向所述工作区的用户推荐多个执行应用;
所述应用剧本服务器,用于执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送所述执行信息。
进一步地,所述工作区服务器还用于将所述事件描述信息和所述执行信息进行存储和归档。
本发明还提供一种人机协同作战处置响应的方法,基于如上所述的人机协同作战处置响应的系统,所述方法包括:
获取用户的登录信息,并根据所述登录信息建立与工作区服务器之间的通信连接,向工作区服务器发送用户输入的事件描述信息;
将所述事件描述信息发送至机器人服务器;
根据所述事件描述信息向工作区的用户推荐多个执行应用;
执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送执行信息;
将执行信息广播至所述工作区的用户。
进一步地,用户包括管理者和成员,所述登录信息包括用户名称和用户密码,所述获取用户的登录信息,并根据所述登录信息建立与工作区服务器之间的通信连接,向工作区服务器发送用户输入的事件描述信息,包括:
获取管理者的用户名称和用户密码;
根据所述管理者的用户名称和用户密码,建立与所述工作区服务器之间的通信连接,并根据所述通信连接与所述用户名称、所述用户密码之间的绑定关系,标识用户的登录状态;
创建安全运维事件,并获取管理者输入的事件建立信息,其中,所述事件建立信息包括事件名称、事件类型、事件内容和指定负责人中的至少一种;
获取管理者拉入的成员的用户名称和用户密码,建立与所述工作区服务器之间的通信连接;
基于所述通信连接,将管理者和/或成员交流时输入的所述事件描述信息发送至所述工作区服务器。
进一步地,所述获取用户的登录信息,并根据所述登录信息建立与工作区服务器之间的通信连接,向工作区服务器发送用户输入的事件描述信息,包括:
在建立所述通信连接时,将所述通信连接与所述用户名称、所述用户密码进行绑定,标识用户的在线状态;
在建立所述通信连接时,将所述通信连接与所述用户名称、所述用户密码进行解绑,标识用户的离线状态。
进一步地,所述根据所述事件描述信息向工作区的用户推荐多个执行应用,并执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送执行信息,包括:
根据所述事件描述信息进行相应的自然语言识别,确定对应推荐的所述多个执行应用;
通过所述工作区服务器,将所述多个执行应用转发至所述工作区的用户,其中,用户在所述多个执行应用中点击应用图标,选择最优应用,并填写所述最优应用对应的应用入参,生成所述应用信息,将所述应用信息通过所述工作区服务器发送至所述应用剧本服务器;
获取并执行所述应用信息,生成并向所述工作区服务器发送所述执行信息。
进一步地,所述根据所述事件描述信息进行相应的自然语言识别,确定对应推荐的所述多个执行应用,包括:
将所述事件描述信息中的input语句进行分词,确定多个关键词语;
将所述多个关键词语进行模糊匹配,在标准提问库中查询对应命中的至少一个标准提问;
将所述至少一个标准提问的正则表达与所述input语句进行匹配,根据匹配成功的标准提问在备选应用中确定对应的所述执行应用;
根据所述至少一个标准提问对应匹配的所述执行应用,确定所述执行应用对应的参数引擎规则;
对所述参数引擎规则进行解析,生成所述执行应用和对应的推荐参数。
进一步地,所述根据所述事件描述信息进行相应的自然语言识别,确定对应推荐的所述多个执行应用,还包括:
若在所述标准提问库中未命中,将所述多个关键词语进行模糊匹配,在变种提问库中查询对应命中的至少一个变种提问;
根据所述至少一个变种提问在所述标准提问库中进行匹配;
若在所述标准提问库中匹配成功,则确定对应匹配的所述至少一个标准提问,并返回至所述将所述至少一个标准提问的正则表达与所述input语句进行匹配,根据匹配成功的标准提问确定对应的所述执行应用的步骤;
若在所述标准提问库中匹配不成功,则将所述input语句与所述标准提问表的每条标准提问进行匹配,若匹配结果大于预设阈值,则找到对应的标准提问,返回至所述将所述至少一个标准提问的正则表达与所述input语句进行匹配,根据匹配成功的标准提问确定对应的所述执行应用的步骤;
若未找到对应的标准提问,则将所述input语句中的所有关键词语与所有备用应用中的应用分词进行交集运算,根据交集运算结果,确定所述多个执行应用;
将所述input语句中的所有关键词语与预设的参数引擎表的简介信息分词进行交集运算,根据交集运算结果,确定所述参数引擎规则。
进一步地,所述根据所述事件描述信息向工作区的用户推荐多个执行应用,并执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送执行信息,还包括:
获取用户选择的最优应用和输入的应用入参,生成所述应用信息,其中,用户在所述工作区根据需求选择点击应用图标,选择最优应用,并填写所述最优应用对应的所述应用入参;
收到所述应用信息后,分阶段执行应用程序,根据每个阶段的执行结果生成对应的所述执行信息,依次发送至所述工作区服务器,其中,所述工作区服务器再将所述执行信息发送至所述工作区的在线状态的用户。
进一步地,将所述事件描述信息和所述执行信息进行存储和归档,并根据用户的在线状态和/或离线状态进行转发。
与现有技术相比,本发明的有益效果包括:在系统中,通过设置工作区,给用户提供协同操作的环境,并建立用户操作的工作区与工作区服务器之间的联系;通过设置工作区服务器,保证工作区与应用剧本服务器之间的信息转发,使用户输入的事件描述信息能及时上传至应用剧本服务器进行处理;通过设置机器人服务器,对用户输入的事件描述信息进行数据处理,根据事件描述信息中反映的特征,确定多个执行应用推荐给用户;通过设置应用剧本服务器,用户在这些执行应用中选择,并输入对应的应用信息,再返回给应用剧本服务器进行处理,应用剧本服务器执行用户选择的应用后,生成对应的执行信息发送至工作区,便于用户的查看。基于上述系统,在方法中,首先,对于不同的用户,根据登录信息,建立其与工作区服务器之间的通信连接;然后,在用户建立连接后,将用户输入的事件描述信息发送至机器人服务器;最后,对事件描述信息进行解析,向用户推荐待选的多个执行应用,使用户能在多个执行应用选择,并灵活设置相应的应用信息,进而执行用户选择的应用信息,生成对应的执行信息,返回给用户查看,方便向用户及时反馈全程安全事件处理流程。综上,本发明针对安全事件实时协同工作,通过设置工作区、工作区服务器、机器人服务器和应用剧本服务器之间的通信交互,利用了机器人服务器和应用剧本服务器,保证了智能的数据处理,利用工作区,保证了用户的灵活选择,以人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动,高效、准确、快速完成了对安全事件的处理,完成了一目了然的信息共享,用户可直接利用上述系统和方法,快捷调用各种安全能力、自然语言交互安全能力,处置响应后,也可对整个处置过程进行回归分析。
