[发明专利]一种地址信息异常检测的方法、装置、系统及介质

说明书

本申请实施例提供一种地址信息异常检测的方法、装置、系统及介质，该方法包括：接收安全设备发送的源IP地址，其中，所述源IP地址是通过安全设备对目标报文进行解析获得的，所述目标报文中的报文内容命中了所述安全设备中部署的策略规则；基于参考名单对所述源IP地址进行异常检测，获得检测结果，其中，所述参考名单包括地址查询名单，所述地址查询名单用于记录地址信息；向所述安全设备发送所述检测结果，以使所述安全设备根据所述检测结果对所述源IP地址进行相应处理。通过本申请的一些实施例能够在报文内容命中策略规则后，在云端服务器对源IP地址进行进一步的验证，从而能够提高异常检测的准确率。

技术领域

本申请实施例涉及网络安全领域，具体涉及一种地址信息异常检测的方法、装置、系统及介质。

背景技术

相关技术中，在安全设备(例如，防火墙)发现攻击之后，通常会采用阻断报文、告警等措施来保证内网设备的安全性。安全设备通常会配置策略规则来对访问内网的报文进行检测，但是在策略规则指定不明确的情况下(例如，风险报文和正常报文可能均存在扫描特征)，容易将正常的IP地址加入到黑名单中，从而对报文的正常访问造成影响。

因此，如何保证安全设备异常检测的准确性成为需要解决的问题。

发明内容

本申请实施例提供一种地址信息异常检测的方法、装置、系统及介质，通过本申请的一些实施例至少能够在报文内容命中策略规则后，在云端服务器对源IP地址进行进一步的验证，从而能够提高异常检测的准确率。

第一方面，本申请提供了一种地址信息异常检测的方法，应用于云端服务器，所述方法包括：接收安全设备发送的源IP地址，其中，所述源IP地址是通过安全设备对目标报文进行解析获得的，所述目标报文中的报文内容命中了所述安全设备中部署的策略规则；基于参考名单对所述源IP地址进行异常检测，获得检测结果，其中，所述参考名单包括地址查询名单，所述地址查询名单用于记录地址信息；向所述安全设备发送所述检测结果，以使所述安全设备根据所述检测结果对所述源IP地址进行相应处理。

因此，本申请实施例通过在报文内容命中策略规则后，在云端服务器对源IP地址进行进一步的验证，能够防止由于策略规则制定不明确而导致的不能正常访问内网的情况发生，从而能够提升异常检测的准确率，进而保证能够将正常的目标报文发送至内网设备。

结合一方面，在本申请的一种实施方式中，所述参考名单还包括设备查询名单，所述地址查询名单为地址查询黑名单，所述地址查询黑名单中存储有禁止访问目标设备的IP地址；所述基于参考名单对所述源IP地址进行异常检测，获得检测结果，包括：确认所述地址查询黑名单中不存在所述源IP地址；基于所述设备查询名单验证所述源IP地址是否对应同一设备，获取检测结果。

因此，本申请实施例通过在确认源IP地址不在黑名单的情况下，基于设备查询黑名单对源IP地址进行再次验证，能够进一步提高异常检测的准确率。

结合一方面，在本申请的一种实施方式中，所述设备查询名单中包括历史存储的IP地址和查询设备信息，所述查询设备信息用于表征发送报文的设备；所述基于所述设备查询名单验证所述源IP地址是否对应同一设备，获取检测结果，包括：确认所述历史存储的IP地址中存在所述源IP地址；判断与所述源IP地址对应的所述查询设备信息是否相同，获得判断结果，并且根据所述判断结果得到所述检测结果。

因此，本申请实施例通过在设备查询名单中存在源IP地址的情况下，判断源IP地址是否对应同一设备，能够防止异常设备使用源IP地址访问内网，从而保证了内网的安全。

结合一方面，在本申请的一种实施方式中，所述判断与所述源IP地址对应的目标设备信息与所述查询设备信息是否相同，获得判断结果，并且根据所述判断结果得到所述检测结果，包括：若所述源IP地址对应的目标设备信息与所述查询设备信息相同，则确认所述检测结果为所述源IP地址安全；若所述源IP地址对应的目标设备信息与所述查询设备信息不同，则确认所述检测结果为所述源IP地址不安全。