CN109688117B - 一种大容量ip地址拦截方法和设备 - Google Patents

一种大容量ip地址拦截方法和设备 Download PDF

Info

Publication number
CN109688117B
CN109688117B CN201811511101.XA CN201811511101A CN109688117B CN 109688117 B CN109688117 B CN 109688117B CN 201811511101 A CN201811511101 A CN 201811511101A CN 109688117 B CN109688117 B CN 109688117B
Authority
CN
China
Prior art keywords
address
addressing
action
integer
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811511101.XA
Other languages
English (en)
Other versions
CN109688117A (zh
Inventor
张亚昊
刘安
胡威
李静
程杰
郭永和
王婵
卢晓梅
庞进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Information and Telecommunication Co Ltd
Original Assignee
State Grid Information and Telecommunication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Information and Telecommunication Co Ltd filed Critical State Grid Information and Telecommunication Co Ltd
Priority to CN201811511101.XA priority Critical patent/CN109688117B/zh
Publication of CN109688117A publication Critical patent/CN109688117A/zh
Application granted granted Critical
Publication of CN109688117B publication Critical patent/CN109688117B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种大容量IP地址拦截方法和设备,其中,该方法包括:步骤1,提取IP数据包中的待检测IP地址,其中,任一个待检测IP地址包括源IP地址和目的IP地址;步骤2,根据待检测IP地址和预设内存地址位数,计算整数寻址地址;步骤3,采用寻址方式,生成动作向量地址空间,查询整数寻址地址对应的操作位信息;步骤4,根据操作位信息,处理IP数据包,其中,操作位信息包括放行和丢包。通过本申请中的技术方案,可以将IP动作匹配的时间复杂度降低到Θ(1),即随着恶意IP拦截策略数量的增多,IP动作策略匹配时间不会增长,提高了恶意IP地址拦截的准确性,解决了为保障网络安全导致访问延迟上升,破坏用户体验的问题。