附图说明
图1为本发明提供的人机协同作战处置响应的系统一实施例的流程示意图;
图2为本发明提供的人机协同作战处置响应的方法一实施例的流程示意图;
图3为本发明提供的图2中步骤S201一实施例的流程示意图;
图4为本发明提供的图2中步骤S203一实施例的流程示意图;
图5为本发明提供的快捷调用各种安全能力一实施例的通信交互示意图;
图6为本发明提供的用户选择的最优应用一实施例的界面示意图;
图7为本发明提供的图4中步骤S401一实施例的流程示意图;
图8为本发明提供的图4中步骤S401另一实施例的流程示意图;
图9为本发明提供的自然语言交互一实施例的通信交互示意图;
图10为本发明提供的分阶段发送执行信息一实施例的流程示意图;
图11为本发明提供的电子设备一实施例的结构示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
在本发明的描述中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。此外,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
在本发明的描述中,提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,所描述的实施例可以与其它实施例相结合。
本发明提供了一种人机协同作战处置响应的方法,设置了设置工作区、工作区服务器、机器人服务器和应用剧本服务器之间的通信交互,有针对性地进行安全事件的智能处理,为进一步提高协同处理安全事件的高效性提供了新思路。
在实施例描述之前,对涉及到的相关词语进行释义:
跨部门组织的共享的工作区:系统管理员拉取各部门组织人员,建立一个共享的工作区,安全分析相关人员可以在这里进行交互、交流,进行联合的调查取证;
快捷调用各种安全能力:安全分析相关人员根据工作区信息,直接快捷调用自身系统整合以及第三方产品提供的安全能力;
自然语言交互安全能力:安全分析相关人员提供自然语言,由机器人推荐安全能力,快速处置响应;
消息回放及搜索、归档:每一位相关人员进来,系统回放消息,提供工作区过去已发生的信息和安全能力,并在完成处置后,归档记录;
Websocket:WebSocket是一种在单个TCP连接上进行全双工通信的协议,客户端和服务器只需完成一次握手即可连接成功,连接成功后,允许客户端向服务端发送信息,也允许服务端向客户端主动发送信息;
作战室:一个由多人组成的虚拟工作区,实现信息交互、共享、协调沟通,动态执行应用、剧本,衔接AI机器人,实现人机协同;
应用:基于计算机语言、编程语言,实现工作中各场景操作的自动化程序,例如Nmap应用,输入ip,可得到此ip的类型,ip的归属地;
剧本:将应急响应中的各个单点动作组装起来,编排剧本时可将应用之间做串联、并联多重组合,是串联操作则前一个应用的参数数据可供后一个应用使用,最终形成一系列应用的自动化,解决工作中,严重依赖人工操作的问题;
Elasticsearch:Elasticsearch是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。例如在“帮我封禁一个192.168.1.1的ip”查询“封禁1.1”语句时也可查询到数据。
基于上述技术名词的描述,在安全事件发生时,具体而言,比如系统某一种故障发生,需要多方人员协同处理,然而,在协同处理过程中,往往因为信息量巨大、信息传递不及时,导致运维效果并不理想。因而,本发明旨在提出一种针对人机协同作战处置响应的系统及方法。
以下分别对具体实施例进行详细说明:
本发明实施例提供了一种人机协同作战处置响应的系统,结合图1来看,图1为本发明提供的人机协同作战处置响应的系统一实施例的流程示意图,包括依次通信连接的工作区101、工作区服务器102、机器人服务器103以及应用剧本服务器104,其中:
所述工作区101,用于获取用户的登录信息,并根据所述登录信息建立与所述工作区服务器之间的通信连接,向所述工作区服务器发送用户输入的事件描述信息;
所述工作区服务器102,用于将所述事件描述信息转发至所述机器人服务器;还用于将执行信息广播至所述工作区的用户;
所述机器人服务器103,用于根据所述事件描述信息向所述工作区的用户推荐多个执行应用;
所述应用剧本服务器104,用于执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送所述执行信息。
在本发明实施例中,在系统中,通过设置工作区,给用户提供协同操作的环境,并建立用户操作的工作区与工作区服务器之间的联系;通过设置工作区服务器,保证工作区与应用剧本服务器之间的信息转发,使用户输入的事件描述信息能及时上传至应用剧本服务器进行处理;通过设置机器人服务器,对用户输入的事件描述信息进行数据处理,根据事件描述信息中反映的特征,确定多个执行应用推荐给用户;通过设置应用剧本服务器,用户在这些执行应用中选择,并输入对应的应用信息,再返回给应用剧本服务器进行处理,应用剧本服务器执行用户选择的应用后,生成对应的执行信息发送至工作区,便于用户的查看。
作为优选的实施例,所述工作区服务器还用于将所述事件描述信息和所述执行信息进行存储和归档。
在本发明实施例中,利用工作区服务器对工作区和应用剧本服务器之间的消息进行整理、存储和归档,便于用户随时查看。
本发明实施例提供了一种人机协同作战处置响应的方法,结合图2来看,图2为本发明提供的人机协同作战处置响应的方法一实施例的流程示意图,上述方法包括步骤S201至步骤S204,其中:
在步骤S201中,获取用户的登录信息,并根据所述登录信息建立与工作区服务器之间的通信连接,向工作区服务器发送用户输入的事件描述信息;
在步骤S202中,将所述事件描述信息发送至机器人服务器;
在步骤S203中,根据所述事件描述信息向工作区的用户推荐多个执行应用;
在步骤S204中,执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送执行信息;
在步骤S205中,将执行信息广播至所述工作区的用户。
在本发明实施例中,首先,对于不同的用户,根据登录信息,建立其与工作区服务器之间的通信连接;然后,在用户建立连接后,将用户输入的事件描述信息发送至机器人服务器;最后,对事件描述信息进行解析,向用户推荐待选的多个执行应用,使用户能在多个执行应用选择,并灵活设置相应的应用信息,进而执行用户选择的应用信息,生成对应的执行信息,返回给用户查看,方便向用户及时反馈全程安全事件处理流程。
作为优选的实施例,结合图3来看,图3为本发明提供的图2中步骤S201一实施例的流程示意图,上述步骤S201包括步骤S301至步骤S305,其中:
在步骤S301中,获取管理者的用户名称和用户密码;
在步骤S302中,根据所述管理者的用户名称和用户密码,建立与所述工作区服务器之间的通信连接,并根据所述通信连接与所述用户名称、所述用户密码之间的绑定关系,标识用户的登录状态;
在步骤S303中,创建安全运维事件,并获取管理者输入的事件建立信息,其中,所述事件建立信息包括事件名称、事件类型、事件内容和指定负责人中的至少一种;
在步骤S304中,获取管理者拉入的成员的用户名称和用户密码,建立与所述工作区服务器之间的通信连接;
在步骤S305中,基于所述通信连接,将管理者和/或成员交流时输入的所述事件描述信息发送至所述工作区服务器。
在本发明实施例中,利用工作区,实现多人之间对安全事件的协同处理,保证高效的协同工作效率。
作为优选的实施例,上述步骤S201还包括:
在建立所述通信连接时,将所述通信连接与所述用户名称、所述用户密码进行绑定,标识用户的在线状态;
在建立所述通信连接时,将所述通信连接与所述用户名称、所述用户密码进行解绑,标识用户的离线状态。
在本发明实施例中,对不同用户的状态进行相应的标识,以便进行不同的消息的推送。
在本发明一个具体的实施例中,跨部门组织的共享的工作区的具体流程如下:
第一步,管理员点击作战室进入工作区,发送登录用户名,密码,建立websocket连接,工作区服务器在建立连接时将用户名和连接绑定起来,代表此用户在线,退出登录时,将用户名和连接解除绑定,代表此用户离线;
第二步,管理员创建一个安全运维事件,填写事件名称,事件类型,事件内容,并指定负责人;
第三步,由管理员或者负责人根据角色、权限拉取各个部门组织人员参与此安全运维事件;
第四步,成员也可直接拉取其他人员参与;但只有管理员和负责人可踢除人员;
第五步,各成员点击作战室进入工作区,发送登录用户名,密码,建立websocket连接,同第一步相同;
第六步,各成员在工作区沟通交流不限制形式,包括但不限于发送普通文字,图片,文件等信息。
作为优选的实施例,结合图4来看,图4为本发明提供的图2中步骤S203一实施例的流程示意图,上述步骤S203包括步骤S401至步骤S403,其中:
在步骤S401中,根据所述事件描述信息进行相应的自然语言识别,确定对应推荐的所述多个执行应用;
在步骤S402中,通过所述工作区服务器,将所述多个执行应用转发至所述工作区的用户,其中,用户在所述多个执行应用中点击应用图标,选择最优应用,并填写所述最优应用对应的应用入参,生成所述应用信息,将所述应用信息通过所述工作区服务器发送至所述应用剧本服务器;
在步骤S403中,获取并执行所述应用信息,生成并向所述工作区服务器发送所述执行信息。
在本发明实施例中,利用应用剧本服务器智能处理用户选择的应用信息,保证了人机协同工作的高效性。
在本发明一个具体的实施例中,结合图5、图6来看,图5为本发明提供的快捷调用各种安全能力一实施例的通信交互示意图,图6为本发明提供的用户选择的最优应用一实施例的界面示意图,基于上述提供的系统来看,调用应用信息的流程如下:
第1步,应用、剧本均来源于应用商店,应用商店包括自身系统整合的(也就是官方应用),也包括第三方上传的标准应用包;
第2步,某个安全运维事件可点击应用图标,选择某一个应用,填写该应用的入参,由工作区将应用id、应用入参、应用消息类型标识发送给工作区服务器;
第3步,用户点击nmap应用,输入的应用入参如图6所示;用户点击应用发送给工作区时,详细参数如下,带”#”的为参数标注说明,带”#*”为重点参数,参数较多;
第4步,工作区服务器接收应用消息类型标识,转至应用处理器方法处,将应用id,应用入参发送给应用服务器,应用服务器会立即返回一个简短的执行信息,注意此时应用还未执行完,工作区服务器根据第一步Websocket的连接状态将执行信息广播给工作区内所有在线参与人员,在线参与人员此时即可看到简短结果,不在线的参与人员会待下次进入工作区显示得到执行信息,具体消息回放请看“消息回放及搜索、归档”;
第5步,后续应用服务器每执行成功一个阶段都会将执行信息发送给工作区服务器,不限次数,直至执行完成不再发送,工作区服务器将执行信息广播给工作区内所有在线参与人员,在线参与人员此时即可看到应用执行结果的变化,各个参与人员即可信息共享,协同工作,达到共同解决安全事件的目的,不在线的参与人员会待下次进入工作区显示得到执行信息,具体消息回放请看“消息回放及搜索、归档”。
以一个具体的应用例进行进一步的说明如下:
管理人员创建工作区,定义事件类型为“ip攻击事件”;
运维人员文字发送ip攻击事件详情到工作区;
技术人员发送信息“@运维人员先查一下ip @warroom机器人查询ip信息”;
机器人返回一个或多个推荐应用或剧本信息,此处最可能推荐nmap应用;
运维人员点击推荐的nmap应用,运维人员输入ip为
Figure 552572DEST_PATH_IMAGE001
