(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210923000.3 (22)申请日 2022.08.02 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 刘继东　娄扬　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 吕爱霞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种地址信息异常检测的方法、 装置、 系统 及介质 (57)摘要 本申请实施例提供一种地址信息异常检测 的方法、 装置、 系统及介质， 该方法包括： 接收安 全设备发送 的源IP地址， 其中， 所述源IP地址是 通过安全设备对目标报文进行解析 获得的， 所述 目标报文中的报文内容命中了所述安全设备中 部署的策略规则； 基于参考名单对所述源IP地址 进行异常检测， 获得检测结果， 其中， 所述参考名 单包括地址查询名单， 所述地址查询名单用于记 录地址信息； 向所述安全设备发送所述检测结 果， 以使所述安全设备根据所述检测结果对所述 源IP地址进行相应处理。 通过本申请的一些实施 例能够在报文内容命中策略规则后， 在云端服务 器对源IP地址进行进一步的验证， 从而能够提高 异常检测的准确率。 权利要求书2页 说明书10页 附图5页 CN 115296893 A 2022.11.04 CN 115296893 A 1.一种地址信息异常检测的方法， 其特 征在于， 应用于云端服 务器， 所述方法包括： 接收安全设备发送的源IP地址， 其中， 所述源IP地址是通过安全设备对目标报文进行 解析获得的， 所述目标报文中的报文内容命中了所述 安全设备中部署的策略规则； 基于参考名单对所述源IP地址进行异常检测， 获得检测结果， 其中， 所述参考名单包括 地址查询名单， 所述 地址查询名单用于记录地址信息； 向所述安全设备发送所述检测结果， 以使所述安全设备根据 所述检测结果对所述源IP 地址进行相应处 理。 2.根据权利要求1所述的方法， 其特征在于， 所述参考名单还包括设备查询名单， 所述 地址查询名单为地址查询黑名单， 所述地址查询黑名单中存储有禁止访问目标设备的IP地 址； 所述基于参 考名单对所述源IP地址进行异常检测， 获得检测结果， 包括： 确认所述 地址查询黑名单中不存在所述源IP地址； 基于所述设备查询名单验证所述源IP地址是否对应同一设备， 获取检测结果。 3.根据权利要求2所述的方法， 其特征在于， 所述设备查询名单中包括历史存储的IP地 址和查询设备信息， 所述 查询设备信息用于表征发送报文的设备； 所述基于所述设备查询名单验证所述源IP地址是否对应同一设备， 获取检测结果， 包 括： 确认所述历史存 储的IP地址中存在所述源IP地址； 判断与所述源IP地址对应的所述查询设备信息是否相同， 获得判断结果， 并且根据所 述判断结果得到所述检测结果。 4.根据权利要求3所述的方法， 其特征在于， 所述判断与所述源IP地址对应的目标设备 信息与所述查询设备信息是否相同， 获得判断结果， 并且根据所述判断结果得到所述检测 结果， 包括： 若所述源IP地址对应的目标设备信 息与所述查询设备信 息相同， 则确认所述检测结果 为所述源IP地址安全； 若所述源IP地址对应的目标设备信 息与所述查询设备信 息不同， 则确认所述检测结果 为所述源IP地址不 安全。 5.根据权利要求 4所述的方法， 其特 征在于， 所述设备查询名单中还 包括查询日期； 在所述确认所述检测结果 为所述源IP地址安全之前， 所述方法还 包括： 更新所述 查询日期。 6.根据权利要求2所述的方法， 其特征在于， 所述基于所述设备查询名单验证所述源IP 地址是否对应同一设备， 获取检测结果， 包括： 确认历史存储的IP地址中不存在所述源IP地址， 则确认所述检测结果为所述源IP地址 安全； 并且， 将所述源IP地址保存在所述设备查询名单中。 7.一种地址信息异常检测的方法， 其特 征在于， 应用于安全设备， 所述方法包括： 获取目标报文， 并且解析 所述目标报文获得源IP地址和报文内容； 确认所述报文内容满足策略规则， 则将所述源IP地址发送到云端服务器， 以使所述云 端服务器对所述源IP地址进行异常检测， 获得检测结果；权　利　要　求　书 1/2 页 2 CN 115296893 A 2接收所述云端服务器发送的所述检测结果， 并且根据所述检测结果对所述源IP地址进 行相应处 理。 8.一种地址信息异常检测的系统， 其特 征在于， 所述系统包括： 报文发送设备， 被 配置为发送目标报文； 安全设备， 被 配置为： 获取所述目标报文， 并且解析 所述目标报文获得源IP地址和报文内容； 确认所述报文内容满足策略规则， 则将所述源IP地址发送到云端服务器， 以使所述云 端服务器对所述源IP地址进行异常检测， 获得检测结果； 接收所述云端服务器发送的所述检测结果， 并且根据所述检测结果对所述源IP地址进 行相应处 理； 所述云端服务器， 被配置为： 接收所述安全设备发送的源IP地址， 并且根据所述源IP地 址执行如权利要求1 ‑6任一项所述的方法。 9.一种地址信息异常检测的装置， 其特 征在于， 应用于云端服 务器， 所述装置包括： 地址信息接收模块， 被配置为接收安全设备发送的源IP地址， 其中， 所述源IP地址是通 过安全设备对目标报文进 行解析获得的， 所述目标报文中的报文内容命中了所述安全设备 中部署的策略规则； 异常检测模块， 被配置为基于参考名单对所述源IP地址进行异常检测， 获得检测结果， 其中， 所述 参考名单包括 地址查询名单， 所述 地址查询名单用于记录地址信息； 检测结果发送模块， 被配置为向所述安全设备发送所述检测结果， 以使所述安全设备 根据所述检测结果对所述源IP地址进行相应处 理。 10.一种地址信息异常检测的装置， 其特 征在于， 应用于安全设备， 所述装置包括： 报文获取模块， 被配置为获取目标报文， 并且解析所述目标报文获得源IP地址和报文 内容； 地址信息发送模块， 被配置为确认所述报文内容满足策略规则， 则将所述源IP地址发 送到云端服 务器， 以使所述云端服 务器对所述源IP地址进行异常检测， 获得检测结果； 检测结果接收模块， 被配置为接收所述云端服务器发送的所述检测结果， 并且根据所 述检测结果对所述源IP地址进行相应处 理。 11.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线； 所述处理器通过所述总线与所述存储器相连， 所述存储器存储有计算机可读取指令， 当所述计算机可读取指令由所述处 理器执行时， 用于实现如权利要求1 ‑7任一项所述方法。 12.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程 序， 该计算机程序被执 行时实现如权利要求1 ‑7任一项所述方法。权　利　要　求　书 2/2 页 3 CN 115296893 A 3