[发明专利]一种地址信息异常检测的方法、装置、系统及介质

权利要求书

1.一种地址信息异常检测的方法，其特征在于，应用于云端服务器，所述方法包括：

接收安全设备发送的源IP地址，其中，所述源IP地址是通过安全设备对目标报文进行解析获得的，所述目标报文中的报文内容命中了所述安全设备中部署的策略规则；

基于参考名单对所述源IP地址进行异常检测，获得检测结果，其中，所述参考名单包括地址查询名单，所述地址查询名单用于记录地址信息；

向所述安全设备发送所述检测结果，以使所述安全设备根据所述检测结果对所述源IP地址进行相应处理。

2.根据权利要求1所述的方法，其特征在于，所述参考名单还包括设备查询名单，所述地址查询名单为地址查询黑名单，所述地址查询黑名单中存储有禁止访问目标设备的IP地址；

所述基于参考名单对所述源IP地址进行异常检测，获得检测结果，包括：

确认所述地址查询黑名单中不存在所述源IP地址；

基于所述设备查询名单验证所述源IP地址是否对应同一设备，获取检测结果。

3.根据权利要求2所述的方法，其特征在于，所述设备查询名单中包括历史存储的IP地址和查询设备信息，所述查询设备信息用于表征发送报文的设备；

所述基于所述设备查询名单验证所述源IP地址是否对应同一设备，获取检测结果，包括：

确认所述历史存储的IP地址中存在所述源IP地址；

判断与所述源IP地址对应的所述查询设备信息是否相同，获得判断结果，并且根据所述判断结果得到所述检测结果。

4.根据权利要求3所述的方法，其特征在于，所述判断与所述源IP地址对应的目标设备信息与所述查询设备信息是否相同，获得判断结果，并且根据所述判断结果得到所述检测结果，包括：

若所述源IP地址对应的目标设备信息与所述查询设备信息相同，则确认所述检测结果为所述源IP地址安全；

若所述源IP地址对应的目标设备信息与所述查询设备信息不同，则确认所述检测结果为所述源IP地址不安全。

5.根据权利要求4所述的方法，其特征在于，所述设备查询名单中还包括查询日期；

在所述确认所述检测结果为所述源IP地址安全之前，所述方法还包括：

更新所述查询日期。

6.根据权利要求2所述的方法，其特征在于，所述基于所述设备查询名单验证所述源IP地址是否对应同一设备，获取检测结果，包括：

确认历史存储的IP地址中不存在所述源IP地址，则确认所述检测结果为所述源IP地址安全；并且，

将所述源IP地址保存在所述设备查询名单中。

7.一种地址信息异常检测的方法，其特征在于，应用于安全设备，所述方法包括：

获取目标报文，并且解析所述目标报文获得源IP地址和报文内容；

确认所述报文内容满足策略规则，则将所述源IP地址发送到云端服务器，以使所述云端服务器对所述源IP地址进行异常检测，获得检测结果；

接收所述云端服务器发送的所述检测结果，并且根据所述检测结果对所述源IP地址进行相应处理。

8.一种地址信息异常检测的系统，其特征在于，所述系统包括：

报文发送设备，被配置为发送目标报文；

安全设备，被配置为：

获取所述目标报文，并且解析所述目标报文获得源IP地址和报文内容；

确认所述报文内容满足策略规则，则将所述源IP地址发送到云端服务器，以使所述云端服务器对所述源IP地址进行异常检测，获得检测结果；

接收所述云端服务器发送的所述检测结果，并且根据所述检测结果对所述源IP地址进行相应处理；

所述云端服务器，被配置为：接收所述安全设备发送的源IP地址，并且根据所述源IP地址执行如权利要求1-6任一项所述的方法。