的参数到nmap应用输入框中,点击执行,等待结果;
技术人员看到nmap执行结果后,可按照业务采取操作,例如封禁此ip 7天,此时发送信息“@运维人员我们把这个ip封禁个7天,7天后再观察一下情况 @warroom机器人封禁ip
Figure 554026DEST_PATH_IMAGE002
”;
机器人返回一个或多个推荐应用或剧本信息,此处最可能推荐应急封堵;
运维人员点击推荐的应急封堵,此时应急封堵会自动带上ip为
Figure 487347DEST_PATH_IMAGE003
的参数,运维人员输入封禁类型,封禁时长等其他运维参数,点击执行,等待结果;
运维人员通知负责人,此事件已处理完毕,发送信息“@负责人事件已处理完毕”,管理员可将此事件状态改为“已完成”;
其中,需要说明的是,在整个过程中,技术人员只单纯了解技术面,了解如何解决事件,没有具体的ip参数,而运维人员只有攻击者的ip,攻击时间频次,不了解具体该如何鉴别处理,需要技术人员给出指导,传统方式,运维人员私聊发送整个错误信息给技术人员,技术人员自身私下处理排查,之后再将结果私聊告知运维人员,运维人员再私下处理,不透明且无效率,但在工作区中,所有信息共享,无需私聊发送信息,可明确各个角色自身处理范畴,相应人员只关注自身技术范畴,即可协作性的完成一个事件响应。
作为优选的实施例,结合图7来看,图7为本发明提供的图4中步骤S401一实施例的流程示意图,上述步骤S401包括步骤S701至步骤S705,其中:
在步骤S701中,将所述事件描述信息中的input语句进行分词,确定多个关键词语;
在步骤S702中,将所述多个关键词语进行模糊匹配,在标准提问库中查询对应命中的至少一个标准提问;
在步骤S703中,将所述至少一个标准提问的正则表达与所述input语句进行匹配,根据匹配成功的标准提问在备选应用中确定对应的所述执行应用;
在步骤S704中,根据所述至少一个标准提问对应匹配的所述执行应用,确定所述执行应用对应的参数引擎规则;
在步骤S705中,对所述参数引擎规则进行解析,生成所述执行应用和对应的推荐参数。
在本发明实施例中,采用标准提问对事件描述信息进行解析,专门为安全管理人员提供,无学习成本,与应用、剧本绑定,可以直接执行推荐答案,无需进行二次处理,且聊天知识库从日常运维对话中学习得到(分析用户艾特机器人后,执行的动作,以及用户执行最多的答案进行更新),丰富知识库,无需额外收集知识库。
作为优选的实施例,结合图8来看,图8为本发明提供的图4中步骤S401另一实施例的流程示意图,上述步骤S401包括步骤S801至步骤S805,其中:
在步骤S801中,若在所述标准提问库中未命中,将所述多个关键词语进行模糊匹配,在变种提问库中查询对应命中的至少一个变种提问;
在步骤S802中,根据所述至少一个变种提问在所述标准提问库中进行匹配;
在步骤S803中,若在所述标准提问库中匹配成功,则确定对应匹配的所述至少一个标准提问,并返回至所述将所述至少一个标准提问的正则表达与所述input语句进行匹配,根据匹配成功的标准提问确定对应的所述执行应用的步骤;
在步骤S804中,若在所述标准提问库中匹配不成功,则将所述input语句与所述标准提问表的每条标准提问进行匹配,若匹配结果大于预设阈值,则找到对应的标准提问,返回至所述将所述至少一个标准提问的正则表达与所述input语句进行匹配,根据匹配成功的标准提问确定对应的所述执行应用的步骤;
在步骤S805中,若未找到对应的标准提问,则将所述input语句中的所有关键词语与所有备用应用中的应用分词进行交集运算,根据交集运算结果,确定所述多个执行应用;
在步骤S806中,将所述input语句中的所有关键词语与预设的参数引擎表的简介信息分词进行交集运算,根据交集运算结果,确定所述参数引擎规则。
在本发明实施例中,利用变种提问、语义相似度、分词爆炸循序渐进,分层级推荐答案,对答案的准确度更精确。
在本发明一个具体的实施例中,结合图9来看,图9为本发明提供的自然语言交互一实施例的通信交互示意图,其中,系统机器人是安全运维事件内一个内置的参与人员,无需手动添加,也不可移除,具体流程如下:
1、某个安全运维事件可@warroom机器人,发送一句自然语言,例如“@warroom机器人我要查询ip为192.168.1.1的所属信息”,工作区将此@warroom机器人动作、自然语言信息、机器人消息类型标识发送给工作区服务器;
2、工作区服务器接收机器人消息类型标识,转至机器人处理器方法处,将自然语言发送给机器人服务器,机器人服务器会识别自然语言,返回一个推荐应用或剧本的执行信息,工作区服务器将执行信息广播给工作区所有在线参与人员,在线参与人员此时即可看到推荐信息,不在线的参与人员会待下次进入工作区显示得到执行信息,体消息回放请看“消息回放及搜索、归档”;
3、工作内所有在线参与人员均可点击推荐的应用或剧本,此时流程与上述“快捷调用各种安全能力”一致。
以一个具体的应用例进行进一步的说明如下:
a.机器人接收到input语句之后,将input语句分词,eg: 帮我扫描服务器ip192.168.1.1,分词之后得到的是帮、我、扫描、服务器ip、192.168.1.1,其中名词动词:帮、扫描、服务器ip;
b.提取其中的动词名词,like模糊匹配标准提问库,若是匹配得到,则得到一个或多个标准提问,跳转到第c步,若是匹配不到,则跳转到变种提问库,eg. "帮扫描服务器ip"在标准提问库中是找不到的,因为标准提问库中设定的提问为"扫描服务器ip";
c.得到一个或多个标准提问后,再使用这些提问的正则与input语句匹配,若是匹配成功,则跳转到第d步,若匹配不成功,则跳转到变种提问库;
比如:提问正则为:*扫描*服务器
Figure 890647DEST_PATH_IMAGE004
d.匹配到了多个标准提问,根据此提问就能得到预设的推荐应用或者剧本;
e.根据上一步的标准提问就能得到预设的参数引擎规则,eg. 标准提问得到推荐的应用为nmap,标准提问得到推荐的参数引擎为ip规则,ports规则;
ip规则在参数引擎规则的正则为:
Figure 618431DEST_PATH_IMAGE005
eg:正则匹配到了192.168.1.1;
ports规则在参数引擎规则的正则为:
Figure 841602DEST_PATH_IMAGE006
eg:正则匹配到了192、168、1、1,此处在当前举例情况下数据可能是不准确的,但这只是推荐,用户在使用时可以修改。
f.返回推荐的应用剧本和参数列表,完成变种提问库(与标准提问是多对一的关系,多个变种提问对应一个标准提问):
g.提取其中的动词名词,like模糊匹配变种提问库,若是匹配得到,则得到一个或多个变种提问,跳转到第h步,若是匹配不到,则跳转到相似度匹配,eg. "帮扫描服务器ip"在变种提问库中是可以找到的,因为标准提问库中设定的提问为"帮扫描服务器ip"、"查询服务器ip"、"帮查询服务器ip";
h.得到一个或多个变种提问后,再使用这些提问的正则与input语句匹配,若是匹配成功,则能根据变种提问对应到标准提问,跳转到第d步,若匹配不成功,则跳转到相似度匹配,eg. 提问正则为:.*扫描.*服务器
Figure 313035DEST_PATH_IMAGE007
其中,相似度匹配流程如下:
i.将input语句与标准提问表的每条数据做相似度匹配,从匹配结果中得到大于我们设定的阈值(例如80%)以上的数据,若是找到了相应的标准提问,则跳转到第d步,若匹配不成功,则跳转到分词大爆炸,eg. "帮我扫描服务器ip192.168.1.1"在标准提问库中与"扫描服务器ip"相似度达90%以上,则认定为匹配成功;
其中,分词大爆炸流程如下:
j.将所有应用的应用名,应用简介,应用描述信息分词与input中的所有分词匹配,取交集(也就是两者相同的部分)得到应用或剧本;
k.将参数引擎表的简介信息分词与input中的所有分词进行匹配,取交集(也就是两者相同的部分),得到参数引擎,再使用获取到的引擎规则正则匹配,eg. 得到参数引擎为ip;
ip在参数引擎规则的正则为:
Figure 570841DEST_PATH_IMAGE008
,eg:正则匹配到了192.168.1.1。
作为优选的实施例,结合图10来看,图10为本发明提供的分阶段发送执行信息一实施例的流程示意图,上述方法还包括步骤S1001至步骤S1002,其中:
在步骤S1001中,获取用户选择的最优应用和输入的应用入参,生成所述应用信息,其中,用户在所述工作区根据需求选择点击应用图标,选择最优应用,并填写所述最优应用对应的所述应用入参;
在步骤S1002中,收到所述应用信息后,分阶段执行应用程序,根据每个阶段的执行结果生成对应的所述执行信息,依次发送至所述工作区服务器,其中,所述工作区服务器再将所述执行信息发送至所述工作区的在线状态的用户。
在本发明实施例中,在执行应用信息的每一阶段都会及时反馈至工作区,便于用户的及时查询。
作为优选的实施例,上述方法还包括:将所述事件描述信息和所述执行信息进行存储和归档,并根据用户的在线状态和/或离线状态进行转发。在本发明实施例中,利用工作区服务器对工作区和应用剧本服务器之间的消息进行整理、存储和归档,便于用户随时查看。
在本发明一个具体的实施例中,在某个安全运维事件中,某参与人员发送了一条聊天信息,发送给工作区服务器,工作区服务器会将这条信息广播给所有参与人员,在广播时会根据建立Websocket的连接状态来做选择,参与人员是连接状态则转发聊天信息给此参与人员,参与人员是离线状态则存储此聊天信息、此参与人员的id,作为消息回放使用,另外还会将此聊天信息单独存储一份称为历史消息,作为归档使用,存储时将聊天消息、参与人员id,聊天时间存入Elasticsearch,可高效快速得分词搜索聊天记录,方便消息搜索、归档。
其中,上述流程会存储2份数据,一份是离线消息,“在广播时会根据建立Websocket的连接状态来做选择,参与人员是连接状态则转发聊天信息给此参与人员,参与人员是离线状态则存储此聊天信息、此参与人员的id,作为消息回放使用”,此消息是在用户不在线时,无法收到关键信息,再次进入工作区时,会左侧显示未读的消息数,点击未读消息,可直接跳转至上次未读位置。另一份是历史消息,是事件的全部数据,可点击聊天记录搜索,拉取保存的历史数据从中筛选,查看想要的数据。
其中,在点击事件归档时,根据历史消息,即事件的全部数据,可统计执行应用数,应用成功数,剧本数,剧本成功数,@warroom机器人数量,处理事件用时时长,聊天总记录数等信息。
其中,在某个参与人员进入工作区时,会向工作区服务器拉取消息进行回放,此时工作区服务会将第一步保存的消息返回给此参与人员;
其中,某个安全运维事件处置完成后,点击事件归档,发送给工作区服务器,工作区服务器会将第一步的历史消息使用Elasticsearch分词搜索按消息类型分类(例如普通消息,图片、文件、应用、剧本,@warroom机器人)返回给工作区,作为一份归档报告。
其中,发送给工作区服务器的信息如下:
点击事件归档:发送了2个参数,一个是事件的id,一个是排除类型数据,排除类型0:应用、1:剧本、2:图片 3:文件 4:机器人 5:聊天 6:备注 eg. 1,3代表排除掉应用、文件数据,最终形成归档报告。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现如上所述的人机协同作战处置响应的方法。
一般来说,用于实现本发明方法的计算机指令的可以采用一个或多个计算机可读的存储介质的任意组合来承载。非临时性计算机可读存储介质可以包括任何计算机可读介质,除了临时性地传播中的信号本身。
计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言,特别是可以使用适于神经网络计算的Python语言和基于TensorFlow、PyTorch等平台框架。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
本发明实施例还提供了一种电子设备,结合图11来看,图11为本发明提供的电子设备一实施例的结构示意图,电子设备1100包括处理器1101、存储器1102及存储在存储器1102上并可在处理器1101上运行的计算机程序,处理器1101执行程序时,实现如上所述的人机协同作战处置响应的方法。
作为优选的实施例,上述电子设备1100还包括显示器1103,用于显示处理器1101执行人机协同作战处置响应的方法后的数据处理结果。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器1102中,并由处理器1101执行,以完成本发明。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在电子设备1100中的执行过程。例如,计算机程序可以被分割成多个单元,各单元的具体功能如上述各个子步骤所述,在此不一一赘述。
电子设备1100可以是带可调摄像头模组的桌上型计算机、笔记本、掌上电脑或智能手机等设备。
其中,处理器1101可能是一种集成电路芯片,具有信号的处理能力。上述的处理器1101可以是通用处理器,包括中央处理器( Central Processing Unit,CPU )、网络处理器( Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,存储器1102可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器1102用于存储程序,所述处理器1101在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流程定义的方法可以应用于处理器1101中,或者由处理器1101实现。
其中,显示器1103可以是LCD显示屏,也可以是LED显示屏。例如,手机上的显示屏。
可以理解的是,图11所示的结构仅为电子设备1100的一种结构示意图,电子设备1100还可以包括比图11所示更多或更少的组件。图11中所示的各组件可以采用硬件、软件或其组合实现。
根据本发明上述实施例提供的计算机可读存储介质和电子设备,可以参照根据本发明实现如上所述的人机协同作战处置响应的方法具体描述的内容实现,并具有与如上所述的人机协同作战处置响应的方法类似的有益效果,在此不再赘述。
本发明公开了一种人机协同作战处置响应的系统及方法,在系统中,通过设置工作区,给用户提供协同操作的环境,并建立用户操作的工作区与工作区服务器之间的联系;通过设置工作区服务器,保证工作区与应用剧本服务器之间的信息转发,使用户输入的事件描述信息能及时上传至应用剧本服务器进行处理;通过设置机器人服务器,对用户输入的事件描述信息进行数据处理,根据事件描述信息中反映的特征,确定多个执行应用推荐给用户;通过设置应用剧本服务器,用户在这些执行应用中选择,并输入对应的应用信息,再返回给应用剧本服务器进行处理,应用剧本服务器执行用户选择的应用后,生成对应的执行信息发送至工作区,便于用户的查看。基于上述系统,在方法中,首先,对于不同的用户,根据登录信息,建立其与工作区服务器之间的通信连接;然后,在用户建立连接后,将用户输入的事件描述信息发送至机器人服务器;最后,对事件描述信息进行解析,向用户推荐待选的多个执行应用,使用户能在多个执行应用选择,并灵活设置相应的应用信息,进而执行用户选择的应用信息,生成对应的执行信息,返回给用户查看,方便向用户及时反馈全程安全事件处理流程。
本发明技术方案,针对安全事件实时协同工作,通过设置工作区、工作区服务器、机器人服务器和应用剧本服务器之间的通信交互,利用了应用剧本服务器,保证了智能的数据处理,利用工作区,保证了用户的灵活选择,以人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动,高效、准确、快速完成了对安全事件的处理,完成了一目了然的信息共享,用户可直接利用上述系统和方法,快捷调用各种安全能力、自然语言交互安全能力,处置响应后,也可对整个处置过程进行回归分析。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种人机协同作战处置响应的系统,其特征在于,包括依次通信连接的工作区、工作区服务器、机器人服务器以及应用剧本服务器,其中:
所述工作区,用于获取用户的登录信息,并根据所述登录信息建立与所述工作区服务器之间的通信连接,向所述工作区服务器发送用户输入的事件描述信息;
所述工作区服务器,用于将所述事件描述信息转发至所述机器人服务器;还用于将执行信息广播至所述工作区的用户;
所述机器人服务器,用于根据所述事件描述信息向所述工作区的用户推荐多个执行应用;
所述应用剧本服务器,用于执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送所述执行信息。
2.根据权利要求1所述的人机协同作战处置响应的系统,其特征在于,所述工作区服务器还用于将所述事件描述信息和所述执行信息进行存储和归档。
3.一种人机协同作战处置响应的方法,其特征在于,基于权利要求1至2任一项所述的人机协同作战处置响应的系统,所述方法包括:
获取用户的登录信息,并根据所述登录信息建立与工作区服务器之间的通信连接,向工作区服务器发送用户输入的事件描述信息;
将所述事件描述信息发送至机器人服务器;
根据所述事件描述信息向工作区的用户推荐多个执行应用;
执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送执行信息;
将执行信息广播至所述工作区的用户。
4.根据权利要求3所述的人机协同作战处置响应的方法,其特征在于,用户包括管理者和成员,所述登录信息包括用户名称和用户密码,所述获取用户的登录信息,并根据所述登录信息建立与工作区服务器之间的通信连接,向工作区服务器发送用户输入的事件描述信息,包括:
获取管理者的用户名称和用户密码;
根据所述管理者的用户名称和用户密码,建立与所述工作区服务器之间的通信连接,并根据所述通信连接与所述用户名称、所述用户密码之间的绑定关系,标识用户的登录状态;
创建安全运维事件,并获取管理者输入的事件建立信息,其中,所述事件建立信息包括事件名称、事件类型、事件内容和指定负责人中的至少一种;
获取管理者拉入的成员的用户名称和用户密码,建立与所述工作区服务器之间的通信连接;
基于所述通信连接,将管理者和/或成员交流时输入的所述事件描述信息发送至所述工作区服务器。
5.根据权利要求4所述的人机协同作战处置响应的方法,其特征在于,所述获取用户的登录信息,并根据所述登录信息建立与工作区服务器之间的通信连接,向工作区服务器发送用户输入的事件描述信息,还包括:
在建立所述通信连接时,将所述通信连接与所述用户名称、所述用户密码进行绑定,标识用户的在线状态;
在建立所述通信连接时,将所述通信连接与所述用户名称、所述用户密码进行解绑,标识用户的离线状态。
6.根据权利要求3所述的人机协同作战处置响应的方法,其特征在于,所述根据所述事件描述信息向工作区的用户推荐多个执行应用,并执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送执行信息,包括:
根据所述事件描述信息进行相应的自然语言识别,确定对应推荐的所述多个执行应用;
通过所述工作区服务器,将所述多个执行应用转发至所述工作区的用户,其中,用户在所述多个执行应用中点击应用图标,选择最优应用,并填写所述最优应用对应的应用入参,生成所述应用信息,将所述应用信息通过所述工作区服务器发送至所述应用剧本服务器;
获取并执行所述应用信息,生成并向所述工作区服务器发送所述执行信息。
7.根据权利要求6所述的人机协同作战处置响应的方法,其特征在于,所述根据所述事件描述信息进行相应的自然语言识别,确定对应推荐的所述多个执行应用,包括:
将所述事件描述信息中的input语句进行分词,确定多个关键词语;
将所述多个关键词语进行模糊匹配,在标准提问库中查询对应命中的至少一个标准提问;
将所述至少一个标准提问的正则表达与所述input语句进行匹配,根据匹配成功的标准提问在备选应用中确定对应的所述执行应用;
根据所述至少一个标准提问对应匹配的所述执行应用,确定所述执行应用对应的参数引擎规则;
对所述参数引擎规则进行解析,生成所述执行应用和对应的推荐参数。
8.根据权利要求7所述的人机协同作战处置响应的方法,其特征在于,所述根据所述事件描述信息进行相应的自然语言识别,确定对应推荐的所述多个执行应用,还包括:
若在所述标准提问库中未命中,将所述多个关键词语进行模糊匹配,在变种提问库中查询对应命中的至少一个变种提问;
根据所述至少一个变种提问在所述标准提问库中进行匹配;
若在所述标准提问库中匹配成功,则确定对应匹配的所述至少一个标准提问,并返回至所述将所述至少一个标准提问的正则表达与所述input语句进行匹配,根据匹配成功的标准提问确定对应的所述执行应用的步骤;
若在所述标准提问库中匹配不成功,则将所述input语句与所述标准提问表的每条标准提问进行匹配,若匹配结果大于预设阈值,则找到对应的标准提问,返回至所述将所述至少一个标准提问的正则表达与所述input语句进行匹配,根据匹配成功的标准提问确定对应的所述执行应用的步骤;
若未找到对应的标准提问,则将所述input语句中的所有关键词语与所有备用应用中的应用分词进行交集运算,根据交集运算结果,确定所述多个执行应用;
将所述input语句中的所有关键词语与预设的参数引擎表的简介信息分词进行交集运算,根据交集运算结果,确定所述参数引擎规则。
9.根据权利要求6所述的人机协同作战处置响应的方法,其特征在于,所述根据所述事件描述信息向工作区的用户推荐多个执行应用,并执行用户在多个执行应用中选择后输入的应用信息,生成并向所述工作区服务器发送执行信息,还包括:
获取用户选择的最优应用和输入的应用入参,生成所述应用信息,其中,用户在所述工作区根据需求选择点击应用图标,选择最优应用,并填写所述最优应用对应的所述应用入参;
收到所述应用信息后,分阶段执行应用程序,根据每个阶段的执行结果生成对应的所述执行信息,依次发送至所述工作区服务器,其中,所述工作区服务器再将所述执行信息发送至所述工作区的在线状态的用户。
10.根据权利要求3所述的人机协同作战处置响应的方法,其特征在于,所述方法还包括:将所述事件描述信息和所述执行信息进行存储和归档,并根据用户的在线状态和/或离线状态进行转发。
CN202210025247.3A 2022-01-11 2022-01-11 一种人机协同作战处置响应的系统及方法 Active CN114048303B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210025247.3A CN114048303B (zh) 2022-01-11 2022-01-11 一种人机协同作战处置响应的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210025247.3A CN114048303B (zh) 2022-01-11 2022-01-11 一种人机协同作战处置响应的系统及方法

Publications (2)

Publication Number Publication Date
CN114048303A true CN114048303A (zh) 2022-02-15
CN114048303B CN114048303B (zh) 2022-05-17

Family

ID=80196223

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210025247.3A Active CN114048303B (zh) 2022-01-11 2022-01-11 一种人机协同作战处置响应的系统及方法

Country Status (1)

Country Link
CN (1) CN114048303B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115865477A (zh) * 2022-11-29 2023-03-28 国网山东省电力公司信息通信公司 一种安全威胁协同处理方法、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111440A (zh) * 2010-12-31 2011-06-29 深圳市永达电子股份有限公司 一种支持动态交互的实时信息安全服务方法及系统
US9069930B1 (en) * 2011-03-29 2015-06-30 Emc Corporation Security information and event management system employing security business objects and workflows
CN107277153A (zh) * 2017-06-30 2017-10-20 百度在线网络技术(北京)有限公司 用于提供语音服务的方法、装置和服务器
CN111343236A (zh) * 2020-02-07 2020-06-26 广州极晟网络技术有限公司 服务端与客户端进行通讯的方法、装置、通讯系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102111440A (zh) * 2010-12-31 2011-06-29 深圳市永达电子股份有限公司 一种支持动态交互的实时信息安全服务方法及系统
US9069930B1 (en) * 2011-03-29 2015-06-30 Emc Corporation Security information and event management system employing security business objects and workflows
CN107277153A (zh) * 2017-06-30 2017-10-20 百度在线网络技术(北京)有限公司 用于提供语音服务的方法、装置和服务器
CN111343236A (zh) * 2020-02-07 2020-06-26 广州极晟网络技术有限公司 服务端与客户端进行通讯的方法、装置、通讯系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115865477A (zh) * 2022-11-29 2023-03-28 国网山东省电力公司信息通信公司 一种安全威胁协同处理方法、设备及介质

Also Published As

Publication number Publication date
CN114048303B (zh) 2022-05-17

Similar Documents

Publication Publication Date Title
US10275448B2 (en) Automatic question generation and answering based on monitored messaging sessions
CN107342932B (zh) 一种信息交互方法及终端
US10397157B2 (en) Message management in a social networking environment
US10003556B2 (en) Preserving collaboration history with relevant contextual information
US20160117624A1 (en) Intelligent meeting enhancement system
US11729122B2 (en) Content suggestion system for real-time communication environments
US20150281250A1 (en) Systems and methods for providing an interactive media presentation
CN107682249B (zh) 群聊场景下的人员统计、加入群组方法、装置及设备
US11153532B1 (en) Capturing and organizing team-generated content into a collaborative work environment
US10586237B2 (en) Method, apparatus, and computer-readable media for customer interaction semantic annotation and analytics
WO2020092071A1 (en) Proactive suggestion for sharing of meeting content
CN112035638B (zh) 信息处理方法、装置、存储介质及设备
US20060235966A1 (en) Predefined live chat session
WO2021143034A1 (zh) 文档生成方法、装置、电子设备及存储介质
CN114048303B (zh) 一种人机协同作战处置响应的系统及方法
US10992488B2 (en) System and method for an enhanced focus group platform for a plurality of user devices in an online communication environment
CN114363277A (zh) 基于社会关系的智能聊天方法、装置及相关产品
WO2020070906A1 (ja) ワークショップ支援システム及びワークショップ支援方法
CN112347236A (zh) 基于ai算量的智能化工程咨询方法、系统及其计算机设备
JP2020201770A (ja) コミュニケーションシステム、コミュニケーション方法及びプログラム
CN110730323B (zh) 会议交互信息处理方法、装置、计算机装置及存储介质
US11956186B2 (en) Computer service for help desk ticket creation and resolution in a communication platform
KR101955907B1 (ko) 실시간 의견 모니터링 방법, 이를 구현하기 위한 프로그램이 저장된 기록매체 및 이를 구현하기 위해 매체에 저장된 컴퓨터프로그램
CN117939048A (zh) 线上面试的处理方法及装置
CN115695347A (zh) 即时通信的消息处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant