[发明专利]一种异常FTP连接告警处理方法

说明书

本发明计算机网络领域，为一种异常FTP连接告警处理方法，包括：获取终端的FTP告警日志和FTP流量日志，将日志发送至采集服务器，所述采集服务器接入至一处理服务器，实时计算任务对日志进行FTP连接源IP的解析，同时通过处理服务器API接口接入IP地址划分信息、服务器台账信息、防病毒查杀日志、处置知识信息存入数据库中；通过实时计算任务将解析的FTP连接源IP与数据库中的服务器台账信息中IP进行比对，判断FTP连接终端是否为连接外部FTP；实时计算任务将解析的FTP连接源IP、FTP连接时间与防病毒查杀日志中的感染终端IP、时间进行特征比对，以及判断是否跨域或跨网络边界，通过上述步骤产生告警信息。提高系统以及使用终端的安全性。

技术领域

本发明计算机网络领域，具体地来讲为一种异常FTP连接告警处理方法。

背景技术

FTP作为文件传输协议，具备易于连接与应用、传输速度快等特点。但是 FTP的这些特性，导致其易作为某些病毒木马上传主机信息、下载恶意程序的工具；此外，黑客入侵服务器后，也常常会利用FTP协议传输服务器敏感文件或数据、下载恶意程序。同时，FTP通常采用未加密的传输方式，安全性并不高。

发明内容

本发明所要解决的技术问题在于提供一种异常FTP连接告警处理方法，提高系统以及使用终端的安全性。

本发明是这样实现的，

一种异常FTP连接告警处理方法，该方法包括：

步骤1，获取终端的FTP告警日志和FTP流量日志，将日志发送至采集服务器，所述采集服务器接入至一处理服务器，通过处理服务器中的大数据实时计算任务对日志进行FTP连接源IP的解析，同时通过处理服务器API接口接入IP地址划分信息、服务器台账信息、防病毒查杀日志和处置知识信息，并存入数据库中；

步骤2，通过实时计算任务将解析的FTP连接源IP与数据库中的服务器台账信息中IP进行比对，判断FTP连接终端是否为连接外部FTP，如判断“是”，则产生告警信息，告警子类型为“服务器异常FTP外连告警”；若判断“否”，则进入下一步；

步骤3，实时计算任务将解析的FTP连接源IP、FTP连接时间与防病毒查杀日志中的感染终端IP、时间进行特征比对，如同一IP终端在FTP连接时间1 天内存在病毒查杀记录，则产生告警信息，告警子类型为“终端感染病毒木马 FTP连接告警”；否则进入下一步；

步骤4，实时计算任务将解析的FTP连接源IP、目的IP与IP地址划分信息的IP段进行特征比对，判断是否跨域或跨网络边界，若是则产生告警信息；

步骤5，通过上述步骤产生告警信息。

进一步地，所述步骤2中包括：通过比对服务器台账信息、防病毒查杀日志、IP地址划分信息，若比对成功则产生相关特征记录。

进一步地，根据特征比对不同结果，产生服务器异常FTP外连、终端感染病毒木马FTP连接告警、终端违规FTP登陆三种子类型的特征记录，写入数据库，若存在服务器异常FTP外连特征记录，则产生高危告警；终端感染病毒木马FTP连接告警记录超过10条，则产生中危告警；若终端违规FTP登陆超过 20条，则产生中危告警。

进一步地，步骤4中判断是否跨域或跨网络边界包括：若FTP连接源IP、目的IP所属不在同一安全域，则产生告警信息，告警子类型为“终端违规FTP 登陆告警”；若判断“否”，则不产生告警信息。

进一步地，所述FTP告警日志和FTP流量日志分别来自睿眼网络版攻击溯源系统和天眼未知威胁检测系统。

进一步地，告警信息包含有告警编号、告警名称、风险等级、告警来源、告警源IP、告警目的IP、告警源端口、告警目的端口、所属单位、告警时间、最新告警时间、处置建议、以及命中次数，向告警信息所属单位的终端发送告警信息。