Description

一种大容量IP地址拦截方法和设备
技术领域
本申请涉及网络安全的技术领域,具体而言,涉及一种大容量IP地址拦截方法以及一种大容量IP地址拦截设备。
背景技术
防火墙内部存在一个策略清单,每个策略清单包括一项由协议、源IP、源端口、目的IP以及目的端口构成的五元组以及对应动作,如:放行、丢包。运行中的防火墙,需要对每一项五元组都消耗定量的内存资源用以建立“策略匹配数据结构”,并且对每一个数据包,均需按顺序对五元组进行逐一匹配。随着被拦截恶意IP地址增多,防火墙将消耗更多的内存资源,建立恶意IP对应的五元组,且策略匹配消耗的时间将随拦截规模线性增长,即网络延迟将随着拦截规模线性增长,导致用户等待时长将线性增长,造成用户体验变差。
而现有技术中,防火墙没有存储大容量的恶意IP地址的能力,同时,也存在着软件瓶颈,造成被迫牺牲网络安全,以满足用户体验,降低网络延迟。
发明内容
本申请的目的在于:将IP动作匹配的时间复杂度降低到Θ(1),提高了恶意IP地址拦截的准确性,解决了为保障网络安全导致访问延迟上升,破坏用户体验的问题。
本申请第一方面的技术方案是:提供了一种大容量IP地址拦截方法,该方法包括:步骤1,提取IP数据包中的待检测IP地址,其中,任一个待检测IP地址包括源IP地址和目的IP地址;步骤2,根据待检测IP地址和IP地址段内存位数,计算整数寻址地址;步骤3,采用寻址方式,生成动作向量地址空间,查询整数寻址地址对应的操作位信息;步骤4,根据操作位信息,处理IP数据包,其中,操作位信息包括放行和丢包。
上述任一项技术方案中,进一步地,步骤3中,具体包括:步骤31,当判定寻址方式为按位寻址时,根据动作向量地址空间的预设起始地址,计算整数寻址地址对应的位状态地址;步骤32,根据位状态地址,查询操作位信息。
上述任一项技术方案中,进一步地,步骤3中,具体还包括:步骤33,当判定寻址方式为按块寻址时,计算整数寻址地址在动作向量地址空间中、对应的块索引编号和块内偏移量;步骤34,根据块索引编号和块内偏移量,查询操作位信息。
上述任一项技术方案中,进一步地,还包括:更新动作向量地址空间中的地址信息和操作位信息。
本申请第二方面的技术方案是:提供了一种大容量IP地址拦截设备,该设备包括:地址抽取模块,计算模块,动作决断模块和动作执行模块;地址抽取模块用于提取IP数据包中的待检测IP地址,其中,任一个待检测IP地址包括源IP地址和目的IP地址;计算模块用于根据待检测IP地址和IP地址段内存位数,计算整数寻址地址;动作决断模块用于采用寻址方式,生成动作向量地址空间,查询整数寻址地址对应的操作位信息;动作执行模块用于根据操作位信息,处理IP数据包,其中,操作位信息包括放行和丢包。
上述任一项技术方案中,进一步地,动作决断模块被配置为:当判定寻址方式为按位寻址时,根据动作向量地址空间的预设起始地址,计算整数寻址地址对应的位状态地址;根据位状态地址,查询操作位信息。
上述任一项技术方案中,进一步地,动作决断模块还被配置为:当判定寻址方式为按块寻址时,计算整数寻址地址在动作向量地址空间中、对应的块索引编号和块内偏移量;根据块索引编号和块内偏移量,查询操作位信息。
上述任一项技术方案中,进一步地,还包括:动作向量更新模块;动作向量更新模块用于更新动作向量地址空间中的地址信息和操作位信息。
本申请的有益效果是:通过提取待检测IP地址,并计算整数寻址地址,在采用寻址方式,确定待检测IP地址对应的操作位信息,实现对恶意IP的识别,将IP动作匹配的时间复杂度降低到Θ(1),即随着恶意IP拦截策略数量的增多,IP动作策略匹配时间不会增长,解决了为保障网络安全导致访问延迟上升,破坏用户体验的问题。通过整数寻址地址计算公式,计算待检测IP地址对应的整数寻址地址,提高了根据整数寻址地址确定动作向量地址空间中操作位信息的准确性。通过生成动作向量地址空间,降低了存储空间的使用量,提高了确定操作位信息的效率。通过对动作向量地址空间进行更新,有利于提高恶意IP地址防护的全面性。
附图说明
本申请的上述和/或附加方面的优点在结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本申请的一个实施例的大容量IP地址拦截方法的示意流程图;
图2是根据本申请的另一个实施例的大容量IP地址拦截方法的示意流程图;
图3是根据本申请的一个实施例的大容量IP地址拦截设备的示意框图;
图4是根据本申请的另一个实施例的大容量IP地址拦截设备的示意框图。
具体实施方式
为了能够更清楚地理解本申请的上述目的、特征和优点,下面结合附图和具体实施方式对本申请进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互结合。
在下面的描述中,阐述了很多具体细节以便于充分理解本申请,但是,本申请还可以采用其他不同于在此描述的其他方式来实施,因此,本申请的保护范围并不受下面公开的具体实施例的限制。
实施例一:
如图1所示,本实施例提供了一种大容量IP地址拦截方法,包括:步骤1,提取IP数据包中的待检测IP地址,其中,任一个待检测IP地址包括源IP地址和目的IP地址;
具体地,在当前的标准的“服务器-客户端”网络模型中,对外提供网站服务的“服务器”是目的,承载普通用户“客户端”的主机是源。恶意网络攻击者对服务器进行攻击访问过程中,不可避免的会暴露其自身固定的IP地址。通过解析数据包,根据传输协议结构,提取源IP地址和目的IP地址字段,一方面,利用源IP地址,阻止攻击者向服务器提交攻击载荷。另一方面,利用目的IP地址,阻止服务器向攻击者发起反向连接请求。
步骤2,根据待检测IP地址和IP地址段内存位数,计算整数寻址地址;
具体地,目前现有的主流IP协议分为IPv4和IPv6两种,本实施例中以IPv4协议为例进行说明,IPv4协议由4段地址构成,每段地址均可在0至256之间进行数值选取,故IPv4协议的地址总数为4294967296个。设定待检测IP地址为[add1,add2,add3,add4],计算整数寻址地址的计算公式为:
I=(((add1×M+add2)×M)…)×M+addn
式中,I为整数寻址地址,addn为待检测IP地址中的第n段地址,M为IP地址段内存位数,即根据IP协议将地址进行划分成多段,IP地址段内存位数M为每一段地址的最大位数。因此,对于IPv4协议而言,IP地址段内存位数M=256,若当前待检测IP地址为[1,2,3,4],则对应的整数寻址地址I为:
I=(((1×256+2)×256+3)×256+4=16909060。
步骤3,采用寻址方式,生成动作向量地址空间,查询整数寻址地址对应的操作位信息;
进一步地,步骤3中,具体包括:
步骤31,当判定寻址方式为按位寻址时,根据动作向量地址空间的预设起始地址,计算整数寻址地址对应的位状态地址;
步骤32,根据位状态地址,查询操作位信息。
具体地,根据恶意IP地址列表,生成动作向量地址空间,动作向量地址空间如表1所示。
表1
地址信息 IP地址 操作位信息
S 0,0,0,0 “放行”
S+16909060 1,2,3,4 “丢包”
S+4294967295 255,255,255,255 其他预设信息
对于按位寻址的服务器,设定动作向量地址空间的预设起始地址为S,则对于IPv4协议而言,动作向量地址空间所占用的内存空间最大为[S,S+4294967296),按顺序将动作向量地址空间中标记出的恶意IP地址进行存储,记录对应的地址信息,并将地址信息对应的操作位信息设置为“丢包”,将未标记出的地址信息对应的操作位信息设置为“放行”或其他预设信息。
当判定寻址方式为按位寻址时,计算待检测IP地址对应的整数寻址地址I与预设起始地址S的和值S+I,记作位状态地址,查询位状态地址在动作向量地址空间中对应的操作位信息,其中,操作位信息在动作向量地址空间确定。即当设定待检测IP地址为[1,2,3,4]时,通过计算,得出动作向量地址空间中的位状态地址(地址信息)“S+16909060”,可以查询到对应的操作位信息为“丢包”。
更具体的,操作位不同的取值(地址信息)与不同的预定义动作(操作位信息)一一对应。例如,在16进制计算机上,操作位取值范围为[0,16)。可以定义“放行”对应的操作位取值为“0”,“丢包”对应的操作位取值为“15”,其他预定义的动作可以定义为其它未使用的值。此处,操作位可以采用特制的硬件实现,如可用取值为[0,3)的操作位可以使用3进制计算机实现;也可以是多个位组合的形式实现,如可用取值为[0,9)的操作位可以在3进制计算机中,由两个3进制位组合成一个9进制操作位。以上取值为[0,16)的操作位,可以在二进制计算机上,由4个二进制位组合而成。
更进一步地,步骤3中,具体还包括:
步骤33,当判定寻址方式为按块寻址时,计算整数寻址地址在动作向量地址空间中、对应的块索引编号和块内偏移量;
步骤34,根据块索引编号和块内偏移量,查询操作位信息。
具体地,对于按块寻址的服务器,设定动作向量地址空间的预设起始地址为S,块内位数为n。根据待检测IP地址对应的整数寻址地址I和块内位数n计算块索引编号B,对应的计算公式为:
Figure GDA0003108900450000061
即对整数寻址地址I和块内位数n的商值向下取整,将计算结果记作块索引编号B,将整数寻址地址I和块内位数n的余数记作块内偏移量D。
进而根据块索引编号B和块内偏移量D,查询待检测IP地址在动作向量地址空间中对应的操作位信息。
步骤4,根据操作位信息,处理IP数据包,其中,操作位信息包括放行和丢包。
优选地,该方法还包括:更新动作向量地址空间中的地址信息和操作位信息。
具体地,当判定更新算法为位更新算法时,根据更新后的动作向量地址空间中的恶意IP地址,更新动作向量地址空间中的地址信息和操作位信息,将对应的操作位信息标记为“丢包”。
当判定更新算法为地址段更新算法时,根据更新后的动作向量地址空间中的恶意IP首地址和恶意IP末地址,计算对应的地址更新区间,将更新区间对应的操作位信息标记为“丢包”,其中,计算更新区间的方法与计算整数寻址地址的方法相类似,此处不再赘述。
当判定更新算法为全向量更新算法时,根据设定的更新起始地址和更新内存地址位数,将更新后的动作向量地址空间对应的地址信息和操作位信息进行更新。
实施例二:
如图2所示,本实施例提供了另一种大容量IP地址拦截方法,首先要提取IP数据包中的源IP地址与目的IP地址。可以将IP地址视为[0,4294967296)区间内的一个整数,下文中记为I。不妨设攻击者IP地址为1.2.3.4,则其对应的,IP地址I为:
I=(((1*256+2)*256+3)*256+4)=16909060。
一个按位寻址的动作向量起始地址为S。则IP地址I位于[S,S+4294967296)的地址空间即为动作向量所占据的内存空间。初始全通状态下,不妨将“位状态为0”定义为放行状态,将“位状态为1”定义为丢包状态。对于攻击者的IP地址I,检测地址S+I的位状态,即可判断是否允许该IP数据包通过。
该方法可以减少策略在内存中占用的空间,进一步提高策略匹配的效率。获取的分析结果是一个向量。向量的范数是量化的安全风险指标。
实施例三:
如图3所示,本实施例提供了一种大容量IP地址拦截设备100,包括:地址抽取模块101,计算模块102,动作决断模块103和动作执行模块104;地址抽取模块101用于提取IP数据包中的待检测IP地址,其中,任一个待检测IP地址包括源IP地址和目的IP地址;
具体地,在当前的标准的“服务器-客户端”网络模型中,对外提供网站服务的“服务器”是目的,承载普通用户“客户端”的主机是源。恶意网络攻击者对服务器进行攻击访问过程中,不可避免的会暴露其自身固定的IP地址。通过解析数据包,根据传输协议结构,提取源IP地址和目的IP地址字段,一方面,利用源IP地址,阻止攻击者向服务器提交攻击载荷。另一方面,利用目的IP地址,阻止服务器向攻击者发起反向连接请求。
计算模块102用于根据待检测IP地址和IP地址段内存位数,计算整数寻址地址;
具体地,目前现有的主流IP协议分为IPv4和IPv6两种,本实施例中以IPv4协议为例进行说明,IPv4协议由4段地址构成,每段地址均可在0至256之间进行数值选取,故IPv4协议的地址总数为4294967296个。设定待检测IP地址为[add1,add2,add3,add4],计算整数寻址地址的计算公式为:
I=(((add1×M+add2)×M)…)×M+addn
式中,I为整数寻址地址,addn为待检测IP地址中的第n段地址,M为IP地址段内存位数,即根据IP协议将地址进行划分成多段,IP地址段内存位数M为每一段地址的最大位数。因此,对于IPv4协议而言,IP地址段内存位数M=256,若当前待检测IP地址为[1,2,3,4],则对应的整数寻址地址I为:
I=(((1×256+2)×256+3)×256+4=16909060。
在本实施例中,动作决断模块103用于采用寻址方式,生成动作向量地址空间,查询整数寻址地址对应的操作位信息;
进一步地,动作决断模块103被配置为:当判定寻址方式为按位寻址时,根据动作向量地址空间的预设起始地址,计算整数寻址地址对应的位状态地址;根据位状态地址,查询操作位信息。
具体地,根据恶意IP地址列表,生成动作向量地址空间,动作向量地址空间如表1所示。
表1
地址信息 IP地址 操作位信息
S 0,0,0,0 “放行”
S+16909060 1,2,3,4 “丢包”
S+4294967295 255,255,255,255 其他预设信息
对于按位寻址的服务器,设定动作向量地址空间的预设起始地址为S,则对于IPv4协议而言,动作向量地址空间所占用的内存空间最大为[S,S+4294967296),按顺序将动作向量地址空间中标记出的恶意IP地址进行存储,记录对应的地址信息,并将地址信息对应的操作位信息设置为“丢包”,将未标记出的地址信息对应的操作位信息设置为“放行”或其他预设信息。
当判定寻址方式为按位寻址时,计算待检测IP地址对应的整数寻址地址I与预设起始地址S的和值S+I,记作位状态地址,查询位状态地址在动作向量地址空间中对应的操作位信息,其中,操作位信息在动作向量地址空间确定。即当设定待检测IP地址为[1,2,3,4]时,通过计算,得出动作向量地址空间中的位状态地址(地址信息)“S+16909060”,可以查询到对应的操作位信息为“丢包”。
更具体的,操作位不同的取值(地址信息)与不同的预定义动作(操作位信息)一一对应。例如,在16进制计算机上,操作位取值范围为[0,16)。可以定义“放行”对应的操作位取值为“0”,“丢包”对应的操作位取值为“15”,其他预定义的动作可以定义为其它未使用的值。此处,操作位可以采用特制的硬件实现,如可用取值为[0,3)的操作位可以使用3进制计算机实现;也可以是多个位组合的形式实现,如可用取值为[0,9)的操作位可以在3进制计算机中,由两个3进制位组合成一个9进制操作位。以上取值为[0,16)的操作位,可以在二进制计算机上,由4个二进制位组合而成。
更进一步地,动作决断模块103还被配置为:当判定寻址方式为按块寻址时,计算整数寻址地址在动作向量地址空间中、对应的块索引编号和块内偏移量;根据块索引编号和块内偏移量,查询操作位信息。
具体地,对于按块寻址的服务器,设定动作向量地址空间的预设起始地址为S,块内位数为n。根据待检测IP地址对应的整数寻址地址I和块内位数n计算块索引编号B,对应的计算公式为:
Figure GDA0003108900450000101
即对整数寻址地址I和块内位数n的商值向下取整,将计算结果记作块索引编号B,将整数寻址地址I和块内位数n的余数记作块内偏移量D。
进而根据块索引编号B和块内偏移量D,查询待检测IP地址在动作向量地址空间中对应的操作位信息。
在本实施例中,动作执行模块104用于根据操作位信息,处理IP数据包,其中,操作位信息包括放行和丢包。
优选地,该地址拦截设备100还包括:动作向量更新模块105;用于更新动作向量地址空间中的地址信息和操作位信息。
具体地,当判定更新算法为位更新算法时,根据更新后的动作向量地址空间中的恶意IP地址,更新动作向量地址空间中的地址信息和操作位信息,将对应的操作位信息标记为“丢包”。
当判定更新算法为地址段更新算法时,根据更新后的动作向量地址空间中的恶意IP首地址和恶意IP末地址,计算对应的地址更新区间,将更新区间对应的操作位信息标记为“丢包”,其中,计算更新区间的方法与计算整数寻址地址的方法相类似,此处不再赘述。
当判定更新算法为全向量更新算法时,根据设定的更新起始地址和更新内存地址位数,将更新后的动作向量地址空间对应的地址信息和操作位信息进行更新。
实施例四:
如图4所示,本实施例提供了另一种大容量IP地址拦截装置,包括:
地址抽取模块:抽取通过报文的源IP地址和目的IP地址。接收来自报文入方向的原始报文,对报文头进行解析,提取源IP地址和目的IP地址字段。
动作决断模块:将地址抽取模块中获取的IP地址视为寻址地址I,在该模块的动作向量中寻址对应位,根据位的值决定对数据包执行放行或丢包操作。
动作向量为包含M位的向量ArrayI,起始地址为S,则ArrayI的地址区间为[S,S+M),该向量负责存储IP地址的位状态。例如,在16进制计算机上,操作位取值范围为[0,16)。可以定义“放行”对应的操作位取值为“0”,“丢包”对应的操作位取值为“15”,其他预定义的动作可以定义为其它未使用的值。初始全通状态下,所有位状态均为0。使用动作向量位状态搜索算法,搜索到给定IP地址I在动作向量ArrayI的位置S+I。根据上述定义,攻击者的IP地址为I的位状态即为动作向量ArrayI中地址S+I的位状态。提取该位状态,判断位状态是否为“1”。
获得动作向量ArrayI的初始地址S和地址抽取模块解析的攻击者IP。初始化动作向量ArrayI,内存大小为M位。则任意IP地址可视为在区间[S,S+M)中的一个整数,不妨设在初始全通状态下,区间[S,S+M)中的位状态值为“0”。计算IP地址的区间整数I,IPV4地址分为4段,每段值为0-255,记为a.b.c.d,假设IP地址为192.168.23.141,则a的值为192,b的值为168,c的值为23,d的值为141。IP地址区间整数I等于((a*256+b)*256+c)*256+d。攻击者IP地址的位状态为地址S+I位的状态值。获取S+I位的状态值,判断该位状态是否为“0”,“0”则放行,“1”则丢包。
动作执行模块:根据动作决断模块的检测结果,对策略进行执行(放行/丢包/其他预定义的动作)。
读取动作决断模块的返回结果,根据结果执行相应操作。如果位状态为“0”,则执行放行操作,如果位状态为“1”,则执行丢包操作。
动作向量更新模块:在每个动作向量前设置指针域,通过指针实现动作向量的动态备份与更新。
动作向量更新模块分为位更新和全向量更新,位更新直接更新ArrayI中需要变更的位;全向量更新则重新定义新动作向量ArrayI*,并设置ArrayI*的位状态序列,变更指向ArrayI的头指针的方向,使其指向新动作向量ArrayI*。
动作向量更新模块进行位更新时:获得动作向量ArrayI的初始地址S,内存大小为M位和攻击者IP的区间整数I。计算并更新地址S+I位的状态值。
动作向量更新模块进行地址段更新时,获得动作向量ArrayI的初始地址S和攻击者的IP地址段。初始化动作向量ArrayI,内存大小为M位。则IP地址段可视为在区间[S,S+M)中的连续整数,不妨设初始全通状态下,所有位状态为“0”。根据地址段的首地址和末地址,计算首地址区间整数I1和末地址区间整数I2。不妨设更新的IP地址段为IPV4地址段,将地址段的首地址记为a1.b1.c1.d1,末地址记为a2.b2.c2.d2。IPV4地址段首地址区间整数I1等于((a1*256+b1)*256+c1)*256+d1,末地址区间整数I2等于((a2*256+b2)*256+c2)*256+d2。则攻击者IP地址段的位状态集合为区间[S+I1,S+I2]内位状态序列,完成位状态序列的更新。
动作向量更新模块进行全向量更新时,定义新动作向量ArrayI*的初始地址S*,内存大小为M位。定义并设置ArrayI*的位状态序列。获得原动作向量ArrayI的头指针,将头指针指向新动作向量ArrayI*。释放原动作向量ArrayI*的内存。
以上结合附图详细说明了本申请的技术方案,本申请提出了一种大容量IP地址拦截方法和设备,其中,该方法包括:步骤1,提取IP数据包中的待检测IP地址,其中,任一个待检测IP地址包括源IP地址和目的IP地址;步骤2,根据待检测IP地址和IP地址段内存位数,计算整数寻址地址;步骤3,采用寻址方式,生成动作向量地址空间,查询整数寻址地址对应的操作位信息;步骤4,根据操作位信息,处理IP数据包,其中,操作位信息包括放行和丢包。通过本申请中的技术方案,可以将IP动作匹配的时间复杂度降低到Θ(1),即随着恶意IP拦截策略数量的增多,IP动作策略匹配时间不会增长,提高了恶意IP地址拦截的准确性,解决了为保障网络安全导致访问延迟上升,破坏用户体验的问题。
本申请中的步骤可根据实际需求进行顺序调整、合并和删减。
本申请装置中的单元可根据实际需求进行合并、划分和删减。
尽管参考附图详地公开了本申请,但应理解的是,这些描述仅仅是示例性的,并非用来限制本申请的应用。本申请的保护范围由附加权利要求限定,并可包括在不脱离本申请保护范围和精神的情况下针对发明所作的各种变型、改型及等效方案。

Claims (6)

1.一种大容量IP地址拦截方法,其特征在于,该方法包括:
步骤1,提取IP数据包中的待检测IP地址,其中,任一个所述待检测IP地址包括源IP地址和目的IP地址;
步骤2,根据所述待检测IP地址和IP地址段内存位数,计算整数寻址地址,其中,所述整数寻址地址的计算公式为:
I=(((add1×M+add2)×M)…)×M+addn
式中,I为所述整数寻址地址,addn为所述待检测IP地址中的第n段地址,M为所述IP地址段内存位数;
步骤3,采用寻址方式,生成动作向量地址空间,查询所述整数寻址地址对应的操作位信息,其中,所述步骤3具体包括:
步骤31,当判定所述寻址方式为按位寻址时,根据所述动作向量地址空间的预设起始地址,计算所述待检测IP地址的整数寻址地址与所述预设起始地址的和值,记作位状态地址;
步骤32,根据所述位状态地址,在所述动作向量地址空间中查询所述操作位信息,所述动作向量地址空间由恶意IP地址列表确定;
步骤4,根据所述操作位信息,处理所述IP数据包,其中,所述操作位信息包括放行和丢包。
2.如权利要求1所述的大容量IP地址拦截方法,其特征在于,所述步骤3中,具体还包括:
步骤33,当判定所述寻址方式为按块寻址时,计算所述整数寻址地址在所述动作向量地址空间中、对应的块索引编号和块内偏移量;
步骤34,根据所述块索引编号和所述块内偏移量,查询所述操作位信息。
3.如权利要求1所述的大容量IP地址拦截方法,其特征在于,还包括:
更新所述动作向量地址空间中的地址信息和所述操作位信息。
4.一种大容量IP地址拦截设备,其特征在于,该设备包括:地址抽取模块,计算模块,动作决断模块和动作执行模块;
所述地址抽取模块用于提取IP数据包中的待检测IP地址,其中,任一个所述待检测IP地址包括源IP地址和目的IP地址;
所述计算模块用于根据所述待检测IP地址和IP地址段内存位数,计算整数寻址地址,其中,所述整数寻址地址的计算公式为:
I=(((add1×M+add2)×M)…)×M+addn
式中,I为所述整数寻址地址,addn为所述待检测IP地址中的第n段地址,M为所述IP地址段内存位数;
所述动作决断模块用于采用寻址方式,生成动作向量地址空间,查询所述整数寻址地址对应的操作位信息,其中,所述动作决断模块被配置为:
当判定所述寻址方式为按位寻址时,根据所述动作向量地址空间的预设起始地址,计算所述待检测IP地址的整数寻址地址与所述预设起始地址的和值,记作位状态地址;
根据所述位状态地址,在所述动作向量地址空间中查询所述操作位信息,所述动作向量地址空间由恶意IP地址列表确定;
所述动作执行模块用于根据所述操作位信息,处理所述IP数据包,其中,所述操作位信息包括放行和丢包。
5.如权利要求4所述的大容量IP地址拦截设备,其特征在于,所述动作决断模块还被配置为:
当判定所述寻址方式为按块寻址时,计算所述整数寻址地址在所述动作向量地址空间中、对应的块索引编号和块内偏移量;
根据所述块索引编号和所述块内偏移量,查询所述操作位信息。
6.如权利要求4所述的大容量IP地址拦截设备,其特征在于,还包括:动作向量更新模块;
所述动作向量更新模块用于更新所述动作向量地址空间中的地址信息和所述操作位信息。
CN201811511101.XA 2018-12-11 2018-12-11 一种大容量ip地址拦截方法和设备 Active CN109688117B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811511101.XA CN109688117B (zh) 2018-12-11 2018-12-11 一种大容量ip地址拦截方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811511101.XA CN109688117B (zh) 2018-12-11 2018-12-11 一种大容量ip地址拦截方法和设备

Publications (2)

Publication Number Publication Date
CN109688117A CN109688117A (zh) 2019-04-26
CN109688117B true CN109688117B (zh) 2021-10-15

Family

ID=66187548

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811511101.XA Active CN109688117B (zh) 2018-12-11 2018-12-11 一种大容量ip地址拦截方法和设备

Country Status (1)

Country Link
CN (1) CN109688117B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1381095A (zh) * 1998-12-10 2002-11-20 诺泰网络有限公司 推荐用于第三代码分多址的turbo码交错器的有效实现
CN101043421A (zh) * 2006-03-21 2007-09-26 上海激动通信有限公司 一种基于内存的ip地址最长匹配快速查找的方法
CN103581363A (zh) * 2013-11-29 2014-02-12 杜跃进 对恶意域名和非法访问的控制方法及装置
CN104283742A (zh) * 2014-11-05 2015-01-14 桂林电子科技大学 基于fpga的网络数据包过滤方法
CN104636264A (zh) * 2013-11-11 2015-05-20 国际商业机器公司 主动/被动存储系统中的负载平衡逻辑单元
CN106302383A (zh) * 2016-07-22 2017-01-04 北京奇虎科技有限公司 数据访问请求的处理方法及处理装置
CN106708423A (zh) * 2015-11-13 2017-05-24 三星电子株式会社 多模存储管理系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005461B (zh) * 2007-01-16 2010-06-16 中兴通讯股份有限公司 一种IPv6路由表查找、转发的方法
EP3068112B1 (en) * 2015-03-11 2018-05-23 Advanced Digital Broadcast S.A. System and method for mac address acquisition

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1381095A (zh) * 1998-12-10 2002-11-20 诺泰网络有限公司 推荐用于第三代码分多址的turbo码交错器的有效实现
CN101043421A (zh) * 2006-03-21 2007-09-26 上海激动通信有限公司 一种基于内存的ip地址最长匹配快速查找的方法
CN104636264A (zh) * 2013-11-11 2015-05-20 国际商业机器公司 主动/被动存储系统中的负载平衡逻辑单元
CN103581363A (zh) * 2013-11-29 2014-02-12 杜跃进 对恶意域名和非法访问的控制方法及装置
CN104283742A (zh) * 2014-11-05 2015-01-14 桂林电子科技大学 基于fpga的网络数据包过滤方法
CN106708423A (zh) * 2015-11-13 2017-05-24 三星电子株式会社 多模存储管理系统
CN106302383A (zh) * 2016-07-22 2017-01-04 北京奇虎科技有限公司 数据访问请求的处理方法及处理装置

Also Published As

Publication number Publication date
CN109688117A (zh) 2019-04-26

Similar Documents

Publication Publication Date Title
US7248585B2 (en) Method and apparatus for a packet classifier
EP2530874B1 (en) Method and apparatus for detecting network attacks using a flow based technique
US20200159654A1 (en) Pipelined hash table with reduced collisions
CN101309216B (zh) 一种ip包分类方法和设备
CN112558948A (zh) 一种海量流量下报文识别的方法和装置
CN106657161B (zh) 数据包过滤的实现方法和装置
US10440035B2 (en) Identifying malicious communication channels in network traffic by generating data based on adaptive sampling
CN113114694A (zh) 一种面向高速网络分组抽样数据采集场景的DDoS攻击检测方法
CN112579595A (zh) 数据处理方法、装置、电子设备及可读存储介质
WO2017157335A1 (zh) 报文识别的方法及装置
US11245712B2 (en) Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code
CN107277062B (zh) 数据包的并行处理方法及装置
CN109688117B (zh) 一种大容量ip地址拦截方法和设备
Ma et al. SDN-based ARP attack detection for cloud centers
CN112565229A (zh) 隐蔽通道检测方法及装置
JP6978612B2 (ja) ネットワークアドレス変換
CN113660134B (zh) 端口探测方法、装置、电子装置和存储介质
CN114338549B (zh) 数据流识别处理方法、装置、服务器及存储介质
US20160301658A1 (en) Method, apparatus, and computer-readable medium for efficient subnet identification
CN108076068B (zh) 一种防攻击方法以及装置
CN112532610A (zh) 一种基于tcp分段的入侵防御检测方法及装置
CN113595959A (zh) 网络流量数据的处理方法及服务器
CN115996203B (zh) 网络流量分域方法、装置、设备和存储介质
CN115955521B (zh) 一种私有报文的识别方法及系统
US11063869B2 (en) ARP table management system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant